震網(wǎng)病毒的秘密:伊朗核設(shè)施是如何給攻陷的?

　　(1)它是如何攻擊位于Natanz的伊朗核設(shè)施的？

　　(2)它是如何隱藏自己的？

　　(3)它是如何違背開發(fā)者的期望并擴(kuò)散到Natanz之外的？但是這些分析的主要內(nèi)容要么是錯(cuò)誤的要么是不完整的。

　　因?yàn)�，震網(wǎng)病毒并不是一個(gè)而是一對(duì)。大家的注意力全都關(guān)注著震網(wǎng)病毒的“簡(jiǎn)單功能”，即該功能用來改變鈾濃縮的離心機(jī)轉(zhuǎn)速，而另外一個(gè)被忽視的功能是卻是更加的復(fù)雜和隱秘的。這一“復(fù)雜功能”對(duì)于了解ICS(IndustrialControlSystem的簡(jiǎn)稱)信息安全的人來說簡(jiǎn)直是夢(mèng)魘，奇怪的是“復(fù)雜功能”竟然先于“簡(jiǎn)單功能”出現(xiàn)。“簡(jiǎn)單功能”在幾年后才出現(xiàn)，不久即被發(fā)現(xiàn)。

　　隨著伊朗的核計(jì)劃成為世界輿論的中心，這有利于我們更清晰的了解通過程序來嘗試破壞其核計(jì)劃。震網(wǎng)病毒對(duì)于伊朗核計(jì)劃的真實(shí)影響并不確定，因?yàn)榈降子卸嗌倏刂破髡嬲�的被感染，并不清楚，沒有這方面的消息。但是不管怎樣，通過深入的分析我們可以知道攻擊者的意圖、以及如何實(shí)現(xiàn)意圖。我在過去的三年里對(duì)震網(wǎng)病毒進(jìn)行分析，不但分析其計(jì)算機(jī)代碼，還有被攻擊工廠中采用的硬件設(shè)備以及核工廠的操作流程。我的發(fā)現(xiàn)如下全景圖所示，它包含震網(wǎng)病毒的第一個(gè)不為人知的變種(“復(fù)雜功能”)，這一變種需要我們重新評(píng)估其攻擊。事實(shí)上這一變種要比公眾所認(rèn)知的網(wǎng)絡(luò)武器危險(xiǎn)的多。

　　2007年有人在計(jì)算機(jī)信息安全網(wǎng)站VirusTotal上提交了一段代碼，后來被證實(shí)是震網(wǎng)病毒的第一個(gè)變種(“復(fù)雜功能”)，至少是我們已知的第一個(gè)。對(duì)于第一個(gè)震網(wǎng)病毒變種，在五年后(2012)大家基于震網(wǎng)病毒的第二個(gè)變種(“簡(jiǎn)單功能”)的了解基礎(chǔ)上，才意識(shí)到這是震網(wǎng)病毒。如果沒有后來的“簡(jiǎn)單功能”版本，老的震網(wǎng)病毒(“復(fù)雜功能”)可能至今沉睡在反病毒研究者的檔案中，并且不會(huì)被認(rèn)定為歷史上最具攻擊性的病毒之一。

　　今天，我們已經(jīng)知道，擁有“復(fù)雜功能”的震網(wǎng)病毒包含一個(gè)payload，該payload可以嚴(yán)重的干擾位于Natanz的鈾濃縮工廠中的離心機(jī)保護(hù)系統(tǒng)。

　　后來的震網(wǎng)病毒，被大家熟知的那個(gè)“簡(jiǎn)單功能”版，控制離心機(jī)的轉(zhuǎn)速，通過提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。老版本的震網(wǎng)病毒(“復(fù)雜功能”)其Payload采用了不同的策略，它用來破壞用于保護(hù)離心機(jī)的Safe系統(tǒng)。