十年一顾：严防工控系统安全，警惕“震网”魅影再生

2019-06-27 00:01:02
我要分享


微信扫码分享

【导读】今天是“震网”病毒十周年的日子。从2009年发动首次攻击至今，这个被称作“超级破坏性武器”的病毒已与全球的工业控制系统博弈了整整十年。如果说十年一轮回，那么在这个“网络战”随时都可能爆发，工业控制系统又首当其冲的当下，对“震网”进行十年回顾，以警惕其魅影再生，将具有重要意义。

1945年，人类历史上第一枚原子弹试爆成功，它对世界的改变，不仅标志着人类进入一个崭新的军事时代，同时这枚原子弹的力量也奠定了美国军事霸主的地位。

2005年，在这个超级霸主深陷战争泥潭，深惧伊朗核威胁之际，它又开始计划一种可抗衡“核”的新型“武器”，而这就是“超级破坏性武器”——“震网”病毒的起源。用精准隐秘的“网络攻击”去颠覆物理世界的“核”,可以说“震网”计划的启动，再一次改变了世界，它开启了“网络战”的先河，并将网络世界与物理世界的边界打破。

时至今日，“网络战”以不损一兵一卒之力就能产生颠覆一个国家乃至世界的“巨无霸”级优势，逐步成为国与国对抗的首选。这也恰好解释了，本月20日特朗普为何出人意料地叫停了对伊朗的军事回击，因为他早已有了新的主意——对伊朗发动网络攻击，目标包括伊朗情报部门和导弹发射系统。

剑拔弩张、枕戈待旦，美国与伊朗这对老冤家的网络战，似乎随时都可能一触即发。而“震网”病毒的启动也正是源于这两国在十年前的恩怨对抗。

“超级破坏性武器”

竟是美国网络战行动的阴谋

故事追溯到2006年。

这一年，伊朗违背协议，重启核计划，在纳坦兹核工厂安装大批离心机，生产浓缩铀，为进一步制造核武器准备原料。总统艾哈迈迪·内贾德也骄傲地向世界喊出“伊朗要向西方国家说不”。

但进展中却大大出乎伊朗意料：核工厂的运行极不稳定，离心机的故障率居高不下，核武器所急需的浓缩铀迟迟生产不出来。难言的麻烦另伊朗的实验员们无法安心：“明明离心机质量合格，为什么一投入生产运行，就马上会磨损破坏？”

2008年4月8日，艾哈迈迪·内贾德再次视察纳塔兹核工厂，以期解决这一难题。这一次，一张关键图片泄露了该国核工厂的问题：左下方的屏幕显示的点，每一个都代表一台离心机，绿色代表运行正常，夹杂的两个灰色小点，则说明有两台离心机出了故障。

内贾德总统视察纳坦兹核工厂

时间线继续向前推进，查不出原因的伊朗人继续他们的研究，一台又一台崭新的离心机往工厂里搬入，回馈给他们的却是一次次失败。

直到2010年，互联网世界第一次发现了“震网”病毒——这个被定义为世界第一个专门定向攻击物理世界里基础能源设施（如核电站、水坝、国家电网）的病毒，这个一经发现就席卷了全球工业的病毒，也让困顿伊朗五年的核问题，终于有了论断。经过大量专家的深入研究，确定它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。

伊朗布什尔核电站

原计划2008年发电，实际2010年才运行

2012年，伊朗核问题波澜已定，《纽约时报》爆出了谜底，报道称：

“

美国从2006年起启动了一项代号为“奥运会”的秘密网络计划，该计划由布什总统发起、经过奥巴马总统大力推动，目的就是要遏制伊朗的核野心。而该事件也标志着：一扇令人目眩的网络战之门自此开启。

”

十年一顾：时刻警惕这一

全球首个投入实战的“网络武器”

作为全球首个投入实战舞台的“网络武器”，“震网”病毒不会通过窃取个人隐私信息牟利，它为攻击工业控制系统而来。可以说，它是专门针对工业控制系统编写的恶意病毒，本质上利用Windows系统和西门子SIMATICWinCC系统的多个“零日漏洞”进行攻击。

此外，“震网”代码非常精密，主要有两个功能，一是使伊朗的离心机运行失控，二是掩盖发生故障的情况，“谎报军情”，以“正常运转”记录回传给管理部门，造成决策的误判。

更为可怕的是，无需借助网络连接，只需通过一个U盘，“震网”即可破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件，并且代替其对工厂其他电脑“发号施令”。所以说，若“震网”病毒的魔盒一旦开启，全球的工业就被掩盖上一层黑暗的阴霾。

如此复杂精密的病毒虽然正式曝光是在2010年，但相关研究已证实：

早在2009年6月“震网”病毒就已经开始出现，攻击者先后于2009年6月、2010年3-4月和2010年6月发起了三个波次的攻击，每一波攻击所用代码略有不同。随即，“震网”病毒就迎来“攻城略地”的高潮。

2010年7月，它利用微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。不仅伊朗境内的纳坦兹核工厂发生大规模爆炸，2000多台离心机当场被炸飞，全球45000个网络受到感染，60%的个人电脑也受到影响。

因国与国之间的战争应用而生，持续发功国家级网络攻击也成了“震网”的使命。

2011年2月，伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。

2013年3月，美国再次利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备，致使伊朗核电站推迟发电。这一年的日内瓦会议上，伊朗迫不得已宣布停止生产浓缩铀。

自此之后，震网虽没有爆发大的攻击，但自从它被公开以来，一些病毒制造者在它基础上又衍生出了许多变种，广泛传播到互联网的每一个角落。“震网”从未停止“使命”，也从未放弃“攻城略地”。

时至今日，距离震网开展“实战”之日已近十年，它的影响早已远远超出了纳坦兹核工厂，有报道称，光在中国就有六百万台电脑遭到感染。

十年一顾，面对这样一个能阻止“核”的“超级破坏性武器”，尤其是在关系国家基础设施建设系统安危面前，任何国家以百倍的精力枕戈待旦，时刻保持警惕都不足为过。

影响改变世界

“震网”病毒它做到了么？

十年一轮回。2009年的这时候，“震网”病毒已开始对伊朗核展开稳定而强势地攻击。十年后，特朗普再次授意美国网络部队对伊朗开展网络攻击。而这一天，恰逢“震网”病毒十周年。

十年之问。这个被称作“史诗级”的“网络军火”取得效果了么？十年，它是否对世界做出了改变？又是在哪方面？

答案毋庸置疑是肯定的！横纵观这十年，这个有着国家背景又针对全球工业发起进攻的病毒，不仅以堪比“核”威力的破坏力震撼了伊朗，威慑着这个世界。与此同时，智库还认为“震网”开启的“网络战”先河，这对世界的战势形态带来了巨大变化：

1.从攻击角度而言，“震网”改变了人们对武器的认知。如果能不损一兵一卒，就能于悄无声息间达到摧毁一国的电力系统、工业系统、能源系统等，那军事家们都将愿意为此趋之若鹜。而这种非军事化手段的战争就是网络战。而它的“武器”就是那些漏洞与病毒。

2.从攻击的范围来看，“震网”首次打破了物理世界与网络世界的边界，从此二者相互影响、相互渗透、相互利用。1+1>2的效果在这两个世界里尤为凸显，更让网络战变得愈发严峻。

3.从防御形式来说，以“震网”为代表的网络战彻底改变了防御形式。网络战以交通、能源、金融等重要基础设施为主要攻击目标，对手又是更有组织、有实力背后有着国家之称的黑客部队，而且它不分战时和平时，往往是不宣而战，发起攻击之前很可能已经渗透、埋伏了长达数年的时间。这样强而有力的特征，只“筑起”传统的“马奇诺防线”早已不能应对。

网络战正以“看不见敌人、也不知道它攻击哪些地方、更不清楚它的攻击方式”等强大优势堪称逐步成为21世纪随时挑起第三次世界大战的重要威胁！而在这样一个时代，谁能掌握“网络武器”，谁就能成为新世界里的“霸主”，并在未来这个新型的战场上占据主动优势。

而在这方面，那些走在世界前沿的网安公司早已意识到这一势态的严峻性。就在今年6月，360公司董事长兼CEO周鸿祎在互联网安全大会（ISC）媒体沟通会上也曾表示，网络战现在对每个国家都是严峻挑战，更是摆在网络安全行业和企业面前无法回避的话题。从网络战的特征来看，不分战时平时，不分军民，国家关键基础设施会首当其冲成为重点攻击目标，中国网络安全行业必须进行思维转变，如果不能站在更高维度来思考网络安全，与网络强国的差距将越来越大。

周鸿祎在2019ISC媒体沟通会

面对这样的一个时代，智库也期望，中国可以多诞生几家像360这样走在世界前沿的网安公司，用强大的技术赋能国家、企业、个人。同时，无论是国家、企业还是个人，我们都应时刻警醒：战争的魅影从未有一刻远离，它只是换了一个方式，随时都会到来！

了解更多安全资讯或咨询安全问题，请关注以下微信公众号

十年一顾：严防工控系统安全，警惕“震网”魅影再生

热点排行

关注我们