連續伏案工作了兩個小時,莫楚又累又煩。他不知疲倦的把一片又一片虛擬硬件“插進”Step 7模擬器中,孤注一擲的努力找出震網的攻擊目標,但不幸的是,他一無所獲。
這是2010年10月初,幾周之前,拉爾夫·朗納已經成功識別出,震網是針對單一特定目標的精確制導武器。此刻,德國漢堡和美國加州的兩個團隊仍然沒有任何交集,也不知道對方的存在,卻在同時埋頭研究同一個問題:震網的目標到底是誰?
賽門鐵克的研究員發現,震網在將具有破壞力的載荷釋放到315型PLC之前,會對集成在PLC內部的數據段進行搜索,尋找3個由數字和字母組成的“神秘數值”(16進制值)。震網感染PLC后,先在這些數據段中尋找“2C CB 00 01”“7050h”和“9500h”,只有同時找到這3個值,才會確認這就是它要找的目標。
錢哥在Google上搜了一下,但沒有發現它們和震網之間有什么聯系。他們懷疑,第一個值可能是與PLC連接(受其控制)的某個硬件設備的序列號,莫楚為此專門搭建了一套Step 7 PLC的模擬環境,想要確定這個未知設備的身份。Step 7系統具有內置的模擬器,可以在PC上構建一個虛擬的PLC網絡,這樣,用戶就可以在構建工廠中的真實環境之前,對不同的硬件配置進行測試。模擬器中有一個很長的硬件設備清單,用戶可以通過點擊菜單中硬件名稱的方式,對虛擬設備進行“插拔”操作。用戶每選中一個選項,相應設備的ID號就會顯示在屏幕上。但是,兩個小時過去了,他們按照列表上的順序,依次插拔了100多種設備,還是沒有找到與這個值相匹配的設備。莫楚開始感覺有點不對了。幸好他沒放棄。當他點到一大堆“現場總線卡”和“現場以太網卡”(用于PLC和受其控制設備之間通信)時,運氣終于來了。莫楚在“現場總線CP 342-5卡”的條目上,看到了這個值。
然而,確定現場總線卡還遠遠不夠。他還是不清楚PLC控制的是什么設備。在這個進展的鼓舞下,他快速的把清單中剩余的所有設備都“插拔”了一遍,不過第二個和第三個值沒有出現。不要緊。反正已經有所斬獲了。他們現在已經知道,震網正在尋找一個插著6塊現場總線卡的系統,還知道勝利就前方不遠處,向他們招手。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-471.jpg)
現場總線CP 342-5卡
震網曝光3個月后,公眾已經知道這段代碼的目標位于伊朗境內。但是,至于目標到底是不是納坦茲鈾濃縮項目,仍然只是個假說。賽門鐵克的3人組就快要從代碼中找到相關證據了。但首先,他們得先上一個關于PLC的藍翔速成班。
對于法里爾和他的同事來說,對震網意在破壞西門子PLC的發現絕對稱得上是個重大突破。但朗納的猜測是對的,他們在接下來的研究中碰釘子,這釘子就是PLC。“我們發現,根本什么都看不懂!”錢哥著急的說。
這時,法里爾發現,震網的載荷不是一個,而是兩個!震網像特戰突擊隊員一樣,手握“雙槍”,每一把槍瞄準一個PLC。一個目標是西門子S7-315型PLC,一個是S7-417型PLC。
侵入每個PLC的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")只有區區幾千字節,卻是破解震網最大謎題的關鍵。擋在他們面前的只有一個問題——他們誰都看不懂這段代碼的語言和格式。震網導彈部分代碼,用的是最常見的C和C++語言,適用于因特爾的x86系列計算機。但這兩個數字彈頭,用的卻是一種名為STL的西門子PLC專用編程語言,晦澀難懂。工程師要對PLC編程,首先要用STL語言編碼,然后將其編譯為一種名為PL7的匯編語言,最后在匯編成PLC可以直接執行的二進制機器語言。這意味著,即便法里爾把這些二進制代碼經過反匯編,轉換成PL7語言,仍然無法理解它的意義。這有點像破解中情局著名的克里普托斯(Kryptos)雕塑上用希臘語寫出的密文。賽門鐵克在8月17日發出的聲明中明確提出,希望具有PLC和STL語言方面知識的人與公司取得聯系、合作破解震網,但沒有人回應。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-481.jpg)
中情局克里普托斯雕塑上的密文
如果西門子公司愿意幫忙,他們就不用向公眾尋求支援了。但現實并不如意。之前,在他們分析破解震網的幾個月里,錢哥曾聯系過西門子公司。但每當他問到與Step 7系統如何工作有關的問題時,回復就變得異常緩慢,少則幾天,多則幾周。通常,等不到西門子回復,賽門鐵克就已經把問題解決了。
實際上,還有另外一個團隊可以給他們提供幫助,那就是朗納團隊。如果他們兩家聯手,可以說是天下無敵——賽門鐵克最擅長在Windows系統上對[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")進行逆向工程,而朗納團隊在西門子工控軟件和PLC方面具有最豐富的知識技能。但是,一封簡短的郵件和幾番博客上的互動,卻讓他們對彼此產生了誤會,合作也無從談起了。實際上,造成誤會的只是溝通過程中的某次小小失言,一個電話就能挽回局面,但這兩家都是傲氣沖天,誰都不愿意打這個電話。
在沒有外界援助的情況下,賽門鐵克的研究員們別無選擇,只好去買回來一大堆STL語言的書,硬著頭皮自己啃。他們覺得,破解STL代碼的最好辦法,就是先學會怎么用這種語言編碼。
每天早晚乘地鐵時,法里爾都會埋頭苦讀,想要盡快看懂STL代碼,但成效甚微。幾天后,他偶然間發現了一種在線的開源工具,可以用來替代Step 7軟件對西門子PLC編程。法里爾利用這種工具,可以看到STL在編譯成MC7語言之后的狀態,并通過這種方式,在STL語言和MC7語言之間搭建一個雙向轉換的橋梁,并借此反編譯震網中用MC7語言編寫的代碼。
法里爾花了幾個星期的時間,完成了對這段代碼的反編譯。震網注入PLC區區幾千字節的二進制代碼,暴漲為用于攻擊315型PLC的4000多行指令,和用于攻擊417型PLC的13000多行指令。對于法里爾來說,龐大的規模、復雜的結構和生僻的格式不僅難以閱讀,而且幾乎無法理解。于是,他決定把這些代碼翻譯成他能看懂的語言,比如C語言。但是,翻譯過來后,他只能對代碼進行靜態分析,而不能把它加載到PLC上進行動態分析。因此,他又編寫了一個小程序,在Windows系統上模擬PLC,然后載入翻譯后的代碼。經過此番折騰,法里爾總算回到了自己熟悉的套路上,并順利完成了彈頭代碼的破解。
代碼中最令法里爾印象深刻的是,它包含一個由6個步驟組成的循環體,這個循環會反復執行幾周甚至幾個月。一旦感染成功,循環立即啟動。這意味著,震網要做的,并非一擊致命,而是長期而隱蔽的實施破壞。這完全超出了他們的預料。隱蔽的破壞,加上對監控系統的中間人攻擊已經封死了向管理人員通風報信的渠道,讓故障變得更加難以探測,確定故障原因更是難上加難。這時,法里爾意識到,攻擊者希望暗中破壞可以一直持續至少幾個月的時間,而且,他們真的做到了。
攻擊的第一個步驟,是為期13天的偵察。期間,震網只是安靜的記錄著PLC的正常運行狀態,以便在破壞開始后把“正確的數據”發送給管理員。震網記錄的頻率為每分鐘1次,在完成約110萬次記錄之后,才會轉入下一個階段。
數據記錄完畢后,將開始長達2小時的倒計時。倒計時結束,破壞正式開始。不過,破壞僅僅會持續15分鐘。時間一到,破壞就會暫停,受PLC控制的設備重回正常運行狀態。5小時后,攻擊行動再次回到起點。這一次,震網會蟄伏大約26天,記下兩倍于上次的數據。破壞再次啟動,這次的持續時間是50分鐘。之后,破壞持續時間在15分鐘和50分鐘之間交替變化,而偵察蟄伏期則始終是26天。
法里爾完全看不懂,為什么要給破壞持續時間設定為兩個不同的值:15分鐘和50分鐘呢?而且,在弄清楚遭震網破壞的到底是什么設備之前,根本沒辦法找到答案。這就像是,在夜空中看到子彈呼嘯而過,卻不知道它打向何方。(待續)
破解震網之謎的臨門一腳,來自一位名叫羅布·胡爾斯波斯(Rob Hulsebos)的荷蘭程序員。11月初,這位現場總線協議方面的專家給錢哥發了一封郵件。他此前在博客上看到,賽門鐵克第二次在網上公開尋求技術支援,要解決的正是現場總線卡和關鍵基礎設施方面的問題。于是,他主動做出了回應。這封郵件只有兩段文字,大部分是錢哥已經掌握的有關現場總線的相關信息,但有幾句至關重要的話正是錢哥特別需要的。胡爾斯波斯寫道,與現場總線卡相連接的每個外部設備,都會有一個由現場總線卡分配給它的ID碼。這個ID碼的大小是2個字節、16位。
錢哥記起來了,之前有兩個沒破解出來的“神秘數值”——7050h和9500h,正好也是16位。
他走到莫楚的隔間,拿起黑莓手機,讓他看了看這封郵件。兩人四目交接,試圖從對方眼中找到些什么。莫楚迅速打開瀏覽器,對現場總線外部設備的ID碼進行了搜索,看到了一大長串產品手冊的鏈接。錢哥讓莫楚打開一個PDF文件,里面有一張與現場總線網卡適配的常見設備清單。清單上,設備名和16位的ID一一對應。莫楚從上往下搜了一遍,在清單底部找到了一個目標:9500h。清單上顯示,這個ID碼對應的是一家芬蘭公司生產的某型變頻器。接著,錢哥又搜了一遍,希望把另一個“神秘數值”也找出來,可惜未如愿。他只好給生產現場總線卡的公司發了封郵件,詢問ID為7050h的是什么外部設備。發出郵件的時候,他已經做好了石沉大海的準備,但沒想到,公司居然回信了!信中說,這是一家伊朗公司生產的某型變頻器。
變頻器是一種輸入電流調節裝置,用于控制發動機和渦輪機上的電流變化,以調整其轉速。頻率調高,發動機的轉速就會加快。ID為9500h的變頻器,由芬蘭偉肯(Vacon)公司生產;ID為7050h的變頻器則沒有具體的型號標識,由伊朗法拉羅·巴耶利(Fararo Paya)公司生產。莫楚懷疑,后者是前者的伊朗山寨版本。如果事實的確如此,那么估計伊朗國產變頻器的用戶,應該就在伊朗境內。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-224.jpg)
之后,他們下載了關于變頻器的所有資料,包括各個品牌的幾十本說明書。雖然沒找到上述兩款設備的說明書,但他們發現,有些說明書雖然來自不同品牌,但其中列出的控制指令卻大同小異。其中一條STL指令,正是法里爾從震網代碼中看到的“47F and 1”,它的意思是:“啟動變頻器,發送字符串47F,將值設為1。”莫楚看到這句話,禁不住把它大聲念了出來。他無法相信,四個月來,他們一直在奮斗在破解震網的第一線,夜以繼日、加班加點,就是為了確定它攻擊的目標。結果,最后的答案居然來自幾條Google檢索結果!這真是讓人既難掩興奮,又意猶未盡。
這時,天色已晚,錢哥和莫楚也精疲力盡了。于是,他們給法里爾寫了一封郵件,把他們的發現和寫著相關指令的說明書文件一并發了過去。錢哥寫道,“仔細看看,看你能不能在里面找到些干貨。”
法里爾一早醒來,打開手機看到了郵件,立刻飛一般的趕到了辦公室。他把從震網代碼中提取出來的所有配置數據和指令拉了個清單,然后一條一條的對著說明書查。不久,他就找到了所有的匹配項。之前他就懷疑,震網有可能通過PLC直接更改了某個設備的運行頻率。因為,震網代碼中有一些類似10640的數字,他猜測數字的含義可能是1064赫茲(單位為分赫茲)。現在可好,新的證據來了。
利用這些說明書,他在兩小時內完成了震網中所有指令的翻譯,據此拼出了震網攻擊的完整譜系,并把結果發給了莫楚和錢哥。
在震網開始攻擊S7-315型PLC之前,會首先確認系統中用的頻率控制器是偉肯公司或法拉羅巴耶利公司生產的,且其運行頻率在807赫茲至1210赫茲之間。此外,震網尋找的目標,是一個安裝有186個變頻器的工廠,且所有變頻器的運行頻率必須高于800赫茲。變頻器的用途非常廣,但運行頻率在600赫茲以上的卻很少。錢哥上網搜索后看到,美國核管制委員會規定,這種變頻器屬于限制出口類產品。那么,震網的目標是核設施這一點已經是板上釘釘了。朗納的推測,總算有了來自代碼中的證據的支持。
錢哥熱血澎湃,慨然感喟:美哉震網!壯哉我錢莫法男子天團!
破解震網代碼的工作花了他們好幾個月。這幾個月中,此三人真可謂“勉力爭寸進,凝神履薄冰”。熱眼回望,正是“循證謹嚴、渾然一體”。最后,法里爾繪制了一張堪稱“工筆”的流程圖,把震網315攻擊的過程從頭到尾、一步一步的擺了出來。
每當震網發現安裝Step 7軟件的計算機時,會將假冒Step 7 .DLL文件解包出來,并替換掉西門子原版.DLL。然后它會耐心等待,直到有程序員登錄這臺計算機上的Step 7,并讀取或編寫S7-315型PLC用的代碼段。這時,震網會將[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")注入這段代碼,并等待程序員將他的筆記本連接到PLC上,或者用U盤把這段代碼復制到PLC上。這個過程可能需要幾天甚至幾周,但一旦[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")進入PLC,對設備的破壞性攻擊就無可挽回了。
在13天的偵察后,震網會把變頻器的頻率提升至1410赫茲,并持續15分鐘;然后降低至正常運行頻率范圍內的1064赫茲,持續26天。在這26天當中,震網會將所需信息全部收集完畢。之后,最精彩的戲碼出現了。它會讓頻率在2赫茲的水平上持續50分鐘,然后再恢復到1064赫茲。再過26天,攻擊會再重復一遍。每次破壞性攻擊進行時,對監控系統的中間人攻擊都會起效,管理員會看到預先準備好的“正常數據”,此外,對安全報警系統的攻擊早已根除了“通風報信”的可能性。
至此,賽門鐵克完全吃透了震網攻擊S7-315型PLC的來龍去脈。不過卻對S7-417型PLC的攻擊尚無頭緒。一個導彈上,居然同時裝載著兩個目標迥異的彈頭。
S7-417型PLC屬于西門子的高端產品,內存為30M,標價1萬美元,可以買20個S7-315。似乎是為了凸顯它的身價,攻擊此PLC的代碼也更龐大。由于系統復雜度較高,針對417型PLC的惡意代碼共包括40個代碼段,而攻擊S7-315的只有15段。
這段代碼之所以如此復雜,一方面是由于目標環境更復雜,另一方面則是由于執行步驟更多。此外,它的結構非常怪異,給逆向工程帶來了極大的困難。一個指針套一個指針,一個跳轉接一個跳轉,很難搞清楚代碼的執行順序到底如何。這兩組惡意代碼之間的懸殊差異,似乎可以表明它們由不同團隊使用共同工具創作而成。
很明顯,攻擊者在針對417型PLC的代碼中,傾注了相當多的思考和努力。因此,當法里爾發現這段代碼有問題時,覺得很詫異。而且,這似乎是攻擊者有意為之。在用于檢測“417型PLC配置是否匹配震網目標”的代碼段中,攻擊者插入了一段“異常”代碼——故意放置一個意外錯誤而使程序無法正常執行。而且,代碼中根本沒有攻擊曾被激活的跡象。震網需要產生一段關鍵的中間代碼來激活攻擊,但用來生成這段中間代碼的程序并不完整。
對于417攻擊代碼是否有效,暫且不能得出結論。因為它是一段處于執行過程中的代碼,或是在已經完成任務之后、由于其他原因被廢棄了。法里爾想起了以前的一個新聞,其中有位伊朗官員說,共在伊朗發現了震網的5個不同版本。而目前為止,賽門鐵克和其他機構的研究者,卻只看到過3個版本。那么,會不會有這種可能,對417型PLC實施完整攻擊的代碼,藏在震網的其他版本中?
從他們在已有3個版本中發現的線索來看,確實有可能存在其他的未知版本。比如,從版本號上看,這3個版本分別為2009年6月出現的1.001版、2010年3月出現的1.100版和2010年4月出現的1.101版。版本號之間存在空缺,說明至少還有一個版本號為1.00的更早版本。當然,也許這個版本根本就沒有上線。
不論417攻擊代碼的目標是什么,它的攻擊方式肯定有別于315。與后者不同,針對417型PLC的彈頭,其目標系統由984個設備(6組、每組164個)構成。在攻擊期間,每組164個設備中,只有110個會遭到破壞。不幸的是,417代碼中并沒有什么像315攻擊代碼中的變頻器ID碼那樣,可以幫助他們識別出設備型號的“神秘數值”。與此同時,德國方面的朗納團隊也在研究417攻擊代碼,他們猜測,這段代碼的目標并非某個單獨的離心機,而是整個級聯機組,可能是控制級聯機組氣流出入的管道和閥門。但是,由于缺乏代碼細節層面的有力證據,兩個團隊都沒能得出417代碼目標問題的結論。經過幾個月的工作并取得諸多成果后,他們不得不暫時在這里停下腳步。看來,震網似乎還想讓這個連環猜謎游戲繼續下去。
由于無法充分理解417攻擊代碼,賽門鐵克團隊決定,先把自己已經取得的進展發布出來。這個進展,就是對315攻擊代碼的完整破解。
2010年11月12日,在VirusBlockAda公司首次宣布發現震網整整4個月后,賽門鐵克發布了一條博客,稱震網的攻擊對象是某個特定型號的變頻器,通過攻擊,實現了對其配置的操控。“震網的目標僅限于特定型號、運行特征顯著的變頻器,從這一點來看,我們推測,其目標范圍非常有限。”錢哥寫的既隱晦又謹慎,完全是賽門鐵克的風格。雖然他沒有明確提到伊朗核設施,也沒提離心機,但是明眼人卻能一望即知。(待續)
4天后,納坦茲的技術人員全面暫停了工廠的鈾濃縮活動。6天后的11月22日,所有離心機都停止了運轉。伊朗官員沒有對此做出解釋,但賽門鐵克研究員懷疑,工廠方面停工的目的,一定是為了在計算機中尋找震網的蹤跡。震網相關信息公開發布幾個月來,震網的具體攻擊目標和攻擊具體方法手段等并不十分明確。同時,由于震網在反偵察方面的突出表現,讓人們很難發現PLC上的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。"),也很難對離心機破壞源頭進行追查。然而,賽門鐵克的這篇報告,終于用夠硬的證據,在“離心機遭破壞”這一事實和“納坦茲出現數字武器”這兩者之間建立起一條不可磨滅的邏輯鏈條。盡管多家反病毒公司早就提供了震網病毒的特征碼,但這些特征碼只能檢測出Windows系統上的震網病毒,卻沒法檢測中震網注入PLC中的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")。并且,震網就像一只擁有許多觸手的章魚,將文件四處播散,納坦茲的技術人員必須對工廠中每一臺機器進行徹底殺毒和完全恢復,才能確保將頑固的震網驅逐出境。
很清楚,至此,震網大勢已去。它不僅無法繼續對離心機實施破壞,而且納坦茲工廠中未來出現的任何問題,都會讓廠方立即引起對震網的懷疑。在此之后,各方勢必會立即加強對工業控制系統的檢查和防范,要想再次利用人們的疏忽來發起類似攻擊,恐怕很難實現了。
震網大戲接近尾聲,賽門鐵克團隊開始打掃戰場,清點繳獲,簿記總結,為轉戰新征途做打算。
然而,納坦茲離心機停轉僅一周之后,邪惡勢力卷土重來,劇情再次出現重大逆轉。看來,阻撓鈾濃縮計劃的力量仍未善罷甘休。如果說惡意代碼的使命未達,攻擊方手上的其他手段,依然能起到同樣的效果。
2010年11月29日的清晨7點45分,德黑蘭南部的阿泰什大街(Artesh Boulevard)上車流熙攘。40歲的著名核物理學家馬吉德·沙利亞里(Majid Shahriari)在上班的路上,駕著他的標致轎車,擠在長龍般的隊伍中艱難前行。他是沙希德·貝赫什提大學(前伊朗國立大學)的一名教授,車上還坐著兩個人。一個是他的妻子,兩個孩子的母親,也是一名核物理專家,另外還有一名保鏢。這時,一種不祥的預感向沙利亞里襲來。
正在沙利亞里駛向一個十字路口時,車的左側突然冒出一輛摩托車。來者不善。膽大包天的歹徒朝司機一側的車門上拋下了一個“粘性炸彈”,然后逃之夭夭。幾秒鐘后,炸彈爆炸。后窗被震碎,司機一側車門被炸的稀爛,散發出金融熔化的氣味。沙利亞里當場斃命,他的妻子和保鏢也受了傷。附近瀝青路面上被炸出了一個坑,訴說著這場光天化日之下的謀殺。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp_21.jpg)
這時,在城市的另一邊,52歲的放射性同位素分離專家法雷多·艾巴西(Fereydoon Abbasi)也在上班途中遭遇了跟蹤。他發現,一輛可疑的摩托車從旁邊跟上來,然后又聽到車門上發出奇怪的聲響。艾巴西是伊朗共和國衛隊的成員,所以警惕性比沙利亞里高多了。他迅速跳車逃跑,把同車的妻子也拉下了車。兩人雖被受了點傷,但所幸死里逃生。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-126.jpg)
放射性同位素分離專家法雷多·艾巴西
據新聞報道,這兩名科學家都是伊朗核計劃中的核心人物。“他們都是壞人,”一位未具名的美國官員評論說,“從他們的所作所為來看,遭到報復完全是罪有應得。”
沙利亞里是一名中子輸運專家(中子輸運是啟動鏈式反應的必要步驟),西方媒體報道稱,他在伊朗核計劃中的地位僅次于政府高官。伊朗核計劃總負責人阿克巴·薩利希(Ali Akbar Salehi)對記者說,他曾在伊朗原子能組織中一個“重要項目”上擔綱,但沒說明是什么項目。
艾巴西在核計劃中的地位更加重要。他是伊朗僅有的幾名精通鈾同位素分離技術的專家,是鈾濃縮項目的技術領袖。同時,他作為伊朗國防部高級科技顧問、伊朗國民衛隊官員穆桑·法克里扎德·馬哈巴迪(Mohsen Fakhrizadeh-Mahabadi)的親密同事,還位列美國安全委員會的制裁人員名單之上。據信,馬哈巴迪被稱為“伊朗核計劃之父”。
內賈德總統對來自“猶太復國主義政權和西方政府”的職責不屑一顧。伊朗國家最高安全委員會秘書長賽義德·賈利利(Saeed Jalili)聲稱,這是敵人軟弱無力、充滿絕望的表現。“當敵人無計可施時,才會訴諸恐怖襲擊,”他說,“這意味著敵人很虛弱,而非強悍。”艾巴西康復后,被任命為伊朗原子能組織負責人。這一舉動,似乎在宣示,伊朗不懼怕敵人的陰謀,一定要將核計劃堅持到底。當局讓艾巴西在辦公室中掛一幅沙利亞里的照片,以緬懷先烈、堅定信念。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-225.jpg)
中子輸運專家馬吉德·沙利亞里
然而,眾目睽睽之下發生的兩起慘案,已經實現了襲擊者的預期效果。它讓伊朗核計劃中的每一個人都意識到,沒有人可以逃過暗殺者的魔爪。據報道,爆炸發生后,為了免遭血光之災,有多名伊朗科學家告假不出。
作為對內賈德指控的回復,美國國務院發布了一個簡短聲明。發言人菲利普·J·克勞利(Philip J. Crowley)說:“我們譴責一切恐怖主義行為,不管這行為發生在哪個國家。除此之外,我們對伊朗科學家遭襲之事毫不知情。”以色列方面則拒絕直接置評。不過,在襲擊發生當他,以色列總理本杰明·內塔尼亞胡(Benjamin Netanyahu)宣布,摩薩德(間諜機構)主席梅爾·達甘(Meir Dagan)在任職8年后退休。退休命令的宣布時機似乎在暗示,針對核科學家的襲擊和針對納坦茲離心機的攻擊,是達甘謝幕前的最后獻唱。達甘以擅長用暗殺手段解決政治難題而著稱。在他2002年就任摩薩德主席的任命典禮上,時任總理阿里埃勒·沙龍(Ariel Sharon)直白的稱贊他,在暗殺阿拉伯人方面“太能干了”。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-320.jpg)
以色列摩薩德主席梅爾·達甘
暗殺事件當天,內賈德總統似乎洞察到,這場襲擊和震網有著相同的指向。于是,他“對數字武器攻擊納坦茲核設施”一事首次做出了官方的確認。他在譴責以色列和西方國家發動爆炸襲擊的同時,還明確指責他們“一年前開始對伊朗核設施進行病毒攻擊。”內賈德說,病毒通過軟件“被注入電氣部件”,并對部分離心機造成了破壞。但是,他否認攻擊造成了顯著影響,只是說病毒僅僅對“一小部分離心機”造成了影響,然后就被工人發現并清除了。盡管他沒有說出病毒和遭攻擊設施的名字,但是所有人都清楚,他指的病毒就是震網,遭攻擊的核設施就是納坦茲。
當德國的朗納看到伊朗科學家遭襲的新聞時,胸口一陣發堵。他不知道,是不是因為自己對震網的揭露,才讓攻擊者在意圖敗露之后,使用如此出人意料的極端手段。這也讓他徹底看清,破解震網的工作,讓他陷入了一場充滿黑暗與殺戮的斗爭。
同時,這則消息也讓賽門鐵克的研究員們無不驚駭。在與震網交手的幾個月里,對于“誰是震網的操盤者、他們到底有多大能耐”的猜測,憑空生出無數黑色幽默和無端妄議。莫楚甚至聽到手機中傳出 “咔嗒咔嗒”的怪聲,總是覺得自己是不是被竊聽了。一個周五下午,當他離開辦公室準備回家時,他跟錢哥和法里爾開玩笑說,“如果周末我死了,我希望你們知道,我絕對不是自殺。”錢哥則養成了“每天早上出家門時看有沒有人跟蹤”的習慣。不過,他并不是真的認為自己身處危險。當他得知伊朗科學家遇襲事件時,跟莫楚開玩笑說,如果摩托車手敢靠近他的車,他一定會猛打一把方向盤,把他撞飛。但是,當他在下班回家路上的第一個十字路口停車時,還是禁不住神經兮兮的間或瞄一眼后視鏡,看有沒有摩托車手從旁邊沖過來。
雖然他們知道,自己不會因研究震網而遭到暗殺,但很顯然,破解震網之大勢已然轉向。像他們這樣,已經在破解震網這條路上走了很遠的公司,必須得停下來考慮考慮,再繼續往前走還值不值得。
在破解震網過程中,他們曾屢次停下來爭辯,到底該不該把研究成果隱瞞不發,或匿名發布。但實際上,除了沒公布5家首發遭襲公司的名稱之外,每次的結果都是“照單全發”。因為他們相信,他們公布的信息越多,就越能幫助公眾免遭震網及跟風模仿者的傷害。他們認為,只有“是否公布攻擊者的身份”這一問題有待進一步審視。但是直到最后,這個問題仍懸而未決,因為賽門鐵克沒有掌握有關攻擊者身份的確鑿證據。
事實上,連震網的目標就是納坦茲這一點,他們拿出的證據也并非無可辯駁。沒錯,變頻器的確是指向納坦茲的一個有力佐證,但是,他們并沒有證明,納坦茲核設施用的,就是這款變頻器。謎題的“最后一棒”,最終傳到了戴維·奧爾布賴特和他ISIS(科學與國際安全研究所)的同事們手上。(待續)
11月中旬,賽門鐵克公司在最后一篇報告中詳述了有關變頻器的發現,但直到兩周之后,ISIS的奧爾布賴特才看到。那是12月的一天,他正和同事們坐在會議室,和幾名離心機領域的特邀專家一道,召開伊朗核計劃研討會。研討會的主題,正是一年多來一直困擾他們的一個謎團。
2002年,ISIS發布的納坦茲衛星圖像,有力推動了伊朗接受聯合國核查人員進駐鈾濃縮工廠。從那時起,奧爾布賴特和他的同事們就開始了對伊朗核進程的持續跟蹤。除了偶爾從政府方面獲得一些信息之外,他們的主要信息源是IAEA發布的核查工作季報。這份季報也是了解納坦茲核設施第一手資料的唯一窗口。
18個月來,奧爾布賴特和他的同事們一直在緊盯著IAEA報告中不斷變化的數據。每隔3個月,核查人員就會在報告中列出一些數據,其中有納坦茲已安裝的離心機數量、級聯機組數量、處于鈾濃縮進程中的離心機數量,以及已裝入級聯機組、卻處于空閑狀態的離心機數量。此外,還有廠房中輸入離心機的氣體量,和經離心機濃縮后的高純度含鈾氣體量。
在2007年和2008年的大部分時間里,以上各項數據都處于平穩上升的趨勢,偶爾會有些細微的波動。在從2009年年中到年底,這些數據開始出現顯著變化。離心機產出的氣體量驟減,某車間中18個級聯機組中有11個機組的離心機出現了故障。很明顯,一定是出了什么問題,但報告中并未提及故障的原因。
奧爾布賴特和同事們對數據突變的謎團進行了幾個月的深入研究。他們嘗試從各個不同角度來分析:是不是離心機的組件生產質量不過關?是不是材料有瑕疵?是不是技術人員在安裝管道和閥門時出了差錯,讓氣體逸出了?然而,這些原因都無法對報告中的數據突變給出合理解釋。于是有了2010年的這場研討會。會上,有人提到了震網病毒和賽門鐵克剛剛發布的關于變頻器的研究報告。奧爾布賴特沒看過這份報告,但是他知道,伊朗鈾濃縮工廠用的變頻器正是報告中提到的芬蘭偉肯公司生產的,而且他們之前還采購過土耳其和德國廠商的其他變頻器。但是,他從未聽說過法拉羅·巴耶利公司的變頻器。顯然,他們的精力一直放在跟蹤伊朗核進程和具體的核活動上,根本沒有心思關注什么伊朗國產變頻器的事情。但是,這意味著,如果伊朗確實用了這種國產變頻器,就可以說明,震網攻擊者對納坦茲鈾濃縮項目情況的掌握程度,比在現場工作的IAEA核查人員還要深、還要細。
會后,奧爾布賴特回到辦公室,開始認真研讀賽門鐵克的報告。他還找來了朗納關于針對417型PLC攻擊代碼的報告。之后幾周,他全身心的投入到挖掘技術細節的工作中,甚至為解決一些疑惑專門與錢哥取得了聯系。有一次,他在與錢哥討論時,突然發現了一個之前沒注意到的細節。每當震網實施破壞后,都會把頻率設定為1064赫茲。他覺得,這個數字似乎在哪里見過。奧爾布賴特知道,不同離心機的型號和制作材料不同,因此不同離心機馬達的最佳運轉頻率也不同。納坦茲用的IR-1型離心機的最佳運行頻率,恰恰是1064赫茲。
而且,1064赫茲這個頻點是IR-1離心機獨有的。其他型號的離心機的標稱頻率都和這個數相去甚遠,而且根本沒有伊朗以外的其他國家使用IR-1型離心機。(雖然IR-1是以巴基斯坦早期使用的P-1離心機為模板設計的,但是巴基斯坦已經把本國鈾濃縮設施中的P-1離心機升級為使用其他標稱頻率的高級型號了。)
不過,很少有人知道IR-1型離心機的最佳運行頻率。奧爾布賴特也是在2008年偶然間從一位美國政府官員那里得知的。哪位官員對他說,雖然標稱的最佳運行頻率是1064赫茲,但伊朗人由于害怕轉速太高把離心機弄壞了,就把實際運行頻率略微調低了些,調到了1007赫茲。想到這里,奧爾布賴特得出了一個推論:要么是震網攻擊方不知道頻率調整這個細節,要么是伊朗人調整頻率的行為發生在震網代碼寫就之后。
奧爾布賴特還注意到另一個有用的細節。當震網實施攻擊時,會將變頻器的頻率設定為1410赫茲,并持續15分鐘。這個頻率,恰好處于IR-1型離心機馬達可以承受范圍的極限上,頻率再高一點,離心機可能就直接損毀了。
爾后,他又轉向了兩份報告中關于417攻擊代碼的部分。雖然他們兩家沒有給出明確結論,但都提到了一點:攻擊目標是由每組164臺設備構成的6組大型機組。據奧爾布賴特所知,納坦茲的級聯機組,正好是由164臺離心機構成的。這表明,針對417型PLC的攻擊目標,就是包含984臺離心機的6個級聯機組。
錢哥還告訴奧爾布賴特,與以“操縱頻率”為特征的針對315型PLC攻擊代碼不同,針對417型離心機攻擊代碼的特征是“簡單操縱某設備的開關”。于是,奧爾布賴特和他的同事們開始排查鈾濃縮工廠的設備清單,看有沒有與這種攻擊場景相匹配的目標。結果,他們得出了推測:唯一有攻擊價值的目標就是——閥門。
納坦茲的每臺離心機上,有3個控制氣體出入的閥門。此外,還有多個控制氣體出入級聯機組和機組中氣體管道的輔助閥門。然后,奧爾布賴特和他的同事們對各種場景進行了推演。他們試著在生產的不同時段對不同閥門進行開關操作,基本都會得出同一個結果:離心機很可能遭受破壞。
現在,奧爾布賴特可以說,他們已經找到IAEA報告中數據突變謎題的答案了。之前,內賈德曾在新聞發布會上堅稱,西方通過病毒攻擊納坦茲離心機,只造成了很有限的影響。但是,奧爾布賴特從IAEA的報告中看到的是,(從病毒首次進入納坦茲)到伊朗方面宣布發現病毒攻擊的這段時間里,至少有1000太離心機受到了破壞或被替換。
奧爾布賴特以此為主題,發布了一篇論文。文中內容,表明納坦茲之謎已經得到了徹底的解答。隨后,《紐約時報》緊跟著刊發了一篇敘事長文,主題就是“震網最大謎團——誰是幕后操盤手”。但是,文章的結論一點都不出人意料。文章指出,震網是以色列和美國發動的一次聯合行動,并得到了來自德國人和英國人的少許幫助和啟發。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.jpg)
文中還講到,根據匿名信息人士提供的信息,病毒由美國和以色列的程序員共同編寫,并在內蓋夫荒漠(Negev Desert)中的迪莫諾(Dimona)建筑復合體——始建于20實際60年代的以色列核武器研發基地內完成了測試。在迪莫諾,有關人員構建了西門子控制器和與納坦茲相同的IR-1型離心機的試驗臺,對病毒破壞處于運轉態離心機的效果進行了測評。美國有一家實驗室也參與了試驗。2004年,田納西州橡樹嶺國家實驗室獲得了一批P-1型離心機(伊朗IR-1型離心機的設計原型)。另外,尤蘭科(Urenco)財團的合伙人之一、英國政府可能也參與了試驗。試驗完成后,美國和以色列共同實施了對伊朗核設施的攻擊。
當被問到美國在震網事件中到底扮演了何種角色時,奧巴馬在大規模殺傷武器和軍控方面的首席顧問蓋里·薩默爾(Gary Samore)微笑著對《時代》雜志記者說,“我很高興聽說伊朗在離心機上遇到了麻煩,美國和盟國正盡我們所能,讓事情更加復雜。”
關于美國參與研發與使用數字武器的新聞,本應會在華盛頓和其他國家的政府層面的掀起一波輿論。畢竟,這引發了一系列令人焦慮的問題——不僅為美國脆弱的關鍵基礎設施帶來了遭受類似攻擊的風險,還面臨著各界在道德和法律上對“破壞性網絡攻擊本質上是戰爭行為”的拷問。然而,奇怪的是,坊間一片鴉默雀靜、毫無雜聲。看來,拉爾夫·朗納一改起初發博時大張旗鼓的風格,轉而保持低調沉默的做法才是對的。雖然官方沒有明確表態,但我們已經可以確定無疑的是:其一,以色列和美國就是震網的操盤者。其二,網絡戰時代正式來臨。(待續)
