巴黎CBD拉德芳斯區。愛琴海大廈(Tour Egée)。在這座以外形奇酷著稱的40層三角形建筑中,尼克?法里耶正弓著腰、伸著脖子,在公司位于第8層的辦公室里緊張工作著。窗外,摩天大樓鱗次櫛比,隱約可以看到緩步走向新凱旋門的暑休游客和地上的白鴿。法里爾卻是“兩耳不聞窗外事,一心只研震網碼”,目標就是它那復雜的載荷。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-30.jpg)
愛琴海大廈
那是2010年8月初,法里爾進入震網3人小組剛滿兩個星期,錢哥和莫楚還沒發現震網中有那么多零日漏洞。在這兩周中,法里爾一直在和莫楚分析導彈部分中那個巨大的.DLL文件,但他知道,核心的秘密藏在載荷部分中。
這一天,和朋友們吃過午飯后,他開始了載荷部分的分析。具體步驟是,先把其中每個文件分離出來,再想方設法理解它們的格式和功能。他注意到,有一個.DLL文件的名字似曾相識。于是,他來到了測試計算機上的西門子Step 7程序文件夾。很快,他找到了一個同名.DLL文件。“這可真有意思。”法里爾想。
他斷定,一旦震網病毒發現計算機上裝有Step 7或WinCC,就會將與目標軟件相對應的同名.DLL文件從較大的.DLL中解包出來并解密。
法里爾使用藏在病毒代碼中的密鑰,解開了Step 7同名.DLL文件的密碼,發現它具有與合法Step 7同名.DLL文件的全部功能。除此之外,它還有一些包括“讀”“寫”指令的可疑代碼。法里爾畢竟“閱碼無數”,很清楚這是什么意思。原來,震網中的這個假冒.DLL是一個后門,感染計算機后在系統中潛伏,等待“系統企圖對目標PLC執行讀/寫操作”的時機,再實施進一步劫持(hook)。與震網病毒導彈部分中的后門類似,這個后門可以通過劫持讀函數(hooking the reading function),把對攻擊PLC的代碼隱藏起來。據法里爾所知,這是“史上第一個”針對工業控制系統的而設計的后門。震網脖子上掛的“第一”獎牌又多了一塊。
法里爾無法判斷這個假冒.DLL劫持讀函數,究竟是為了被動監視PLC并收集其運行信息,還是有什么更深的用意。但是,它劫持讀函數的行為,似乎在暗示,它正企圖停止PLC的正常運行或改變PLC的運行狀態。他瞄了一眼時間,現在是美國加州時間早上5點,給錢哥打電話太早了點,還是接著干活吧。
幾小時后,他終于找到了這一謎題的所有答案。結果正如他所料,震網病毒會把西門子軟件發給PLC的指令攔截下來,換成自己的指令。雖然看不到震網注入PLC的代碼,不能確定它到底讓PLC做了什么,但他敢肯定,絕不會是什么好事。這時,已經到了加州時間早上9點,法里爾拿起電話,給錢哥打了過去。
一般情況下,法里爾和錢哥每周聯系一次,通報一下法里爾這邊的工作進展。通話過程會非常高效,內容直截了當,時間不超過一分鐘。但這一次,法里爾詳細匯報了這次發現的所有細節。錢哥專心聽著這些驚人的內容。他們看到的攻擊越來越復雜。簡直可以說,震網的每一個角落中都藏著一個大大的驚奇。
錢哥同意,讓法里爾一心一意把震網注入PLC的代碼弄清楚。他們還決定,讓法里爾在博客上發布一個關于發現PLC后門的簡短聲明。當然,細節將暫時保密,直到法里爾搞清楚震網到底對PLC做了什么為止。
那天晚上,在回家的地鐵上,法里爾陷入了一種緊張不安的情緒中。4年來,他拆解過無數病毒,見過無數種惡意程序,已經很難再對這些東西感到激動。但這一次太不一樣了。對PLC的攻擊史無前例,而且,震網很可能會開創一個網絡攻擊的全新類型。
激動之余,他深知前路充滿坎坷。假冒的西門子.DLL文件很大,也不清楚Step 7和受其控制PLC的結構。法里爾和錢哥對Step 7和PLC完全是門外漢,甚至不能確定問題是否存在可行解,繼續破解載荷代碼的任務面臨著嚴峻挑戰。他們唯一知道的,就是他們正走在一條望不到盡頭的苦旅上。(待續)
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-311.jpg)
尼古拉斯?法里爾
法里爾長著一頭黑發和高盧人的面龐,看上去更像一個在巴黎某個夜店駐場的搖滾樂DJ,不像是每天坐地鐵通勤去公司讀代碼的技術宅男。而在生活中,他害羞話又少,比起去夜店嗨個通宵,他還是更愿意坐在電腦前,一行行檢視密密麻麻的程序代碼。
法里爾是個熟練的逆向工程師,特別擅長對[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")做深度分析。逆向工程是一種常人難以企及的藝術,主要內容是,取出一段由0和1組成的二進制機器代碼,并把它翻譯成人類可以看懂的程序語言。這項工作需要高度集中的注意力和高超的編碼技巧,對震網這么復雜的代碼來說更是如此。但法里爾就好這口。代碼越復雜,把它破掉的時候就越開心。
法里爾十幾歲的時候,經常玩一個叫做crackme(破解我)的代碼游戲,是程序員們為相互測試逆向工程水平而設計的。游戲規則是:程序員甲在一個小程序外面加了一層加密外殼,制成一個crackme文件,然后把它發到網上。程序員乙必須破掉加密和其他安全機制,挖出藏在里面的“小紙條”,再把這個“小紙條”作為成功破解的證據發給甲。法里爾逆向工程的技術底子正是在那時打下的。從某種意義上看,病毒和蠕蟲不過是更加復雜、破解難度更高的crackme文件而已。對于法里爾來說,玩游戲和破解病毒之間的唯一區別就是,前者只是好玩,而后者能賺錢。
法里爾在法國南部的圖盧茲出生、長大,那里是空客公司總部所在地,還有一家衛星技術研究中心。在這樣一個工程師和航空文化占主導的地區,法里爾從小就對科技感興趣絲毫不足為奇。不過,早期給他更多影響的,是機械技術。他父親是一名擁有并運營自己車庫的汽車機械師。法里爾上高中的時候,才開始接觸計算機,為他打開了另一扇門。他考取了法國國家應用科學學院的計算機科學專業。2001年,他趕上了紅色代碼病毒大爆發,造成超過70萬臺計算機被感染。這讓他對計算機安全產生了濃厚的興趣。在本科階段,他曾在法國的一份小型技術雜志上發表過多篇文章,還有一篇上了賽門鐵克公司旗下的安全焦點網(Security Focus)。在2005年底、攻讀計算機科學碩士學位時,他被告知,要有一份6個月的實習經歷才能申請學位。這時,他與安全焦點網取得了聯系,網站又把他介紹給錢哥。法里爾運氣實在是太好了。這時,賽門鐵克都柏林公司正在廣發英雄帖,而錢哥最缺的就是有經驗的逆向工程師。錢哥告訴法里爾,不需要什么6個月的實習了,我給你一份全職工作。“你打算給自己開價多少?”
“我不要錢,”法里爾說,“我只要實習。”
“小子,你瘋了吧?”錢哥說,“我會給你發個offer郵件的,等著吧。”
幾周后,法里爾去了都柏林。他很快適應了新的生活。但經過了和女友兩年“打飛的”式的異地戀之后,他提出,想去巴黎的賽門鐵克市場營銷分部。結果,他到了巴黎之后,發現自己是那里唯一一個搞技術的。這讓他時常感到格格不入,但同時也讓他把更多的精力放在自己的工作上。
他和另外兩名同事共用一間辦公室。在他的辦公桌上,有一臺用于運行[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的測試用臺式機,旁邊亂七八糟的放著一大堆技術論文和書籍,還有一臺裝有調試工具的筆記本,專門用于代碼分析。桌上唯一一件個人物品是一個圓筒形的魔方,每當他遇到難題的時候,就把它拿起來玩兩下。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-32.jpg)
雖然法里爾非常擅長逆向工程,但實際上在震網出現之前,他這身本事也沒派上過多大用場。一直以來,他扮演的角色是賽門鐵克的“工具大神”。他能制作各種程序和工具,讓其他分析師能更高效的破解[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")。不知不覺中,他已經扮演這個角色很久了。一開始,他只是把自己看著不爽的、低效的惡意代碼鑒定工具做一些調整,后來,他開始把這些工具分享給其他同事用,甚至根據他們的需求制作新的工具。最后,他用來制作各種工具的時間遠遠超過了破解代碼的時間。所以,這次要不是出了震網的事,錢哥點名找高層要他,他估計還在悶頭做工具呢。
法里爾分析震網載荷的工作,是從研究西門子Step 7軟件開始的。震網瞄準的Step 7軟件,是用來為西門子S7系列PLC編程的專用工具。它運行在Windows操作系統上,程序員可以在Step 7中為PLC編寫、編譯指令和代碼。Step 7不能單獨使用,必須和Simatic WinCC配合。WinCC是一種可視化工具,專門用于監視PLC及受其控制的進程。PLCs通過工廠生產網絡與WinCC監控臺相連接,始終處于與機器同步的工作狀態,定時向監控臺發送數據報告和更新,讓操作員能看到受PLC控制的所有機器和設備的實時運行狀態。西門子的.DLL文件對于Step 7和WinCC非常重要,扮演著向PLC傳輸指令和從PLC接收數據報告的中間人角色。震網假冒的,就是這個.DLL文件。他不僅能執行原版.DLL文件的任務,還會執行其他任務。
要弄清楚“幽靈.DLL文件”做了什么,法里爾必須首先理解Step 7以及合法.DLL文件的工作原理。他在網上到處請教專家,甚至想去趟西門子公司,但又不知道該找誰。這個.DLL文件不過是西門子用到的N個.DLL文件之一,要找到能真正幫上忙的那兩三個程序員,花的時間估計跟自己在這“硬破”也差不多。而且,說到底,還是自己破更有成就感嘛。
為了還原原版和“幽靈”版.DLL文件,法里爾把它們放進了反匯編器——用于把二進制代碼翻譯成匯編語言代碼的工具。他可以在代碼中添加標記和注釋、或者將各部分重新編排,來提高程序的可讀性。他每次只截取一小段代碼,然后按順序將一段段代碼排列好,并詳細列出每段代碼的功能。
研究者在分析復雜的惡意代碼時,一般會綜合運用靜態分析和動態分析兩種手段。靜態分析,是指把代碼放在反編譯器或調試器中觀察;動態分析,是指讓代碼在測試機上運行,使用調試器反復中斷、恢復運行過程,以便將每部分代碼的功能與該部分代碼運行期間對測試器產生的影響進行匹配。法里爾也是這樣做的。但這個過程,即便在最好的環境下,也會極其勞神而耗時,因為,研究者必須在兩臺機器之間跳來跳去。考慮到震網假冒.DLL文件的規模和復雜性,反匯編的難度就更大了。
法里爾用了兩個星期來驗證這個.DLL文件的每一個功能。最終,他確認了自己之前的懷疑,震網的確綁架了西門子這個核心.DLL文件,用假冒.DLL文件實現了劫持。它把原版.DLL文件的文件名從s7otbxdx.DLL改成了s7otbxsx.DLL,之后把假冒.DLL文件放了進去,成功實現了偷梁換柱。之后,當系統調用這個.DLL文件執行任務時,假冒.DLL文件中的內容就生效了。
替換成功后,假冒.DLL文件開始大顯身手。(待續)
每當工程師要向PLC發送指令時,震網都會將自己的惡意指令和代碼發送出去并執行。但是,它并未簡單的將原始指令覆蓋掉,而是增加了代碼的長度,把自己的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")放在的原始代碼的前面。然后,為了確認被激活的是[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")而非原始代碼,震網還在負責讀取和執行指令的PLC上“嵌入”(hook)了一段核心代碼。要將代碼天衣無縫的注入到PLC中,同時又不會造成PLC失靈,需要非常豐富的知識和高超技巧。攻擊者做的,實在太漂亮了。
攻擊的第二部分更精彩。在震網的惡意指令運行之前,[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")會先耐心的在PLC上守候兩周甚至更久的時間,專門做這件事——當控制器將運行數據發給監控臺時,就把合法操作對應的正常值記錄下來。之后,當震網的惡意指令開始執行時,程序就會把之前記錄下來的正常值“重放”給操作人員,讓他們無法知道機器中的任何差錯。這簡直跟好萊塢警匪片中,竊賊將循環播放的錄像插入監控攝像頭硬盤中一樣。當震網侵入PLC時,它還通過修改PLC安全系統中一個名為OB35的代碼段,廢掉了PLC的自動數字警報系統,以防止安全系統發現設備面臨危險時,停止受PLC控制的工作進程。這段代碼的功能,是監控受PLC控制的渦輪的轉速等關鍵操作數據。PLC每100毫秒就會生成這樣一段代碼,以便讓安全系統能在渦輪失控或出現其它問題的第一時間發現并介入,從而讓系統(自動)或操作人員及時關機、停車。震網一來,安全系統只能看到被震網修改過的正常數據,再也沒機會發現危險情況并介入其中了。
攻擊并未到此結束。如果程序員發現受PLC控制的渦輪或其他設備出了問題,要去看看PLC的指令中看有沒有程序錯誤,震網就會對此進行干涉,并阻止其看到惡意代碼。它是怎么做到的呢?原來,震網會攔截所有讀取PLC代碼段的請求,并向其提供減去惡意代碼段的“清潔版”代碼。如果某個試圖解決問題的程序員要用新代碼覆蓋舊代碼,震網同樣會介入,并將惡意指令注入其中。就算有人把PLC程序更新100次,震網也會把新代碼反復感染100次。
法里爾被攻擊的復雜程度及其可怕的意圖嚇到了。真相已經水落石出,震網的目的并非像人們之前想的那樣,是監聽受PLC控制設備的運行數據。它將指令注入PLC并將其隱蔽起來,同時關閉報警系統,根本不是什么間諜行為,而是赤裸裸的破壞!
而且,這不是一個簡單的“拒絕服務”類攻擊。攻擊者并不是要把PLC關閉,而是要在保留其正常功能的同時,從物理上破壞受PLC控制的工業進程和設備。這是法里爾第一次看到數字代碼不是用來改寫或盜取數據,而是從物理上破壞受程序控制的實體。
震網做的事情,簡直就是好萊塢大片的套路。這個大片,請布魯斯·威利斯當男豬腳再合適不過了。三年前,一部名叫《虎膽龍威4:虛擬危機》(Live Free or Die Hard)的電影中,曾上演過與之類似的橋段,其中帶著些許好萊塢特有的傲嬌和創造力。在這部電影中,由一個對政府不滿的前官員帶著一幫網絡恐怖分子,精心策劃并發動了一系列連環網絡攻擊:攻擊證交所造成恐慌拋售、攻擊交通信號造成交通混亂、攻擊電網造成大范圍停電……通過這些攻擊分散當局的注意力,從而實現他們的真正目標——從政府金庫中盜取大筆美元,并引發終極大爆炸。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-331.jpg)
電影海報上的布魯斯·威利斯
但是,這些電影情節甫一放映,就有計算機安全人士宣稱這是純屬虛構。黑客通過網絡關閉一兩個關鍵系統還有可能,但是爆炸?別逗了。《虎膽龍威》中大部分爆炸都是通過物理手段而非通過網絡攻擊實現的。但是,震網的存在似乎又在證明,這并非不可能。震網代碼中所蘊藏的技術、手段和智慧之豐富,遠遠超出了法里爾的見聞和預期。
雖然規模龐大、成就斐然,賽門鐵克終究還是一家充滿技術氣質的公司,以保護客戶的安全為己任。15年來,這家公司打敗過的“對手”,既有屌炸天的黑客和網絡犯罪分子,又有以獵取機構與政府情報的官方間諜。他們水平和特點各異,都算得上強大的對手,但沒有誰會想去對目標進行物理層面的破壞。而且多年來,惡意代碼的進化是漸進的。在90年代,惡意代碼制作者的動機非常相似,雖然有一些確實具有微弱的破壞性,但惡意代碼制作者的主要目的就是出名。那時,典型的病毒所追求的是張揚的、惡作劇式的效果。后來,當電子商務在互聯網上生根發芽后,黑客行為進入了以金融犯罪為主要特征的階段。病毒制作者的目的不再是吸引眼球,而是使出渾身解數讓病毒在目標系統中藏得越久越好,以供他們盜取大量信用卡卡號和銀行賬戶密碼等值錢的信息。最近,隨著官方情報部門的加入,在目標網絡中潛伏數月至數年、旨在不間斷獲取國家機密和其他敏感信息的高風險間諜活動開始出現。
但震網顯然走的更遠。可以說,它的出現,是病毒進化過程中的一次“基因突變”。法里爾和他的同事們之前所檢測過的所有惡意代碼,包括以信用卡中心服務器和國防部絕密情報為目標的頂級作品,與之相比都相形見絀。震網的出現,創造了一個網絡攻擊的全新領域,在這個領域中,賭注更大、風險更大、回報也更大。(待續)
長久以來,業內都流傳著一個未被證實的故事。這個故事似乎一直在暗示,早晚會有類似的事情發生。故事是這樣的:1982年,美國中情局設法在控制俄羅斯天然氣管道的軟件中,植入了一個邏輯炸彈。代碼一旦被觸發,將導致管道中的閥門失靈。最后的結果是,這個[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")引發了一場可以從太空上觀測到的劇烈爆炸。
錢哥回到卡爾弗城后,一直在思考一個問題:在伊朗,會不會有一些可能與震網有關的、原因不明的爆炸事件呢? 他查了查相關新聞報道,不禁倒吸一口涼氣。他發現,最近幾周真的有好幾起莫名其妙的爆炸。7月底,一條伊朗向土耳其方向輸送天然氣的管道發生了爆炸,爆炸地點位于距伊土邊境僅數英里的土耳其多烏巴亞澤特(Dogubayazit)城外。爆炸震碎了附近建筑的窗戶,大火持續了幾個小時才被撲滅。
另一起爆炸發生在伊朗西北部的大不里士(Tabriz)城外,爆炸的是另一條長達1600英里、從伊朗通往土耳其首都安卡拉的天然氣管道。第三起爆炸發生在波斯灣哈爾克(Kharg)島上,大火和沖擊波席卷了這家國營石化廠,造成了4人死亡。幾周后,位于阿薩魯耶的帕迪斯(Pardis)石化廠再次爆炸,5人死亡、3人受傷。而且,這次爆炸發生與伊朗總統內賈德來此參觀僅一周之隔。
這么多起爆炸,必定其來有自。庫爾德叛軍宣稱對多烏巴亞澤特和大不里士的兩起爆炸負責。伊朗國家通訊社(IRNA)將哈爾克島大火歸咎于石化廠中央鍋爐產生的過高壓力。帕迪斯石化廠爆炸的起因,則是工人在焊接管道時點燃了泄露的乙烷氣。那么,這些爆炸中,會不會有那么一兩起是震網引起的呢?錢哥想啊,想。
短短幾周前,他們開始解構震網時,誰曾料到會有今天的大場面?如果,錢哥他們猜測之事為真,那么震網對伊朗的攻擊,完全可以稱得上史上第一次網絡戰爭。
錢莫法3人組召開電話會議,討論下一步該怎么辦。直到現在,他們也還不能準確的說出,震網注入PLC的代碼到底具有什么功能,更不清楚受PLC控制的目標到底是什么。但是,他們認為,必須將當前的研究結果發布出來。于是,2010年8月17日,他們公開發布了一條新聞,稱:震網并不是什么間諜工具,而是專門用來實施物理破壞的數字武器。法里爾用他一貫低調的語氣寫道,“以前,我們曾報道過,震網盜取了數字證書并運用經典的后門技術把自己藏起來。現在來看,它的所作所為遠遠不止于此。”
為了揭示震網的破壞能力,他們引用了1982年西伯利亞天然氣管道爆炸的例子。新聞發布前,公司要求公共關系團隊對文章的用詞和可能引發的反應進行了反復審閱,確認沒有任何瑕疵后方準予發布,同時保留了關于“網絡攻擊導致物理破壞”的核心內容。文章一發出,他們就開始緊緊的盯著各大媒體,看業內是何反應。出乎他們意料的是,沒有任何情緒化和戲劇化的反應出現。用錢哥的話來說,“只有安靜,連掉根針的聲音都聽得見。”
錢哥覺得這太不正常了。畢竟,他們討論的可是史無前例的大事件啊。他們原以為,賽門鐵克發布研究成果之后,肯定會有其他研究者跟著發布自己的研究成果。這才是[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")分析行業的正常工作模式。每當人們發現新的惡意代碼,分屬于不同公司的研究團隊就會展開一場破解代碼的競賽,看誰能先把結果發布出來。一旦有一個團隊發布結果,其他人就會很快跟上,發布自己的研究結果。如果多個團隊得到的結果是相同的,那么,他們彼此的工作將成為某種意義上的“同行評議”,從而驗證結果的正確性。然而,業界對震網研究結果不同尋常的沉默,實在是令人困惑。錢哥心想,難道只有我們一家在檢測載荷部分代碼嗎?難道就沒有其他人關心這事嗎?
過了一會,他開始懷疑,他們在震網上花了這么多時間,到底值不值得。會不會有某個顯而易見的問題,別人都看出來了、而只有他們幾個還蒙在鼓里?回顧過去幾周的所有發現后,錢哥斬釘截鐵的確定,他們沒有犯錯,震網的重要性不容置疑,震網的攻擊意圖昭然若揭。
至于是否繼續研究的問題,如果說之前的研究是為了對客戶有個交待,現在他們已經沒有什么需要回答的疑惑了。他們已經向世人宣告,震網是一個以造成物理破壞為目的的惡意程序。但是,他們沒能找出,震網的目標到底是什么。在公布震網具有破壞意圖之后,他們又開始擔心,攻擊者會不會突然感覺壓力山大,并加速對目標實施破壞。如果是這樣的話,那還不如不公布的好。
顯然,擔心事情會越鬧越大的,并非只有他們一家。一直以來,從遭震網感染計算機發往槽洞的數據流量都比較穩定,但就在新聞發布5天之后,流量突然消失。看來,一定是伊朗內部有人看到了他們發布的消息。為了防止攻擊者或其他人繼續通過遠程方式感染計算機并造成損害,伊朗方面終于下令,切斷了國內所有染毒計算機與指揮控制服務器之間的連接。(待續)
