中國工業(yè)新危機(jī)——超級工業(yè)病毒Stuxnet

掃街

中國上千家工廠正遭遇一種新的隱蔽威脅。一種名叫“Stuxnet”的超級計算機(jī)病毒，開始控制被感染的工廠，并造成生產(chǎn)事故或停工，專家表示，病毒的大規(guī)模爆發(fā)可能影響中國經(jīng)濟(jì)復(fù)蘇前景。
該病毒專門攻擊工業(yè)系統(tǒng)中采用西門子公司生產(chǎn)的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)的設(shè)備，病毒目前通過極其隱蔽的技術(shù)手法快速傳播，同時對感染的工業(yè)設(shè)備進(jìn)行重編程，奪取控制權(quán)后實(shí)現(xiàn)對工業(yè)生產(chǎn)關(guān)鍵設(shè)備的自毀或破壞。
4Stuxnet”是全球首個能攻擊現(xiàn)實(shí)世界的病毒。中國大陸目前已經(jīng)有上千家中國工廠以及一些大型工業(yè)行業(yè)的龍頭企 業(yè)已經(jīng)遭受攻擊破壞，但它拒絕透露客戶名單。由于中國制造工業(yè)廣泛采用西門子公司的控制軟件系統(tǒng)，因此潛在威脅難以估計。

一位要求隱去姓名的專家表示，根據(jù)“Stuxnet”的行為研究發(fā)現(xiàn)，其有別于過去的計算機(jī)病毒，原因在于，過去的病毒只用于竊取資料或者破壞數(shù)據(jù)，而“Stuxnet”有著極其嚴(yán)格的攻擊目標(biāo)和行為準(zhǔn)則，可能是帶有某種政治意圖的超級武器。

Stuxnet秘密身世——天生的工業(yè)殺手

最早遭受“Stuxnet”攻擊并大規(guī)模爆發(fā)的地區(qū)是伊朗。

一份“Stuxnet”病毒感染量統(tǒng)計數(shù)據(jù)顯示，伊朗是“Stuxnet”突然爆發(fā)并遭受攻擊數(shù)量最早最多的國家，由于伊朗是一個相對封閉的國家，對全球的互聯(lián)網(wǎng)接入有非常嚴(yán)格的措施，數(shù)據(jù)在統(tǒng)計意義上來說有顯著意義證明該病毒的傳播性是精心策劃的，顯然“Stuxnet”在伊朗的發(fā)作是有備而來的，它繞過了數(shù)層物理安全防范。

伊朗工業(yè)部門的信息技術(shù)官員馬哈茂德•阿勒阿伊曾對伊朗媒體表示，隸屬伊朗工業(yè)部門的3萬臺電腦已經(jīng)被該病毒感染，病毒將許多伊朗工業(yè)系統(tǒng)的機(jī)密數(shù)據(jù)傳至國外。阿勒阿伊稱，這是一場針對伊朗的網(wǎng)絡(luò)戰(zhàn)。

“Stuxnet”這種超級病毒，不僅造成伊朗全國6成以上個人電腦感染了這種病毒，更可能是導(dǎo)致了伊朗核電站推遲發(fā)電計劃的元兇。

一位工業(yè)計算機(jī)專家表示，“Stuxnet”的編寫者非常精通工業(yè)控制過程并予以手術(shù)刀式的攻擊，從而使得系統(tǒng)自行損壞，這是一般計算機(jī)病毒編寫者所難以企及的，這表明Stuxnet顯然有能力毀滅伊朗制造核能力的關(guān)鍵工業(yè)設(shè)備。

伊朗布什爾核電站位于伊朗南部港口城市布什爾附近，設(shè)計裝機(jī)容量1000兆瓦。核電站建設(shè)項(xiàng)目始于上世紀(jì)70年代，在1979年伊朗爆發(fā)伊斯蘭革命后中斷運(yùn)作。1996年2月，布什爾核電站在俄羅斯的幫助下開始復(fù)建。2009年2月底，核電站進(jìn)入測試運(yùn)行階段。

雖然，伊朗核電站的項(xiàng)目經(jīng)理默罕默德•賈法里此前表示，核電站的主要系統(tǒng)沒有受到該病毒影響，只是一些核電站工作人員的個人電腦感染了病毒。但此說法受到廣泛懷疑。

德國GSMK公司首席科技官則透露了一份數(shù)據(jù)，數(shù)據(jù)顯示Stuxnet病毒大約在2009年1月左右大規(guī)模感染伊朗國內(nèi)相關(guān)計算機(jī)系統(tǒng)，他推測 Stuxnet目標(biāo)對位于伊朗納坦茲的鈾濃縮工廠以及相關(guān)設(shè)施發(fā)起攻擊是大概率事件。而據(jù)“維基解密”網(wǎng)站爆料，2009年7月伊朗的納坦茲鈾濃縮工廠曾 發(fā)生“嚴(yán)重”核事故，不明技術(shù)原因使得伊朗濃縮鈾產(chǎn)量離奇下跌。

事件之后，這個由俄羅斯興建的核電站在今年也突然未能如期運(yùn)作，原計劃2010年8月核電站反應(yīng)堆計劃開始裝載核燃料，10月正式發(fā)電。令人意外的是，伊 朗當(dāng)局當(dāng)時對外宣布由于“酷熱天氣”原因，核電廠需要押后全面運(yùn)作。相關(guān)專家認(rèn)為，核電廠顯然是因突發(fā)性技術(shù)問題而延誤運(yùn)作。

以色列記者羅納•伯格曼曾撰寫《與伊朗的秘密戰(zhàn)爭》一書。伯格曼在書中透露，如果不是美國和以色列方面早已發(fā)動了旨在遲滯伊朗核項(xiàng)目的“秘密戰(zhàn)爭”，否則伊朗的核武研發(fā)項(xiàng)目早已實(shí)現(xiàn)了突破。

書中列舉，以色列曾通過歐洲公司向伊朗出售一些工業(yè)變電器，通過某種操控該設(shè)備能在瞬間產(chǎn)生數(shù)萬伏高壓電。而在過去幾年中，伊朗多處核設(shè)施發(fā)生供電事故。而以色列新聞網(wǎng)站Ynetnews.com去年曾引述以色列前內(nèi)閣成員稱，牽制伊朗核計劃的唯一可行方法，就是利用計算機(jī)惡意軟件發(fā)動網(wǎng)絡(luò)攻擊。

這些事件的揭露和行為最后將“Stuxnet”真正推向了前臺。

Stuxnet擁有手術(shù)刀式的精確打擊能力

Stuxnet病毒的傳播和破壞性特征與普通病毒有較大差異。與目前大多數(shù)利用互聯(lián)網(wǎng)傳播的病毒不同：Stuxnet主要通過U盤和局域網(wǎng)進(jìn)行傳播，而專門針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)進(jìn)行自毀性破壞。

它通過對軟件重新編程實(shí)施攻擊，給機(jī)器編一個新程序或輸入潛伏極大風(fēng)險的指令。專家指出，病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序，最終導(dǎo)致整個系統(tǒng)自我毀滅。

西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集 (SCADA) 系統(tǒng)被用來進(jìn)行鋼鐵、電力、能源、化工、通信、機(jī)場等重要行業(yè)的人機(jī)交互與監(jiān)控，一旦攻擊成功，則可能造成使用這些企業(yè)運(yùn)行各種異常，造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。

由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會與互聯(lián)網(wǎng)物理隔絕，專家表示，病毒開發(fā)者特意強(qiáng)化了病毒的U盤、局域網(wǎng)的隱藏傳播能力。

該病毒通過偽裝RealTek與JMicron兩大公司的數(shù)字簽名能夠繞過普通的安全產(chǎn)品監(jiān)測，利用包括MS10-046、MS10-061、MS08-067等5個最新漏洞進(jìn)行傳播，并利用2個是針對西門子SIMATIC WinCC系統(tǒng)漏洞進(jìn)行攻擊。

企業(yè)如果沒有針對U盤等可移動設(shè)備進(jìn)行嚴(yán)格管理，導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤，則整個網(wǎng)絡(luò)都會被感染。美國國家網(wǎng)絡(luò)安全與通訊整合中心主管邁格克指 出，在受感染的系統(tǒng)里面Stuxnet一旦找到西門子WinCC裝置，就能接管西門子設(shè)施的關(guān)鍵操作系統(tǒng)，并在十分之一秒里“控制”設(shè)備的操作，這顯示了 一種“預(yù)謀”。

卡巴斯基這家安全公司的研究顯示，“Stuxnet”病毒研發(fā)者對工業(yè)控制系統(tǒng)軟件十分精通，采用了多層攻擊技術(shù)，絕非等閑之輩。由于工業(yè)控制系統(tǒng)許多關(guān) 鍵部件源代碼被視為商業(yè)機(jī)密，除非擁有可觀的政治力量和資金能力，普通人難以獲得這樣的研究以及開發(fā)能力，他推測認(rèn)為Stuxnet的出現(xiàn)可能是政府行 為。

歷史上在2007年，以色列空軍打擊敘利亞在建的疑似核設(shè)施就啟動了類似的攻擊方法。后來歐洲工業(yè)界的消息人士透露，以色列當(dāng)時激活了嵌入敘利亞防空雷達(dá) 中的關(guān)鍵裝置，令雷達(dá)關(guān)機(jī)，為空襲提供了方便。當(dāng)然美國前美情報官員也曾透露，美國家安全局代號為“8200”的部門暗中協(xié)助破壞了敘利亞的防空系統(tǒng)。

德國網(wǎng)絡(luò)安全研究員拉爾夫•朗納已經(jīng)破解了Stuxnet的編碼，并將之公布于眾。他堅信Stuxnet被設(shè)計出來，就是為了尋找工業(yè)基礎(chǔ)設(shè)施并破壞其關(guān)鍵部分。他說，這是一種百分之百直接面向現(xiàn)實(shí)世界中工業(yè)程序的網(wǎng)絡(luò)攻擊，它絕非所謂的間諜病毒，而是純粹的破壞病毒。

朗納表示，Stuxnet病毒的高端性，意味著只有一個“國家”才能把它開發(fā)出來。根據(jù)我們所掌握的計算機(jī)法醫(yī)方面證據(jù)，它的意圖很明顯，就是執(zhí)行破壞性 攻擊，毀掉大量的內(nèi)部信息，“這并非某個坐在父母家里的地下室里的駭客能干得出來的，這種攻擊的來源指向的是一個國家。Stuxnet很可能已經(jīng)攻擊了它 的目標(biāo)，只不過我們還沒有接到消息而已�！�

Stuxnet的下一個目標(biāo)：中國工業(yè)

西門子是中國工業(yè)計算機(jī)最大的海外供應(yīng)商之一。由于西門子公司開發(fā)的類似系統(tǒng)在中國的多個重要行業(yè)如能源、電力、通信、交通等領(lǐng)域應(yīng)用廣泛，就目前的傳播速度來看，Stuxnet同樣對中國基礎(chǔ)工業(yè)擁有強(qiáng)大攻擊意圖。

專家透露，從編寫手法上看，此病毒還有很大的改進(jìn)余地，國內(nèi)目前許多掌管國民經(jīng)濟(jì)命脈的大型企業(yè)存在安全制度上的缺失，如果Stuxnet再衍生出同樣機(jī)制的復(fù)雜病毒變種，類似的攻擊對中國工業(yè)將會產(chǎn)生難以估量的打擊，其破壞性不亞于經(jīng)濟(jì)危機(jī)。

另據(jù)新華社參考消息報道，“過去幾天該病毒已感染六百萬部電腦，影響近一千家工廠及工業(yè)設(shè)施，對中國的攻擊源頭服務(wù)器可能來自美國”。從目前報道的數(shù)據(jù)來 看，由于許多采用該系統(tǒng)的企業(yè)都在涉及國家命脈的關(guān)鍵行業(yè)，因此無法獲知準(zhǔn)確數(shù)據(jù)。和訊科技為此連線了一些外圍的民用工業(yè)領(lǐng)域的公司。

南車集團(tuán)對和訊科技獨(dú)家回應(yīng)表示，集團(tuán)內(nèi)部尚未發(fā)現(xiàn)類似破壞性攻擊，但已經(jīng)做好了相應(yīng)的防范措施。而作為汽車基礎(chǔ)工業(yè)產(chǎn)業(yè)鏈上的杭齒集團(tuán)也向和訊科技透露，公司的確采用了西門子相關(guān)設(shè)備，但是執(zhí)行了嚴(yán)格的安全性措施，目前并未發(fā)現(xiàn)類似攻擊存在。

此外，西門子在香港的客戶港鐵、中華電力表示，西門子已聯(lián)絡(luò)他們，告知其系統(tǒng)未受影響。但是內(nèi)地該系統(tǒng)的使用情況，西門子并未公開回應(yīng)。西門子相關(guān)負(fù)責(zé)人對媒體表示，可以先發(fā)送相關(guān)采訪需求，需要進(jìn)行研究討論后再做解釋。

西門子的軟件漏洞知道Stuxnet在伊朗發(fā)生攻擊后，才被世人所知，外資公司對工業(yè)經(jīng)濟(jì)的滲透，絕非西門子一家。這個技術(shù)漏洞也對中國國家安全構(gòu)成史無前例的潛在威脅。
目前Stuxnet在中國對工業(yè)基礎(chǔ)設(shè)備的具體破壞程度尚未獲知，但是每個人不得不警惕，這種外資公司主導(dǎo)的滲透于中國工業(yè)經(jīng)濟(jì)命脈中的項(xiàng)目還有多少，這其中有多少隱藏的殺手恐怕還無人知曉，但是哪怕只有一個爆發(fā)，對中國某些領(lǐng)域?qū)�會是毀滅性的打擊�?/td>

qijianhui

這才是真正的恐怖主義

憤怒的小鳥

知道中國的命脈掌握在誰手上聊吧。以為拿著大把的美元就很牛啊。真干起來我們就準(zhǔn)備用美元去砸死入侵者

螺旋線

只能磕頭求饒，別無他路。
連DSP里究竟有什么東西都沒搞清楚，如何避免？不用！這玩笑有點(diǎn)大了。

春風(fēng)溜過如煙

這個真的有點(diǎn)恐怖~~~

58083356

恐怖主義！
就像當(dāng)年伊拉克一樣，全部買的外國貨，真正開打，一下就全部失靈，悲劇啊