德國漢堡。工業控制系統安全專家拉爾夫?朗納(Ralph Langner)正坐在辦公室里,看著他的兩個同事在測試機上運行震網代碼,演示出一系列巧妙的欺騙動作。為了驗證并再現震網向PLC釋放載荷的特定條件,朗納和他的團隊已經工作了好幾天,卻發現這件事遠非他們想象的那么容易。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp_55.jpg)
拉爾夫?朗納
幾天前,朗納團隊找了一臺計算機,在上面安裝了西門子Step 7軟件,碰巧手頭還有一臺西門子的PLC,就把計算機和PLC連上了。為了監視兩者之間的通信,還裝了一臺網絡分析器。與賽門鐵克的研究員不同,朗納團隊一直以研究PLC為主業,他們非常清楚裝有Step 7軟件的計算機和PLC之間的通信方式。因此,他們覺得在其中發現異常現象并不困難。但是,當他們把震網病毒導入計算機后,卻沒發現任何動靜。這太奇怪了。經過反復試驗,他們發現震網只對兩種特定型號的西門子PLC感興趣:S7-315和S7-417,但他們手上沒有這兩種型號的PLC。
他們只好在測試計算機的Windows系統上裝了一個調試工具,一來觀察震網在釋放載荷之前的行為,二來設計出一種方法、讓震網誤以為找到了目標PLC。原來,震網拉了一個很長、很詳細的配置清單,條分縷析的跟“目標PLC”進行比對。朗納和他的同事搞不懂它在做什么,還好他們也不需要搞清楚。每當震網“質疑”目標“哪一條不對”時,他們就連猜帶蒙的編造出一些響應值,直到震網“認為”可以通過比對為止。這實在是一種簡單粗暴的破解方法,因此效率不高,花了他們好幾天的時間。當他們好不容易湊齊了正確答案,并讓震網順利結束清單比對工作時,終于看到了賽門鐵克公司研究員在研究報告中所描述的情景——震網將一系列[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")段注入了PLC。朗納當時興奮的說,“這鬼東西,總算被我們逮到了。”
在將震網病毒導入測試計算機之前,他們通過分析測試機和PLC間的正常通信,已經掌握了Step 7發往PLC代碼段的正常大小和基本特征。因此,當看到感染震網之后的測試機發過去的代碼段所占空間略微大于正常值時,他們判斷其中必定有鬼。
那時,他們還不知道震網的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")能對PLC做什么,但發現PLC被[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")感染本身,就是一件重大新聞。作為工控系統安全專家,他們從未向客戶警示過這種形式的風險,也從未想象過會有這種攻擊手段。
在賽門鐵克的錢哥和法里爾看來,當他們于2010年8月17日發布消息,稱震網的目的是破壞PLC時,似乎根本無人關注此事。但實際上,在德國某地郊外的一間辦公室,有一個人對這條消息非常感興趣。他就是朗納。多年來,他一直警告工業界的客戶們說,可能有一天、有人會對控制系統發動網絡攻擊,并對系統造成嚴重破壞。那么,這條消息的出現,意味著這一天真的來了。
朗納是一家由3人小公司的老板。他的公司只做一項業務,就是工業控制系統安全。他對通用計算機安全毫無興趣,對那些以PC為目標的病毒發布公告漠不關心。即使是通用操作系統或軟件的零日漏洞,也吸引不了他的注意。因此,當震網首次登上科技新聞排行榜、并引發安全論壇上的廣泛討論時,他完全不知道有這回事。但當聽到賽門鐵克說,震網破壞了PLC時,朗納立刻來了精神。
賽門鐵克在公告中并沒有明確震網到底對PLC做了什么,只是很隱晦的說震網將惡意代碼注入了PLC所謂的“階梯邏輯”(即PLC控制離心機的核心代碼段)——這或許意味著將使PLC失效,又或許意味著將造成不愿言明的更嚴重后果。朗納意識到,包括他們公司客戶在內的數千家西門子PLC用戶正在面臨著一個“殺手級病毒”的潛在攻擊,并焦急的等待著西門子公司或賽門鐵克公司告訴他們,震網到底能對PLC實施怎樣的破壞。但奇怪的是,賽門鐵克在發出這條令人震驚的公告后,再也沒了下文。
朗納懷疑,賽門鐵克的研究員怕是遇上了難題,因為他們一天到晚跟PC打交道,缺乏PLC和工業控制系統方面的知識和經驗。可有意思的是,西門子也是一言不發。朗納想,哎,這就怪了。不管怎么說,被攻擊的是西門子家的產品,西門子有義務對惡意代碼進行分析,并告訴用戶應該怎么辦。但這家德國著名公司在7月份發布了幾條簡短的聲明之后,就陷入了沉默。
朗納怒了。雖然震網的目標只是安裝Step 7軟件的計算機,但誰知道它到底要干什么?誰又敢說它不會利用相關漏洞對其他系列和型號的PLC造成破壞?最重要的是,震網用于將惡意代碼注入西門子PLC的漏洞,可能同時存在于其他工業控制系統中。而彼時,因特網上已經可以自由下載震網的樣本,任何黑客、犯罪分子、恐怖組織可以研究這些代碼,并以其為模板設計出針對其他類型PLC、可大規模傳播、更具攻擊性的病毒來。
這讓另外兩個當事人——德國國家計算機應急響應團隊和美國國土安全部的工業控制系統網絡應急響應團隊(ICS-CERT)——的沉默更加令人費解。他們都是專門負責維護本國關鍵基礎設施控制系統安全的政府機構,但卻不約而同的,對震網的曝光及相關事態不置一詞。根本沒人聽說ICS-CERT發出了“有病毒注入西門子PLC”的警報,一句話也沒有。德國官方的沉默就更沒天理了。要知道,大多數叫得出名字的德國發電廠和大型工廠,用的都是西門子公司的工業控制系統。
于是,朗納把問題拋給了他的兩位同事:拉爾夫?羅森(Ralf Rosen)和安德烈亞斯?蒂姆(Andreas Timm)。經過討論,他們決定,要親自啃下這塊硬骨頭。雖然這兩位工程師之前從未做過病毒的逆向工程,但是,既然沒有其他人告訴他們震網病毒到底對PLC做了什么,他們只好自己動手了。這意味著,他們要在完成正常的、有錢賺的工作的同時,擠出時間來“做公益”。不過,他們確信,這正是他們的使命所系。
朗納他們3個人建立的這個團隊有點奇特,但非常高效。在工控系統安全這樣一個行業里,人們對工程師的印象往往是衣著邋遢、臉色蒼白、頭發亂糟糟的,而42歲的朗納恰恰有著令人眼前一亮的外型。他梳一頭利索的黑色短發、間或夾雜著幾縷灰色,穿一身時尚貼身的商務套裝,腳蹬一雙精心保養的皮鞋。他有一雙狡黠的藍眼睛,皮膚是健康的小麥色,還有著如登山客般勻稱、健美的身材。而這些,都是他常年在阿爾卑斯山中滑雪旅行和徒步攀越的副產品。而且,朗納的行事風格直率、大膽。可以這樣說,他既是個顏值爆表的男神,又是個特立獨行的怪咖。在業界,他以直言不諱、持論偏激而著稱,經常發表一些讓業內同行怒不可遏的刺激性言論。多年來,他一直喋喋不休的抱怨控制系統的安全問題。他這種又臭又硬的倔脾氣,經常讓最需要聽取他意見的人敬而遠之。與他相反,羅森和蒂姆這兩個40多歲的自身工程師,穿著隨意、談吐溫和,在團隊中扮演著朗納背后的輔佐角色。
雖然這3個人怎么看都不搭,但對于分析震網病毒而言,可能再也沒有比他們更適合的組合了。蒂姆已經為朗納工作了10年,羅森來的比蒂姆還要早3年。在長久的時間內,他們積累了關于工業控制系統的廣泛知識,特別是與西門子公司產品有關的知識。因為,西門子作為他們最大的長期客戶,經常買他們公司的軟件產品,并且有時會讓他們對員工進行培訓。可以說,翻遍整個西門子公司,恐怕也找不出幾個比他們仨更了解西門子工業控制系統的員工來。(待續)
朗納進入工業控制系統安全行業之路,可謂曲折離奇。他最早是一名經過嚴格訓練的心理學家,跟工業控制系統完全不沾邊。但有趣的是,正是他深厚的心理學背景,將他引向了現在的職業。他早在柏林自由大學學習心理學和人工智能時,就已經開始編寫用來統計和分析實驗數據的軟件了。為了進行心理學診斷,他還編過模仿人類決策模式的程序。
有一次,為了將自己的家用計算機接入大學的主機,他編了一個驅動程序。正是這件事,讓他最終走進工控系統安全領域。那時,朗納有一臺老舊的計算機,完成不了數據分析等需要較高運算能力的任務。每次他想要對實驗數據進行分析,都得來到校園、把計算機接到大學的主機上。朗納懶得跑來跑去,于是,他研究了服務器的遠程通信協議,并成功編寫了一個通過在家撥號即可接入主機的驅動程序。
大學畢業后,機智的朗納以這個驅動程序為業務基礎,成立了一個軟件咨詢公司。當時,這可算得上是一款突破性的產品。不久之后,工業控制系統的工程師們開始找上門來,讓他做控制系統與傳感器之間現場通信方面的業務。客戶們當時采用的通信方式,經常導致丟包,而朗納做的驅動程序卻能很好解決這一問題。
1997年,羅森加入了朗納的公司,并設計了一款可以將西門子公司PLC與桌面PC相連接的定制通信系統。在朗納他倆對西門子公司的PLC和通信協議進行研究的過程中,他們非常吃驚的發現了系統中存在大量安全漏洞。10多年后,當其他人來研究時,仍能看到這些漏洞。更讓他們不可理解的是,不管是工業控制系統的所有者還是運營者,對這些安全隱患漠不關心,因而沒有實施任何系統防護行為。運營者并未對關鍵系統和日常業務系統采取層次化或分段式的隔離措施,而是將所有計算機和PLC放在一個對等網絡之中,任何一臺計算機都可以訪問PLC。更有甚者,把控制系統直接接上因特網,卻沒有設置防火墻和密碼,或者使用那些不會更改的默認密碼和硬編碼密碼。
為此,朗納團隊推出了一項幫助客戶增強系統安全性的咨詢業務。但是,市場并不認可工業控制系統安全這個概念。這是因為,多年來,工控業界并沒有像通用IT行業那樣頻頻遭受病毒泛濫和黑客攻擊,所以工控業界中的大多數人都沒它當成什么大不了的風險。而朗納就像個怨婦一樣,不停的警告他們“你們總有一天會為自己的不在乎買單”,并且經常向他們進行“一個沒什么技術的攻擊者如何攻擊控制系統、并破壞受其控制的業務流程”的演示。然而,這并沒有什么卵用。“根本沒人聽,”朗納說,“只有極少數公司在工控安全方面投資。”
如今,10多年過去了,震網的出現最終驗證了朗納的憂慮。不過,震網所蘊含的力量和破壞力之大,還是超出了朗納的預期。這些年,他曾經設想過許多災難場景。比如,他曾設想,當某些PLC安全漏洞的公開會引來黑客攻擊,但完全沒想到黑客還能把惡意的“階梯邏輯”代碼注入其中,操控受其控制的進程。
在通用計算機領域,黑客攻擊的難度和級別往往隨時間而逐漸演化。先出現需要較少努力和技術的簡單攻擊,然后安全公司和軟件供應商做出響應、打上補丁。然后,攻擊者再尋找其他漏洞和攻擊路徑,然后防御者再次將漏洞堵上。每一輪攻擊都比上一輪更復雜,防御策略的難度也隨之水漲船高。類似地,朗納認為,在工業控制系統領域,攻擊行為的演進也會遵循這個規律。在他的設想中,最初出現的應該是簡單的拒絕服務攻擊——即向PLC發出“停止”指令,中斷受其控制的進程,之后再升級為邏輯炸彈或其他可以更改PLC設置數據的簡單技術。但震網越過了這些“初級階段”,其攻擊復雜性直達人力所能及的巔峰。
在震網的代碼中,讓朗納印象最深的是,針對安全系統和監控臺的“中間人攻擊”。震網先潛伏其中并記錄下正常運行時PLC接受到的狀態值,然后在病毒發起攻擊后屏蔽“故障值”,而將“正常值”發給PLC。這個操作的難度,可以與“6噸重的馬戲團大象表演單腿倒立”相媲美。其策略之巧妙、設計之嚴密,超出了朗納的見識和設想。
同時,這也是朗納設想的諸多場景中最具攻擊性的一種。因為一旦攻擊者破壞了向安全系統生成關鍵數據的邏輯,那么安全系統將無法做出預警,因而遲早會造成人員傷亡。如果某家化工廠或氣體精煉廠的安全系統和傳感器遭到破壞,攻擊者就能在不引起任何注意的前提下,釋放毒氣或可燃液體,直到引發災難。雖然震網的設計者并沒有殺人的意圖,但誰能確保那些不靠譜的跟風模仿者也會如此謹慎呢?
朗納估計,掌握設計震網所需的西門子控制系統核心知識的人,全世界不超過幾十個,自家公司就占了3個。不過,他們仨可沒有震網攻擊者那么大的本事。
對震網的分析已經持續了3個星期。這一天,朗納來到會議室,參加關于震網進展的例行晨會。羅森和蒂姆正開心的等著他。一般情況下,朗納總是衣著有致,精神抖擻。但這天,他剛剛加班整個通宵,看起來十分憔悴。夜里,他一條線索一條線索的追蹤,努力找出震網的攻擊目標,終于看到了一絲曙光。當他停下來思考時,突然靈光一閃,似乎悟出了什么。
“我知道震網要找的是什么了,”朗納胸有成竹的說,“它的目標是伊朗核計劃。具體目標就是布什爾核電站。”
如前所述,布什爾是伊朗西南部的一個核電廠,在數十年間停停建建、歷經浮沉。在遭遇多次推遲和取消后,最終計劃于這個月(2010年8月)開始投入運行。但就在此時,官員再次宣布推遲。由于這次推遲與震網病毒的發現在時間上重合,朗納認為,這足以證明兩者之間存在邏輯聯系。
羅森和蒂姆用不信任的目光看著朗納。羅森心想,誰會蠢到去攻擊核電站呢?難道他們不怕釋放出輻射性的核燃料嗎?如果真的要破壞核電站,為什么不直接上炸彈,而用相對不那么可靠的蠕蟲作武器呢?為了說服他們,朗納只好和盤托出,把散落的線索連成一串完整的邏輯脈絡,形成了一個瘋狂的推測。
近一個月前,當他們第一次得知震網病毒對PLC發起攻擊時,就開始從代碼中搜尋線索,看它到底想要攻擊哪些具體設備。他們認為,要想判斷震網的意圖,光研究代碼是不夠的,更重要的是搞清楚震網目標系統的配置情況。如果知道目標PLC到底控制著怎樣的設備,以及PLC用于某種設備時是否需進行特別的配置,就能大大縮小目標的可能范圍。
為了破解震網,他們在這座二層小樓樓上的一間小辦公室里,持續攻關了幾個星期。與賽門鐵克公司現代化的玻璃外墻辦公樓相比,他們公司位于一個安靜的居民區,四周到處是樹林。他們公司也沒有什么隔間,只有一間羅森和蒂姆用的開放式辦公室、一間會議室和一間朗納和他助手用的辦公室。
攻關期間,每天早上,他們都會開個碰頭會,評估一下取得的進展,然后各自開工。午餐和晚餐時分,他們又會在會議室或附近的小飯館再次碰面,聊聊各自的想法。工作時段,他們還要接聽客戶支持熱線。如果有客戶向公司下訂單,朗納就果斷回絕。要知道,他們的公司和賽門鐵克簡直毫無可比性,更沒有外部客戶會為他們的研究買單。相反,朗納必須從公司的利潤中拿錢出來,給員工發工資。所以看起來,他們根本沒資格把賺錢的正常業務拒之門外。但是,他們并沒有抱怨。他們都清楚,破解震網將是他們一生之中非常重要的一項工作。“我們知道,這是[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")界有史以來的天字第一號大事,”朗納回憶道,“破解震網是一項了不起的工作,也是我曾經做過的最棒的一項工作。而且我相信,我已經把它做到了極致。”
幾周艱苦分析后,他們得出了一個駭人的結論。震網的攻擊目標,并非西門子兩款特定型號的PLC,而是使用PLC的特定設備。震網可謂“軍用級精確制導武器“,它的攻擊目標是唯一的。它并不只是簡單的搜索S7-315和S7-417型號的PLC,它還要求,PLC的配置必須與某個清單精確對應。這個關于目標PLC技術配置的詳細清單,就保存在載荷部分的代碼中。我們知道,每一種使用工業控制系統的設備,都會或多或少的使用默認配置;但即使是同一個工廠的不同車間,也會根據各自需求對默認配置進行調整。但是,震網要找的目標,居然會有如此詳盡的PLC配置信息。這只能說明一個問題,就是它的目標,就是伊朗境內的某一個特定設施,或是使用完全相同配置、控制完全一致工業進程的多個設施。震網不會感染任何一個配置稍有偏差的工業控制系統,只會把它們作為傳播的載體和攻擊的跳板。
花這么多錢、費這么大勁,就為了區區一個目標?!這讓朗納百思不得其解。最后,他還是想通了:只有一種可能,就是目標非常非常之重要。現在他要做的,就是找到這個目標。(待續)
代碼分析部分的工作,大部分都是技術性、程序化的,包括分隔組件、解釋代碼、逆向工程等。但是,要找到數字代碼和現實世界中的某個特定目標之間的聯系,可不是什么技術活。對于目標,他們3個人提出了很多種假設,每提出一種,就回到代碼中搜尋證據。同時,朗納積極與業界的同行聯絡,讓他們看看,能否根據這些PLC特定配置信息找到對應的設備。但是幾天過去,毫無進展。最后,朗納決定,放棄通過技術細節尋找目標的路線,換個視角,從新聞標題和其他信息源中尋找線索。經過幾個通宵的上網搜索,他終于得出了“目標是布什爾核電站”的大膽結論。
朗納對布什爾核電站的懷疑,始于他回想起去年曾在網上看到的一張照片。據稱,照片來自一名記者對布什爾核電站的現場采訪。照片上有個監視器,上面彈出一條消息,顯示計算機上安裝的西門子WinCC軟件的許可證已經過期。這似乎可以證明,這家核電廠使用了西門子公司的軟件。來自工業控制系統業內同行的消息證實,布什爾核電站用的是西門子S7-417型號的PLC。進一步研究表明,為布什爾核電站安裝控制設備的這家俄國公司,在其他客戶工廠中使用的PLC也是西門子這個牌子。其中有一家客戶是保加利亞的核電站,這家核電站的控制系統很可能是以布什爾核電站為模板設計的。當朗納得知,這家保加利亞核電站有一個受西門子PLC控制的蒸汽渦輪發動機時,頭腦中立刻閃過3年前美國愛達荷國家實驗室做過的極光發電機實驗。那個實驗的結論恰恰是:[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")可以摧毀渦輪發動機。
公司的會議室里坐著3個人。朗納慷慨陳詞,羅森和蒂姆則為他邏輯清晰的推理頻頻點頭。他們很清楚,震網背后的工作量之巨超乎想象,世界上沒有多少目標值得如此大動干戈。如果如朗納所推測,震網意在破壞布什爾核電站,那這次攻擊實質上就是一種戰爭行為。
那么,如果這是戰爭行為,那么如果一旦將其公諸于眾,伊朗方面會做出何種反應呢?攻擊方設計震網的目的,本是避免與伊朗之間爆發全面戰爭,但如果現在放出這條消息,將很可能引爆熱戰!
經過與羅森和蒂姆的討論,朗納發現他走對了路子。為了進一步確認伊朗核計劃就是震網的目標,他給一位擁有豐富核電站方面知識的客戶打了一個電話。這位客戶在歐洲頂級鈾濃縮設備制造商——濃縮技術公司工作。巴基斯坦的卡迪爾正是從這家公司的前身——尤蘭科公司——偷走了一個早期離心機設計方案并賣給伊朗。朗納心想,如果震網的目標不是渦輪機,也許會是布什爾核電站用來濃縮鈾的離心機吧。(朗納錯誤的認為,鈾濃縮離心機應該在布什爾核電站。)
“我有個問題想請教你,”朗納在電話中說,“有沒有可能通過操縱控制代碼破壞一臺離心機呢?”
短暫的沉默過后,電話另一頭傳來了應答。“我不能告訴你,朗納。這是機密。”他說,“你知道,鈾濃縮離心機可不只有我們德國和荷蘭在用。其他很多國家也在用。”
“我懂的,”朗納說,“比如伊朗也在用。這正是我給你打電話的原因。因為我們正在分析震網。”
“對不起,”這位客戶嚴肅的說,“我只能說這么多了。關于離心機的信息都是機密。”
對于朗納而言,這樣的答復已經足夠。他告訴羅森和蒂姆,必須立即公布這條消息。如果布什爾真是震網的目標,自然會有人出來確認。震網和它的目標的關系就像鑰匙和鎖。一把鑰匙只能打開一把鎖。那么,如果他們公布了鑰匙的設計細節(針對鈾濃縮離心機),扮演鎖角色的工廠一定會看看,這把鑰匙是不是沖著自己來的。
2010年9月13日,在賽門鐵克發布“震網意圖是攻擊PLC而非竊密”的公告之后不到1個月,朗納在博客上以“本世紀最大的黑客攻擊”為題目,發布了一條簡短的內容。其中,他斷言震網的目的是“直接攻擊安裝某一特定工業控制系統的設施”,但沒有進一步言明。3天后,他在跟帖中進一步指出,“根據我們目前掌握的證據,震網利用機密級的內幕知識,發動了一次意在直接破壞設備的攻擊。我認為,有必要讓大家知道這個事實。”
緊跟著,是一張震網攻擊PLC的技術路線圖,詳細描述了震網攔截西門子PLC命令并注入[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的每個步驟。“這可不是哪個少年黑客呆在家里就能做出來的,”朗納寫道。攻擊者一定是那些具有國家背景、經驗老道、且掌握了目標系統特定知識的人。他大致描述了惡意代碼通過注入PLC對某些未知關鍵進程進行操控的過程,之后非常謹慎的拋出了他的“假說”——震網的攻擊目標是:布什爾核電站。他宣稱,雖然還有一些事情沒弄清楚,但代碼中的有效證據將足以指證震網攻擊的目標,并可能最終指證出攻擊者的身份。
短短幾句話,揭開了蒙在震網攻擊方臉上的面紗。至此,憑借一家白俄羅斯小公司,幾名完全搞不懂PLC是什么的加州研究員,和一個大言不慚的德國佬及其團隊的努力,僅僅幾個月時間,這個耗時數年、可能耗資數百萬美元、頂尖專家規劃并設計的網絡武器,就被徹底曝光并破解了。
這時,朗納開始考慮錢哥在發布公告后面臨的那個問題——攻擊方會作何反應?真正目標一旦曝光,震網就會立刻變成廢物。想必攻擊方肯定會考慮到這一點,并能清醒的認識到,要完成任務,必須利用好“從被發現到被徹底破解”的這一段機會窗口。那么,事到如今,攻擊者是否已經完成了最后一步的工作、實現了對目標的“致命一擊”呢?朗納認為,答案是肯定的。“我們將看到,馬上會有大事發生。”他在博客中寫道,“爆炸性的大事。”最后,他單獨發了這樣一條跟帖:“歡迎來到網絡戰時代。”
同時貼在網上的,還有一張名為“震網克星”的照片。照片以辦公室白板為背景,朗納身穿一件筆挺的白襯衣和沒扣紐扣的西裝背心,羅森和蒂姆在他身后。蒂姆戴著一副黑色墨鏡、微微頷首,3個人那是相當的得(裝)意(逼)。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-238.jpg)
朗納團隊
發博后,朗納同時向多家頂級媒體提交了新聞稿,期待著爆炸性的頭條新聞。結果讓他十分沮喪——根本沒人理他。賽門鐵克先前發公告后“鴉雀無聲”的情景,再次出現。朗納那時想,“看來,所有人都認為我瘋了。”
不過,至少有一個明白人,這個人就是德國安全公司GSMK首席技術官弗蘭克?里格爾(Frank Rieger)。他看過朗納關于“震網目標可能是伊朗核計劃”的推測后,深有同感。但是,他懷疑,目標不是布什爾核電站,而是幾百英里以北的納坦茲。因為布什爾核電站至今尚未開始運行,而納坦茲鈾濃縮廠2007年就開工了。而且,納坦茲有數千臺高速旋轉的離心機,對那些希望通過網絡攻擊來破壞伊朗核計劃的人來說,這才是最棒的目標。里格爾把他的想法通過博客發布出來,并在一家德國報紙上發表了一篇文章。在這兩條信息中,他都援引了路透社在2009年震網首次上線前后發布的一則報道。這則報道稱“以色列推出了一個針對伊朗核計劃的十年期網絡戰項目”,報道中還提到,來自美國的一個匿名人士推測,(以色列)可能使用“惡意軟件”來破壞或接管鈾濃縮工廠的控制系統。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-324.jpg)
德國安全公司GSMK首席技術官弗蘭克?里格爾
此外,之所以懷疑納坦茲,還有另外一個原因。震網首個版本上線3周后的2009年7月16日,維基解密創始人朱利安?阿桑奇(Julian Assange)在網站上發布了一條神秘的消息,稱納坦茲可能有事發生。與伊朗核計劃有關的一位匿名人士告訴阿桑奇,納坦茲近期發生了“危重”的涉核事故。一般來說,維基解密只在網站上發布正式文件,不會隨便發布來自匿名信息源的消息,但這一次阿桑奇親手打破了這個規則。他說,他有理由相信那個人說的是真話。并且,他在消息中還附上了一條當天發布的BBC新聞,稱伊朗原子能機構負責人阿扎加德,已于20天之前由于不明原因離職。從時間節點上看,這幾件事與2009年震網首個版本上線之間似乎存在著某種聯系。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-426.jpg)
維基解密創始人朱利安?阿桑奇
不論阿扎加德的離職是否與納坦茲事故有關,里格爾的“納坦茲假說”切切實實地引起了公眾對震網事件的注意。此前一直對震網持忽略態度的美國主流媒體,采信了里格爾的推測,開始對相關事態進行報道。十多年來,各方對于延緩納坦茲鈾濃縮進程的持續角力,使納坦茲始終處于地緣政治緊張局勢的焦點。現在,舞臺上又出現了一個前所未有的數字武器。突然之間,之前那個僅知名度僅限于科技界之內、干巴巴的技術神話,搖身一變成了一個有著神秘光環的地下間諜游戲。雜糅著政治、核設施、陰謀、高風險等元素的震網,成為公眾津津樂道、并愿意口口相傳的流行話題。(待續)
朗納首次發博之后,立即跟美國的喬?韋斯取得了聯系,就朗納團隊的發現進行討論。在工業控制系統安全業內,朗納和韋斯都屬于那種不太受人待見的“炮筒子”,彼此間卻惺惺相惜。他們在“勸說工業控制系統業主必須重視安全漏洞”的陣線上已經并肩戰斗了多年。業內人士一提到這倆人的名字就搖頭,同時卻對他們鍥而不舍的勁頭暗自欽佩。彼時,韋斯即將在馬里蘭州召開一場研討會,并安排朗納就另一個主題發言。朗納問韋斯,是否可以把主題換成震網。韋斯幽默的答道:“我是說可以還是說可以呢。”
朗納將于下周飛往美國參加這個研討會。他美滋滋的想,自己發表演講時,會場內一定會嘩然一片。就在此時,西門子公司和美國國土安全部分別就震網發表了一份聲明,但沒有任何實質性內容。看到這里,朗納立即在博客上宣布,將在研討會上公布團隊研究成果的全部細節。如此一來,與會聽眾們的胃口都被吊了起來。
韋斯給朗納安排的演講時間是45分鐘,但實際上朗納講了一個半小時。不過,沒有任何人覺得枯燥。來自水利、化工、電力行業的100多名與會者一字不漏的聽著朗納的發言。韋斯回憶起當時的場景說:“他演講時,在座的每個人一邊凝神靜聽,一邊張大嘴巴。”朗納真是科技界的奇才,他就像個經驗豐富而魅力四射的演說家一樣,能把干巴巴的技術細節講出花兒來。當然,他可不是來開嘉年華的,他是來震懾人心的。漸漸的,這些工業控制系統的業主們終于明白,如果明天有人發起一場針對PLC的大范圍攻擊,他們所有人只能坐以待斃,連探測都探測不到,更別提做出反應了。如果說一臺裝Windows系統的臺式機或筆記本遭到攻擊,還有辦法發現,然而,當有人用類似震網這種“黑科技”感染PLC時,任何人都無計可施。根本沒有針對PLC的反病毒軟件,也沒有任何方法可以在PLC受到類似震網的感染時發出警報。探測攻擊的唯一途徑,就是在病毒利用Windows系統作跳板、抵達PLC時將其發現。可是,震網讓Windows上的防護措施成了一個笑話,傳統的反病毒軟件全成了擺設。現場操作人員更是無能為力。
朗納預計,第一個跟風模仿攻擊將會在6個月之后出現。他警告聽眾說,這些攻擊可能會改頭換面,不像震網那么復雜,因為根本沒必要。只有像納坦茲那樣的高價值目標才需要攻擊者冒這么大風險,震網的攻擊者如果愿意,可以干掉任何有漏洞的關鍵基礎設施。只有震網的攻擊者才會小心翼翼,避免非目標計算機不會受到影響,而其他攻擊者恐怕不會費勁去走這個鋼絲。下決心通過攻擊工業控制系統來干掉某個發電廠的犯罪分子,根本不會在乎,病毒是否對發電廠的其他設備造成破壞,也不會在乎,病毒是否會感染其他控制系統。
研討會結束后的這個周末,朗納來到了華盛頓特區,向前任美國國家網絡安全協調官梅麗莎?哈撒韋(Melissa Hathaway)通報了他的研究成果。哈撒韋立即意識到:美國乃至全球范圍內所有關鍵基礎設施正面臨潛在的網絡攻擊威脅。她在事后接受紐約時報采訪時說,全世界沒有任何一個國家做好了迎接這種威脅的準備。“(跟風模仿者發起的)下一場攻擊到來之前,我們只有90天時間。”
就在這個周末,伊朗官員首次透露,布什爾核電站的計算機確實遭到了震網的攻擊。奇怪的是,他們并沒有提到納坦茲。而且,對布什爾核電站攻擊的細節,讓人開始懷疑:震網的載荷到底有沒有成功侵入呢?布什爾核電站的項目經理馬哈茂德·賈法里(Mahmoud Jafari)告訴記者,只有部分員工的辦公計算機遭到了攻擊,生產網絡安然無恙。“核電站中的所有計算機程序運行正常,并未受到震網的破壞。”伊朗電信部長雷薩?塔吉普(Reza Taghipour)也稱蠕蟲“可能包含”[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。"),但其感染并未造成顯著影響。因為震網只有在條件完全吻合時才會釋放載荷,所以報道中出現破壞有限的內容并不奇怪。但是,單從報道來看,震網似乎只是感染了布什爾核電站的PC,而沒有實現將其載荷注入PLC的目標。
然而,在伊朗發布的報道中,有一個引人注目的細節。賈法里在接受采訪時說,伊朗共發現了震網的5個不同版本。而賽門鐵克和其他安全公司卻只發現了3個。
是賈法里搞錯了嗎?不管怎么說,聽到震網可能還有兩個未知版本的消息,各方都很興奮。如果這兩個版本確實存在,那么其中很可能會有關于震網及攻擊者的更多線索。不幸的是,由于伊朗官員不愿將震網代碼拷貝給外國人,西方各國的研究員無法一睹其真容。
朗納這邊,在參加韋斯的研討會、會見哈撒韋之后,他需要冷靜一下,對過去幾周中所發生的這一切進行反思。于是,他步踱到美國國家廣場,在林肯紀念碑的臺階上,盯著來來往往觀光拍照的游客,一坐就是幾個鐘頭。他回想起美國國土安全部ICS-CERT和西門子公司發布的報告。難道他們不知道震網對PLC“階梯邏輯”的攻擊有多可怕嗎?難道他們不知道跟風模仿者的攻擊將給關鍵基礎設施帶來巨大風險嗎?為什么他們對此只字未提?為什么公眾和美國國會對震網的出現表現出匪夷所思的沉默?難道他們不在乎,震網打開了“合法使用網絡武器解決國際政治爭端”的潘多拉魔盒嗎?難道他們不憂慮,震網即將帶來一場不可遏制的軍備競賽嗎?朗納想,看來,大家都不愿意公開討論這些問題,因為公開討論會引發公眾對幕后真兇的無盡好奇與探尋。
朗納決定,就算全世界都不吭聲,他也要做那個“吃螃蟹的”。所以,他一回到德國,就把在韋斯研討會公開演講上“留了一手”的技術細節發上了博客。博文上線后,立即引來了包括美國政府和軍方在內的眾多訪問者。這正是朗納希望看到的。震網的重要意義已取得廣泛共識,因此其他安全公司會在朗納團隊研究成果的基礎上,繼續前行。雖然他們已經掌握了關于震網的很多信息,但仍然有諸多未知數,故而仍然有諸多工作要做。比如說,他們只是發現震網的目標是破壞某一處像納坦茲那樣的核設施,但究竟怎么破壞、破壞的效果是什么?要回答這些問題,還得回到分析代碼的路子上。
接下來的3周,為彌補研究震網期間的收入,朗納他們回到了做單賺錢的正常軌道上。但是,看到賽門鐵克和其他安全公司沒有一點動靜,朗納決定,再次停下公司的業務,重新撿起震網的活計。
“兄弟們,”他對羅森和蒂姆說,“震網的事,我們得親手干到底。”(待續)
朗納以為,美國政府并未在意震網,而且也不知曉它的技術細節。但實際上,美國政府中有人一直在關注此事,只是沒有公開而已。7月,白俄羅斯公司關于震網的第一份公告發出后,國土安全部的研究員們就已經在幾天之內,完成了對震網的大部分分析和破解工作,并先于賽門鐵克和朗納得出了震網意在破壞PLC的結論。
2010年7月15日早上,就在全球安全業界首次看到震網橫空出世的同時,美國國土安全部位于弗吉尼亞州阿靈頓的國家網絡安全與通信集成中心(NCCIC)也注意到了這個代碼規模龐大的蠕蟲。之后,西門子公司向德國國家計算機應急響應團隊報告,震網中的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")意在攻擊西門子PLC。這份報告又輾轉來到了美國。
NCCIC,一般被念作N-Kick,是一家以監視、控制、協調響應面向關鍵基礎設施和國內政府設施的攻擊為使命,而剛剛成立9個月的新機構。具有諷刺意味的是,收到來自德國的報告時,中心主任肖恩?麥格克(Sean McGurk)正在為即將舉辦的“網絡風暴III”演習做準備。這個系列的演習每2年舉辦一次,核心內容是模擬對美國關鍵基礎設施發動網絡攻擊。今年的演習,將是對全天候監控中心應急協同能力的首次真正檢驗。但是,與震網帶來的真實威脅相比,籌備演習的工作頓時變得不那么重要了。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-341.jpg)
NCCIC中心主任肖恩?麥格克
沒裝窗戶的監控廳,是個“絕密特務機構”(three-letter agencies)。坐在里面的,有中情局和國安局的情報分析員,有聯邦調查局和其他秘密機構的執法人員,還有來自國家互聯網應急響應團隊和關鍵基礎設施應急響應團隊的計算機安全專家。當然,也少不了來自幾家最大電信公司和關鍵基礎設施運營商的聯絡員。
麥格克把震網的副本交給了愛達荷州的ICS-CERT實驗室,在那里,研究人員得出了“震網[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")只會感染特定型號PLC”的結論。兩年前,實驗室在“國家SCADA測試平臺”項目中,就曾評估過震網攻擊的Step 7軟件的脆弱性,不過當時用來做實驗的PLC已經還給西門子了。現在,他們得重新找西門子要一個PLC,才能對震網做進一步的分析。足足3周后,PLC終于在西門子工程師組團押運之下,來到了愛達荷。
與此同時,愛達荷實驗室的研究員也沒閑著。他們一邊對載荷部分代碼進行逆向工程,一邊讓弗吉尼亞州監控廳的同事們破解導彈部分,通力制作用于標示震網各函數關系的流程圖。麥格克說,僅兩天時間,他們就區分出其中的4000多個函數(函數數量遠超大多數商用軟件),還發現了賽門鐵克和卡巴斯基后來挖到的全部4個零日漏洞。
7月20日,ICS-CERT對工業控制系統業主發出通知,稱發現以西門子Step 7軟件為攻擊目標的惡意代碼。但公告中并未提及運作細節,只是說“尚未掌握惡意代碼的全部功能和真實意圖。”稍后發布的公告中,提到了震網使用的零日漏洞的相關信息,以及如何檢測并殺滅惡意代碼的方法,但并沒有言明攻擊的目的,更沒有提到它所具有的破壞性。麥格克說,政府部門的職責是幫助關鍵基礎設施業主發現并去除震網病毒,而非告知惡意代碼的分析結論。
代碼分析任務完成幾天后,麥格克召開了一場由幾家政府機構和私營業主代表參加的電話會議,通報了中心的發現。在他們以往的討論中,偶爾會出現貶低漏洞重要性、及聲稱惡意代碼“沒什么大不了”之類的言論。有時候,持此論調的是政府官員,有時候則是關鍵基礎設施業主和運營商,還有時候是控制系統供應商。但是,當麥格克拋出震網這枚炸彈的技術細節時,電話中鴉雀無聲。“情況超出了所有人的預想。”他回憶道。
奇怪的是,自此之后,不論是電話會議還是監控廳,再也沒聽到任何關于震網的消息。麥格克說,震網剛出現時,監控廳中各家情報機構的分析員們,紛紛跑到本單位機密數據庫中搜索與之相關的線索,卻一無所獲。而且,監控廳中的人們都在暗忖:“這事是美國干的嗎?”但沒有一個人敢把它說出來。外人可能會想,為什么沒人去私下問問同處一室(監控廳)的中情局或國安局情報分析員,“哎,是不是你們搞的?”麥格克的答復是,中心的職責,是評估惡意代碼的功能特點,并告訴國人如何加以防范應對,而不是對攻擊進行歸因。因此,在監控廳這么嚴肅的工作氛圍中,就算有人想八卦,也不會真的問出來。
“誰也不會一看到惡意代碼,就覺得它是自己人干的。誰也不會認為躲在病毒之后的那個狙擊手就是自家兄弟。”他說,“當然,也許會有這種可能性……但是,在病毒剛出現那個階段的緊張氛圍中,誰也不會想太多,誰也不會把它(攻擊來自美國)當成默認判斷。”
很快,華盛頓方面對震網興趣大增。接下來的幾個月,麥格克不停的忙于向各部門的大佬們匯報情況。聽他匯報的領導有:國土安全部部長珍妮特·納波利塔諾(Janet Napolitano)、約翰·布倫南(John Brennan)及其他白宮國家安全事務團隊成員、參議院和白宮情報委員會、國防部以及國防部情報局的官員。他甚至親赴米德堡,向國家安全局局長、網絡戰司令部司令基思?亞歷山大進行了匯報。而業界普遍懷疑,亞歷山大,正是震網的幕后操盤者。
在米德堡,來自軍方、政府和情報界的一眾高官,認真聽取了麥格克關于團隊研究成果的匯報,但仍然沒有人就“美國在其中扮演何種角色”發問。他們問麥格克,震網會不會對美國的工業控制系統進行攻擊,暴露于震網攻擊之下的美國工業控制系統有多大規模。他們還好奇的問麥格克,能否判斷出震網的真正目標是哪里。最后的問題是,病毒代碼中有沒有跟攻擊者是誰有關的信息。對于這個問題,麥格克回答說,與知名黑客團隊或國家背景間諜的通常做法不同,震網并沒有在代碼中留下與攻擊者身份有關的線索。
麥格克認為,不論是在秘密匯報中,還是國會作證時,沒有一個人問過他“你認為是美國干的嗎?”這個問題。“我覺得,就算是開玩笑,也不會有人在正式匯報場合說出‘你認為是美國干的嗎’這樣的話。因為,這不符合匯報和作證詞的程序和風格。我知道,懷疑和推測四處流傳,但在我所接觸的這個層面,流言沒有市場。”
此外,也沒有任何人暗示麥格克,讓他下令他的團隊遠離震網。“沒人告訴我,嘿,停下來,不要分析震網的代碼了。”他說,“相反,在破解震網的工作中,我們得到了各個部門的通力合作……這些協作,既幫我們提高了代碼分析的效率,又幫各方加深了對震網會造成何種威脅的理解。”
然而,縱然華盛頓的官員們始終沒有公開討論這個顯而易見的問題,業界專家和觀察人士還是篤定的認為,要么美國,要么再加上以色列,就是震網攻擊的發起方。在他們看來,攻擊背后的真相浮出水面,只是時間問題。
如此,朗納對于“震網是針對伊朗核計劃的精確制導武器”的論斷,必將令白宮和五角大樓方面驚慌失措、痛心不已。因為,一個精心策劃并盡在掌控的驚天大密劃,在順利實施多年之后,正被人一步一步的抽絲剝繭,暴露在世人面前。(待續)
