在艰难的熬过了金融危机的冲击后,中国制造工业上千家工厂正遭遇一种新的隐蔽威胁。一种名叫“Stuxnet”的超级计算机病毒,开始控制被感染的工厂,并造成生产事故或停工,专家表示,病毒的大规模爆发可能影响中国经济复苏前景。
该病毒专门攻击工业系统中采用西门子公司生产的SIMATIC WinCC监控与数据采集 (SCADA) 系统的设备,病毒目前通过极其隐蔽的技术手法快速传播,同时对感染的工业设备进行重编程,夺取控制权后实现对工业生产关键设备的自毁或破坏。
据瑞星这家中国计算机安全公司透露,“Stuxnet”是全球首个能攻击现实世界的病毒。中国大陆目前已经有上千家中国工厂以及一些大型工业行业的龙头企 业已经遭受攻击破坏,但它拒绝透露客户名单。由于中国制造工业广泛采用西门子公司的控制软件系统,因此潜在威胁难以估计。
一位要求隐去姓名的专家表示,根据“Stuxnet”的行为研究发现,其有别于过去的计算机病毒,原因在于,过去的病毒只用于窃取资料或者破坏数据,而“Stuxnet”有着极其严格的攻击目标和行为准则,可能是带有某种政治意图的超级武器。
Stuxnet秘密身世——天生的工业杀手
最早遭受“Stuxnet”攻击并大规模爆发的地区是伊朗。
一份“Stuxnet”病毒感染量统计数据显示,伊朗是“Stuxnet”突然爆发并遭受攻击数量最早最多的国家,由于伊朗是一个相对封闭的国家,对全球的互联网接入有非常严格的措施,数据在统计意义上来说有显著意义证明该病毒的传播性是精心策划的,显然“Stuxnet”在伊朗的发作是有备而来的,它绕过了数层物理安全防范。
Stuxnet病毒感染量统计数据
伊朗工业部门的信息技术官员马哈茂德•阿勒阿伊曾对伊朗媒体表示,隶属伊朗工业部门的3万台电脑已经被该病毒感染,病毒将许多伊朗工业系统的机密数据传至国外。阿勒阿伊称,这是一场针对伊朗的网络战。
“Stuxnet”这种超级病毒,不仅造成伊朗全国6成以上个人电脑感染了这种病毒,更可能是导致了伊朗核电站推迟发电计划的元凶。
一位工业计算机专家表示,“Stuxnet”的编写者非常精通工业控制过程并予以手术刀式的攻击,从而使得系统自行损坏,这是一般计算机病毒编写者所难以企及的,这表明Stuxnet显然有能力毁灭伊朗制造核能力的关键工业设备。
伊朗布什尔核电站位于伊朗南部港口城市布什尔附近,设计装机容量1000兆瓦。核电站建设项目始于上世纪70年代,在1979年伊朗爆发伊斯兰革命后中断运作。1996年2月,布什尔核电站在俄罗斯的帮助下开始复建。2009年2月底,核电站进入测试运行阶段。
虽然,伊朗核电站的项目经理默罕默德•贾法里此前表示,核电站的主要系统没有受到该病毒影响,只是一些核电站工作人员的个人电脑感染了病毒。但此说法受到广泛怀疑。
德国GSMK公司首席科技官则透露了一份数据,数据显示Stuxnet病毒大约在2009年1月左右大规模感染伊朗国内相关计算机系统,他推测 Stuxnet目标对位于伊朗纳坦兹的铀浓缩工厂以及相关设施发起攻击是大概率事件。而据“维基解密”网站爆料,2009年7月伊朗的纳坦兹铀浓缩工厂曾 发生“严重”核事故,不明技术原因使得伊朗浓缩铀产量离奇下跌。
事件之后,这个由俄罗斯兴建的核电站在今年也突然未能如期运作,原计划2010年8月核电站反应堆计划开始装载核燃料,10月正式发电。令人意外的是,伊 朗当局当时对外宣布由于“酷热天气”原因,核电厂需要押后全面运作。相关专家认为,核电厂显然是因突发性技术问题而延误运作。
以色列记者罗纳•伯格曼曾撰写《与伊朗的秘密战争》一书。伯格曼在书中透露,如果不是美国和以色列方面早已发动了旨在迟滞伊朗核项目的“秘密战争”,否则伊朗的核武研发项目早已实现了突破。
书中列举,以色列曾通过欧洲公司向伊朗出售一些工业变电器,通过某种操控该设备能在瞬间产生数万伏高压电。而在过去几年中,伊朗多处核设施发生供电事故。而以色列新闻网站Ynetnews.com去年曾引述以色列前内阁成员称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。
这些事件的揭露和行为最后将“Stuxnet”真正推向了前台。
Stuxnet拥有手术刀式的精确打击能力Stuxnet病毒的传播和破坏性特征与普通病毒有较大差异。与目前大多数利用互联网传播的病毒不同:Stuxnet主要通过U盘和局域网进行传播,而专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行自毁性破坏。
它通过对软件重新编程实施攻击,给机器编一个新程序或输入潜伏极大风险的指令。专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。
西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统被用来进行钢铁、电力、能源、化工、通信、机场等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行各种异常,造成商业资料失窃、停工停产等严重事故。
由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,专家表示,病毒开发者特意强化了病毒的U盘、局域网的隐藏传播能力。
该病毒通过伪装RealTek与JMicron两大公司的数字签名能够绕过普通的安全产品监测,利用包括MS10-046、MS10-061、MS08-067等5个最新漏洞进行传播,并利用2个是针对西门子SIMATIC WinCC系统漏洞进行攻击。
企业如果没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。美国国家网络安全与通讯整合中心主管迈格克指 出,在受感染的系统里面Stuxnet一旦找到西门子WinCC装置,就能接管西门子设施的关键操作系统,并在十分之一秒里“控制”设备的操作,这显示了 一种“预谋”。