震網(wǎng)病毒的秘密:伊朗核設(shè)施是如何給攻陷的?

　　(1)它是如何攻擊位于Natanz的伊朗核設(shè)施的？

　　(2)它是如何隱藏自己的？

　　(3)它是如何違背開發(fā)者的期望并擴散到Natanz之外的？但是這些分析的主要內(nèi)容要么是錯誤的要么是不完整的。

　　因為，震網(wǎng)病毒并不是一個而是一對。大家的注意力全都關(guān)注著震網(wǎng)病毒的“簡單功能”，即該功能用來改變鈾濃縮的離心機轉(zhuǎn)速，而另外一個被忽視的功能是卻是更加的復(fù)雜和隱秘的。這一“復(fù)雜功能”對于了解ICS(IndustrialControlSystem的簡稱)信息安全的人來說簡直是夢魘，奇怪的是“復(fù)雜功能”竟然先于“簡單功能”出現(xiàn)。“簡單功能”在幾年后才出現(xiàn)，不久即被發(fā)現(xiàn)。

　　隨著伊朗的核計劃成為世界輿論的中心，這有利于我們更清晰的了解通過程序來嘗試破壞其核計劃。震網(wǎng)病毒對于伊朗核計劃的真實影響并不確定，因為到底有多少控制器真正的被感染，并不清楚，沒有這方面的消息。但是不管怎樣，通過深入的分析我們可以知道攻擊者的意圖、以及如何實現(xiàn)意圖。我在過去的三年里對震網(wǎng)病毒進行分析，不但分析其計算機代碼，還有被攻擊工廠中采用的硬件設(shè)備以及核工廠的操作流程。我的發(fā)現(xiàn)如下全景圖所示，它包含震網(wǎng)病毒的第一個不為人知的變種(“復(fù)雜功能”)，這一變種需要我們重新評估其攻擊。事實上這一變種要比公眾所認(rèn)知的網(wǎng)絡(luò)武器危險的多。

　　2007年有人在計算機信息安全網(wǎng)站VirusTotal上提交了一段代碼，后來被證實是震網(wǎng)病毒的第一個變種(“復(fù)雜功能”)，至少是我們已知的第一個。對于第一個震網(wǎng)病毒變種，在五年后(2012)大家基于震網(wǎng)病毒的第二個變種(“簡單功能”)的了解基礎(chǔ)上，才意識到這是震網(wǎng)病毒。如果沒有后來的“簡單功能”版本，老的震網(wǎng)病毒(“復(fù)雜功能”)可能至今沉睡在反病毒研究者的檔案中，并且不會被認(rèn)定為歷史上最具攻擊性的病毒之一。

　　今天，我們已經(jīng)知道，擁有“復(fù)雜功能”的震網(wǎng)病毒包含一個payload，該payload可以嚴(yán)重的干擾位于Natanz的鈾濃縮工廠中的離心機保護系統(tǒng)。

　　后來的震網(wǎng)病毒，被大家熟知的那個“簡單功能”版，控制離心機的轉(zhuǎn)速，通過提高其轉(zhuǎn)速而起到破壞離心機的效果。老版本的震網(wǎng)病毒(“復(fù)雜功能”)其Payload采用了不同的策略，它用來破壞用于保護離心機的Safe系統(tǒng)。