引子：

看到litdg翻譯的《震網(wǎng)的秘密兄弟(一)》，感覺有些地方跟我想象的不一樣，所以在litdg兄的基礎(chǔ)上就行了更新，我是搞工業(yè)自動(dòng)化的，恰巧陰差陽錯(cuò)的跟信息安全有了些交集，所以以ICS(工業(yè)控制系統(tǒng))的視角，來闡述我對原文的理解。

真正用來破壞伊朗核設(shè)施的震網(wǎng)病毒，其復(fù)雜程度超出了所有人的預(yù)料。

[[91537]]

作為第一個(gè)被發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊武器，震網(wǎng)病毒在被發(fā)現(xiàn)后三年來仍然困擾著軍事戰(zhàn)略家、信息安全專家、政治決策者和廣大公眾。圍繞震網(wǎng)病毒的分析主要有：

(1)它是如何攻擊位于Natanz的伊朗核設(shè)施的?

(2)它是如何隱藏自己的?

(3)它是如何違背開發(fā)者的期望并擴(kuò)散到Natanz之外的?但是這些分析的主要內(nèi)容要么是錯(cuò)誤的要么是不完整的。

因?yàn)椋鹁W(wǎng)病毒并不是一個(gè)而是一對。大家的注意力全都關(guān)注著震網(wǎng)病毒的“簡單功能”，即該功能用來改變鈾濃縮的離心機(jī)轉(zhuǎn)速，而另外一個(gè)被忽視的功能是卻是更加的復(fù)雜和隱秘的。這一“復(fù)雜功能”對于了解ICS(IndustrialControl System的簡稱)信息安全的人來說簡直是夢魘，奇怪的是“復(fù)雜功能”竟然先于“簡單功能”出現(xiàn)。“簡單功能”在幾年后才出現(xiàn)，不久即被發(fā)現(xiàn)。

隨著伊朗的核計(jì)劃成為世界輿論的中心，這有利于我們更清晰的了解通過程序來嘗試破壞其核計(jì)劃。震網(wǎng)病毒對于伊朗核計(jì)劃的真實(shí)影響并不確定，因?yàn)榈降子卸嗌倏刂破髡嬲谋桓腥荆⒉磺宄?，沒有這方面的消息。但是不管怎樣，通過深入的分析我們可以知道攻擊者的意圖、以及如何實(shí)現(xiàn)意圖。我在過去的三年里對震網(wǎng)病毒進(jìn)行分析，不但分析其計(jì)算機(jī)代碼，還有被攻擊工廠中采用的硬件設(shè)備以及核工廠的操作流程。我的發(fā)現(xiàn)如下全景圖所示，它包含震網(wǎng)病毒的第一個(gè)不為人知的變種(“復(fù)雜功能”)，這一變種需要我們重新評估其攻擊。事實(shí)上這一變種要比公眾所認(rèn)知的網(wǎng)絡(luò)武器危險(xiǎn)的多。

2007年有人在計(jì)算機(jī)信息安全網(wǎng)站VirusTotal上提交了一段代碼，后來被證實(shí)是震網(wǎng)病毒的第一個(gè)變種(“復(fù)雜功能”)，至少是我們已知的第一個(gè)。對于第一個(gè)震網(wǎng)病毒變種，在五年后(2012)大家基于震網(wǎng)病毒的第二個(gè)變種(“簡單功能”)的了解基礎(chǔ)上，才意識(shí)到這是震網(wǎng)病毒。如果沒有后來的“簡單功能”版本，老的震網(wǎng)病毒(“復(fù)雜功能”)可能至今沉睡在反病毒研究者的檔案中，并且不會(huì)被認(rèn)定為歷史上最具攻擊性的病毒之一。

今天，我們已經(jīng)知道，擁有“復(fù)雜功能”的震網(wǎng)病毒包含一個(gè)payload，該payload可以嚴(yán)重的干擾位于Natanz的鈾濃縮工廠中的離心機(jī)保護(hù)系統(tǒng)。

后來的震網(wǎng)病毒，被大家熟知的那個(gè)“簡單功能”版，控制離心機(jī)的轉(zhuǎn)速，通過提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。老版本的震網(wǎng)病毒(“復(fù)雜功能”)其Payload采用了不同的策略，它用來破壞用于保護(hù)離心機(jī)的Safe系統(tǒng)。

譯者注：工控系統(tǒng)中通常會(huì)部署Safe系統(tǒng)，當(dāng)現(xiàn)場的控制器和執(zhí)行器出現(xiàn)異常的時(shí)候，該Safe系統(tǒng)會(huì)運(yùn)行，緊急停車防止事故發(fā)生。而本文論述的震網(wǎng)病毒“復(fù)雜功能”版，將Safe系統(tǒng)也攻陷了。震網(wǎng)病毒的“簡單功能”版在沒有“復(fù)雜功能”的配合下是不能夠損壞離心機(jī)的，因?yàn)殡x心機(jī)的轉(zhuǎn)速不正常的情況下，Safe系統(tǒng)就會(huì)工作，會(huì)停止離心機(jī)的運(yùn)轉(zhuǎn)，這樣伊朗的技術(shù)人員能夠迅速的發(fā)現(xiàn)震網(wǎng)病毒。只有Safe系統(tǒng)也被破壞的情況下，震網(wǎng)病毒的“簡單功能”才能夠隨意的控制離心機(jī)的轉(zhuǎn)速。當(dāng)然伊朗的Safe系統(tǒng)與工業(yè)現(xiàn)場的傳統(tǒng)意義上的Safe系統(tǒng)有所不同，該Safe系統(tǒng)可以說是輔助系統(tǒng)，因?yàn)槠潆x心機(jī)質(zhì)量不過關(guān)，必須通過該Safe系統(tǒng)保證整體系統(tǒng)的正常運(yùn)轉(zhuǎn)。工業(yè)現(xiàn)場中很重要的一點(diǎn)是連續(xù)長時(shí)間的穩(wěn)定運(yùn)行。

Safe系統(tǒng)通常部署在發(fā)生異常的條件下，可能導(dǎo)致設(shè)備毀壞或生命財(cái)產(chǎn)損失的地方。在Natanz，我們看見一個(gè)特殊的安全保護(hù)系統(tǒng)，通過它的部署可以使得過時(shí)且不可靠的離心機(jī)型號(hào)“IR-1”持續(xù)的運(yùn)轉(zhuǎn)。安全保護(hù)系統(tǒng)是伊朗核計(jì)劃的關(guān)鍵組成部分，如果沒有它，離心機(jī)IR-1幾乎無用。

IR-1離心機(jī)是伊朗鈾濃縮的根基。它可以追溯到從20世紀(jì)60年代末由歐洲設(shè)計(jì)，70年代初被竊取，并被巴基斯坦的核販子A.Q.Khan稍稍改進(jìn)。全金屬設(shè)計(jì)的IR-1是可以穩(wěn)定的運(yùn)行的，前提是其零件的制造具有一定精度，并且關(guān)鍵組件例如高質(zhì)量頻率轉(zhuǎn)換器和恒力矩驅(qū)動(dòng)質(zhì)量很高。但是伊朗人并未設(shè)法從過時(shí)的設(shè)計(jì)中獲取更高的可靠性。因此他們不得不降級離心機(jī)的運(yùn)行壓力在Natanz工廠。較低的運(yùn)行壓力意味著對轉(zhuǎn)子的機(jī)械壓力變小，這樣離心機(jī)轉(zhuǎn)子損壞就會(huì)降低，從而減少了由于轉(zhuǎn)子損壞而使得離心機(jī)離線的數(shù)量。但是較小的工作壓力意味著較少的產(chǎn)出，因而效率較低。IR-1離心機(jī)在最佳情況下，只能達(dá)到其最高產(chǎn)能的一半。

這種不可靠和低效率的IR-1型離心機(jī)，對于伊朗來說有一個(gè)顯而易見的有點(diǎn)，伊朗可以大規(guī)模的制造生產(chǎn)。伊朗通過數(shù)量來彌補(bǔ)不穩(wěn)定性和低效率，他們能夠接受在運(yùn)行過程中一定數(shù)量的離心機(jī)損壞，因?yàn)樗麄冎圃祀x心機(jī)的速度比離心機(jī)損壞的速度要快多了。但是要想讓所有的離心機(jī)工作，伊朗需要下一番功夫。通常，離心處理操作是一個(gè)嚴(yán)苛的工業(yè)流程，在流程運(yùn)行過程中，它不可以存在任何的問題，甚至連小型設(shè)備的問題也不可以。伊朗建立了一套級聯(lián)保護(hù)系統(tǒng)(譯者：類似于Safe系統(tǒng))，它用來保證離心流程持續(xù)進(jìn)行，即使離心機(jī)壞掉。

在離心機(jī)層，級聯(lián)保護(hù)系統(tǒng)在每個(gè)離心機(jī)上安裝了三個(gè)截止閥。通過關(guān)閉這些閥門，運(yùn)行出故障的離心機(jī)可以從現(xiàn)有的系統(tǒng)上隔離出來。隔離后的離心機(jī)可以停機(jī)并被維護(hù)工程師替換，而工藝流程仍然正常運(yùn)行。

[[91538]]

上圖是2008年，當(dāng)時(shí)的總統(tǒng)艾哈邁迪.內(nèi)賈德在Natanz的控制室觀看SCADA的場景。面對攝影師的屏幕顯示兩個(gè)離心機(jī)已經(jīng)被隔離，提示存在問題，但這并沒有影響整個(gè)工藝流程的持續(xù)運(yùn)行。(紅色高亮顯示的是有問題的離心機(jī))

但是這種隔離閥的解決方案也導(dǎo)致了許多問題。當(dāng)基于不可靠的離心機(jī)運(yùn)行時(shí)，離心機(jī)會(huì)經(jīng)常被關(guān)閉，當(dāng)同組的離心機(jī)已經(jīng)被隔離的情況下，維護(hù)工程師可能沒有機(jī)會(huì)替換另一個(gè)剛剛毀壞的離心機(jī)(譯者注：通常工業(yè)現(xiàn)場采用冗余，因此伊朗也很可能采用了離心機(jī)的冗余策略，即一個(gè)壞掉，可以馬上切換到另外一個(gè)使其工作，問題他們的離心機(jī)太脆弱，會(huì)出現(xiàn)兩個(gè)都壞了的情況。)如果同一個(gè)組中的離心機(jī)都停機(jī)了，運(yùn)行壓力(使用離心機(jī)進(jìn)行鈾濃縮過程中非常敏感的參數(shù))將會(huì)升高，從而導(dǎo)致各種各樣的問題。

伊朗人發(fā)現(xiàn)了一個(gè)很有創(chuàng)造力的解決方案來處理這一問題，在每一個(gè)鈾濃縮組里，都安裝了一個(gè)排氣閥門，當(dāng)同一組中的多個(gè)離心機(jī)停機(jī)被隔離時(shí)，隨著壓力的升高，該排氣閥門可以排氣并降低壓力。在每一個(gè)離心處理組中，壓力有傳感器檢測，如果壓力超過限值，排氣閥門就會(huì)被打開，降低壓力。

這一系統(tǒng)可以保證Natanz的離心機(jī)運(yùn)轉(zhuǎn)，但是這也讓它陷入了可能被遠(yuǎn)程網(wǎng)絡(luò)攻擊的泥潭，有時(shí)候會(huì)讓人懷疑涉及這個(gè)系統(tǒng)的人是不是頭腦混亂。

Nataz的級聯(lián)保護(hù)系統(tǒng)基于西門子的S7-417系列工業(yè)控制器，這些控制器用來操控每個(gè)離心機(jī)上的閥門和壓力傳感器，共6組164臺(tái)離心機(jī)?？刂破骺梢员焕斫獬梢粋€(gè)嵌入式計(jì)算機(jī)系統(tǒng)，它直接連接物理設(shè)備，例如閥門。震網(wǎng)病毒被設(shè)計(jì)用來感染這些控制器，然后以用戶難以想象的方式取得控制權(quán)，這種情況從來沒有在ICS相關(guān)的會(huì)議上討論過。

感染了震網(wǎng)病毒的控制器從真實(shí)的物理層斷開了，合法的控制邏輯變成了震網(wǎng)病毒想讓他展現(xiàn)的樣子(譯者注：就是控制器不在控制具體的物理信號(hào)和物理設(shè)備，僅僅是對上層應(yīng)用程序提供一個(gè)看上去它還在正常工作的假象而已。)在攻擊序列執(zhí)行前(大概每個(gè)月執(zhí)行一次)，病毒代碼能夠給操作員展示物理現(xiàn)場正確的數(shù)據(jù)。但是攻擊執(zhí)行時(shí)，一切都變了。

震網(wǎng)病毒變種的第一步是隱藏其蹤跡，采用了來自好萊塢的策略。震網(wǎng)病毒以21秒為周期，記錄級聯(lián)保護(hù)系統(tǒng)的傳感器數(shù)據(jù)，然后在攻擊執(zhí)行時(shí)以固定的循環(huán)重復(fù)著21秒鐘的傳感器數(shù)據(jù)。在控制室，一切看起來都正常(譯者注：因?yàn)楣魣?zhí)行時(shí)，被感染的控制器重復(fù)的向控制室的監(jiān)控中心發(fā)送的是正常的21秒周期傳感器數(shù)據(jù)，所以監(jiān)控中心完全發(fā)現(xiàn)不了。)，既包括操作員也包括報(bào)警系統(tǒng)。

然后震網(wǎng)病毒開始其真正的工作，它首先關(guān)閉位于前兩組和最后兩組離心處理的隔離閥。阻止了受影響的級聯(lián)系統(tǒng)的氣體流出，從而導(dǎo)致其他的離心機(jī)壓力提升。壓力的增加將導(dǎo)致更多的六氟化鈾進(jìn)入離心機(jī),給轉(zhuǎn)子更高的機(jī)械應(yīng)力。最終,壓力可能會(huì)導(dǎo)致氣體六氟化鈾固化,從而嚴(yán)重?fù)p害離心機(jī)。

這種攻擊一直持續(xù)到攻擊者認(rèn)為達(dá)到目的為止，根據(jù)監(jiān)控到的離心機(jī)的工作狀態(tài)而定。如果他們是為了毀滅性的破壞，那么很簡單。在Nataz的案例中，一個(gè)控制器控制的氣體固化可以輕易損壞上百臺(tái)離心機(jī)。聽起來這個(gè)目標(biāo)非常有價(jià)值，但它也會(huì)暴露攻擊者。伊朗的工程師在后期的分析中可以輕易的找到事故發(fā)生的原因。這次攻擊的實(shí)現(xiàn)過程中，攻擊者密切監(jiān)視運(yùn)行的壓力和離心機(jī)的狀態(tài)表明，他們小心翼翼的避免毀滅性的損壞。增大運(yùn)行壓力的方式看起來更像是為了讓轉(zhuǎn)子壽命更短一些。

不管怎樣，攻擊者非常謹(jǐn)慎的實(shí)施了這次攻擊。攻擊的代碼設(shè)計(jì)如此精細(xì)，因?yàn)榧?xì)小的改變或者配置錯(cuò)誤都可能帶來很大的影響，甚至導(dǎo)致程序崩潰，一旦崩潰，就會(huì)被伊朗的工程師發(fā)現(xiàn)從而暴露行蹤。

這次過壓的攻擊結(jié)果也是未知的。不管是什么，在2009年的時(shí)候，攻擊者決定嘗試一些新的東西。#p#

新的震網(wǎng)病毒變種(譯者注：“簡單功能”版)，與原始版完全不一樣(譯者注：“復(fù)雜功能”)，與震網(wǎng)病毒原始版相比，它更簡單且缺少隱蔽性。震網(wǎng)病毒的“簡單功能”版用來攻擊Natanz工廠中的離心機(jī)的驅(qū)動(dòng)系統(tǒng)，該驅(qū)動(dòng)系統(tǒng)用來控制轉(zhuǎn)子的轉(zhuǎn)速。(譯者注：可以參照前文中的第二張圖，“復(fù)雜功能”版用來攻擊給離心機(jī)降壓的保護(hù)系統(tǒng)，“簡單功能”版用來直接攻擊離心機(jī)的電機(jī)驅(qū)動(dòng)系統(tǒng))

與“復(fù)雜功能”版相比，震網(wǎng)病毒的“簡單功能”版其傳播方式也不同，這一病毒程序的早期版本必須安裝在目標(biāo)機(jī)上，最有可能是通過工程師站(譯者注：幾乎所有的自動(dòng)化廠商的現(xiàn)場設(shè)備都會(huì)存在工程師站，工廠控制組態(tài)和設(shè)計(jì)均由工程師站來進(jìn)行，任何自動(dòng)化廠商的工程師站如果被入侵的話，以腳本小子的技術(shù)水平都可能會(huì)對工業(yè)現(xiàn)場的設(shè)備造成極大影響，可以說工程師站就相當(dāng)于工廠控制系統(tǒng)的root賬戶)或者通過USB來感染西門子控制器的配置文件。換句話說，震網(wǎng)病毒的“簡單版本”需要攻擊者來故意傳播。

震網(wǎng)病毒的新版本(譯者注：“簡單功能”版)可以自我復(fù)制，通過網(wǎng)絡(luò)和USB來擴(kuò)散到所有的計(jì)算機(jī)中，這些計(jì)算機(jī)不僅包含安裝了西門子組態(tài)軟件的PC，其他的也一樣感染。(譯者注：西門子控制系統(tǒng)的組態(tài)軟件主要是WinCC，伊朗采用的就是WinCC，整個(gè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)中，安裝了組態(tài)軟件的PC通常是叫做工程師站，單純監(jiān)控類軟件的叫做操作員站，當(dāng)然還有存儲(chǔ)數(shù)據(jù)的DataServer等等，因此一個(gè)工廠中的控制層網(wǎng)絡(luò)中的PC數(shù)量可能在幾十臺(tái)，甚至更多。震網(wǎng)病毒的感染是將工廠網(wǎng)絡(luò)中所有的PC都感染了。)這表明，攻擊者已經(jīng)不必通過具有訪問權(quán)限的人員來直接進(jìn)行病毒傳播了，也不用直接訪問由其他部門安裝配置的離心機(jī)系統(tǒng)(譯者注：因?yàn)椴《疽呀?jīng)在控制層網(wǎng)絡(luò)中擴(kuò)散開了，現(xiàn)場的設(shè)備層離心機(jī)是接在了控制層網(wǎng)絡(luò)中的，所以此時(shí)所有的離心機(jī)驅(qū)動(dòng)都能夠訪問控制了。)。

更重要的是，震網(wǎng)病毒使用了之前并未被發(fā)現(xiàn)的微軟Windows軟件漏洞即“0day”漏洞，這些“0 day”漏洞在市場上價(jià)值數(shù)十萬美元。新版本的震網(wǎng)病毒(“簡單功能”版)盜用了數(shù)字簽名，從而使得它看上去是一個(gè)合法的驅(qū)動(dòng)程序，事實(shí)上最新版的Windows操作系統(tǒng)仍然會(huì)認(rèn)為它合法。

這一切都表明，某個(gè)新組織開發(fā)了震網(wǎng)病毒(“簡單功能”版)，該病毒包含了寶貴了0 day漏洞和竊取的數(shù)字證書。相比之下，開發(fā)震網(wǎng)病毒(“復(fù)雜功能”版)用來實(shí)現(xiàn)對離心機(jī)進(jìn)行壓力攻擊的團(tuán)隊(duì)是一群頂尖的工控系統(tǒng)安全專家和游離余IT信息安全之外的信息安全程序開發(fā)者(譯者注：說白了，這些人就是專門搞工控系統(tǒng)信息安全的，包括程序開發(fā)者)。而用于提高離心機(jī)速度進(jìn)行攻擊的震網(wǎng)病毒(“簡單功能”版)，則指向了更大的范圍和新的重點(diǎn)。如果震網(wǎng)病毒是美國開發(fā)的，根據(jù)已經(jīng)公布的資料可知就是美國人開發(fā)的，這只有唯一的理論上的地點(diǎn)：位于馬里蘭州(MaryLand)米德堡(FortMeade)的美國國家安全局總部。

雖然以多個(gè)“0 day”為代價(jià)，新的震網(wǎng)病毒(“簡單功能”版)與原始的震網(wǎng)病毒(“復(fù)雜功能”版)相比，更容易作為惡意程序被識(shí)別，因?yàn)樗蝗槐憩F(xiàn)出的奇怪的和精密的行為。(譯者注：肯定的，因?yàn)樗鼝阂獾恼{(diào)整離心機(jī)轉(zhuǎn)速，工業(yè)現(xiàn)場的工程師一下就能發(fā)現(xiàn)系統(tǒng)出問題了。)相反，震網(wǎng)病毒的原始版(“復(fù)雜功能”版)則表現(xiàn)的更像是一個(gè)合法的軟件，運(yùn)行在位于Natanz工廠中的西門子控制器中，唯一怪異的地方在于它沒有版權(quán)聲明和許可條款。(譯者注：工控廠商的軟件，通常都會(huì)有版權(quán)聲明的，大概說的就是這是哪家公司的軟件，不可以拷貝等等。另外，病毒應(yīng)該也能夠運(yùn)行在其他工廠的西門子控制器中。)而新的震網(wǎng)病毒(“簡單功能”版)則包含了黑客們夢寐以求的大量的Exploit，甚至一些很牛的反病毒研究者都覺得它有些地方太強(qiáng)大，需要仔細(xì)的研究。

新的震網(wǎng)病毒(“簡單功能”版)與原始版本(“復(fù)雜功能”版)相似，也采用了周期性攻擊的策略，大概每個(gè)月攻擊一次，但是觸發(fā)攻擊的條件要簡單的多。在進(jìn)行增加壓力攻擊(“復(fù)雜功能”版)時(shí)，需要檢測過程變量，在某一特殊條件出現(xiàn)下，則觸發(fā)攻擊。(譯者注：應(yīng)該是根據(jù)過程變量的數(shù)據(jù)值，來判斷是否進(jìn)行攻擊，個(gè)人猜測，該功能主要用來提升壓力，程序的邏輯可能是判斷當(dāng)前運(yùn)行的壓力信息，當(dāng)壓力信息達(dá)到某一個(gè)期望值時(shí)，控制泄壓閥關(guān)閉，從而使得壓力進(jìn)一步升高，從而起到攻擊效果，如果系統(tǒng)當(dāng)前運(yùn)行的壓力值不是很高的話，則不攻擊，表現(xiàn)正常。)，新的震網(wǎng)病毒(“簡單功能”版)則要更直接。

新的攻擊(“簡單功能”版)主要是改變轉(zhuǎn)子的轉(zhuǎn)速。利用過程壓力和轉(zhuǎn)子的轉(zhuǎn)速兩種方法能夠?qū)崿F(xiàn)增加轉(zhuǎn)子的內(nèi)壁壓力，其中通過增加轉(zhuǎn)子轉(zhuǎn)速來實(shí)現(xiàn)增加轉(zhuǎn)子的內(nèi)壁壓力是比較容易的方法。顯然震網(wǎng)病毒(“簡單功能”版)采用了這一辦法。通常IR-1型離心機(jī)的工作轉(zhuǎn)速為63000轉(zhuǎn)/分鐘，震網(wǎng)病毒(“簡單功能”版)對其提速了三分之一達(dá)到了84600轉(zhuǎn)/分鐘并運(yùn)行了15分鐘，接下來讓離心機(jī)停下來達(dá)到120轉(zhuǎn)/分鐘(譯者注：近乎停止，大家生活中接觸到的電機(jī)通常在幾千轉(zhuǎn)的樣子)，然后再讓他們?nèi)龠\(yùn)轉(zhuǎn)，整個(gè)過程持續(xù)50分鐘。(譯者注：大家可以想象我們自己開的車，把油門踩到底，然后急剎車，然后再把油門踩到底…每個(gè)月這么折騰一次，每次50分鐘的后果。)IR-1型離心機(jī)采用了超臨界設(shè)計(jì)，意味著轉(zhuǎn)子轉(zhuǎn)速到達(dá)工作速度前已經(jīng)超過了所謂的臨界速度，每當(dāng)轉(zhuǎn)子速度超過這些臨界速度時(shí)，會(huì)產(chǎn)生諧波，可能毀壞轉(zhuǎn)子。(譯者注：大學(xué)課程《電機(jī)拖動(dòng)》有過這方面的介紹，不過我忘了，大概說的就是電機(jī)運(yùn)轉(zhuǎn)有一個(gè)安全區(qū)間，在此一切ok，在此區(qū)間外就不妙了。就像葛優(yōu)說的，步子大了容易扯到蛋，電機(jī)速度太快也一樣。)，

如果在攻擊時(shí)僅僅一個(gè)轉(zhuǎn)子被毀壞，級聯(lián)保護(hù)系統(tǒng)能夠?qū)牡碾x心機(jī)隔離，并繼續(xù)欲行其他的離心機(jī)。但是如果多個(gè)轉(zhuǎn)子同時(shí)被毀壞(一個(gè)相當(dāng)有可能的情況)，伊朗的操作員就悲劇了，他們很詫異，為何如此多的離心機(jī)同時(shí)壞掉。庫房里雖然有足夠的離心機(jī)來更換，但是這讓控制系統(tǒng)工程師無法解釋這一問題而非常令人沮喪，可以把這些離心機(jī)看成幽靈機(jī)器(譯者注：確實(shí)，離心機(jī)就像幽靈一樣，統(tǒng)一掛掉。)

攻擊可能被工業(yè)現(xiàn)場的員工認(rèn)識(shí)到，通過他們的耳朵。(譯者注：電機(jī)速度劇烈變化的時(shí)候，能夠通過電機(jī)發(fā)出的聲音判斷出來。)。讓164臺(tái)離心機(jī)(或者更多)從63000轉(zhuǎn)/分鐘降到120轉(zhuǎn)/分鐘，然后在恢復(fù)到63000轉(zhuǎn)/分鐘，如果富有經(jīng)驗(yàn)的員工在現(xiàn)場拿掉他們的保護(hù)耳機(jī)的話，是能夠注意這一問題的。(譯者注：工業(yè)現(xiàn)場噪音很大，特別是離心機(jī)這種，現(xiàn)場員工可能確實(shí)佩戴保護(hù)性的耳機(jī)，那樣他們確實(shí)聽不到離心機(jī)的詭異聲響。)。這從另一個(gè)側(cè)面說明，震網(wǎng)病毒(“簡單功能”版)的開發(fā)者已經(jīng)接受被現(xiàn)場操作員發(fā)現(xiàn)的風(fēng)險(xiǎn)。

關(guān)于震網(wǎng)病毒通過破壞大量離心機(jī)，從而明顯降低了伊朗鈾濃縮的產(chǎn)能的文章已經(jīng)有很多。雖然那是毋庸置疑的，但是它并未表現(xiàn)出攻擊者的意圖。如果震網(wǎng)病毒導(dǎo)致了災(zāi)難性的后果，那么那就是個(gè)意外，而不是不是它的初衷。攻擊者可以采取一擊致命的措施，但是他們選擇了持續(xù)周期性讓其窒息的方式。震網(wǎng)病毒是一種低效率的武器，旨在降低伊朗的離心機(jī)的使用壽命，使得伊朗的控制系統(tǒng)表現(xiàn)的超出了他們的掌控。

此戰(zhàn)略很難被發(fā)現(xiàn)，當(dāng)震網(wǎng)病毒開發(fā)出來時(shí)，伊朗已經(jīng)具備了量產(chǎn)IR-1型離心機(jī)的能力。在2010年夏天，當(dāng)震網(wǎng)病毒大量爆發(fā)的時(shí)候，伊朗運(yùn)行著4000臺(tái)離心機(jī)，并且在庫房中保存著另外5000臺(tái)作為備用。一次性毀壞伊朗的操作設(shè)備并不能夠損害伊朗的核戰(zhàn)略，就像在1981年巴基斯坦發(fā)生的大地震，雖然嚴(yán)重的破壞了巴基斯坦的4000臺(tái)離心機(jī)，但是并沒有阻止巴基斯坦最終獲得核武器。據(jù)我的估算，震網(wǎng)病毒延緩了伊朗的核項(xiàng)目兩年，假使同時(shí)毀掉所有的離心機(jī)也不會(huì)產(chǎn)生如此大的延期。(譯者注：也就說通過這種病毒手段破壞離心機(jī)比通過暴力破壞離心機(jī)的性價(jià)比還要高)

圖為2008年至2010年Natanz工廠的離心機(jī)庫存數(shù)據(jù)，伊朗始終保存著至少50%的備用離心機(jī)，也就是說同時(shí)摧毀運(yùn)行中的離心機(jī)基本上不能阻止伊朗的核發(fā)展進(jìn)程。(譯者注：從圖中可以看出在某一階段09年底至10年底，伊朗的備用離心機(jī)數(shù)量超過了4000臺(tái)，比運(yùn)行中的離心機(jī)數(shù)量還多，如果一次性將運(yùn)行中的離心機(jī)全部干掉，伊朗仍然有足夠的離心機(jī)進(jìn)行替換。)

低效率的震網(wǎng)病毒攻擊方法提供了額外的附加值，它使得伊朗的工程師抓狂，并且使得他們再也不能有效的運(yùn)行工廠(該工廠的設(shè)計(jì)是20世紀(jì)70年代竊取設(shè)計(jì)后，開始運(yùn)行的)和他們過度的數(shù)字保護(hù)系統(tǒng)。與巴基斯坦的鈾濃縮計(jì)劃相比，人們會(huì)注意到一個(gè)重要的效率差異，巴基斯坦在其搖搖欲墜的經(jīng)濟(jì)背景下，僅用了短短兩年的時(shí)間就完成了從零開始到低濃度的鈾濃縮，并且沒有采用最新的數(shù)字控制技術(shù)。而伊朗雖然借助了巴基斯坦核販子A.Q. Khan的幫助并通過賣原油而積累了大量的資金，但是為了完成低濃度鈾濃縮花費(fèi)了超過10年的時(shí)間。如果伊朗的工程師不那么無能的話，他們應(yīng)該在能在震網(wǎng)病毒入侵他們系統(tǒng)之前完成鈾濃縮。(譯者注：不是敵人太狡猾，而是我方太無能。)#p#

相傳在2010年的夏天，當(dāng)震網(wǎng)病毒破壞了Natanz工廠后，由于控制軟件存在一個(gè)bug，在對該軟件進(jìn)行升級時(shí)，震網(wǎng)病毒便由此從核工廠向外界擴(kuò)散開來。(譯者注：伊朗不可能天真到為了升級控制軟件與而與外界進(jìn)行聯(lián)網(wǎng)升級的，因此它的升級應(yīng)該是通過售后工程師去現(xiàn)場進(jìn)行升級的。)雖然那是個(gè)美妙的傳說，但不可能是真的。震網(wǎng)病毒僅在局域網(wǎng)中的電腦間傳播，或者是通過USB拷貝文件時(shí)傳播。換句話說，震網(wǎng)病毒必須需要黑客來實(shí)現(xiàn)大量傳播，通過調(diào)制解調(diào)器或者VPN進(jìn)行遠(yuǎn)程訪問的這段時(shí)間里，黑客可以將震網(wǎng)病毒擴(kuò)散到整個(gè)世界。(譯者注：來自賽門鐵克的震網(wǎng)病毒分析文檔中介紹過，其主要是通過USB漏洞和打印機(jī)驅(qū)動(dòng)漏洞實(shí)現(xiàn)局域網(wǎng)內(nèi)的傳播的。因此，震網(wǎng)病毒在因特網(wǎng)上的傳播是有人明確的散播的。)

Natanz工廠的設(shè)備供應(yīng)商，同樣要為其他客戶進(jìn)行工作。這些人員很可能將他們感染了震網(wǎng)病毒的筆記本電腦帶到了其他客戶那里，并將他們的電腦接入了這些次要客戶的局域網(wǎng)中。例如，他們將震網(wǎng)病毒傳播到了一個(gè)水泥廠，而這個(gè)水泥廠的其他供應(yīng)商也將移動(dòng)PC接入了這個(gè)已經(jīng)被感染的局域網(wǎng)，這樣這些移動(dòng)PC就可以將病毒傳播的更遠(yuǎn)，傳播到另外一個(gè)水泥廠或者另一個(gè)國家。在這個(gè)傳播鏈條上，受感染的設(shè)備供應(yīng)商或者雇員可能通過遠(yuǎn)程訪問他們的機(jī)器，從而使得病毒傳遍了五大洲。震網(wǎng)病毒以它的方式迅猛的傳遍了世界各地。(并不是因?yàn)閿?shù)以億記的控制系統(tǒng)連接到了因特網(wǎng)，而是其利用了在因特網(wǎng)上的可信網(wǎng)絡(luò)隧道。)例如，遠(yuǎn)程維護(hù)通常會(huì)具備在線訪問共享文件夾的權(quán)限，從而給了震網(wǎng)病毒一個(gè)通過安全數(shù)字通道進(jìn)行傳播的機(jī)會(huì)。我和我的同事早在2010年幫助那些感染了震網(wǎng)病毒的客戶時(shí)就發(fā)現(xiàn)，這些客戶所從事的領(lǐng)域與核領(lǐng)域完全不相關(guān)。(譯者注：也就是說，震網(wǎng)病毒可能在很多的工業(yè)控制系統(tǒng)中存在，只是人家對于非核領(lǐng)域的工業(yè)控制系統(tǒng)不感興趣罷了，否則想搞你，很容易。)

鑒于震網(wǎng)病毒將被感染系統(tǒng)的網(wǎng)絡(luò)協(xié)議地址和主機(jī)名發(fā)送給了它的CC服務(wù)器(Command and Control Server)，可以看出攻擊者很顯然希望將病毒擴(kuò)散到民用系統(tǒng)，并很渴望精準(zhǔn)的控制其傳播。通過精準(zhǔn)的控制，最終實(shí)現(xiàn)將病毒擴(kuò)散到為Natanz工作的設(shè)備供應(yīng)商，以及這些供應(yīng)商的客戶，甚至伊朗的秘密核工廠。

震網(wǎng)病毒為未來的攻擊者提供了一個(gè)有用的藍(lán)本，給出了一條入侵堅(jiān)固系統(tǒng)的康莊大道。攻擊者并沒有嘗試滲透15層防火墻、3個(gè)數(shù)據(jù)單向保護(hù)設(shè)備和入侵檢測系統(tǒng);而是直接通過感染了具備訪問現(xiàn)場權(quán)限的軟目標(biāo)即設(shè)備供應(yīng)商。雖然設(shè)備供應(yīng)商也很重視他們的網(wǎng)絡(luò)安全，但是他們必然無法與Natanz工廠的保護(hù)措施相比。感染設(shè)備供應(yīng)商的移動(dòng)設(shè)備和U盤被證明足夠好，因?yàn)樗麄冊缤頃?huì)帶著這些設(shè)備進(jìn)入工業(yè)現(xiàn)場，并接入到Natanz工廠的核心系統(tǒng)中，很輕松的通過安全檢查。(譯者注：感染病毒的筆記本和USB，通過殺毒軟件在當(dāng)時(shí)根本就查不出來，所以，當(dāng)時(shí)只要接入伊朗的系統(tǒng)中，就必然中招)

任何后來的攻擊者當(dāng)他們想攻擊堅(jiān)固系統(tǒng)時(shí)，都會(huì)考慮這種攻擊方法。在全球范圍內(nèi)清醒的現(xiàn)實(shí)是，幾乎每一個(gè)工業(yè)或者軍事設(shè)施所使用的工業(yè)控制系統(tǒng)在一定程度上依賴其供應(yīng)商網(wǎng)絡(luò)，而這些供應(yīng)商，精于其業(yè)務(wù)，而疏于網(wǎng)絡(luò)安全。雖然工業(yè)控制系統(tǒng)信息安全專家已經(jīng)討論了很多年的內(nèi)部安全風(fēng)險(xiǎn)，這些圈內(nèi)人的討論無意間幫助了黑客部署了網(wǎng)絡(luò)攻擊武器–震網(wǎng)病毒。

雖然震網(wǎng)病毒是一個(gè)國家工程，因?yàn)樾枰罅康馁Y源和相當(dāng)高的智慧，但是未來面向工業(yè)控制系統(tǒng)或者“信息物理系統(tǒng)”(Cyber-physical System)的攻擊可能不再是國家工程。由于攻擊者自我強(qiáng)加的約束條件，即破壞設(shè)備的同時(shí)還要讓對方認(rèn)為這僅僅是設(shè)備可靠性問題，開發(fā)震網(wǎng)病毒付出了很大的代價(jià)。我個(gè)人估算，超過50%的工作是用來開發(fā)震網(wǎng)病毒的隱藏攻擊行為上，投入了大量的資金在“復(fù)雜功能”上，使得“復(fù)雜功能”一方面在進(jìn)行增加壓力攻擊的同時(shí)還要偽裝成一切工作正常的樣子。這一投入還包括建立IR-1型離心機(jī)樣機(jī)的全功能級聯(lián)保護(hù)系統(tǒng)，該系統(tǒng)使用了真正的六氟化鈾。(譯者注：下的本兒夠大的，建一套高仿的IR-1型全套系統(tǒng)成本肯定不小。)從震網(wǎng)病毒上獲取靈感的攻擊者并不需要將如此大的精力花費(fèi)在行為偽裝上，他們可能希望受害者知道自己正遭受網(wǎng)絡(luò)攻擊，并以此來炫耀自己。

與震網(wǎng)病毒的攻擊者不同，這些人(譯者注：指從震網(wǎng)病毒上獲取靈感的攻擊者)可能將目標(biāo)定位到民用關(guān)鍵基礎(chǔ)設(shè)施上。這些系統(tǒng)不但更容易被訪問，而且還是標(biāo)準(zhǔn)化的。運(yùn)行在發(fā)電廠或者化工廠的某個(gè)系統(tǒng)，可能與下一家工廠的系統(tǒng)配置的十分的相似。(譯者注：確實(shí)如此，甚至幾大工控廠商的產(chǎn)品，都有一定的相似度。)事實(shí)上，所有新式的工廠，都采用了標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)架構(gòu)，采用的設(shè)備都是來自這個(gè)行業(yè)里的少數(shù)幾個(gè)供應(yīng)商，采取的工控系統(tǒng)配置都相似甚至完全一樣。(譯者注：工控系統(tǒng)全套設(shè)備的供應(yīng)商，全球就那么幾家，細(xì)分行業(yè)后更少。)換句話說，如果你控制了一套工業(yè)控制系統(tǒng)，你可以滲透幾十個(gè)甚至上百個(gè)相同系列的工業(yè)控制系統(tǒng)。

縱觀這兩個(gè)版本的震網(wǎng)病毒，有一條最終線索(在這場表象的攻擊過程中，幕后隱藏著更為重大的事情)。在這場攻擊的奧運(yùn)會(huì)(Operation Olympic Games，多年的針對伊朗核計(jì)劃的在線間諜活動(dòng)和蓄謀破壞行動(dòng))中，顯然包含了比開發(fā)和部署病毒程序(雖然病毒程序很精妙)更多的內(nèi)幕。這不僅僅是一場攻擊，而是一場戰(zhàn)役，而且這場戰(zhàn)役的重點(diǎn)在執(zhí)行過程中發(fā)生了顯著的改變。

當(dāng)我的同事和我在2010年第一次分析這兩個(gè)版本的攻擊，我們最初認(rèn)為這兩個(gè)版本的攻擊是同時(shí)進(jìn)行的，也許其目的是想增加轉(zhuǎn)子轉(zhuǎn)速的同時(shí)使級聯(lián)保護(hù)系統(tǒng)失效。這被證明是錯(cuò)誤的，從過代碼可以發(fā)現(xiàn)，這兩個(gè)版本的攻擊并未協(xié)作。然后我們認(rèn)為用來攻擊離心機(jī)驅(qū)動(dòng)系統(tǒng)的病毒(譯者注：“簡單版本”)是是簡單的并且是先于“復(fù)雜版本”出現(xiàn)的。(“復(fù)雜版本”用來攻擊級聯(lián)保護(hù)系統(tǒng)。) 針對級聯(lián)保護(hù)系統(tǒng)的攻擊表現(xiàn)出了十足的網(wǎng)絡(luò)能力(“CyberPower”)，表面上看該攻擊是基于“簡單版本”的基礎(chǔ)上開發(fā)出來的。幾年后，發(fā)現(xiàn)我們想反了，原來“復(fù)雜版本”竟然先于“簡單版本”出現(xiàn)。那么為什么攻擊者會(huì)轉(zhuǎn)向“簡單版本”呢?

這兩個(gè)版本的巨大差異，表明改變攻擊重點(diǎn)很可能是因?yàn)槔嫦嚓P(guān)者發(fā)生了變化。通過技術(shù)分析表明，當(dāng)攻擊者嘗試以新的方式搞亂Natanz的業(yè)務(wù)時(shí)，攻擊者關(guān)心的首要問題已經(jīng)不再是攻擊被人發(fā)現(xiàn)的問題了。關(guān)注重點(diǎn)的轉(zhuǎn)移可能助長了一個(gè)簡單的見解：核擴(kuò)散來了又走了，但是網(wǎng)絡(luò)戰(zhàn)卻留下來了。這場攻擊的奧運(yùn)會(huì)(Operation Olympic Games)開啟了一場不可預(yù)知結(jié)果的實(shí)驗(yàn)。沿著這條路，一個(gè)結(jié)果變得清晰，即“數(shù)字武器”出現(xiàn)了。與“模擬武器”不同，它們并未通過軍隊(duì)來產(chǎn)生傷害，他們產(chǎn)生的附加傷害很少，它們可以被偷偷的部署，并且非常的便宜。這個(gè)打開的潘多拉盒子所產(chǎn)生的影響已經(jīng)遠(yuǎn)遠(yuǎn)超過伊朗本身，它使得20世紀(jì)的暴力戰(zhàn)爭看起來技術(shù)含量很低而且很殘酷。

換句話說，鼓吹這場在線的破壞戰(zhàn)役有附加的好處。隨著震網(wǎng)病毒的披露，這場攻擊的已結(jié)束，但是并未結(jié)束它的影響。五角大樓采用了不同于傳統(tǒng)的硬件，它不能顯示USB驅(qū)動(dòng)器。震網(wǎng)病毒的啟示向世界展示了在一個(gè)世界超級大國手中的網(wǎng)絡(luò)武器可以做哪些事情。它當(dāng)然使得美國免于尷尬，如果另外一個(gè)國家或者一個(gè)對手在數(shù)字領(lǐng)域率先展示出如此精妙的技術(shù)，那將是美國歷史上另一個(gè)不折不扣的斯普特尼克時(shí)刻。(譯者注：斯普特尼克時(shí)刻是人們認(rèn)識(shí)到自己受到威脅和挑戰(zhàn)，必須加倍努力，迎頭趕上。它來自當(dāng)時(shí)蘇聯(lián)發(fā)射的第一顆人造地球衛(wèi)星“斯普特尼克”一號(hào)，此舉擊敗了美國，率先進(jìn)入太空。)

我們并不確定震網(wǎng)病毒是否是被故意披露的，由于有如此多的人參與，它的一個(gè)意想不到的副作用竟然最終成為了關(guān)鍵。有一件事我們必須知道：震網(wǎng)病毒改變了21世紀(jì)的全球軍事戰(zhàn)略。