独家连载 | 零日漏洞:震网病毒全揭秘(36)
作者:星期一, 十一月 2, 20150

640.webp

不受待见多年的朗纳,终于在好基友韦斯的地盘上为自己讨回了满满的尊严。但当舆论风暴退去,却有更多疑问萦绕在朗纳心头。真凶到底是谁?他们不怕别人用类似手段发起报复吗?震网究竟是怎样破坏核设施的?到底破坏了什么?……

第十章 精确制导武器(接上)

朗纳首次发博之后,立即跟美国的乔•韦斯取得了联系,就朗纳团队的发现进行讨论。在工业控制系统安全业内,朗纳和韦斯都属于那种不太受人待见的“炮筒子”,彼此间却惺惺相惜。他们在“劝说工业控制系统业主必须重视安全漏洞”的阵线上已经并肩战斗了多年。业内人士一提到这俩人的名字就摇头,同时却对他们锲而不舍的劲头暗自钦佩。彼时,韦斯即将在马里兰州召开一场研讨会,并安排朗纳就另一个主题发言。朗纳问韦斯,是否可以把主题换成震网。韦斯幽默的答道:“我是说可以还是说可以呢。”

朗纳将于下周飞往美国参加这个研讨会。他美滋滋的想,自己发表演讲时,会场内一定会哗然一片。就在此时,西门子公司和美国国土安全部分别就震网发表了一份声明,但没有任何实质性内容。看到这里,朗纳立即在博客上宣布,将在研讨会上公布团队研究成果的全部细节。如此一来,与会听众们的胃口都被吊了起来。

韦斯给朗纳安排的演讲时间是45分钟,但实际上朗纳讲了一个半小时。不过,没有任何人觉得枯燥。来自水利、化工、电力行业的100多名与会者一字不漏的听着朗纳的发言。韦斯回忆起当时的场景说:“他演讲时,在座的每个人一边凝神静听,一边张大嘴巴。”朗纳真是科技界的奇才,他就像个经验丰富而魅力四射的演说家一样,能把干巴巴的技术细节讲出花儿来。当然,他可不是来开嘉年华的,他是来震慑人心的。渐渐的,这些工业控制系统的业主们终于明白,如果明天有人发起一场针对PLC的大范围攻击,他们所有人只能坐以待毙,连探测都探测不到,更别提做出反应了。如果说一台装Windows系统的台式机或笔记本遭到攻击,还有办法发现,然而,当有人用类似震网这种“黑科技”感染PLC时,任何人都无计可施。根本没有针对PLC的反病毒软件,也没有任何方法可以在PLC受到类似震网的感染时发出警报。探测攻击的唯一途径,就是在病毒利用Windows系统作跳板、抵达PLC时将其发现。可是,震网让Windows上的防护措施成了一个笑话,传统的反病毒软件全成了摆设。现场操作人员更是无能为力。

朗纳预计,第一个跟风模仿攻击将会在6个月之后出现。他警告听众说,这些攻击可能会改头换面,不像震网那么复杂,因为根本没必要。只有像纳坦兹那样的高价值目标才需要攻击者冒这么大风险,震网的攻击者如果愿意,可以干掉任何有漏洞的关键基础设施。只有震网的攻击者才会小心翼翼,避免非目标计算机不会受到影响,而其他攻击者恐怕不会费劲去走这个钢丝。下决心通过攻击工业控制系统来干掉某个发电厂的犯罪分子,根本不会在乎,病毒是否对发电厂的其他设备造成破坏,也不会在乎,病毒是否会感染其他控制系统。

研讨会结束后的这个周末,朗纳来到了华盛顿特区,向前任美国国家网络安全协调官梅丽莎•哈撒韦(Melissa Hathaway)通报了他的研究成果。哈撒韦立即意识到:美国乃至全球范围内所有关键基础设施正面临潜在的网络攻击威胁。她在事后接受纽约时报采访时说,全世界没有任何一个国家做好了迎接这种威胁的准备。“(跟风模仿者发起的)下一场攻击到来之前,我们只有90天时间。”

就在这个周末,伊朗官员首次透露,布什尔核电站的计算机确实遭到了震网的攻击。奇怪的是,他们并没有提到纳坦兹。而且,对布什尔核电站攻击的细节,让人开始怀疑:震网的载荷到底有没有成功侵入呢?布什尔核电站的项目经理马哈茂德·贾法里(Mahmoud Jafari)告诉记者,只有部分员工的办公计算机遭到了攻击,生产网络安然无恙。“核电站中的所有计算机程序运行正常,并未受到震网的破坏。”伊朗电信部长雷萨•塔吉普(Reza Taghipour)也称蠕虫“可能包含”恶意代码,但其感染并未造成显著影响。因为震网只有在条件完全吻合时才会释放载荷,所以报道中出现破坏有限的内容并不奇怪。但是,单从报道来看,震网似乎只是感染了布什尔核电站的PC,而没有实现将其载荷注入PLC的目标。

然而,在伊朗发布的报道中,有一个引人注目的细节。贾法里在接受采访时说,伊朗共发现了震网的5个不同版本。而赛门铁克和其他安全公司却只发现了3个。

是贾法里搞错了吗?不管怎么说,听到震网可能还有两个未知版本的消息,各方都很兴奋。如果这两个版本确实存在,那么其中很可能会有关于震网及攻击者的更多线索。不幸的是,由于伊朗官员不愿将震网代码拷贝给外国人,西方各国的研究员无法一睹其真容。

朗纳这边,在参加韦斯的研讨会、会见哈撒韦之后,他需要冷静一下,对过去几周中所发生的这一切进行反思。于是,他步踱到美国国家广场,在林肯纪念碑的台阶上,盯着来来往往观光拍照的游客,一坐就是几个钟头。他回想起美国国土安全部ICS-CERT和西门子公司发布的报告。难道他们不知道震网对PLC“阶梯逻辑”的攻击有多可怕吗?难道他们不知道跟风模仿者的攻击将给关键基础设施带来巨大风险吗?为什么他们对此只字未提?为什么公众和美国国会对震网的出现表现出匪夷所思的沉默?难道他们不在乎,震网打开了“合法使用网络武器解决国际政治争端”的潘多拉魔盒吗?难道他们不忧虑,震网即将带来一场不可遏制的军备竞赛吗?朗纳想,看来,大家都不愿意公开讨论这些问题,因为公开讨论会引发公众对幕后真凶的无尽好奇与探寻。

朗纳决定,就算全世界都不吭声,他也要做那个“吃螃蟹的”。所以,他一回到德国,就把在韦斯研讨会公开演讲上“留了一手”的技术细节发上了博客。博文上线后,立即引来了包括美国政府和军方在内的众多访问者。这正是朗纳希望看到的。震网的重要意义已取得广泛共识,因此其他安全公司会在朗纳团队研究成果的基础上,继续前行。虽然他们已经掌握了关于震网的很多信息,但仍然有诸多未知数,故而仍然有诸多工作要做。比如说,他们只是发现震网的目标是破坏某一处像纳坦兹那样的核设施,但究竟怎么破坏、破坏的效果是什么?要回答这些问题,还得回到分析代码的路子上。

接下来的3周,为弥补研究震网期间的收入,朗纳他们回到了做单赚钱的正常轨道上。但是,看到赛门铁克和其他安全公司没有一点动静,朗纳决定,再次停下公司的业务,重新捡起震网的活计。

“兄弟们,”他对罗森和蒂姆说,“震网的事,我们得亲手干到底。”(待续)

译者:李云凡

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!