近日,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为"超级病毒"、"超级工厂病毒",并形容成"超级武器"、"潘多拉的魔盒"。
Stuxnet蠕虫(俗称"震网"、"双子")在今年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,目前全球已有约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。
安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,对其持续跟踪,并第一时间发布深度分析报告(见文末扩展信息1)。截止至本文发布,安天已经累计捕获13个变种、 600多个不同哈希值的样本实体。
一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。
这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。
另一方面,在安天实验室捕获的样本中,有一部分实体的时间戳是今年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。
因此,安天实验室推断攻击者具有雄厚的财力和研究能力。
在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。
Stuxnet带来的问题不只如此。一般来说,一种新的攻击方法、攻击思路和攻击目标出现,都会较长时间带来示范效应,导致今后攻击的重点从传统的信息网络向工业系统转移。
对于Stuxnet病毒的出现,安天实验室并未感到十分意外。早在去年,安天实验室就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。