卡巴斯基剖析Stuxnet：伊朗遭袭存在幕后黑手

　　不久前，卡巴斯基实验室正确预警了Windows操作系统下出现极易被Stuxnet蠕虫所利用的最新零日漏洞，现在事态再次升级。伊朗遭到有史以来最高端的“蠕虫”—Stuxnet病毒侵袭，有大约60%的个人电脑被它感染;更令人惊讶的是，该病毒有着难以揣摩的“身世背景”，卡巴斯基实验室的首席执行官兼创始人尤金•卡巴斯基先生认为，除非有国家和政府的支持和协助，否则很难发动如此规模的攻击。现在看来，网络恐怖主义已经不仅停留在思维概念中了，它，就现实地站在我们面前。

　　破坏性极强的Stuxnet可看作是专门设计用来攻击伊朗重要工业设施的计算机病毒，人们猜测它的目标是于上个月竣工的伊朗布什尔核电站。它在入侵一台个人电脑后，会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件，通过对机器编一个新程序，或输入潜伏极大风险的指令软件实施攻击。专家指出，病毒能控制关键过程并开启一连串执行程序，最终导致整个系统自我毁灭。德国网络安全研究员拉尔夫•朗纳认为Stuxnet是一种百分之百直接面向现实世界中工业程序的网络攻击，绝非所谓的间谍病毒，而是纯粹的破坏病毒。并坚信Stuxnet被设计出来，就是为了寻找基础设施并破坏其关键部分，因为Stuxnet病毒的高端性意味着只有一个“国家”才能把它开发出来。他的这种观点，与尤金•卡巴斯基先生不谋而合。除此以外，另一个证据也可证明他们的观点。首先，攻击者对SCADA内部技术十分了解，并且这款恶意软件采用了复杂的多层攻击技术，可利用多种零日漏洞以及合法的数字证书，一切都表明Stuxnet蠕虫的幕后团队是技术非常高超的专业人员，并且具有广泛的资源以及强大的财力做后盾。该蠕虫的攻击目标和蠕虫疫情爆发的地理位置(主要在伊朗)都表明其幕后指挥者绝对不是一般的网络犯罪集团。

　　最早发现Stuxnet病毒的卡巴斯基实验室研究者现已掌握了该病毒的其他技术细节，卡巴斯基实验室认为，除了能够利用四种零日漏洞进行攻击外，Stuxnet蠕虫还会使用两种有效的数字证书(Realtek和JMicron)。这使得该蠕虫即使感染系统，也不容易被发现。该蠕虫的最终目的是入侵西门子的Simatic WinCC SCADA系统，该系统主要被用做工业控制系统，能够监控工业生产、基础设施或基于设施的工业流程。类似的系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施中。目前，该病毒已经在全球感染了数以万计的计算机网络，并且仍在逐渐蔓延。欧洲最大的信息安全解决方案提供商卡巴斯基实验室现已联手微软对Stuxnet病毒迅速展开极具针对性的应对计划，全面查找程序中的编码漏洞，力求让全球互联网使用者尽快远离这一威胁。