在伊朗核问题的外交争端开始前,美国人已经提前3到6年做好了发动相关攻击的储备;只待一切外交斡旋和制裁失效之后,才于2006年把这些攻击代码从储备库里拿了出来……
第十六章 奥运会
2012年,震网的出现,让钱哥对行业的前景深感不安。而4年前,震网的设计者们也有着类似的感受。让他们头疼的,是伊朗即将成功造出核武器的可怕现实。
2008年4月,出于宣传方面考虑,在铀浓缩工厂竣工投产两周年之际,内贾德总统安排了一场高调的参观之行。借此机会,武器控制专家们得以首次窥见这座神秘工厂的真面目。身着工厂技术人员的制服——白大褂、蓝皮靴的内贾德,让记者们为他拍下了参观控制室计算机的多张照片。照片上显示着“和平”的字样,背景是由表情严肃的科学家和官僚组成的随行团队,和如受阅士兵般盛装列队摆放的一人多高的离心机。
内贾德总统办公室随后发布了近50张与此行有关的照片,其中首次公开的IR-2型高性能离心机,让核能分析师们兴奋不已。一位来自伦敦的分析师说,“这正是伊朗人梦寐以求的东西。”
但是,与伊朗官方坚称的“铀浓缩项目用于和平目的”相悖的是,人们从照片上发现,国防部长居然也在随行人员之列。
伊朗专家用了2007年一整年的时间,完成了纳坦兹一个地下车间中3000台离心机的安装。内贾德参观时宣布,计划再增加6000台离心机。如果计划实现,伊朗将跨过“有能力生产工业级浓缩铀国家”的门槛。对于在过去数十年间屡遭磨难的伊朗人而言,这将是一个伟大的成功。因为,这个成功,是在面临无数技术难题、采购障碍、经济制裁、政治阴谋以及暗中破坏行动的情况下获得的,来之不易。而纳坦兹项目的顺利运转,意味着夺取胜利已是板上钉钉。
而实际上,纳坦兹尚未脱离险境。要生产工业级的浓缩铀,需要让数千台离心机连续运行几个月而不出任何故障。就在内贾德在纳坦兹志得意满之时,离心机控制系统中的恶意代码已是蓄势待发。
据报道,布什总统于2007年底向国会提交了一份预算案,并得到了国会的批准。此案金额高达4亿美元,主要用途是为打垮伊朗拥核抱负而发动的一系列行动。具体包括情报收集活动,动摇现政府统治甚至促动政变的颠覆活动,以及针对核设施的秘密破坏活动。操控纳坦兹控制系统计算机的网络攻击属于第三种。
虽然布什的幕僚献上计策的时间是2006年,但相关工作早已启动。根据某些文件的时间戳推算,准备工作可能始于数年前。震网注入315型和417型PLC的恶意代码段,其编译时间分别为2000年呢2001年,用于替换西门子Step 7系统中合法.DLL文件的假冒.DLL文件,其编译时间为2003年。
当然,很可能用于编译代码的计算机时间有误,也可能是代码开发人员为掩盖证据而刻意修改时间。但如果这些时间戳为真,这意味着在伊朗核问题的外交争端开始前,美国人已经提前3到6年做好了发动相关攻击的储备;只待一切外交斡旋和制裁失效之后,才于2006年把这些攻击代码从储备库里拿了出来。
其中一些代码是很多西门子系统通用的,并非专为纳坦兹的控制系统而设计。因此,建设储备库的目的可能不是专门针对纳坦兹PLC,而是面向普遍存在漏洞的所有西门子PLC。在伊朗,除了核工业之外,西门子控制系统还广泛用于石油天然气开采、石化和采矿等多个重要产业;此外,中东地区的其他国家也有使用。1990年代末,网络战刚刚崭露头角,美国和以色列认为,针对90年代中期面世的Step 7和相关西门子PLC进行漏洞挖掘方面的研究很有价值,早晚能用得上。
不过,并非所有攻击代码都是针对西门子控制系统的。比如,要编写针对纳坦兹专用变频器和阀门的攻击代码,必须提前知道伊朗安装使用的设备的具体型号,并掌握其详细配置信息。如果针对PLC的攻击代码段的确是2001前后制作的,那就是说,代码开发人员早在伊朗核设施开工建设之前,就已经知道其中部署什么设备了。
其实,这并不奇怪。伊朗于1999年中,就在卡拉扬电力的一个工厂里安装了小型离心机级联装置,并用它做过铀浓缩实验。之后,在2000年和2002年,CIA将卡迪尔装备朋友圈中的一个核心人物招至麾下,并通过他得到了关于“装备圈向伊朗和卡迪尔其他客户提供了哪些设备”的情报。因此,在2000年纳坦兹破土动工时,CIA可能已经知道了伊朗打算在工厂中安装什么设备,也知道了他们将使用西门子的控制系统。
ISIS的戴维·奥尔布赖特也认为,2001年时,外界已经通过某种途径,掌握了有关纳坦兹的很多情报。
他说:“每个级联系统包括164台离心机,级联系统分为几个阶段,采用什么型号的阀门、压力传感器和管道系统,他们早都知道了。”但他们尚未获得关于伟肯公司和Fararo Paya公司变频器的信息。“变频器可能是另一码事,因为那是伊朗从通过其他一些渠道从国外拿到的。因此,要说震网攻击者2001年就知道伊朗人打算从芬兰公司购买变频器并进行本土化生产,几乎是不可能的。而且,即使是用于2007年在纳坦兹安装的首个级联系统,也同时采用了多款进口变频器。”
到了假冒Step 7系统.DLL文件首次出现的2003年,他们已经掌握了有关纳坦兹的更多消息。
当IAEA核查人员于2003年2月首次造访纳坦兹时,伊朗已经在试验工厂里建造了一个小型级联系统,并做好了在当年年底安装1000台离心机的准备。作为IAEA对伊朗核计划调查的一部分,伊朗必须提供纳坦兹和其他核设施的采购设备清单。这份清单包括机器工具、阀门和真空泵。同时,情报部门对伊朗的秘密采购活动进行了监控,发现一家德黑兰顶级工业自动化公司——尼达(Neda)工业集团,也是伊朗核计划的供应商。这家公司曾经与卡拉扬电力合作,帮助后者从一家手表厂转型为向纳坦兹提供离心机的工厂。尼达工业集团还是西门子在伊朗的本地合作伙伴,据公司网站记载,在2000年和2001年,公司为伊朗的其他设施安装了多批西门子S7系列PLC。这与纳坦兹遭攻击的PLC属于同一个系列。因此,很容易联想到,既然尼达工业集团曾为伊朗多家其他客户安装过西门子控制系统,那么纳坦兹的西门子控制系统很可能也是他们装的。
实际上,在除核工业之外的伊朗其他行业里,有很多西门子自动控制设备的大客户,这为西门子进入伊朗核工业铺平了道路。某西方情报部门在一封某伊朗公司于2003年发往另一家伊朗公司的信中发现,一家与伊朗核项目有关的公司Kimia Maadan,曾经向西门子公司采购过S7-300系列和S7-400系列可编程逻辑控制器,以及与之配套的SIMATIC软件。据信,这批控制器将用于为离心机提供铀原料的贾钦(Gachin)铀矿。也就是说,就在这封信被情报部门截获后,美国以色列就掌握了这个情报。
尽管最初的计策可能是美国战略司令部的詹姆斯卡特怀特将军提出的,但将其具体落到实处的,还是NSA和美国网络司令部(US Cyber Command)的网络战士,和以色列8200部队的精英程序员团队。
要达成攻击,不仅要知道纳坦兹用了什么设备,还要更多更有效的情报。比如,攻击者必须知道变频器的运行频率,和关键设备的配置参数。他们不能仅仅指望手上那些旧图纸和可能已经过期的作战计划来开展行动。他们还必须掌握有关Step 7系统运行,和纳坦兹内部计算机网络拓扑结构等大量信息,以说服白宫的法律顾问,攻击不会对其他系统造成连带影响。如果他们假定目标计算机没有与外界连接,但事实却与之相反,恶意代码就有可能失去控制,传播并破坏其他机器,从而暴露作战行动。就在此时,类似火焰和毒区的侦察工具开始上线,从“运行维护网络的系统管理员”和“为PLC编写代码的承包商”那里,广泛收集将来可能用得上的数据。如果他们用了毒区,很可能是通过钓鱼攻击的手段进行传播的,就像入侵匈牙利CA时那样。这些情报侦察活动的目标,都是接入互联网的计算机,比如某个程序员的笔记本。但是,现场总线卡编号、变频器的型号和数量等配置信息,却藏在与互联网物理隔离的PLC上。
为了接触到这些数据,如果没有其他途径(内奸)的话,攻击者就必须使用U盘来“穿越”物理隔离,并将他们的侦察工具置于连接PLC的计算机上。因为,如前所述,给PLC编程的程序员通常会先在某个不与控制系统内网相连的笔记本上进行编码,之后再把笔记本带进来,接到控制系统内网中,或者把程序文件拷贝到U盘上,再把U盘带到某台内网计算机上。这是一个穿越物理隔离的简单方法。借助“内网计算机——U盘——连接互联网的笔记本”这条通道,攻击者还可以利用恶意程序,取回PLC和控制系统内网的相关信息。据报道,情报部门还在伊朗部分非联网计算机中预埋了植入物,可以把计算机上的数据通过无线电波传输出来。(待续)
译者:李云凡
