2011年春天,震網的余波似已漸漸消散。賽門鐵克確定,震網攻擊的目標設備是某型號的變頻器;奧爾布賴特確定,使用這些變頻器的就是納坦茲的離心機。雖然美國政府沒有對此事正式表態,但《紐約時報》以長篇報道的形式印證了人們對“美以操盤震網”的懷疑。
對賽門鐵克而言,它該盡的責任都盡到了。研究人員放下公司的業務,花了半年時間破解代碼,還整理發布了一份涵蓋他們所有發現的70頁的檔案。他們對此感到非常欣慰。然而,沒過多久,歐洲又傳出了新的消息——有證據表明,震網不過是攻擊者用來攻擊伊朗和其他目標的一系列武器之一。
布達佩斯技術和經濟大學加密和系統安全實驗室(CrySyS)的波爾蒂撒·本恰特(Boldizsár Bencsáth)一邊咬著三明治,一邊盯著計算機屏幕。他正在安裝一款大型軟件,為即將到來的2011年秋季學期做準備。這天是9月1日,夏末暖陽尚在,寒冷秋風未訪,清朗的天空和適宜的溫度令人心曠神怡。雖然手上有不少事情,本恰特的心情卻是輕松加愉快。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-227.jpg)
波爾蒂撒·本恰特
這天下午,本恰特正在實驗室吃午飯,一個電話打了過來。來電話的是實驗室咨詢業務客戶、某公司CEO喬斯卡·巴圖斯(Jóska Bartos)。
“波迪(本恰特的昵稱),你有沒有時間幫我們個忙?”巴圖斯問。
“什么情況?和咱們上次談的業務有關系嗎?”波迪想起了他們之前討論過的一種新產品。
“不是那個事,”巴圖斯說,“這樣說吧,你現在能不能過來一趟?事關重大,千萬別告訴別人啊。”
本恰特三口兩口把飯吃完,跟同事打招呼說,“嘿,我有點急事,必須出去一趟。”聽到同事問“你去哪兒啊”,他回了一句“別問了,我去去就回。”一邊說,一邊跑出了實驗室。
到了公司一看,這里已經臨時成立了一個應急小組,就等他來討論問題了。巴圖斯開門見山的說:“我們公司好像遭到黑客入侵了”。
他們在一個開發人員的計算機上發現了一個可疑文件,文件創建時間顯示,它是在夜間沒人工作的時候生成的。文件經過了加密和壓縮,他們打不開。他們推測,這應該是攻擊者從機器上拷貝下來,打算之后再取走的數據。經過對公司辦公網絡的進一步排查發現,還有幾臺機器也出現了類似的情況。應急小組確定他們遭到了黑客入侵,所以他們想讓本恰特幫忙查查,黑客是怎么進來的、到底想干什么。雖然他們公司有一套比較全面的保護措施,包括防火墻、殺毒軟件、入侵檢測和防御系統,但還是沒能擋住黑客的入侵。
本恰特只是一名計算機教師,之前沒有做過[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")取證這類的工作。他是CrySys實驗室的4名研究生導師之一,主要任務是為歐盟開展學術研究,偶爾也為其他客戶做一些“咨詢”業務,其實就是一些病毒查殺與清理、恢復系統正常運行的一般性技術工作。他從來沒做過染毒目標分析,更別提對付仍在進行中的攻擊了。因此,對于這個挑戰,他感到有些緊張。而且,他還不能求助于同事。因為,該公司的運作非常依賴于客戶的信任,一旦被客戶發現其系統遭到黑客攻擊,就會立刻面臨客戶流失的窘境。
應急小組先前提取了染毒硬盤的鏡像,因此他們和本恰特先用一下午的時間對鏡像進行了分析。到了晚上,他們發現了一個用于記錄密碼和鍵盤按鍵的惡意程序。它可以盜取文件、對屏幕截圖,還可以對連接到計算機上的設備和系統進行編目,以勾勒出公司內網的拓撲結構。攻擊者并不急于將盜取的數據直接傳輸出去,而是耐心的把數據以臨時文件的形式儲存在染毒計算機上。應急小組最初發現的,就是這樣一個臨時文件。每當惡意程序完成一輪數據收集后,文件的體積就會隨之變大,直到達到某個臨界點,攻擊者才會將其傳輸至一臺位于印度的指揮控制服務器上。
天色已晚。公司刪除了鏡像中敏感的客戶數據,然后讓本恰特把鏡像文件和公司系統日志帶了回去。接下來的幾天里,本恰特單槍匹馬,又發現了多個惡意文件。與此同時,公司的應急小組也沒閑著,發現了3個可疑文件,其中包括一個內核模式驅動文件,和只感染了部分計算機的另一個驅動文件。
本恰特檢查這個內核模式驅動文件時,不禁心跳加速——這個文件居然有一個合法的數字證書,證書顯示由一家臺灣公司簽發。“臺灣公司……等等,” 本恰特心想,震網中的驅動文件,盜用的也是臺灣公司的數字證書。只不過,震網用的是瑞昱半導體公司的數字證書,而這個驅動用的是驊訊電子公司的數字證書。此外,此數字證書的簽發時間為2008年8月,與震網首次入侵伊朗計算機的時間重合。
難道,這兩者之間存在聯系?他想了想,然后搖了搖頭。任何人都可以盜取驊訊公司的簽名密鑰和數字證書,所以,這事未必是震網攻擊者干的。
之后,應急小組中有個人注意到了另一個與震網驅動文件的相似之處,即注入染毒計算機進程的方式。他對本恰特說,“這種方式我只在其他地方見過一次。”毋庸贅言,本恰特已經知道,他說的就是震網。但本恰特認為,這種技術并非震網獨有,這或許只是個巧合。
后面幾天里,本恰特和應急小組又發現了兩個與震網類似的技術特征。但每一次,他們仍然以巧合待之。他們心想,一道閃電不可能同時擊中兩樣東西。而且,沒有跡象表明,本次攻擊的目標是PLC。
病毒發現一周后,本恰特想到,會不會還有其他人也感染了同種病毒,因此他決定偷偷的做個試驗,看能不能把其他受害者或攻擊方給引出來。9月8日,他在個人網站boldi.phishing.hu上貼出了[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的哈希值,并用一種神秘的口吻寫道,“猜一猜,9749d38ae9b9ddd8ab50aad679ee87ec是什么意思?你懂的。”這個網站的域名phishing是計算機安全術語“釣魚電郵”的雙關語,但實際上卻是一個匯集了各種魚類食譜和罐裝魚烹飪評論的奇怪網站。把機密信息發在這樣一個網站上,可謂絕妙。因為,正常用戶根本看不懂是什么意思,只有當某人在Google上搜索這個哈希值時,才會在搜索結果中找到這個頁面并訪問它。而進行搜索的人,要么是相同病毒的受害者,希望在互聯網上看到相關信息;要么是攻擊的發起者,他們會想知道,有沒有受害者發現了這個文件,有沒有人在網絡上討論它。如果真的有人訪問這個頁面,網站的主人本恰特就能追蹤到訪客的IP地址。
可惜,幾天過去,訪問量仍然是零,于是他刪掉了這個頁面。
這時,秋季學期已經開始了,本恰特也陷入了各種繁雜的事務之中。他又要上課,又要帶研究生,還得給杜布羅夫尼克(Dubrovnik,克羅地亞度假名城)的某個研討會提交一篇論文。但不論他做什么,頭腦中關于病毒入侵的影子總是揮之不去。他參加完研討會返回布達佩斯后,立即和應急小組決定,把本次入侵中發現的驅動文件,跟震網中那個類似的驅動文件進行對比,看看兩場攻擊之間到底有沒有內在聯系。當他們把代碼導入16進制編輯器,一行接一行檢查后,一個個都驚掉了下巴。兩個文件幾乎完全一樣,唯一的區別就是使用了不同的數字證書。
本恰特將情況向公司CEO巴圖斯做了通報,并告訴他,需要CrySy實驗室其他同事的協助。這已經不再是一個單純的黑客攻擊事件了,可能會牽涉到國家安全等問題。巴圖斯同意了他的要求,但是他請求本恰特,不要對他人泄露公司的名稱。除本恰特之外的唯一知情方,是當地政府轄內的計算機應急響應中心,而這也僅僅是因為,他們與該公司之間存在業務往來。
本恰特打算,過完這個周末就把這事告訴同事。在周末里,他找來了包括賽門鐵克震網檔案在內、他能找到的有關震網的所有技術文獻,再次通讀了一遍。當他讀到震網用來隱藏代碼的加密手段時,專門把它跟新發現的攻擊進行了對比,結果,他發現兩者極為相似。就連新發現攻擊代碼中使用的加密密鑰,都和震網用的一模一樣。
然后,他又仔細觀察了新攻擊代碼中使用的6個內核級劫持函數(kernel hook,用于將攻擊代碼嵌入系統的特定函數),并將它們與其他已知攻擊進行了對比。他發現,有些攻擊的代碼中具有2個或3個相同的劫持函數。他又查了一下震網的代碼,結果,震網中恰恰使用了這6個完全相同的劫持函數。看到這里,本恰特確信,這兩場攻擊之間,定然有緊密的聯系。
當然,這未必說明,兩場攻擊的代碼是同一批人所寫,只能說明新攻擊的發起者以震網代碼為框架和模板,創作了新的攻擊。眾所周知,震網成功破壞了伊朗的鈾濃縮項目,那么,誰知道,這個新攻擊的目標是什么?它已經感染了多少個系統?(待續)
本恰特立即把他的發現寫成了一封電郵,發給了巴圖斯。這段時間,他們一直處于一種比較輕松的工作狀態中,有時間就分析一下代碼,沒時間就把它放著。但現在,他開始意識到,必須盡快查出攻擊的目的,并把相關信息公諸于眾,以便讓更多的人參與進來。當年賽門鐵克發布了震網的研究報告后,有人就在疑惑,為什么美國沒有從中作梗,不讓他們公開呢?而這一次,本恰特也有著類似的擔心:一旦他公開研究結論,很可能會有人出來對他橫加干涉。
周一,本恰特找來了他的兩個同事萊文·布詹(Levente Buttyán)和戈博·派克(Gábor Pék),組建了一個3人團隊。他們清楚,僅憑他們自己,還不具備深入分析這個復雜[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的能力。因為,他們沒有分析[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的經驗,就連用于逆向工程的調試工具都沒怎么用過。但是,他們也明白,必須要做一些先期的分析工作,才能說服其他更有經驗的研究者來關注它。在這個事件中,CrySyS實驗室在計算機安全領域的地位有點類似VirusBlockAda公司,非得拿出一些過硬的證據,才能讓別人相信,這場攻擊與震網之間有緊密的聯系,并著手開展進一步研究。
于是,他們確定了下一步工作的目標和時限:10天之內,盡量找到新攻擊代碼與震網代碼之間的更多相似點。在工作的過程中,他們驚訝的發現,兩者之間的相似之處比他們預想的還要多。10天之后,他們制作了一部60頁的研究報告。經過商議,巴圖斯同意本恰特向賽門鐵克方面共享報告,條件是隱去實驗室的名稱。他擔心,一旦公眾看到CrySyS的名字,就會聯想到受害者究竟是誰。
拿到這份報告的有,政府的計算機應急響應小組,賽門鐵克的錢哥團隊,一位在邁克菲(McAfee)公司工作的匈牙利籍研究員彼得·斯澤(Péter Szor),一位能幫助吊銷[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")中數字證書的威瑞信(VeriSign)公司員工,還有一位微軟公司的研究員。當本恰特親手將一封封郵件發送出去時,心中不禁波瀾起伏。“我非常激動,”他說,“我拋出了磚,卻不知會引來怎樣的玉。”
10月14日星期五早上,錢哥起床后,習慣性的打開手機查看收件箱,其中有一封郵件吸引了他的注意。郵件標題是“重要惡意程序”,帶有一個附件。發件人是匈牙利某個不知名實驗室的兩名計算機科學家。郵件中,他們用生硬的英文寫道,發現了一場與震網“高度相似”的新攻擊。他們將它稱為“毒區”,因為染毒計算機上的臨時文件都以“~DQ”為文件名起始字符。此外,他們還將它稱為“開啟了震網故事的新篇章。”
“由于缺乏處置類似事件的經驗,我們無法判斷下一步該采取何種行動,”他們寫道,“我們希望和包括貴方在內的其他專家開展合作。我們將提供惡意代碼的樣本,并愿意參與進一步的研究分析工作。”
錢哥把這封郵件轉發至公司事件應急小組的其他成員,并單獨給莫楚發了一條閱讀提醒。隨后,他懷著謹慎而激動的心情,把郵件遞交給管理層。
過去幾年,錢哥多次收到關于發現新型震網病毒的誤報,這讓他提高了對類似郵件的警惕。作為在知名反病毒公司上班的安全專家,對于周圍朋友和鄰居們一遇到困難就向他求助,他已經習以為常了。但在他帶領團隊破解震網病毒的工作公開后,出現了新的情況:偶爾會有一些陌生人跟他聯系,告訴他,政府正在用震網之類的惡意程序監視他們。一次,有個家伙給他寄來了一封信,里面有50頁的屏幕截圖和網絡流量日志的打印稿,還用黃色線條把重點標了出來。其中一頁上,他在一個包含“en/us”字樣的網址上畫了一個圈,說這就是美國政府正在監視他的證據。還有更令人啼笑皆非的事。一位寫烹飪書的女作家,曾用一種激進分子和犯罪分子用來隱去身份的匿名加密郵件工具Hushmail給錢哥發過幾封郵件。看到他對此視而不見,她又找到了錢哥的電話號碼,發短信提醒他。據她所言,她確信,有人正在用類似震網的病毒對她進行監視。理由是,每次去圖書館、把自己的U盤插入圖書館的計算機后,過不了多久家里的計算機也會感染同樣的病毒。
盡管錢哥對來來往往的錯報、誤報一笑置之,但卻不會錯過任何新消息。他打開這份來自匈牙利的報告讀了兩頁,立即發現了它的價值。他非常肯定的說:“這絕對是震網的親戚。”
雖然缺乏分析惡意代碼的經驗,盡管一再抱歉說“還有諸多問題尚待解決”,匈牙利科學家們仍然努力做出了一部令人眼前一亮的報告。報告中包括多組反編譯后的代碼段,向讀者展示出毒區與震網的相似點,還制作了一個標示兩場攻擊間10多個相同點/相似點的詳細列表。毒區中沒有針對PLC的攻擊代碼,甚至在鍵盤記錄器之外沒有任何載荷代碼。但是,震網創作者的特征在其中俯首皆是。毒區要么是與震網同出一門,要么是有人用與震網相同的源碼和工具制作出來的。
錢哥迅速給本恰特發了一個回執,然后開始焦急的等待莫楚到來,心中五味雜陳。他們一直期盼著,有一天自己或其他人能找到解答震網遺留問題的更多線索。而毒區的發現,似乎正是他們所希望的。然而,當初他們夜以繼日的干了幾個月,才完成了震網的破解,這一次的惡意代碼,會不會又是一塊難啃的硬骨頭呢?
莫楚看到錢哥發來的消息時還沒完全睡醒,但當他打開附件、看到研究報告時,頓時睡意全無。躍然而出的網絡武器,在短短的一瞬間,就驅散了他腦海中的霧靄。“我得去趟辦公室,”他一邊對女友說著話,一邊披上衣服沖出家門。
一路上,他邊開車邊整理思緒。回想起剛才看到的報告,他有點不敢相信,震網幕后的團隊仍在活躍。在媒體聚焦震網事件、曝光美以計劃之后,攻擊者應該會保持低調、暫避風頭。至少,他們會改頭換面,用一些新手段和新代碼,以確保一旦被發現,也不會被追查到與震網同源。但從這份來自匈牙利的報告來看,他們根本沒在改變代碼特征方面花什么心思。這幫家伙真有種。只要是他們認準的事,就下狠手去做,根本不在乎有誰把他們識破。還有一種可能,就是他們已經在毒區代碼上押上了重注,即便在震網遭曝光的情況下仍然不愿將它放棄。
莫楚趕到公司時,錢哥和同事們已經展開了對新攻擊代碼的討論。他們還聯系了已經從巴黎調到南加州分部的法里爾。然后,他們下載了匈牙利人發來的毒區源代碼,再次開始“全天候”的分析破解工作。他們欣喜的發現,毒區的規模比震網小得多,內部僅由幾個很容易破解的文件組成。一個周末過去,他們已經掌握了新攻擊代碼中的絕大部分功能細節。
本質上,毒區是一種遠程訪問木馬(RAT),為攻擊者提供一個可持續控守染毒計算機的后門。一旦后門成功安裝,毒區就會與指揮控制服務器建立通路,以便讓攻擊者從服務器上下載擊鍵記錄器或其他惡意程序,進一步增加攻擊代碼的功能。
很明顯,毒區的意圖與意在破壞的震網不同。它只是一個間諜工具。如果說震網像一個用來摧毀敵人的冷血殺手,那么毒區就像一個前哨偵察兵,為后續的攻擊行動提供情報支持。賽門鐵克懷疑,毒區的偵察,是另一項類似震網的攻擊的前奏。然而,毒區的生存期受到了嚴格的限定,它將在感染成功的36天后進行自毀,擦除在染毒計算機上的所有痕跡。(待續)
這些都很容易理解,但當繼續深入毒區代碼時,他們發現了另一個線索。它似乎與另一場已經困擾他們幾個月的攻擊之間有所聯系。6個月前,伊朗官員宣稱,他們的計算機遭到了來自跟隨震網而來的第二次攻擊。這時,距離他們首次承認“用于控制離心機的計算機遭到網絡攻擊”已經過去了幾個月。上一次,他們沒有給攻擊離心機的病毒命名,但這一次他們給病毒起了一個好聽的名字:“星辰”(Stars)。伊朗民防部長吳拉姆-雷薩·賈拉利(Gholam-Reza Jalali)沒有對命名做出解釋,也沒有提供有關攻擊的更多細節。他只是說,攻擊的目標不是破壞,而是盜取數據。他還提到,[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")似乎“被誤當作了來自政府的可執行文件”,這表明,[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")可能是攻擊者將惡意文件假扮成來自政府的文件,并作為郵件附件以“釣魚”的方式實施入侵的。
由于伊朗方面沒有對外界提供[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的實例,賽門鐵克和其他機構的研究者想分析也無從下手。同時,因為沒有關于“星辰”的其他佐證,很多研究者決定忽略伊朗的報告。他們認為,這要么是伊朗人為了指責西方再次發動網絡攻擊而編造出來的故事,要么是夸大其詞,把一種普通病毒說成了具有國家背景的攻擊。
但是,他們在毒區中發現的一些細節暗示,它可能就是“星辰”。在毒區的攻擊者將擊鍵記錄器推送至染毒計算機時,會將它嵌入一個.jpeg文件中,以躲避防火墻的過濾。由于原始圖像中的大部分數據被刪除、并替換成了擊鍵記錄器的代碼,所以,莫楚代開這個圖像時,屏幕上只能看到一小部分內容——黑色背景上的幾個白色單詞文本。文本只露出了上半部分,但仍可辨認:“互擾星系NGC 6745”。對其搜索所得結果顯示,這張圖像是哈勃天文望遠鏡在1996年3月拍攝而成。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp_25.jpg)
這張令人震撼的圖像上,一簇濃密的藍色和白色恒星遮蔽在一層金黃色氣狀物之下,一大一小兩個星系正在發生“碰撞”。有沒有這種可能,毒區就是之前攻擊伊朗的神秘病毒“星辰”呢?賽門鐵克和CrySyS實驗室認為,是這樣的。
賽門鐵克想把毒區的消息公開。發布前,公司的研究人員和本恰特對擬發布報告中的內容進行詳細檢查,消除了所有可能泄露受害者和CrySyS身份的蛛絲馬跡。10月18日,賽門鐵克團隊發布了一版隱去CrySys實驗室名稱及其所做工作的報告。報告中,受害者是“歐洲某機構”,最先發現毒區的是“某個互聯網領域的研究實驗室”。
賽門鐵克發布報告后僅1小時,本恰特就發現,有人在搜索他幾周前放在個人網站上的病毒文件哈希值。原來,雖然他已經刪除了這個頁面,但是Google緩存中仍然存有這個頁面。線上安全論壇上,也出現了關于這條被刪消息的討論。第二天,“一個奇怪的匈牙利魚罐頭網站居然與毒區有關”的消息一傳十、十傳百,本恰特平時無人問津的網站迎來了高達400次的訪問量。盡管網站上沒有本恰特個人的信息,但很快就有人通過域名注冊信息查到了他的名字,又通過Google搜索查到了他的工作單位——CrySyS實驗室。
這時,再想隱藏實驗室的身份已經不現實了。于是,本恰特在實驗室網站上發布了一則簡短的聲明,承認實驗室在發現毒區的過程中發揮了重要作用,同時呼吁各方停止“人肉”受害者身份的行為。然而,這來得太晚了。關于“毒區的受害者是歐洲一家數字證書認證機構”的說法不脛而走。
原來,邁克菲公司研究員彼得·斯澤(Péter Szor)在收到本恰特的第一封郵件后,就發了一篇題為“王炸現身”的博客文章,聲稱毒區的目標是數字證書認證機構,并建議各家認證機構立即開展針對毒區的自查。而現在,大家已經知道CrySyS實驗室是匈牙利的機構,那么不難猜測,受害者一定也來自匈牙利。而匈牙利的認證機構一共也沒有幾家,其中最大的兩家,一家是NetLock,另一家是Microsec e-Szigno。然而,好事不出門,壞事傳千里,很快,NetLock公司的幾名研究員不慎走漏了風聲,“受害者是NetLock”的消息傳了出去。
這下子影響可大了。數字證書認證機構(CA)是互聯網用戶之間信任關系的核心。他們向政府、金融機構和各公司頒發數字證書,用于標記其軟件和網站的可信性,以確保用戶下載的程序是由微軟等軟件公司生產的合法軟件,確保用戶登錄的網站是由美國銀行或Gmail運營的合法業務。攻擊CA意味著,攻擊者可以以任何公司的名義頒發數字證書,包括給惡意程序“蓋章”。與只是盜取了瑞昱、智微和驊訊3家公司數字證書的震網相比,這場攻擊更進一步。
如果毒區是美國和以色列的杰作,那么這將意味著,僅僅為了實施這場秘密的網絡攻擊,北約國家及其盟友居然在“支撐在線交易的可信基礎設施安全”方面做出了重大妥協。如果美國是這場攻擊的發起者,這將意味著,一個政府部門大力宣揚關鍵安全基礎設施重要性、推動制定可被各方接受的互聯網行為準則,同時,另一個政府部門卻在忙著入侵屬于北約盟國、對互聯網安全至關重要的關鍵安全系統,并給其他國家做出了錯誤的范例。要不是因為之前毒區的受害者沒曝光,公眾早就會對此大加鞭撻了。
放下這個細節不談,毒區曝光后,安全業界給出了與震網曝光時截然不同的響應。當年,賽門鐵克耗時數月破解震網載荷,其他研究團隊只是袖手旁觀,而如今毒區代碼剛一露面,各路人馬卻蜂擁而至,紛紛開始分析研究。究其原因,一方面,毒區沒有震網那么復雜,也沒有針對PLC的載荷;另一方面,這一次所有人都明白了,不聞不問會有怎樣的惡果。眾多研究員自忖實力超群,卻在震網開啟新時代時錯過了青史留名的絕好機會。
其中,有一家公司決心,這一次一定要做出點名堂來。它就是俄羅斯的卡巴斯基實驗室。實際上,早在震網被發現時,卡巴斯基的研究員就參與了研究。他們在破解震網導彈部分代碼方面完成了大量工作,并且作為首家發現其中全部零日漏洞的私營公司,將漏洞報給了微軟。但是,除此之外,他們寸功未立。因為,他們沒想到,震網竟然會如此特別、如此意義重大。客觀來看,陌生的PLC代碼成了進一步分析載荷的攔路虎,卡巴斯基最終判定,就算破解出PLC代碼,也得不到什么有價值的結果。于是,他們在完成對導彈部分代碼的分析后,沒有繼續深入。但這一次,他們不會再犯同樣的錯誤了。
毒區曝光時,卡巴斯基全球研究團隊負責人康斯丁·拉伊烏(Costin Raiu)正在北京候機,準備去香港參加一場會議。看到毒區的消息后,他的第一反應就是給莫斯科的同事們打電話。但是,由于時差關系,莫斯科還是深夜。于是,他趕在登機之前,迅速下載了賽門鐵克提供的毒區文件,在飛行途中開始了分析。
一到香港,他立刻聯系了身在莫斯科的年輕逆向工程高手、公司首席病毒分析師亞歷山大·格斯特夫(Alexander Gostev)。盡管賽門鐵克和CrySyS實驗室已經對毒區文件進行了深入分析,但拉伊烏和格斯特夫猜測,其中可能仍有遺落的重要線索。事實證明,他們猜對了。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-134.jpg)
打開毒區的文件,他們馬上意識到,這些代碼必定出自高人之手。毒區的代碼與他們經手過的一般間諜軟件相比,簡直是判若云泥。拉伊烏說,如果說前者是梵高的名畫《星空》(Starry Night),后者就是一幅藝校學生的習作。在內行眼中,毒區的代碼中充滿了大師級的巧思和才氣。(待續)
拉伊烏是一名在卡巴斯基工作的羅馬尼亞人,年方33。他和另一名研究員,與一幫市場營銷人員一起,在布加勒斯特一家規模很小的分公司上班。他濃密的頭發黑白相間,眼神有一種與他年齡不相稱的成熟和智慧。這讓它在以年輕人為主的研究團隊中脫穎而出,成為深孚眾望的領袖。而且,他僧侶般冷靜的舉止,讓他在同時面臨多項棘手任務時,仍能很好的應對壓力。在他帶領團隊深入探查震網和毒區幕后強大操盤者的幾個月里,他的這些可貴品質得到了充分的發揮。他們的行動,甚至引起了外國情報機構的注意。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp_27.jpg)
2000年,23歲的拉伊烏加入了僅有幾十名員工的卡巴斯基公司。他一來,就被分配到了一個名為“布拉格計劃”的下一代反病毒引擎研發項目組。
在社會主義國家羅馬尼亞長大的拉伊烏,從小就對化學而非計算機特別著迷。他最喜歡觀看某些化學成分混合在一起之后發生的燃燒反應,最喜歡學習用于揭示世界本質與結構的化學基礎知識。但有一次,他在做實驗時,險些燒掉家里的房子。于是,他的父母給他買了一臺國產的山寨PC,希望把他的興趣轉移到不那么危險的方向。很快,他就自學掌握了編程技巧,并在十幾歲時,從零開始設計了一個名為RAV的反病毒引擎。
他開發RAV的工作始于高中時期。一次,他們學校的網絡遭到了病毒感染,但殺毒軟件卻檢測不到。拉伊烏見狀,熬了一個通宵,提取出病毒特征碼,制作了專殺工具。隨著時間的推移,他不斷增加工具中的代碼和病毒特征碼,最終形成了一個相對成型的殺毒引擎。他為它取名為MSCAN,并免費分發給需要的人。消息傳開后,一個羅馬尼亞企業家找到了拉伊烏,邀請他加入他的GeCAD軟件公司,并開始用RAV(Romanian Anti-Virus的縮寫)為名銷售他的程序。RAV很快成為公司的主打產品,并在一次又一次的測試中擊敗各路競爭對手,贏得了微軟的關注。2003年,微軟與GeCAD公司簽訂了RAV的采購合同,但此時,拉伊烏已經離開了公司,轉投卡巴斯基。
當時,卡巴斯基實驗室在美國還沒什么名氣,主導美國殺毒軟件市場的是賽門鐵克和邁克菲。作為一家俄羅斯公司,卡巴斯基在西方國家面臨著不被信任的挑戰。特別是公司創始人尤金?卡巴斯基(Eugene Kaspersky)曾在一個具有克格勃背景的研究機構受訓,并在軍事情報部門任職。但是,在東歐等地區,特別是在美國公司不被信任的中東地區,卡巴斯基逐漸積累起一定的聲譽。
拉伊烏剛進入卡巴斯基時,干的是程序員的工作,之后于2004年進入公司新組建的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")調查與逆向工程團隊。2010年,這個團隊已經在全球各大洲設立了子團隊,而拉伊烏則成為了團隊的負責人。毒區曝光后,多個子團隊都加入了研究分析毒區的行動。
團隊的技術工作由格斯特夫牽頭。格斯特夫是個清瘦的小伙子,有一頭淺棕色的短發,還有點輕微的駝背,讓人很容易聯想到,這肯定是他長期彎腰盯著電腦而造成的。當他和同事們仔細檢視代碼時,發現其中有很多罕見的現象。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-135.jpg)
亞歷山大·格斯特夫
一個特別有趣的部分,是攻擊者用于“向染毒計算機發送盜取數據附加載荷”的功能組件。與毒區和震網所有其他部分代碼不同的時,他用的編程語言不是C和C++,而是格斯特夫和拉伊烏從未見過的另一種語言。他們花了幾周的時間查找資料、請教專家,卻仍未找出答案。于是,他們發了一篇求助博客,并從回復內容的碎片信息中拼出了結論。原來,攻擊者用的是C語言的一種變體,此外還對代碼進行了特別的壓縮處理,以減小體積。這種編程風格在10年前的商業軟件中很常見,但對于現代的程序、尤其是惡意程序而言,可謂絕無僅有。顯然,攻擊者并非對前沿技術信手拈來的編程高手,而是謹慎保守的老派程序員。此外,拉伊烏推測,由于C++有時會在執行編譯后,生成不可預測的代碼,或出現不按既定方式執行的情況,因此攻擊者為了確保對[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")進行更有效控制,最終選擇了C語言,并在匯編過程中對代碼進行了壓縮,以增加代碼密度、減輕傳輸負荷。
接下來,他們開始研究毒區的傳播機制。在這方面,毒區與不受控制任意傳播的震網相比,可謂大相徑庭。看起來,毒區在傳播過程中沒有利用零日漏洞,也沒有震網的自主傳播功能。毒區的做法是,只有當某臺染毒計算機收到攻擊者從指揮控制服務器發來的指令時,才會向其他計算機傳播病毒。而且,在與服務器之間通信方面,毒區采用的手段遠比震網更加隱蔽。為了防止有人截獲并讀取通信數據,他們使用了一種強加密算法AES,并將[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")嵌入一個.JPEG圖像文件中隱藏了起來。在感染規模方面,震網共感染了超過10萬臺計算機,而被發現感染毒區的計算機總共只有30多臺。
雖然數量不多,但毒區的受害者分散在多個不同國家,目標包括軍事機構和制造管道、閥門等工業設備生產商。所有目標的共同點是,他們生產的產品或提供的服務都具有重要的戰略價值。如卡巴斯基所料,他們發現的很多目標都與伊朗有關。目標機構要么在伊朗設有辦公室,要么與伊朗之間有貿易往來。目前為止,唯一一家與伊朗無關的受害者,就是首先發現毒區的匈牙利公司。
對多家受害機構日志文件的分析結果顯示,攻擊者對AutoCAD文件有獨特的興趣,特別是與伊朗工業設施中使用的控制系統有關的文件。AutoCAD是一款計算機輔助設計軟件,可以用于繪制二維和三維建筑圖紙、設計計算機面板和其他產品,還可以用于繪制計算機網絡的拓撲結構圖和廠房機器分布圖。如果有人打算對工廠發動炸彈襲擊,或用類似震網的數字武器實施攻擊,這些文件定能派上用場。
攻擊者在整個攻擊過程中展現了很強的條理性。他們認真考慮了入侵目標的方式、編譯用于攻擊各目標的惡意文件的時機、以及指揮控制服務器的分布。他們在歐亞各地部署了多個服務器,以將每個服務器對應的染毒計算機數量控制在2-3臺。這樣做,既可以讓他們同時跟蹤多個不同目標,又可以確保萬一外部人員闖入服務器時,也只能看到很有限的內容。實際上,這些服務器扮演的,是攻擊者用于中轉盜取數據的中間站,即“代理服務器”的角色。它們可以降低對外部人員全面暴露攻擊行動的風險,并防止有人通過追溯被盜數據,查到攻擊者的身份。比如,從匈牙利目標公司盜取的數據,首先會被發往一臺位于印度的服務器,然后再通過菲律賓的服務器,中轉至其他位置。而來自伊朗目標的數據,則會先發往越南的服務器,再轉發至德國和其他位置。研究人員努力沿著這條路徑追蹤,但每次都會在追到3個代理服務器后走進死胡同。最后,他們判斷,這是一場沒有結果的戰斗,于是放棄了跟蹤。
不過,在這些服務器的宗主公司的幫助下,卡巴斯基拿到了包括越南境內用于控制伊朗方向目標的服務器在內,總共5臺服務器的鏡像文件。在賽門鐵克發布毒區消息兩天后的10月20日,卡巴斯基發現,攻擊者實施了一次大規模戰場清理行動,慌慌張張的擦除了服務器上的所有數據。但為什么他們花了兩天才做出響應,原因不明。然而,正是這個時間差,使卡巴斯基有機會獲得了這些日志文件,并以此為線索對毒區進行分析。這些日志顯示,攻擊者早在2009年11月就在德國建立了一個指揮控制服務器。這意味著,在匈牙利人發現毒區感染之前的兩年前或更早,毒區的攻擊活動就已經開始了。卡巴斯基研究員猜測,毒區可能比震網上線更早,而非更晚。他們相信,很快就能找到相關證據。(待續)
起初,誰也不知道毒區是怎樣實現感染的。震網利用了一個.LNK零日漏洞,將U盤上的惡意文件植入目標計算機。但CrySyS實驗室在巴圖斯公司的染毒計算機上,沒有發現病毒注入器,也沒有發現零日漏洞。錢哥也意識到了這個問題。在賽門鐵克發布毒區消息后,他請求本恰特再次對匈牙利目標公司的系統進行排查,看在8月11日毒區被發現前后,還有哪些可疑跡象。之后,錢哥得知,當時,NetLock公司曾收到一封附有Word附件的電郵。附件大小為700k,比公司平時所收郵件中的附件大得多。這引起了他們的高度重視。果然,當CrySyS實驗室在測試機上打開這封郵件的附件后,毒區的惡意文件悄悄的跟了進來。
考慮到至今仍未發現實施感染的代碼,CrySyS實驗室懷疑其必定利用了零日漏洞。爾后,本恰特把這封帶附件的郵件交給了錢哥。賽門鐵克團隊發現,它確實利用了Windows字體解析器(font-parsing engine)中的一個緩沖區溢出零日漏洞。字體解析器的功能是將某種字體在屏幕上顯示出來。當Word文檔中出現某種字體對應的代碼時,解析器就會查閱對應文件,以確定字體的顯示形態。但在毒區這里,當解析器要讀取字體代碼時,卻會被攻擊者利用緩沖區溢出漏洞將其劫持至他們的漏洞利用程序上。
一位研究員對這個漏洞利用程序的評價是“干得漂亮!”因為,一般情況下,利用緩沖區溢出漏洞的攻擊者只能獲得用戶級訪問權限,要想獲得足以順利加載[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的系統級訪問權限,必須要同時找到并利用第二個漏洞。然而,毒區中的漏洞利用程序一步到位,突破了防護體系,進入系統內核,完成了“安裝并運行[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")”的目標。要知道,能在內核級利用的緩沖區溢出漏洞極其稀有,在利用這種漏洞的同時又不引發系統崩潰則更加困難。但毒區的設計者卻做的非常完美。毒區中漏洞利用程序的復雜度,要比震網中的.LNK漏洞利用程序高出幾個數量級。2010年7月震網代碼剛一曝光,就有網絡犯罪分子學會了.LNK漏洞利用程序的運用技巧;而要想用好毒區中的漏洞利用程序,恐怕至少得花上幾個月。
或許是想要戲弄一下受害者,除了這個漏洞利用程序之外,攻擊者還在代碼中放置了一些“彩蛋”。他們將用于執行攻擊的偽造字體命名為“德克斯特正體”,并專門為它標注了版權信息:“Copyright ? 2003 文娛時間(Showtime)公司.版權所有. 德克斯特正體.”
顯然,他們引用的是當年在文娛時間電視網上熱播的電視劇《嗜血法醫》(Dextor)。奇怪的是,這部劇的上映日期是2006年10月1日,版權日期卻是2003年。誰也說不清,攻擊者這樣做,到底是有什么寓意,還僅僅是開玩笑而已。不過,對《嗜血法醫》的引用似乎在暗示,毒區與震網之間有某種聯系。這部劇的主角德克斯特·摩根(Dexter Morgan)既是一名法醫專家,又是一名地下殺手。但是,他只殺十惡不赦的罪犯。這讓德克斯特成了“有道德的殺手”的代名詞。在他看來,他作惡的目的,是為了尋求更大的善。實際上,美國和以色列對伊朗發動網絡攻擊、襲擊伊朗核科學家的行為,恰恰反映了與之相近的價值觀——這是為了更大的善而必須使用的手段。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-230.jpg)
字體名稱和版權日期,只是給研究員們提供了一些談資。真正值得關注的,是病毒注入器的編譯日期——2008年2月21日。這個日期,為回答“震網已經存在了多久”這一問題提供了線索。在首個注入器發現不久之后,卡巴斯基就在蘇丹的一臺計算機上發現了第二個注入器,它的編譯時間比第一個還要早。
蘇丹與伊朗之間,有著密切的軍事關系。在2004到2006年間,蘇丹獲得了伊朗提供的價值1200萬美元的武器援助,同時,蘇丹是伊朗核計劃的堅定支持者。2006年,伊朗曾公開宣稱,將與蘇丹分享核領域的研究成果。此外,蘇丹還是聯合國制裁的對象。毒區在蘇丹的目標是一家貿易服務公司,感染時間為2011年4月,比發生在匈牙利的感染早4個月。它利用了與匈牙利同樣的德克斯特漏洞,也是通過釣魚郵件的手段實施感染。這封釣魚郵件發自韓國,發件人是一位名叫杰森(B.Jason)的銷售經理。據估計,這臺發送郵件的計算機也遭到了入侵。郵件內容為:“親愛的先生,我對貴公司網站上的一些細節非常感興趣,希望能和貴公司開展商務合作。附件中是我方的需求清單,請您詳查。”附件中有一系列的調查問題,還有一個畫有新芽吐綠形象的綠色地球。一旦受害者打開附件,德克斯特漏洞利用程序就會立即起效,并將其中的惡意文件釋放到計算機上。
其中,用于釋放毒區文件的注入器,編譯時間為2007年8月。這進一步確認,毒區在被匈牙利人發現之前,確已存在多年。不過,這并不是毒區出現早于震網的孤證。研究人員還發現,毒區中的情報收集器文件也早在多年前就出現了。說來偶然,攻擊者在代碼中的一個錯誤,暴露了這一點。
當毒區的自毀機制在感染36天后被觸發時,它將擦除染毒計算機上的所有痕跡。這樣,受害者就再也無法知道自己曾遭受攻擊了。但卡巴斯基研究團隊發現,當毒區執行刪除操作時,不小心落下了用于存儲盜取數據的臨時文件。就這樣,卡巴斯基從伊朗目標的鏡像文件中發現,其中一個臨時文件的創建日期是2008年11月28日。
一直以來,卡巴斯基和賽門鐵克總在懷疑,攻擊者在使用震網攻擊伊朗離心機之前,事先通過間諜活動獲取了西門子PLC的配置數據等關鍵情報。之前他們懷疑伊朗方面有內奸,毒區出現后,他們轉而相信,通過使用類似間諜工具獲情的可能性更大。
從毒區攻擊匈牙利數字證書認證機構的情況來看,攻擊者之前使用的瑞昱和智微公司簽名密鑰和數字證書,很可能也是用毒區盜取的。
如果說,毒區早在2007年或更早就開始實施感染卻一直未被發現,那么,為什么到了2011年,它突然被匈牙利人發現了?拉伊烏思考再三,得出了他的結論:毒區之所以被匈牙利人發現,其原因必定是攻擊者傲慢自大的心態,讓他們選擇了一個錯誤的目標。多年來,毒區的攻擊者屢屢得手、信心爆棚,認為根本沒人能逮到他們。他們可能會想,去年震網的暴露完全是個意外,因為感染的計算機太多了。但是,毒區的目標均經過精心挑選、受到嚴格管控,暴露的可能性極小。但是,在匈牙利,他們著實選錯了攻擊對象。這家匈牙利CA對網絡安全問題的敏感性,比之前遭攻擊的貿易公司和設備制造商可高多了。所以,毒區攻擊者在匈牙利遭遇滑鐵盧,雖屬意料之外,也在情理之中。
盡管震網和毒區使用了很多相同的代碼和技術,拉伊烏團隊仍然做出了“他們是兩個團隊基于共同平臺分別開發”的判斷。由于毒區和震網中都有很多以“~D”打頭的文件,他們將這個開發平臺命名為“~D”平臺。
實際上,卡巴斯基還發現,除了震網和毒區之外,還有一系列[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")也出自同一平臺。他們發現,至少有6種驅動文件具有相同特征,都可以歸入“~D”家族成員之列。其中,2個來自震網,1個來自毒區,另外3個“幽靈驅動”來自與震網和毒區之外的其他文件。這讓人很難判斷,它們究竟是用來配合震網或毒區的,還是另外用于其他攻擊的。不過,這3個驅動所使用的算法和密鑰,都與震網和毒區的驅動文件完全相同或高度近似,所以可以斷定,它們定與“~D”團隊有關。
其中,1號“幽靈驅動”是斯洛伐克反病毒公司ESET在2010年7月發現的,上面有智微公司的數字簽名。盡管它不是在感染震網的計算機上被發現的,但由于它的曝光時間只比震網晚幾天,所有人都猜測它與震網有關。這個驅動簡直就是震網驅動和毒區驅動的混合體,從代碼上看與震網驅動幾無二致,從使用的函數和技術上看又像極了毒區驅動。不過,與震網驅動中使用的4重循環密碼(four-round cipher)相比,它使用了更為復雜的7重循環密碼。因此,拉伊烏和格斯特夫懷疑,它要么是震網的變種,要么是震網的“搭檔”。
2號“幽靈驅動”是在某人發現并將其提交到VirusTotal后,而曝光的。它的編譯日期是2008年1月20日。它也使用了7重循環密碼,說明它和1號是用來實施同一場攻擊的。據推測,它們可能來自震網的另一個版本,也可能是與其他攻擊配合使用的“搭檔”。
3號驅動也是被人提交到VirusTotal后曝光的。它來自一個中國IP,發現日期是2011年5月17日,比毒區在匈牙利被發現還早幾個月。它使用了與震網驅動相同的4重循環密碼和相同的加密密鑰,編譯日期和盜用的數字簽名也與震網驅動一致,只是認證日期稍有不同——它的認證日期是2010年3月18日,而震網驅動的認證日期是2010年1月25日。3月18日距離震網2010年4月版本上線僅相隔數周,但是不知出于何種原因,攻擊者卻沒在4月的版本中使用3號驅動。實際上,攻擊方在震網2010年4月版本中沿用了2009年6月版本中的驅動。這表明,3號驅動或許另有它用。
在格斯特夫和拉伊烏心中,有幾個問題不斷閃現:這幾個幽靈驅動到底是干什么用的?誰是它們的受害者?是否還有新的證據,能證明在2009年6月之前或2010年4月之后,還有震網的其他版本存在呢?
看來,震網的故事離劇終還遠……(待續)
