Stuxnet：奥巴马的失控武器

【IT经理网点评：与《生化危机》的情节类似，当失控的Stuxnet变成敌友不分的僵尸杀手时，奥巴马政府依然不甘心终止计划…】

尽管在2010年已经发现在袭击伊朗铀浓缩设施的Stuxnet蠕虫中的一个错误导致了该蠕虫不可控，并且在2010年已经感染了伊朗以外的计算机。奥巴马总统依然命令在幕后操纵的美国官员继续运行Stuxnet。

而尽管事实上Stuxnet已经传播到了美国和其他地区，并且可能还含有其他未知的错误， 而这些错误可能也会感染美国的计算机。

以上这些是纽约时报的最近一篇报道上披露的信息。 该报道说， Stuxnet中的一个错误导致了Stuxnet在入侵了位于纳坦兹附近的伊朗铀浓缩工厂的离心机系统后，感染了一个工程师的计算机， 在该工程师离开工厂后， 又感染了其他计算机。

知情人士告诉该报道的记者David Sager， 他认为是以色列人在Stuxnet里写入了这段错误代码。一位美国官员告诉奥巴马总统， 是以色列对蠕虫程序做了修改。 知情人士告诉纽约时报的记者。 副总统拜登指责以色列在这个事情上做得过分了。

纽约时报的报道指出， 奥巴马曾经向幕僚们咨询， 是否应该停止Stuxnet的攻击。 奥巴马在白宫与包括副总统拜登和中情局局长佩内塔在内的一众幕僚开会时询问道：“我们是否应该停止？” 幕僚们建议继续进行，因为不清楚伊朗人对Stuxnet是否知情， 而且对核设施的破坏正在进行中。

当时， 网络安全研究人员正在努力研究Stuxnet的目的究竟是什么， 还没有发现它的目的是袭击伊朗的铀离心机。 他们会发现Stuxnet是一个袭击目的非常明确的恶意软件。它的设计目的仅限于是伊朗的核计划的设施。 尽管它感染了伊朗和其他地区的超过10万台电脑， 实际上它并不对这些电脑产生破坏。不过， 在开这个会的时候， 美国人也并不清楚以色列人究竟在代码里干了什么。 所以， 奥巴马政府实际上是在不清楚Stuxnet究竟会对除伊朗核设施以外的计算机产生何种破坏作用的情况下就下令继续的。

在这次会议后几周内， 尽管赛门铁克的安全专家还在研究Stuxnet的代码， 在Stuxnet蠕虫被发现的几周后， 纳坦兹的伊朗核工厂里的约1000台离心机系统在2010年7月被新版本的Stuxnet攻击而临时关闭了。

奥巴马总统下令的这次网络攻击时， 正好与国会也在谴责中国政府策划了对美国政府，人权组织和一些西方机构的网络攻击。 纽约时报报道说， 奥巴马当时担心美国政府策划的网络攻击会给中国，俄罗斯和伊朗这些国家以借口， 策动针对美国的网络攻击。

据纽约时报报道， Stuxnet的攻击实际上从2008年就开始了，比人们认为的要早好几年。 只不过最初的攻击规模比较小，而且每次攻击的表现并不一样。 所以伊朗方面在看到离心机出了这样那样的问题以后， 并没有认为是遭到了网络攻击。

在布什总统2009年离开白宫时， Stuxnet的攻击并没有完全取得成功， 因此， 布什要求奥巴马总统继续这一计划。 奥巴马入主白宫后， 加速了这一计划。 David Sager报道说， 美国和以色列合作开发了Stuxnet，并且在一台2003年利比亚核工厂袭击中获得的离心机上进行了测试， 该离心机与伊朗的离心机为同一型号。

研究人员已经发现了一个Stuxnet的版本，可能是2009年6月第一次出现的版本， 在2010年3月， 攻击者又使用了一个新版本对纳坦兹的核设施进行了新的一轮攻击。就是这个版本的蠕虫， 导致了对设备感染超过预期， 从而最终导致其被发现。

Sager还报道了在此之后的两次攻击， 这也与研究人员的发现吻合。在2010年4月， 研究人员发现了一个新的版本的Stuxnet， 这个版本与3月份的那个版本有细微的差别。 而在2010年7月， 研究人员发现的Stuxnet蠕虫采用了新的数字证书，表明可能又有一个新版本的Sutxnet蠕虫诞生了。

纽约时报的报道没有说明是什么样的错误代码导致了蠕虫的失控，不过研究人员发现了在新版本里攻击者加入了针对一些“0Day”漏洞的攻击代码。 正是这些代码， 导致了蠕虫通过被感染的机器，在同一网络或者不同网络的机器之间传播。

根据纽约时报的报道， 对伊朗核设施的攻击的第一步是使用网络间谍工具。对纳坦兹工厂的运营和技术设置的情报进行收集。 从而便于Stuxnet发动攻击。 纽约时报没有给出这个间谍工具的名称，不过去年匈牙利的研究人员发现了这一恶意代码叫做“DuQu”，这一恶意软件用于在Stuxnet前收集伊朗的设备信息以便设计Stuxnet代码。

纽约时报的报道说， Stuxnet代码是针对西门子系统设计的。 而伊朗纳坦兹核工厂的设备就是西门子系统的。 间谍工具也是为了收集伊朗核设施运营架构信息， 并把这些信息发送回美国国家安全局。

不过“DuQu”可不是仅仅只感染西门子系统，它还感染西门子系统以外的其他系统。 不少研究人员认为， 对伊朗纳坦兹工厂的情报收集是从它的承包商开始， 是从外由承包商向工厂内感染的， 而不是从工厂感染扩散到外的。

根据纽约时报的报道， 最近袭击伊朗和中东其他一些国家的Flame病毒， 并不是Stuxnet计划中的一部分。 纽约时报报道说Flame的代码比较陈旧， 大约是5年前的代码。 知情的美国官员拒绝透露美国是否为Flame病毒的幕后推手。 （编者按：但是最近一些网络安全公司发现Flame和Stuxnet共享关键代码，这也许说明一些问题）

via Wired