安基网 首页 资讯 安全报 查看内容

黑客可以厉害到什么程度?

2019-9-25 10:27| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 传奇的故事都有一个平凡的开场。以下内容摘抄整理自网络,著作权属于原作者。 2010 年 6 月,白俄罗斯的一家微型安全公司在为伊朗客户检查系统时,发现一种新型蠕虫病毒。这种病毒除了导致客户的电脑不断死机重启外,好像没什么特别的危害。 凡是新病毒,都会被加入到公共病毒库,供业内人士研究。根据病毒代码中出现的特征字,新病毒被命名为 " 震网(Stuxnet)"。

作者:radsen

链接:https://www.zhihu.com/question/264331588/answer/328516260

来源:知乎

著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

传奇的故事都有一个平凡的开场。以下内容摘抄整理自网络,著作权属于原作者。

2010 年 6 月,白俄罗斯的一家微型安全公司在为伊朗客户检查系统时,发现一种新型蠕虫病毒。这种病毒除了导致客户的电脑不断死机重启外,好像没什么特别的危害。

凡是新病毒,都会被加入到公共病毒库,供业内人士研究。根据病毒代码中出现的特征字,新病毒被命名为 " 震网(Stuxnet)"。

● 《攻壳机动队:崛起》中,能植入虚假记忆的病毒以 " 震网 " 命名

著名信息安全厂商赛门铁克的应急团队开始着手研究震网。虽然已经知道如何杀死病毒,但他们仍不明白病毒到底想干点啥,因为震网太神奇了。神奇之一:非常大

震网的主文件大得不可思议—— 500k 字节,而常见恶意代码文件大小仅为 10k 到 15k 之间。

一般体量大的病毒都会包含一块非代码区域,多是用图片文件来填充。但震网中并没有图片文件,也没有无关填充物,扎扎实实,全是精巧的代码。

这事儿一般黑客搞不定,震网病毒背后一定有一个非常庞大而专业的团队。

神奇之二:不用互联网

为了窃取信用卡和银行账号信息,黑客会想方设法让病毒尽可能广泛的传播。传播得越广,感染的电脑越多,赚得越多。可震网病毒只凭借某个用户用 U 盘从一台计算机传播到另一台计算机,或者通过局域网传播。

基于这一点,可以判断攻击者确信他们的目标系统不在互联网上。

神奇之三:有截止日期

震网给自己的行动设定了终止日期:2012 年 6 月 24 日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。已经被感染机器上的恶意程序载荷仍然会继续运作,但震网病毒将不再感染新的计算机。

神奇之四:一个病毒有 4 个零日漏洞

零日漏洞,是黑客世界中最牛的东西之一。因为它利用的漏洞是软件开发者和反病毒公司还没发现的——这意味着根本没有补丁。

每年有超过 1200 万种恶意代码出现,但 " 零日漏洞 " 大概只有 10 来个。而震网这一个病毒就华丽丽地配了 4 个。

● 震网病毒的感染路径

如果是为了勒索敲诈赚钱,那黑客太想不开了:直接卖了不好嘛?一个顶级的零日漏洞连同相应的漏洞利用程序,可以在黑市上卖到 5 万美元以上,在以政府的网络部队和间谍机构为卖家的内部灰色市场上甚至能卖到 10 万美元。

到底是什么目标才配得上四个零日漏洞?

病毒的目标只是一个国家

入侵计算机后,震网病毒做的第一件事,是判断计算机到底是 32 位还是 64 位,如果是 64 位,放弃。

震网还会仔细跟踪自身在计算机上占用的处理器资源情况,只有在确定震网所占用资源不会拖慢计算机速度时才会释放病毒,以免被发现。

感染电脑后,震网开始搜索并把战果汇报给指挥控制服务器。如果计算机没有安装特定的两种软件,震网会主动进入休眠状态。

这两种软件是西门子公司的专有软件 Step 7 和 WinCC。它们都是与西门子公司生产的可编程逻辑控制器(PLC)配套的工业控制系统的一部分,用于配置自动控制系统的软硬件参数。

只有发现了这两款软件,软件所对应的 PLC 还必须是 S7-315 和 S7-417 这两个型号,震网病毒才会开始攻击。这两个型号对应的是两种特定的变频器。

通过层层限定,震网不会感染任何一个配置稍有偏差的工业控制系统,只会把它们作为传播的载体和攻击的跳板,直到找到最终的攻击目标。

之后,专家发现,震网攻击的是安装了这两种变频器的 6 组大型机组,每组 164 台。震网攻击的第一个步骤,是为期 13 天的侦察。期间,震网只是安静的记录着 PLC 的正常运行状态。震网记录的频率为每分钟 1 次,在完成约 110 万次记录之后,才会转入下一个阶段。

在这一阶段,震网会把变频器的频率提升到 1410 赫兹,并持续 15 分钟;然后降低到正常运行频率范围内的 1064 赫兹,持续 26 天。这 26 天,还是侦察期。

之后,震网会让频率在 2 赫兹的水平上持续 50 分钟,然后再恢复到 1064 赫兹。再过 26 天,攻击会再重复一遍。反反复复来来回回,这路数安全专家看不懂。所幸,科学与国际安全研究所的原子能专家们看懂了。

1064 赫兹这个频点是 IR-1 铀浓缩离心机独有的。13 天,是令 IR-1 离心机充满铀所要的时间。

● IR-1 离心机,右边箭头是震网攻击的目标

当震网实施攻击时,会将变频器的频率设定为 1410 赫兹,并持续 15 分钟。这个频率,恰好处于 IR-1 型离心机马达可以承受范围的极限上,频率再高一点,离心机可能就直接损毁了。

在铀浓缩生产进程中,离心机必须持续稳定的高速旋转,才能将含有铀 235 和铀 238 从混合气体中分离出来。如果离心机转速降低 50 到 100 赫兹,六氟化铀气体产量会减半,何况是降到 2 赫兹。

震网先让变频器转得飞快,再让它转得死慢。就像坐过山车上上下下你心脏受不了一样,忽快忽慢变频器也受不了,障碍率会噌噌噌往上窜。


● 震网传播渠道

而世界上使用 IR-1 型离心机的国家只有一个——伊朗。伊朗纳坦兹铀浓缩工厂的级联机组,正好由 164 台离心机构成。

病毒成功的攻击了核设施

纳坦兹铀浓缩工厂的核设施深埋沙漠下面,那里有一个巨大的离心机车间。

2009 年 11 月,纳坦兹大概有 8700 台 IR-1 离心机。因为 IR-1 离心机非常脆弱,在正常情况下,一年会替换 800 台。在 2009 年 12 月到 2010 年 1 月期间,仅仅两个月就坏了 1000 台离心机。

监控录像显示员工没有违规操作,控制系统也没有报故障。无论换了多少回离心机、换多少批工程师,工厂的运行效率仍只有设计能力的 45%~66%,六氟化铀气体原料的消耗量远低于预期。

● 纳坦兹周围的防空武器

纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力,伊朗方面一直没办法找到原因。直到 2010 年 11 月 12 日,赛门铁克公司发布了一条博客,称震网的攻击对象是某个特定型号的变频器,通过攻击,实现了对变频器的操控。

4 天后,纳坦兹全面暂停了工厂的铀浓缩活动。又隔了 6 天,所有离心机停止运转。

11 月 29 日,伊朗著名核物理学家沙利亚里和放射性同位素分离专家艾巴西在上班途中遭到暗杀,前者死亡,后者重伤。暗杀事件当天,伊朗总统内贾德首次确认,电脑病毒攻击了纳坦兹核设施。

伊朗把锅扣在了以色列和美国的头上。两个国家当然不承认,可惜,不承认没用。近些年美国政府都要漏成筛子了,这回,当然也是靠内部人泄密。泄密的是美军参谋长联席会议前副主席、退役四星上将詹姆斯 · 卡特赖特。

直到这时,震网病毒所有神奇的设置都有了答案。

震网病毒之所以编制得如此精巧,华丽丽地配了四个零日漏洞,因为背后有美国国家安全局 NSA 和以色列的 8200 部队做后盾。将 2012 年 6 月 24 日设定为行动终止日期,因为再过几个月又得选总统啦。震网病毒这事儿挺大的,如果换人了,新总统(当时是奥巴马连任)什么态度不好说。



● 以色列精英部队 8200 标志

其实震网这事儿,早在布什任期内就开始部署了。2005 年 8 月,内贾德上任两个月后,伊朗核问题的国际谈判破裂,伊朗宣布退出之前签署的 " 暂停核活动协议 "。

以色列催促美国向伊朗开战,连着打了伊拉克和阿富汗两场战争的美国没法再打第三场。于是乎,美国军方和情报部门官员向布什总统提交了一个 " 不保证成功 " 的建议案,代号 " 奥林匹克计划 "。

震网,不过是冰山的一个小小角。

网络战离我们有多远?

奥林匹克计划究竟包括啥、想干啥,还没完全被披露出来。目前已知的是,除了震网病毒,另一种病毒也是计划的一部分。

火焰病毒(Flame)是一部间谍工具百科全书。这个 20M 的病毒里,有的模块负责从染毒计算机中直接盗取文档,有的模块负责获取击键记录、每隔 15 到 60 秒抓取屏幕截图,有的模块通过暗中打开染毒计算机上自带的麦克风来偷听环境声音,还有的模块利用染毒计算机的蓝牙功能,自动搜寻能连接的智能手机和有效通信范围内的其他蓝牙设备,再盗取手机或设备上的数据。卡巴斯基实验室认为,彻底搞清楚火焰病毒,需要十年时间。

● 火焰病毒因这一段代码得名

更令人吃惊的是,火焰病毒的第一个组件,写于 1994 年和 1995 年。1993 年,美国空军将电子战中心改组为信息战中心,并在 2 年后成立了美军首支网络战部队——第 609 信息战中队。

2003 年,五角大楼秘密发布了一份 " 信息作战路线图 ",首次将信息战列为与空战、陆战、海战和特种作战并列的核心军事能力。

7 年后,当震网病毒疯狂传播时,五角大楼组建 " 美军网络司令部 " 并正式宣布,网络空间已经成为继空、地、海、太空之后的 " 第五作战域 "。

全球第一个投入实战的网络武器,是专门定向攻击现实世界基础设施的震网病毒。

和精确制导导弹相比,网络武器打击更精准,危害只大不小。这可不是我们瞎说。

首先,病毒有能力攻击的可编程逻辑控制器 PLC 可不只有核设施会用。PLC 被用于各种各样的自动控制系统,大到发电厂、水库、天然气管道,小到红绿灯的亮灭、监狱牢房的开关。你想象一下,一座城市停水停电一个月、监狱里犯人全出逃,会是什么模样。而且,不连接互联网并不能幸免。纳坦兹就不通互联网。

另外,网络武器的特点是使用即发布。网络武器的代码中,包含着攻击者所有的设计思路和蓝图,当你在使用网络武器攻击敌人的同时,你就给了敌人 " 以其人之道还治其人之身 " 的能力。震网病毒被揭开没多久,俄罗斯就掌握其中所有道道儿。

更可笑的是,震网病毒后来传回了美国,美国国土安全部不知道震网背后的秘密,还大费周章地成立专门应对小组。

然而,从某种程度上说,可怕的不是俄罗斯,也不是 " 搬起石头砸自己的脚 ",而是那些高智商天才程序员们,其中相当一部分还没成年。他们掌握了网络武器,会干什么?

投下一枚导弹,目标总归是有限的。可网络武器一旦上线,路径和影响无法预测。

在线杂志《原子能科学家公报》执行主编柏南迪说,

" 可笑的是,网络武器的第一次军事化运用,居然是为了阻止核武器的扩散。为了终结前一个大规模杀伤性武器的时代,开启了一个新的大规模杀伤性武器的时代。"



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6740202076782985736/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
上海11选5计划 海鸥娱乐系统 全民彩票 新世佳彩票计划群 盛源彩票计划群 湖北快3 福建快3 福建快3 上海11选5计划 云顶彩票计划群