向核电专家咨询之后,朗纳信心爆棚。他先是在博客上发布了震网攻击PLC的技术路线图,然后谨慎的提出了“布什尔核电站假说”。当他给全球各大媒体提供素材,打算搞出点更大动静之时,暗夜般的沉默再次来袭。直到“纳坦兹铀浓缩厂假说”将形势逆转……
第十章 精确制导武器(接上)
代码分析部分的工作,大部分都是技术性、程序化的,包括分隔组件、解释代码、逆向工程等。但是,要找到数字代码和现实世界中的某个特定目标之间的联系,可不是什么技术活。对于目标,他们3个人提出了很多种假设,每提出一种,就回到代码中搜寻证据。同时,朗纳积极与业界的同行联络,让他们看看,能否根据这些PLC特定配置信息找到对应的设备。但是几天过去,毫无进展。最后,朗纳决定,放弃通过技术细节寻找目标的路线,换个视角,从新闻标题和其他信息源中寻找线索。经过几个通宵的上网搜索,他终于得出了“目标是布什尔核电站”的大胆结论。
朗纳对布什尔核电站的怀疑,始于他回想起去年曾在网上看到的一张照片。据称,照片来自一名记者对布什尔核电站的现场采访。照片上有个监视器,上面弹出一条消息,显示计算机上安装的西门子WinCC软件的许可证已经过期。这似乎可以证明,这家核电厂使用了西门子公司的软件。来自工业控制系统业内同行的消息证实,布什尔核电站用的是西门子S7-417型号的PLC。进一步研究表明,为布什尔核电站安装控制设备的这家俄国公司,在其他客户工厂中使用的PLC也是西门子这个牌子。其中有一家客户是保加利亚的核电站,这家核电站的控制系统很可能是以布什尔核电站为模板设计的。当朗纳得知,这家保加利亚核电站有一个受西门子PLC控制的蒸汽涡轮发动机时,头脑中立刻闪过3年前美国爱达荷国家实验室做过的极光发电机实验。那个实验的结论恰恰是:恶意代码可以摧毁涡轮发动机。
公司的会议室里坐着3个人。朗纳慷慨陈词,罗森和蒂姆则为他逻辑清晰的推理频频点头。他们很清楚,震网背后的工作量之巨超乎想象,世界上没有多少目标值得如此大动干戈。如果如朗纳所推测,震网意在破坏布什尔核电站,那这次攻击实质上就是一种战争行为。
那么,如果这是战争行为,那么如果一旦将其公诸于众,伊朗方面会做出何种反应呢?攻击方设计震网的目的,本是避免与伊朗之间爆发全面战争,但如果现在放出这条消息,将很可能引爆热战!
经过与罗森和蒂姆的讨论,朗纳发现他走对了路子。为了进一步确认伊朗核计划就是震网的目标,他给一位拥有丰富核电站方面知识的客户打了一个电话。这位客户在欧洲顶级铀浓缩设备制造商——浓缩技术公司工作。巴基斯坦的卡迪尔正是从这家公司的前身——尤兰科公司——偷走了一个早期离心机设计方案并卖给伊朗。朗纳心想,如果震网的目标不是涡轮机,也许会是布什尔核电站用来浓缩铀的离心机吧。(朗纳错误的认为,铀浓缩离心机应该在布什尔核电站。)
“我有个问题想请教你,”朗纳在电话中说,“有没有可能通过操纵控制代码破坏一台离心机呢?”
短暂的沉默过后,电话另一头传来了应答。“我不能告诉你,朗纳。这是机密。”他说,“你知道,铀浓缩离心机可不只有我们德国和荷兰在用。其他很多国家也在用。”
“我懂的,”朗纳说,“比如伊朗也在用。这正是我给你打电话的原因。因为我们正在分析震网。”
“对不起,”这位客户严肃的说,“我只能说这么多了。关于离心机的信息都是机密。”
对于朗纳而言,这样的答复已经足够。他告诉罗森和蒂姆,必须立即公布这条消息。如果布什尔真是震网的目标,自然会有人出来确认。震网和它的目标的关系就像钥匙和锁。一把钥匙只能打开一把锁。那么,如果他们公布了钥匙的设计细节(针对铀浓缩离心机),扮演锁角色的工厂一定会看看,这把钥匙是不是冲着自己来的。
2010年9月13日,在赛门铁克发布“震网意图是攻击PLC而非窃密”的公告之后不到1个月,朗纳在博客上以“本世纪最大的黑客攻击”为题目,发布了一条简短的内容。其中,他断言震网的目的是“直接攻击安装某一特定工业控制系统的设施”,但没有进一步言明。3天后,他在跟帖中进一步指出,“根据我们目前掌握的证据,震网利用机密级的内幕知识,发动了一次意在直接破坏设备的攻击。我认为,有必要让大家知道这个事实。”
紧跟着,是一张震网攻击PLC的技术路线图,详细描述了震网拦截西门子PLC命令并注入恶意代码的每个步骤。“这可不是哪个少年黑客呆在家里就能做出来的,”朗纳写道。攻击者一定是那些具有国家背景、经验老道、且掌握了目标系统特定知识的人。他大致描述了恶意代码通过注入PLC对某些未知关键进程进行操控的过程,之后非常谨慎的抛出了他的“假说”——震网的攻击目标是:布什尔核电站。他宣称,虽然还有一些事情没弄清楚,但代码中的有效证据将足以指证震网攻击的目标,并可能最终指证出攻击者的身份。
短短几句话,揭开了蒙在震网攻击方脸上的面纱。至此,凭借一家白俄罗斯小公司,几名完全搞不懂PLC是什么的加州研究员,和一个大言不惭的德国佬及其团队的努力,仅仅几个月时间,这个耗时数年、可能耗资数百万美元、顶尖专家规划并设计的网络武器,就被彻底曝光并破解了。
这时,朗纳开始考虑钱哥在发布公告后面临的那个问题——攻击方会作何反应?真正目标一旦曝光,震网就会立刻变成废物。想必攻击方肯定会考虑到这一点,并能清醒的认识到,要完成任务,必须利用好“从被发现到被彻底破解”的这一段机会窗口。那么,事到如今,攻击者是否已经完成了最后一步的工作、实现了对目标的“致命一击”呢?朗纳认为,答案是肯定的。“我们将看到,马上会有大事发生。”他在博客中写道,“爆炸性的大事。”最后,他单独发了这样一条跟帖:“欢迎来到网络战时代。”
同时贴在网上的,还有一张名为“震网克星”的照片。照片以办公室白板为背景,朗纳身穿一件笔挺的白衬衣和没扣纽扣的西装背心,罗森和蒂姆在他身后。蒂姆戴着一副黑色墨镜、微微颔首,3个人那是相当的得(装)意(逼)。
朗纳团队
发博后,朗纳同时向多家顶级媒体提交了新闻稿,期待着爆炸性的头条新闻。结果让他十分沮丧——根本没人理他。赛门铁克先前发公告后“鸦雀无声”的情景,再次出现。朗纳那时想,“看来,所有人都认为我疯了。”
不过,至少有一个明白人,这个人就是德国安全公司GSMK首席技术官弗兰克•里格尔(Frank Rieger)。他看过朗纳关于“震网目标可能是伊朗核计划”的推测后,深有同感。但是,他怀疑,目标不是布什尔核电站,而是几百英里以北的纳坦兹。因为布什尔核电站至今尚未开始运行,而纳坦兹铀浓缩厂2007年就开工了。而且,纳坦兹有数千台高速旋转的离心机,对那些希望通过网络攻击来破坏伊朗核计划的人来说,这才是最棒的目标。里格尔把他的想法通过博客发布出来,并在一家德国报纸上发表了一篇文章。在这两条信息中,他都援引了路透社在2009年震网首次上线前后发布的一则报道。这则报道称“以色列推出了一个针对伊朗核计划的十年期网络战项目”,报道中还提到,来自美国的一个匿名人士推测,(以色列)可能使用“恶意软件”来破坏或接管铀浓缩工厂的控制系统。
德国安全公司GSMK首席技术官弗兰克•里格尔
此外,之所以怀疑纳坦兹,还有另外一个原因。震网首个版本上线3周后的2009年7月16日,维基解密创始人朱利安•阿桑奇(Julian Assange)在网站上发布了一条神秘的消息,称纳坦兹可能有事发生。与伊朗核计划有关的一位匿名人士告诉阿桑奇,纳坦兹近期发生了“危重”的涉核事故。一般来说,维基解密只在网站上发布正式文件,不会随便发布来自匿名信息源的消息,但这一次阿桑奇亲手打破了这个规则。他说,他有理由相信那个人说的是真话。并且,他在消息中还附上了一条当天发布的BBC新闻,称伊朗原子能机构负责人阿扎加德,已于20天之前由于不明原因离职。从时间节点上看,这几件事与2009年震网首个版本上线之间似乎存在着某种联系。
维基解密创始人朱利安•阿桑奇
不论阿扎加德的离职是否与纳坦兹事故有关,里格尔的“纳坦兹假说”切切实实地引起了公众对震网事件的注意。此前一直对震网持忽略态度的美国主流媒体,采信了里格尔的推测,开始对相关事态进行报道。十多年来,各方对于延缓纳坦兹铀浓缩进程的持续角力,使纳坦兹始终处于地缘政治紧张局势的焦点。现在,舞台上又出现了一个前所未有的数字武器。突然之间,之前那个仅知名度仅限于科技界之内、干巴巴的技术神话,摇身一变成了一个有着神秘光环的地下间谍游戏。杂糅着政治、核设施、阴谋、高风险等元素的震网,成为公众津津乐道、并愿意口口相传的流行话题。(待续)
译者:李云凡
