Stuxnet:零時差漏洞的受害者

就在一年前,有關Stuxnet病毒的新聞一度佔據各大媒體的頭版頭條位置,也讓資訊安全管理者們感到有些不寒而慄。到底是誰創造了Stuxnet病毒,創造這一病毒的原因又是什麼,到現在依然是個謎。然而,有傳言來自美國和以色列的情報機關想利用這一病毒對伊朗核計畫實施破壞活動。這消息可信度相當高,因為該惡意軟體的確有能力讓uranium enrichment centrifuge(鈾238氣體離心儀)無法正常工作,從而讓伊朗核計畫推延數年時間。 Stuxnet的創造者成功地對未連線到網際網路且受保護的設備實進行攻擊,並進行大規模的破壞活動。正如許多專家所監控到的,該病毒隨即失控並開始主動地進行自我散播。而由於一開始就將特定類型的工業系統作為攻擊目標,因此至少從表面上並未對家庭和企業的電腦造成危害。 零時差漏洞受害者 Kim Zetter是一名美國新聞記者,她于11月11日出版了一本名為《Countdown to Zero Day》的書。從該書中,我們得以有機會向廣大公眾介紹一些有關Stuxnet鮮為人知的真相。我們將不會花費過多篇幅介紹該病毒的早期活動,而將更多注意力放在該病毒的反覆運算,正是該病毒導致2009-2010年期間轟動一時的大規模病毒感染事件。 我們能夠很容易重現這一事件的前後始末,而這正是來自於該惡意軟體的一個行為:即自動保存所有曾感染過的電腦歷史記錄,包括:主機名稱、功能變數名稱以及IP位址。儘管這些資料不斷更新,但我們依然能夠追蹤到其最初的記錄。 區域A Stuxnet 2009(被稱為Stuxnet.a)於2009年6月22日首次出現。在編譯後的數個小時內,該惡意軟體感染了名為”ISIE”的主機。網路犯罪分子不太可能使用移動存放裝置,因為這樣就不能在如此短的時間在特定設施內傳播病毒。 由於缺少這方面的資料,我們無法正式確定這些受感染公司的名字。然而,我們非常肯定Foolad Technic Engineering Co(FIECO) 一家伊朗專門為重工業公司生產自動化系統的生產製造商也列位其中。 除了能對鈾238氣體離心儀造成影響外,Stuxne還內含間諜元件,而FIECO正是其創造者的完美攻擊目標。他們很可能將該公司作為連接最終目標的某種捷徑,同時也是收集伊朗礦產資料以及核工業資訊的目標–2010年該公司再次遭受Stuxnet第三的攻擊。 區域B 第二家受害公司總共遭受了三次攻擊:2009年6月一次,其後兩次分別發生在2010年3月和5月。其中第二次攻擊直接導致Stuxnet 2010(即Stuxnet.b)在全球範圍的爆發。”behpajooh”區域讓我們立即想到了Behpajooh Co. Elec & Comp. Engineering這家公司。該家公司同樣涉及工業自動化領域且與許多公司有所聯繫。 在2006年,據《海灣時報》(Khaleej Times)報導,一份迪拜的報紙撰寫了本國阿聯酋的一家公司涉嫌參與將一些原子彈部件非法裝運至伊朗,而接收方則是伊朗Isfakhana的”Bejpajooh INC”公司。 由伊朗的一家冶金廠:Mobarakeh Steel Company(MSC)所擁有。該工廠安裝了大量PC電腦,且與全球許多公司相連接。由於還能連接到兵工廠,Stuxnet病毒得以在全球範圍傳播:至2010年夏天截止,該蠕蟲病毒傳播範圍擴大到位於俄羅斯和白俄羅斯的一些公司。 區域C、D和E 在2009年7月7日,Stuxnet感染了NEDA內的”applserver”PC電腦。對於受害者,我們可以百分之百確定是Neda Industrial Group。至2008年截止,該公司遭受美國司法部調查並被控向伊朗非法出口違禁品。 與Neda一起感染該蠕蟲病毒的還有一家使用”CGJ”的公司。經過一段時間的分析後,我們發現該公司也是一家參與工業自動化交易的伊朗公司– Control-Gostar Jahed Company。該惡意軟體傳播到這家公司後就終止,儘管該公司擁有豐富的產品組合以及廣泛的業務領域。 最後一家零時差漏洞受害公司擁有許多受感染設備:2010年5月11日最後發現Stuxnet是在”KALA”區域內的三台電腦。這家公司很可能就是Kala Electric,即Kalaye Electric Co。該家公司被視為IR-1鈾238氣體離心儀的大型開發商,以及伊朗鈾濃縮計畫的重要參與者之一。奇怪的是,在此之前該家公司並沒有遭受過任何攻擊。 結論 對於這樣一種複雜精密且具有破壞性的軟體(要想讓鈾238氣體離心儀無法工作其實並不容易)而言,Stuxnet的傳播方式有些過於簡單了。此外,有一段時間Stuxnet就突然銷聲匿跡了;否則的話,就無法解釋Stuxnet的傳播範圍,即為何創造者與最初的攻擊目標相隔如此之遠。 儘管缺點不少,但該惡意軟體證明了自身”頗具成效”:它的創造者成功地實施全球最大的網路破壞活動,並推出了新時代的網路武器。 在Stuxnet病毒出現之前,沒有人曾主動考慮過如何確保工業設施安全的問題:我們許多人曾一度認為,將設施與全球網路分離,是一種有效的安全保護措施。在成功對未連接網路設備進行攻擊後,該蠕蟲病毒創造者可以說是開啟了資訊安全的新時代。唯一能與Stuxnet重要性相提並論的,是在1988年創造的被稱為大蠕蟲(Great Worm)或莫里斯蠕蟲(Morris Worm)的病毒。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:http://usblog.kaspersky.com/stuxnet-victims-zero 卡巴斯基 主題:Stuxnet:零時差漏洞的受害者 發文時間:2014/11/18