伊朗位于纳兹坦的浓缩铀工厂
本月初,美国总统特朗普宣布退出伊朗核协议,在全世界引起轩然大波。然而,回顾一开始,伊朗作为一个拥有初级核工业家庭资源的伊朗,为什么放弃了浓缩铀的提炼,同意了伊朗的核协议?是因为他们突然想要维护世界和平,还是觉得没有核武器就能安心生存?没有人知道为什么。但随着2010年计算机病毒的发现,我们可以揭开这背后的奥秘。
危机再起2006年,内贾德总统宣布启动核计划,伊朗核危机再次爆发。
伊朗浓缩铀厂使用的离心机是1960年代末通过走私获得的法国产品。伊朗在此基础上创造了自己IR-1离心机,但由于加工精度不足,只能以比原离心机低的速度运行,不能承受太大的气体压力。生产效率只有原来的一半。他很容易坏。他必须每年更换10%的机器。幸运的是,伊朗人可以大规模生产这种离心机。
电脑串联离心机的外壳材料为铝
伊朗人设计了一些安全机制,以确保这些不可靠的离心机即使有问题也不会影响生产。首先,为每台离心机安装隔离阀,可以隔离和更换有问题的离心机,但这将导致整个离心机的气压升高,更容易造成损坏。因此,他们还为每组离心机设置一个排气阀,以避免气压过高。该安全系统由西门子公司提供S7系列工业控制器操作。
整个工厂建成后,外网运行完全隔离。然而,在系统运行后不久,离心机经常损坏。伊朗人并不在意这些产品的质量。但逐渐发现问题严重,监控屏幕上的参数运行良好,但离心机损坏率较高,铀浓缩生产进度仅为设计值的一半左右。哪里出了问题?
从人们的表情来看,内贾德对铀浓缩工厂的照片并不乐观。
美以视角
2006年,小布什政府陷入反恐战争泥潭。阿富汗和伊拉克制造了麻烦,伊朗宣布恢复浓缩铀无疑是火上浇油。以色列第一个站出来反对的犹太人不能容忍一个敌对的国家掌握核武器,否则很容易从地图上抹去。
当然,首选的行动方式是直接炸毁对方的核设施,就像伊拉克一样。然而,美国人不愿意被以色列拖入新的战争泥潭,否决武力打击计划。对伊朗来说,经济制裁早就是虱子多了,不怕痒,没有压力。如果你想破坏伊朗的核设施,你只能另想办法。
1981年6月7日,色列空袭伊拉克核反应堆
这时,中情局建议小布什给伊朗核工厂弄些病毒,给他们制造麻烦,拖延时间解决问题,拉犹太人一起工作,让他们打消空袭的念头。以色列听说很用心,马上把摩萨德得到的伊朗核工厂设计图送来!因此,计划从制造小麻烦升级到干扰整个工厂的运营。
美国和以色列的情报安全部门恢复了伊朗核工厂的模拟攻击,计算机专家、核物理专家和工程专家积极配合,完成了病毒武器的开发。
最强病毒这种病毒将来被称为\\"STUXNET\\"在震网病毒中,病毒一口气使用了4个零天的漏洞(即操作系统提供商不知道或无法预防的漏洞),以确保病毒植入系统。在黑客市场,这类漏洞价值数十万美元,通常一次只使用一个。病毒研究人员表示,震网病毒的开发者只能是国家队,资金和人才实力极强。
震网病毒有多强?他的大小超过500k,一般来说,恶意代码文件不超过几十个k,震网病毒比以前的病毒复杂得多。它将超过30个dll与其他组件层层包装加密,还包括400多个设置项目的配置文件。在被发现之前,震网病毒成功地将伊朗铀浓缩计划推迟了两年,这比直接摧毁整个工厂要好。在此期间,伊朗人完全不明白发生了什么。
让我们来看看病毒是如何工作和被发现的。看看人类历史上第一个国家之间的历史\\"黑客战争\\"它是如何进行的。
大手笔入侵病毒通常分为两部分:导弹(missileportion)和载荷(payload)。前者负责病毒的传播和潜伏,后者负责盗窃和破坏。
先说\\"导弹\\"部分。由于工厂内部控制网络与外部世界是物理隔离的,只能通过U盘传播,而伊朗浓缩铀工厂不那么容易混合,最好让伊朗人自己带来病毒。该怎么办?
和通常利用Autorun(U普通U盘病毒执行代码不同,震网病毒使用4种恶意.lnk利用程序传输文件构成的漏洞(每个文件对应不同版本的操作系统)。
在Windows系统中,.lnk文件负责渲染文件图标。当我们插入U盘时,系统会自动扫描它.lnk在U盘中显示各种文件。此时,震网病毒秘密将恶意文件发送到计算机上。从而绕过了大家都知道的事情\\"关掉autorun防病毒\\"操作。此外,他还嵌入系统,使杀毒软件看不到病毒的文件名。如果要扫描U盘,木马将修改扫描命令并返回正常扫描结果。
除了利用.lnk除了漏洞潜入系统(漏洞1),震网病毒也被使用Windows非法获取键盘文件中的漏洞System使用权限(漏洞2)Windows打印缓冲功能漏洞,实现病毒在共享打印机计算机之间的传播(漏洞3)。
西门子生产PLC
震网病毒的目标是西门子S7-315和S7-417这两种型号PLC(广泛用于控制工业生产和基础设施配置的可编程逻辑控制器)。因此,在感染计算机后,它开始寻找计算机是否安装了西门子SIMATICStep7或SIMATICWINCC如果病毒找不到这些软件,软件什么都不做。
找到目标后,使用震网病毒Step7软件中的漏洞突破了后台权限,感染了数据库,因此所有使用该软件连接数据库的工程师使用的计算机和U盘都会被感染。再加上前面提到的三个,震网病毒一口气使用了四个零天的漏洞,说明设计师一方面手里有很多未公开的系统漏洞,另一方面为了震网病毒的高速广泛传播,不是民间黑客能做到的。
这样,通过使用Windows由于系统和西门子工业控制数据库的漏洞,地震网络病毒将所有可能接触到的相关系统的工程师及其U盘计算机运输员。只需要感染一台电脑或网络,比如西门子公司或者PLC病毒可以通过客户或其他相关人员使用的机器进入伊朗铀浓缩工厂。
除了利用零日漏洞传播外,还有8种不同的感染方法。并将自动找到网络中的新版本进行更新,无需连接外部网络。只要内部网络中有一台机器插入一个带有新版本的U盘,整个内部网络计算机上的冲击网络病毒就会自动更新。
回避系统和杀软监控当系统安装没有安全证书的程序时,弹出窗口提示。那么病毒进入系统后,如何在没有任何提示的情况下完成驱动安装呢?而震网病毒有瑞昱公司(常见声卡网卡供应商)的合法签名。微软系统的白名单列出了他们驱动的数字签名。微软以伪装驱动文件名称mrxnet.sys命名病毒Stuxnet,即\\"震网\\"。此外,瑞宇公司旁边的智微科技(JMicronTechnologyUSB和SATA还盗用了驱动和桥接芯片供应商的数字签名。以至于反病毒研究人员一开始以为这种病毒是大陆做的。
震网病毒进入计算机后21天内,开始感染所有插入计算机的病毒USB存储设备,并运行其主文件,将是巨大的dll文件解开。
一般来说,操作系统打开、读取或保存文件的代码保存在系统中.dll在文件(动态链接库)中,这也是杀毒软件经常扫描的地方。而震网病毒则是将恶意代码直接调入内存。当然,一些病毒也会这样做,但他们会让系统在硬盘上的其他文件中加载代码,这将被杀毒软件发现。
然而,震网病毒更聪明:他在虚拟文件中存储所需的代码,并重写了系统API(应用程序调用系统函数的接口)隐藏自己,每当系统有程序需要访问时API将震网代码调入内存。如果杀毒软件检查这些API但只能看到\\"空文件\\"。当震网病毒运行时,它也会将自己的代码替换到另一个正在运行的过程A中,并将A替换到过程B中。
因为震网病毒只在内存中运行,同时判断CPU在负载情况下,只有在轻载时才能运行,以避免拖动系统速度。这些代码在计算机关关闭后消失,病毒将在下次启动时重新启动。
那震网病毒是如何破坏的呢?它是如何被发现的?下次我们再说。(来源:凤凰网)
