独家连载 | 零日漏洞:震网病毒全揭秘(25)
作者:星期一, 十月 19, 20150

640.webp

如果,钱哥他们猜测之事为真,那么震网对伊朗的攻击,完全可以称得上史上第一次网络战争……

第八章 载荷(接上)

长久以来,业内都流传着一个未被证实的故事。这个故事似乎一直在暗示,早晚会有类似的事情发生。故事是这样的:1982年,美国中情局设法在控制俄罗斯天然气管道的软件中,植入了一个逻辑炸弹。代码一旦被触发,将导致管道中的阀门失灵。最后的结果是,这个恶意代码引发了一场可以从太空上观测到的剧烈爆炸。

钱哥回到卡尔弗城后,一直在思考一个问题:在伊朗,会不会有一些可能与震网有关的、原因不明的爆炸事件呢? 他查了查相关新闻报道,不禁倒吸一口凉气。他发现,最近几周真的有好几起莫名其妙的爆炸。7月底,一条伊朗向土耳其方向输送天然气的管道发生了爆炸,爆炸地点位于距伊土边境仅数英里的土耳其多乌巴亚泽特(Dogubayazit)城外。爆炸震碎了附近建筑的窗户,大火持续了几个小时才被扑灭。

另一起爆炸发生在伊朗西北部的大不里士(Tabriz)城外,爆炸的是另一条长达1600英里、从伊朗通往土耳其首都安卡拉的天然气管道。第三起爆炸发生在波斯湾哈尔克(Kharg)岛上,大火和冲击波席卷了这家国营石化厂,造成了4人死亡。几周后,位于阿萨鲁耶的帕迪斯(Pardis)石化厂再次爆炸,5人死亡、3人受伤。而且,这次爆炸发生与伊朗总统内贾德来此参观仅一周之隔。

这么多起爆炸,必定其来有自。库尔德叛军宣称对多乌巴亚泽特和大不里士的两起爆炸负责。伊朗国家通讯社(IRNA)将哈尔克岛大火归咎于石化厂中央锅炉产生的过高压力。帕迪斯石化厂爆炸的起因,则是工人在焊接管道时点燃了泄露的乙烷气。那么,这些爆炸中,会不会有那么一两起是震网引起的呢?钱哥想啊,想。

短短几周前,他们开始解构震网时,谁曾料到会有今天的大场面?如果,钱哥他们猜测之事为真,那么震网对伊朗的攻击,完全可以称得上史上第一次网络战争。

钱莫法3人组召开电话会议,讨论下一步该怎么办。直到现在,他们也还不能准确的说出,震网注入PLC的代码到底具有什么功能,更不清楚受PLC控制的目标到底是什么。但是,他们认为,必须将当前的研究结果发布出来。于是,2010年8月17日,他们公开发布了一条新闻,称:震网并不是什么间谍工具,而是专门用来实施物理破坏的数字武器。法里尔用他一贯低调的语气写道,“以前,我们曾报道过,震网盗取了数字证书并运用经典的后门技术把自己藏起来。现在来看,它的所作所为远远不止于此。”

为了揭示震网的破坏能力,他们引用了1982年西伯利亚天然气管道爆炸的例子。新闻发布前,公司要求公共关系团队对文章的用词和可能引发的反应进行了反复审阅,确认没有任何瑕疵后方准予发布,同时保留了关于“网络攻击导致物理破坏”的核心内容。文章一发出,他们就开始紧紧的盯着各大媒体,看业内是何反应。出乎他们意料的是,没有任何情绪化和戏剧化的反应出现。用钱哥的话来说,“只有安静,连掉根针的声音都听得见。”

钱哥觉得这太不正常了。毕竟,他们讨论的可是史无前例的大事件啊。他们原以为,赛门铁克发布研究成果之后,肯定会有其他研究者跟着发布自己的研究成果。这才是恶意代码分析行业的正常工作模式。每当人们发现新的恶意代码,分属于不同公司的研究团队就会展开一场破解代码的竞赛,看谁能先把结果发布出来。一旦有一个团队发布结果,其他人就会很快跟上,发布自己的研究结果。如果多个团队得到的结果是相同的,那么,他们彼此的工作将成为某种意义上的“同行评议”,从而验证结果的正确性。然而,业界对震网研究结果不同寻常的沉默,实在是令人困惑。钱哥心想,难道只有我们一家在检测载荷部分代码吗?难道就没有其他人关心这事吗?

过了一会,他开始怀疑,他们在震网上花了这么多时间,到底值不值得。会不会有某个显而易见的问题,别人都看出来了、而只有他们几个还蒙在鼓里?回顾过去几周的所有发现后,钱哥斩钉截铁的确定,他们没有犯错,震网的重要性不容置疑,震网的攻击意图昭然若揭。

至于是否继续研究的问题,如果说之前的研究是为了对客户有个交待,现在他们已经没有什么需要回答的疑惑了。他们已经向世人宣告,震网是一个以造成物理破坏为目的的恶意程序。但是,他们没能找出,震网的目标到底是什么。在公布震网具有破坏意图之后,他们又开始担心,攻击者会不会突然感觉压力山大,并加速对目标实施破坏。如果是这样的话,那还不如不公布的好。

显然,担心事情会越闹越大的,并非只有他们一家。一直以来,从遭震网感染计算机发往槽洞的数据流量都比较稳定,但就在新闻发布5天之后,流量突然消失。看来,一定是伊朗内部有人看到了他们发布的消息。为了防止攻击者或其他人继续通过远程方式感染计算机并造成损害,伊朗方面终于下令,切断了国内所有染毒计算机与指挥控制服务器之间的连接。(待续)

译者:李云凡

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!