独家连载 | 零日漏洞:震网病毒全揭秘(37)
作者:星期二, 十一月 3, 20150

640.webp

美国官方不知道震网的细节?朗纳太天真了。国土安全部的NCCIC知道的比谁都早,只是没有公开罢了。白宫、参议院、国防部高官甚至NSA的亚历山大,排队约NCCIC研讨震网问题,却始终对“谁是真凶”这个问题避而不谈……

第十章 精确制导武器(接上)

朗纳以为,美国政府并未在意震网,而且也不知晓它的技术细节。但实际上,美国政府中有人一直在关注此事,只是没有公开而已。7月,白俄罗斯公司关于震网的第一份公告发出后,国土安全部的研究员们就已经在几天之内,完成了对震网的大部分分析和破解工作,并先于赛门铁克和朗纳得出了震网意在破坏PLC的结论。

2010年7月15日早上,就在全球安全业界首次看到震网横空出世的同时,美国国土安全部位于弗吉尼亚州阿灵顿的国家网络安全与通信集成中心(NCCIC)也注意到了这个代码规模庞大的蠕虫。之后,西门子公司向德国国家计算机应急响应团队报告,震网中的恶意代码意在攻击西门子PLC。这份报告又辗转来到了美国。

NCCIC,一般被念作N-Kick,是一家以监视、控制、协调响应面向关键基础设施和国内政府设施的攻击为使命,而刚刚成立9个月的新机构。具有讽刺意味的是,收到来自德国的报告时,中心主任肖恩•麦格克(Sean McGurk)正在为即将举办的“网络风暴III”演习做准备。这个系列的演习每2年举办一次,核心内容是模拟对美国关键基础设施发动网络攻击。今年的演习,将是对全天候监控中心应急协同能力的首次真正检验。但是,与震网带来的真实威胁相比,筹备演习的工作顿时变得不那么重要了。

640.webp (34)

NCCIC中心主任肖恩•麦格克

没装窗户的监控厅,是个“绝密特务机构”(three-letter agencies)。坐在里面的,有中情局和国安局的情报分析员,有联邦调查局和其他秘密机构的执法人员,还有来自国家互联网应急响应团队和关键基础设施应急响应团队的计算机安全专家。当然,也少不了来自几家最大电信公司和关键基础设施运营商的联络员。

麦格克把震网的副本交给了爱达荷州的ICS-CERT实验室,在那里,研究人员得出了“震网恶意代码只会感染特定型号PLC”的结论。两年前,实验室在“国家SCADA测试平台”项目中,就曾评估过震网攻击的Step 7软件的脆弱性,不过当时用来做实验的PLC已经还给西门子了。现在,他们得重新找西门子要一个PLC,才能对震网做进一步的分析。足足3周后,PLC终于在西门子工程师组团押运之下,来到了爱达荷。

与此同时,爱达荷实验室的研究员也没闲着。他们一边对载荷部分代码进行逆向工程,一边让弗吉尼亚州监控厅的同事们破解导弹部分,通力制作用于标示震网各函数关系的流程图。麦格克说,仅两天时间,他们就区分出其中的4000多个函数(函数数量远超大多数商用软件),还发现了赛门铁克和卡巴斯基后来挖到的全部4个零日漏洞。

7月20日,ICS-CERT对工业控制系统业主发出通知,称发现以西门子Step 7软件为攻击目标的恶意代码。但公告中并未提及运作细节,只是说“尚未掌握恶意代码的全部功能和真实意图。”稍后发布的公告中,提到了震网使用的零日漏洞的相关信息,以及如何检测并杀灭恶意代码的方法,但并没有言明攻击的目的,更没有提到它所具有的破坏性。麦格克说,政府部门的职责是帮助关键基础设施业主发现并去除震网病毒,而非告知恶意代码的分析结论。

代码分析任务完成几天后,麦格克召开了一场由几家政府机构和私营业主代表参加的电话会议,通报了中心的发现。在他们以往的讨论中,偶尔会出现贬低漏洞重要性、及声称恶意代码“没什么大不了”之类的言论。有时候,持此论调的是政府官员,有时候则是关键基础设施业主和运营商,还有时候是控制系统供应商。但是,当麦格克抛出震网这枚炸弹的技术细节时,电话中鸦雀无声。“情况超出了所有人的预想。”他回忆道。

奇怪的是,自此之后,不论是电话会议还是监控厅,再也没听到任何关于震网的消息。麦格克说,震网刚出现时,监控厅中各家情报机构的分析员们,纷纷跑到本单位机密数据库中搜索与之相关的线索,却一无所获。而且,监控厅中的人们都在暗忖:“这事是美国干的吗?”但没有一个人敢把它说出来。外人可能会想,为什么没人去私下问问同处一室(监控厅)的中情局或国安局情报分析员,“哎,是不是你们搞的?”麦格克的答复是,中心的职责,是评估恶意代码的功能特点,并告诉国人如何加以防范应对,而不是对攻击进行归因。因此,在监控厅这么严肃的工作氛围中,就算有人想八卦,也不会真的问出来。

“谁也不会一看到恶意代码,就觉得它是自己人干的。谁也不会认为躲在病毒之后的那个狙击手就是自家兄弟。”他说,“当然,也许会有这种可能性……但是,在病毒刚出现那个阶段的紧张氛围中,谁也不会想太多,谁也不会把它(攻击来自美国)当成默认判断。”

很快,华盛顿方面对震网兴趣大增。接下来的几个月,麦格克不停的忙于向各部门的大佬们汇报情况。听他汇报的领导有:国土安全部部长珍妮特·纳波利塔诺(Janet Napolitano)、约翰·布伦南(John Brennan)及其他白宫国家安全事务团队成员、参议院和白宫情报委员会、国防部以及国防部情报局的官员。他甚至亲赴米德堡,向国家安全局局长、网络战司令部司令基思•亚历山大进行了汇报。而业界普遍怀疑,亚历山大,正是震网的幕后操盘者。

在米德堡,来自军方、政府和情报界的一众高官,认真听取了麦格克关于团队研究成果的汇报,但仍然没有人就“美国在其中扮演何种角色”发问。他们问麦格克,震网会不会对美国的工业控制系统进行攻击,暴露于震网攻击之下的美国工业控制系统有多大规模。他们还好奇的问麦格克,能否判断出震网的真正目标是哪里。最后的问题是,病毒代码中有没有跟攻击者是谁有关的信息。对于这个问题,麦格克回答说,与知名黑客团队或国家背景间谍的通常做法不同,震网并没有在代码中留下与攻击者身份有关的线索。

麦格克认为,不论是在秘密汇报中,还是国会作证时,没有一个人问过他“你认为是美国干的吗?”这个问题。“我觉得,就算是开玩笑,也不会有人在正式汇报场合说出‘你认为是美国干的吗’这样的话。因为,这不符合汇报和作证词的程序和风格。我知道,怀疑和推测四处流传,但在我所接触的这个层面,流言没有市场。”

此外,也没有任何人暗示麦格克,让他下令他的团队远离震网。“没人告诉我,嘿,停下来,不要分析震网的代码了。”他说,“相反,在破解震网的工作中,我们得到了各个部门的通力合作……这些协作,既帮我们提高了代码分析的效率,又帮各方加深了对震网会造成何种威胁的理解。”

然而,纵然华盛顿的官员们始终没有公开讨论这个显而易见的问题,业界专家和观察人士还是笃定的认为,要么美国,要么再加上以色列,就是震网攻击的发起方。在他们看来,攻击背后的真相浮出水面,只是时间问题。

如此,朗纳对于“震网是针对伊朗核计划的精确制导武器”的论断,必将令白宫和五角大楼方面惊慌失措、痛心不已。因为,一个精心策划并尽在掌控的惊天大密划,在顺利实施多年之后,正被人一步一步的抽丝剥茧,暴露在世人面前。(待续)

译者:李云凡

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!