(1)它是如何攻擊位于Natanz的伊朗核設(shè)施的?
(2)它是如何隱藏自己的?
(3)它是如何違背開(kāi)發(fā)者的期望并擴(kuò)散到Natanz之外的?但是這些分析的主要內(nèi)容要么是錯(cuò)誤的要么是不完整的。
因?yàn),震網(wǎng)病毒并不是一個(gè)而是一對(duì)。大家的注意力全都關(guān)注著震網(wǎng)病毒的“簡(jiǎn)單功能”,即該功能用來(lái)改變鈾濃縮的離心機(jī)轉(zhuǎn)速,而另外一個(gè)被忽視的功能是卻是更加的復(fù)雜和隱秘的。這一“復(fù)雜功能”對(duì)于了解ICS(IndustrialControlSystem的簡(jiǎn)稱)信息安全的人來(lái)說(shuō)簡(jiǎn)直是夢(mèng)魘,奇怪的是“復(fù)雜功能”竟然先于“簡(jiǎn)單功能”出現(xiàn)。“簡(jiǎn)單功能”在幾年后才出現(xiàn),不久即被發(fā)現(xiàn)。
隨著伊朗的核計(jì)劃成為世界輿論的中心,這有利于我們更清晰的了解通過(guò)程序來(lái)嘗試破壞其核計(jì)劃。震網(wǎng)病毒對(duì)于伊朗核計(jì)劃的真實(shí)影響并不確定,因?yàn)榈降子卸嗌倏刂破髡嬲谋桓腥荆⒉磺宄瑳](méi)有這方面的消息。但是不管怎樣,通過(guò)深入的分析我們可以知道攻擊者的意圖、以及如何實(shí)現(xiàn)意圖。我在過(guò)去的三年里對(duì)震網(wǎng)病毒進(jìn)行分析,不但分析其計(jì)算機(jī)代碼,還有被攻擊工廠中采用的硬件設(shè)備以及核工廠的操作流程。我的發(fā)現(xiàn)如下全景圖所示,它包含震網(wǎng)病毒的第一個(gè)不為人知的變種(“復(fù)雜功能”),這一變種需要我們重新評(píng)估其攻擊。事實(shí)上這一變種要比公眾所認(rèn)知的網(wǎng)絡(luò)武器危險(xiǎn)的多。
2007年有人在計(jì)算機(jī)信息安全網(wǎng)站VirusTotal上提交了一段代碼,后來(lái)被證實(shí)是震網(wǎng)病毒的第一個(gè)變種(“復(fù)雜功能”),至少是我們已知的第一個(gè)。對(duì)于第一個(gè)震網(wǎng)病毒變種,在五年后(2012)大家基于震網(wǎng)病毒的第二個(gè)變種(“簡(jiǎn)單功能”)的了解基礎(chǔ)上,才意識(shí)到這是震網(wǎng)病毒。如果沒(méi)有后來(lái)的“簡(jiǎn)單功能”版本,老的震網(wǎng)病毒(“復(fù)雜功能”)可能至今沉睡在反病毒研究者的檔案中,并且不會(huì)被認(rèn)定為歷史上最具攻擊性的病毒之一。
今天,我們已經(jīng)知道,擁有“復(fù)雜功能”的震網(wǎng)病毒包含一個(gè)payload,該payload可以嚴(yán)重的干擾位于Natanz的鈾濃縮工廠中的離心機(jī)保護(hù)系統(tǒng)。
后來(lái)的震網(wǎng)病毒,被大家熟知的那個(gè)“簡(jiǎn)單功能”版,控制離心機(jī)的轉(zhuǎn)速,通過(guò)提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。老版本的震網(wǎng)病毒(“復(fù)雜功能”)其Payload采用了不同的策略,它用來(lái)破壞用于保護(hù)離心機(jī)的Safe系統(tǒng)。