2012年,震網的出現,讓錢哥對行業的前景深感不安。而4年前,震網的設計者們也有著類似的感受。讓他們頭疼的,是伊朗即將成功造出核武器的可怕現實。
2008年4月,出于宣傳方面考慮,在鈾濃縮工廠竣工投產兩周年之際,內賈德總統安排了一場高調的參觀之行。借此機會,武器控制專家們得以首次窺見這座神秘工廠的真面目。身著工廠技術人員的制服——白大褂、藍皮靴的內賈德,讓記者們為他拍下了參觀控制室計算機的多張照片。照片上顯示著“和平”的字樣,背景是由表情嚴肅的科學家和官僚組成的隨行團隊,和如受閱士兵般盛裝列隊擺放的一人多高的離心機。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-99.jpg)[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-108.jpg)
內賈德總統辦公室隨后發布了近50張與此行有關的照片,其中首次公開的IR-2型高性能離心機,讓核能分析師們興奮不已。一位來自倫敦的分析師說,“這正是伊朗人夢寐以求的東西。”
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-1115.jpg)
但是,與伊朗官方堅稱的“鈾濃縮項目用于和平目的”相悖的是,人們從照片上發現,國防部長居然也在隨行人員之列。
伊朗專家用了2007年一整年的時間,完成了納坦茲一個地下車間中3000臺離心機的安裝。內賈德參觀時宣布,計劃再增加6000臺離心機。如果計劃實現,伊朗將跨過“有能力生產工業級濃縮鈾國家”的門檻。對于在過去數十年間屢遭磨難的伊朗人而言,這將是一個偉大的成功。因為,這個成功,是在面臨無數技術難題、采購障礙、經濟制裁、政治陰謀以及暗中破壞行動的情況下獲得的,來之不易。而納坦茲項目的順利運轉,意味著奪取勝利已是板上釘釘。
而實際上,納坦茲尚未脫離險境。要生產工業級的濃縮鈾,需要讓數千臺離心機連續運行幾個月而不出任何故障。就在內賈德在納坦茲志得意滿之時,離心機控制系統中的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")已是蓄勢待發。
據報道,布什總統于2007年底向國會提交了一份預算案,并得到了國會的批準。此案金額高達4億美元,主要用途是為打垮伊朗擁核抱負而發動的一系列行動。具體包括情報收集活動,動搖現政府統治甚至促動政變的顛覆活動,以及針對核設施的秘密破壞活動。操控納坦茲控制系統計算機的網絡攻擊屬于第三種。
雖然布什的幕僚獻上計策的時間是2006年,但相關工作早已啟動。根據某些文件的時間戳推算,準備工作可能始于數年前。震網注入315型和417型PLC的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")段,其編譯時間分別為2000年呢2001年,用于替換西門子Step 7系統中合法.DLL文件的假冒.DLL文件,其編譯時間為2003年。
當然,很可能用于編譯代碼的計算機時間有誤,也可能是代碼開發人員為掩蓋證據而刻意修改時間。但如果這些時間戳為真,這意味著在伊朗核問題的外交爭端開始前,美國人已經提前3到6年做好了發動相關攻擊的儲備;只待一切外交斡旋和制裁失效之后,才于2006年把這些攻擊代碼從儲備庫里拿了出來。
其中一些代碼是很多西門子系統通用的,并非專為納坦茲的控制系統而設計。因此,建設儲備庫的目的可能不是專門針對納坦茲PLC,而是面向普遍存在漏洞的所有西門子PLC。在伊朗,除了核工業之外,西門子控制系統還廣泛用于石油天然氣開采、石化和采礦等多個重要產業;此外,中東地區的其他國家也有使用。1990年代末,網絡戰剛剛嶄露頭角,美國和以色列認為,針對90年代中期面世的Step 7和相關西門子PLC進行漏洞挖掘方面的研究很有價值,早晚能用得上。
不過,并非所有攻擊代碼都是針對西門子控制系統的。比如,要編寫針對納坦茲專用變頻器和閥門的攻擊代碼,必須提前知道伊朗安裝使用的設備的具體型號,并掌握其詳細配置信息。如果針對PLC的攻擊代碼段的確是2001前后制作的,那就是說,代碼開發人員早在伊朗核設施開工建設之前,就已經知道其中部署什么設備了。
其實,這并不奇怪。伊朗于1999年中,就在卡拉揚電力的一個工廠里安裝了小型離心機級聯裝置,并用它做過鈾濃縮實驗。之后,在2000年和2002年,CIA將卡迪爾裝備朋友圈中的一個核心人物招至麾下,并通過他得到了關于“裝備圈向伊朗和卡迪爾其他客戶提供了哪些設備”的情報。因此,在2000年納坦茲破土動工時,CIA可能已經知道了伊朗打算在工廠中安裝什么設備,也知道了他們將使用西門子的控制系統。
ISIS的戴維·奧爾布賴特也認為,2001年時,外界已經通過某種途徑,掌握了有關納坦茲的很多情報。
[](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-1212.jpg)
他說:“每個級聯系統包括164臺離心機,級聯系統分為幾個階段,采用什么型號的閥門、壓力傳感器和管道系統,他們早都知道了。”但他們尚未獲得關于偉肯公司和Fararo Paya公司變頻器的信息。“變頻器可能是另一碼事,因為那是伊朗從通過其他一些渠道從國外拿到的。因此,要說震網攻擊者2001年就知道伊朗人打算從芬蘭公司購買變頻器并進行本土化生產,幾乎是不可能的。而且,即使是用于2007年在納坦茲安裝的首個級聯系統,也同時采用了多款進口變頻器。”
到了假冒Step 7系統.DLL文件首次出現的2003年,他們已經掌握了有關納坦茲的更多消息。
當IAEA核查人員于2003年2月首次造訪納坦茲時,伊朗已經在試驗工廠里建造了一個小型級聯系統,并做好了在當年年底安裝1000臺離心機的準備。作為IAEA對伊朗核計劃調查的一部分,伊朗必須提供納坦茲和其他核設施的采購設備清單。這份清單包括機器工具、閥門和真空泵。同時,情報部門對伊朗的秘密采購活動進行了監控,發現一家德黑蘭頂級工業自動化公司——尼達(Neda)工業集團,也是伊朗核計劃的供應商。這家公司曾經與卡拉揚電力合作,幫助后者從一家手表廠轉型為向納坦茲提供離心機的工廠。尼達工業集團還是西門子在伊朗的本地合作伙伴,據公司網站記載,在2000年和2001年,公司為伊朗的其他設施安裝了多批西門子S7系列PLC。這與納坦茲遭攻擊的PLC屬于同一個系列。因此,很容易聯想到,既然尼達工業集團曾為伊朗多家其他客戶安裝過西門子控制系統,那么納坦茲的西門子控制系統很可能也是他們裝的。
實際上,在除核工業之外的伊朗其他行業里,有很多西門子自動控制設備的大客戶,這為西門子進入伊朗核工業鋪平了道路。某西方情報部門在一封某伊朗公司于2003年發往另一家伊朗公司的信中發現,一家與伊朗核項目有關的公司Kimia Maadan,曾經向西門子公司采購過S7-300系列和S7-400系列可編程邏輯控制器,以及與之配套的SIMATIC軟件。據信,這批控制器將用于為離心機提供鈾原料的賈欽(Gachin)鈾礦。也就是說,就在這封信被情報部門截獲后,美國以色列就掌握了這個情報。
盡管最初的計策可能是美國戰略司令部的詹姆斯卡特懷特將軍提出的,但將其具體落到實處的,還是NSA和美國網絡司令部(US Cyber Command)的網絡戰士,和以色列8200部隊的精英程序員團隊。
要達成攻擊,不僅要知道納坦茲用了什么設備,還要更多更有效的情報。比如,攻擊者必須知道變頻器的運行頻率,和關鍵設備的配置參數。他們不能僅僅指望手上那些舊圖紙和可能已經過期的作戰計劃來開展行動。他們還必須掌握有關Step 7系統運行,和納坦茲內部計算機網絡拓撲結構等大量信息,以說服白宮的法律顧問,攻擊不會對其他系統造成連帶影響。如果他們假定目標計算機沒有與外界連接,但事實卻與之相反,[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")就有可能失去控制,傳播并破壞其他機器,從而暴露作戰行動。就在此時,類似火焰和毒區的偵察工具開始上線,從“運行維護網絡的系統管理員”和“為PLC編寫代碼的承包商”那里,廣泛收集將來可能用得上的數據。如果他們用了毒區,很可能是通過釣魚攻擊的手段進行傳播的,就像入侵匈牙利CA時那樣。這些情報偵察活動的目標,都是接入互聯網的計算機,比如某個程序員的筆記本。但是,現場總線卡編號、變頻器的型號和數量等配置信息,卻藏在與互聯網物理隔離的PLC上。
為了接觸到這些數據,如果沒有其他途徑(內奸)的話,攻擊者就必須使用U盤來“穿越”物理隔離,并將他們的偵察工具置于連接PLC的計算機上。因為,如前所述,給PLC編程的程序員通常會先在某個不與控制系統內網相連的筆記本上進行編碼,之后再把筆記本帶進來,接到控制系統內網中,或者把程序文件拷貝到U盤上,再把U盤帶到某臺內網計算機上。這是一個穿越物理隔離的簡單方法。借助“內網計算機——U盤——連接互聯網的筆記本”這條通道,攻擊者還可以利用惡意程序,取回PLC和控制系統內網的相關信息。據報道,情報部門還在伊朗部分非聯網計算機中預埋了植入物,可以把計算機上的數據通過無線電波傳輸出來。(待續)
攻擊者為了獲取所需數據,可能要耗時數月。某些偵察行動可能始于2005年,就是攻擊者為“震網0.5版指揮控制服務器”注冊域名的那段時間。雖然當時震網還沒上線,但那些域名已經開始充當先頭偵察部隊的指揮控制服務器了。還有一些偵察行動可能始于2006年5月,就是攻擊者為“震網后期版本指揮控制服務器”注冊域名的時間節點。
一旦情報收集完成,攻擊代碼最后階段的制作任務隨即展開。賽門鐵克估計,針對315型PLC和417型PLC的攻擊代碼,是由兩支團隊各自獨立編寫而成的。但是,到底是兩支團隊均為美以混編,還是以色列人負責編寫導彈而美國人負責編寫載荷,誰也弄不清楚。此外,可能還存在負責制作假冒Step 7系統.DLL文件、向PLC注入[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")的第三支團隊。賽門鐵克估計,編寫Step 7系統攻擊代碼需要6個月左右,編寫PLC注入攻擊代碼則需要5個月左右。測試這些代碼還需要更多時間。
不論是誰負責編寫這些關鍵攻擊代碼,都得承認,這部分行動稱得上天衣無縫。攻擊中容易出錯的地方很多,但要實現攻擊目標則絕對不容有失;此外,一旦攻擊啟動,很難再做任何調整,也很難評估其影響。這意味著,攻擊者必須在實施攻擊之前進行廣泛的測試,不僅要在西門子平臺上進行測試,確保代碼不會干擾Step 7系統或PLC的正常運行,而且,在2009年和2010年每個新版本上線之前,要在Windows各個版本上進行測試,確保惡意程序能夠在繞開探測與防御機制的前提下順利傳播和運轉。
最重要的一點是,攻擊者必須清楚,代碼層面上的每個細微變化,將對離心機產生怎樣的影響。這是因為,這場攻擊要想成功實現預期目標,不能靠蠻力,而要靠巧勁。一個微小的錯誤就可能導致離心機損毀速度過快或一次性損毀數量過多,從而暴露攻擊行動,造成任務無法完成。
為確保萬無一失,他們可能需要聘請一個由材料學家和離心機專家組成的顧問團。這些專家應熟知離心機外殼和鋁制轉子的密度和持久度,熟知每臺離心機在處于幅度不斷增加的震動時,其姿態能否仍能在高速旋轉中保持平衡。他們還必須能夠計算離心機內壁正常壓力,并推算出“內壁壓力隨內部氣壓變化而變化的規律”。
要進行這些測試,沒有離心機實物是不行的。不過,如前所述,位于田納西州的美國能源部橡樹嶺國家實驗室很幸運的得到了一大批P-1型離心機,而P-1正好是納坦茲安裝的IR-1型離心機的原型。
[](http://www.aqniu.com/wp-content/uploads/2015/12/80.png)
橡樹嶺國家實驗室獲得這批離心機的故事,始于2003年8月。那時,CIA打入卡迪爾核裝備供應圈已有3年,IAEA首次赴納坦茲進行核查也已過去6個月。CIA截獲了一批由馬來西亞運往利比亞秘密鈾濃縮工廠的“黑貨”,其中包括25000套離心機外殼、氣泵、管道和其他組件。西方把這些贓物作為利比亞發展秘密核計劃的證據,向利比亞獨裁者卡扎菲(Muammar Gaddafi)施壓。12月19日,利比亞外交部長在國家電視臺宣布,利比亞將放棄所有的核武器和化學武器項目。而在此之前,他們從未承認過擁有這些項目。
IAEA得知,利比亞還有更多鈾濃縮設備,美國當局正計劃將其拆除并運回橡樹嶺國家實驗室。因此,在圣誕假期中,海諾尼、他的老板巴拉迪還有其他幾個同事一行急急忙忙來到的黎波里,趕在這些設備被運走之前,為它們編了一個清單。他們發現,這些設備重達百噸、價值8000萬美元,包括一批來自土耳其的UPS調節閥(與之后于2006年被改裝并破壞納坦茲UPS的那批設備相似),1個由200臺來自巴基斯坦P-1型離心機構成的小型級聯機組,還有可以組裝4000臺離心機的設備部件。到了2004年3月,這些設備的轉運工作全部完成了。它們的新家,是橡樹嶺國家實驗室的Y-12國家安全綜合大樓。每當有記者來訪時,拿著來復槍的衛兵們都會跑出來耀武揚威一趟,以示這里有重兵把守。
“客觀的說,”美國能源部長斯潘塞?亞伯拉罕(Spencer Abraham)接受多家媒體采訪時表示,“廢除利比亞核設施的行動,為美國和文明世界的所有國家提供了一個更安全的環境。”這話倒不是信口胡言,但是,美國繳獲這批戰利品的真正意義在于,可以用它們組建一個秘密工廠,用來對離心機開展研究,對攻擊離心機的行動進行模擬和測試。
橡樹嶺國家實驗室建于1943年,位于諾克斯維爾(Knoxville)城外,由田納西大學和巴特爾研究院共同組建的非盈利組織UT-Battelle運營管理。實驗室以先進材料研究、核科學、清潔能源和超級計算為主打項目。但是,實驗室運營資金的最大來源,卻是為國防部、能源部和情報部門做的秘密國安項目,其中主要包括核不擴散、情報數據挖掘、加密破解等內容。
[](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp_.jpg)
其中有一個機要項目,是專門研究如何破壞離心機的,至今已持續了10年。2005年后的某個時點,作為該項目的一部分,在橡樹嶺保護區一片35000英畝的邊遠林區上,一個秘密離心機工廠拔地而起。但持有安全通行證的大多數實驗室員工,根本不知道它的存在。據知情人士透露,工廠的代號是“小山”或“養雞場”,通往那里的,只有一條沒有路標、蜿蜒十英里、被密林包圍的道路,路上還有一個接一個的安檢站。
實際上,“小山”是由兩組設施構成的,一個在地上,一個在地下。地下大廳是很久以前為另一個項目建造的,正好用來作為離心機項目的實驗場地。初期的中心工作是,掌握來自利比亞的離心機的工作原理。實驗室拿到的離心機包括來自利比亞的P-1型和P-2型,但大部分都是未組裝的部件,也沒有說明書。面對堆積如山的一箱箱設備部件,毫無離心機設計安裝經驗的研究員只好一點一點的嘗試,花了很長時間才搞明白如何把各種部件正確的組裝在一起,并讓它運轉起來。
在擺弄這些性能不穩定又容易損壞的設備的過程中,橡樹嶺國家實驗室的研究員遇到了與伊朗人相同的問題。尤其是鏟斗和滾珠軸承特別容易出故障,因而拖慢了研究進程。
一開始,這個項目與利用病毒破壞離心機的網絡攻擊并無瓜葛,目標只是通過研究離心機和級聯系統的工作機理,掌握其實施鈾濃縮的能力,并據此估計伊朗在鈾濃縮項目上的進展,推算他們需要多久可以生產出足以制造核彈的濃縮鈾。橡樹嶺的科學家經過初步研究和測試,得出了一個結論:伊朗大概需要12至18個月,就能生產出足夠制造一枚核彈的裂變性鈾原料。
對橡樹嶺國家實驗室而言,研究離心機算不上什么新鮮事。實驗室在離心機研發方面具有悠久的歷史,早在1960年代就制造出了首批轉子離心機。但是到了1985年,激光鈾濃縮技術取代離心機,成為美國實施鈾濃縮的首選手段,實驗室的離心機項目宣告終止。項目的終止,讓數以千計的技術工人和研究人員的一身本領再無用武之地。
2002年,當關于伊朗在納坦茲建造秘密鈾濃縮設施的消息傳出后,離心機相關研究起死回生了。橡樹嶺重操舊業,啟動了一個為美國商用核電站濃縮鈾供應商——美國鈾濃縮公司設計新一代離心機的項目。為此,實驗室專門招回了一批已至垂暮之年的退休離心機專家,讓他們帶領年輕的研究員共同工作。
謝天謝地,大批量利比亞離心機到廠后,總算是還有人能擺弄的起。據某個了解項目情況的內部人士表示,研究利比亞離心機的工作,得到了美國能源部旗下國家核安全管理委員會(NNSA)的大力支持。這個委員會管理著國家的核武器,同時還運營著一項名為NA-22的核不擴散研發項目。該項目的內容包括,收集有關非法核活動的人力情報(human intelligence),對流氓國家和恐怖組織進行的秘密鈾濃縮與實驗性核爆活動進行遠程探測和環境監測,以收集相關證據。
NNSA意圖染指伊朗離心機,不是一天兩天了。所以2004年CIA從利比亞搞定大批與伊朗同型號的P-1和P-2型離心機,相當于給NNSA送上了一份大禮。
最終,他們又通過情報部門的力量,直接從伊朗核項目中得到了離心機部件。這些部件更有價值,據信朝鮮用的離心機就是用它們組裝的。官員告訴工作人員,一定要非常小心、非常有效的用好這些部件,因為,為了得到它們,有些情報人員付出了生命的代價。也就是說,這批部件非常稀缺,一旦破壞無法替換,因此每次使用都要慎之又慎。
對這批設備的研究工作始于2006年,伊朗宣布將啟動納坦茲鈾濃縮進程之時。但是,據一位了解該項目的人稱,研究的進展非常緩慢。但2007年,伊朗真的開始在納坦茲地下車間中安裝離心機了,形勢一下子變得緊張起來。(待續)
與此同時,用于對離心機進行攻擊測試的“小山”地上部分設施也在建設當中。據信,初期的主要研究目標是,判斷對納坦茲實施動能攻擊(kinetic attack)會對離心機造成何種程度的破壞。后來的研究中,“網絡攻擊對離心機的影響”才得到了與“空襲對地下核設施中離心機的影響”同樣的關注。而人們一開始提出網絡攻擊的思路時,并沒有想到使用病毒直接破壞納坦茲的離心機,而只是考慮在鈾濃縮工廠的設備中植入用于偵察的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。"),幫助研究員判斷伊朗鈾濃縮的實施進度。但在某個時點,用于直接破壞離心機的網絡攻擊項目和之前的網絡偵察項目合二為一,形成了一個完整的數字動能打擊(digital kinetic attack)計劃。當時的情況有可能是這樣的:測試離心機的大多數科學家并不知道有這樣一個破壞性攻擊的計劃,只管做好“評估不同條件會對離心機造成怎樣影響”的本職工作即可。所以,他們只需要考慮“離心機的轉速提高、轉速降低或內壁壓力增大時的狀態”這些問題,而無須考慮這些條件的變化是由何種原因引起的。
在寬敞的測試廠房中,西門子和其他供應商高大的控制系統支架,像圖書館中的書架一樣擺放在前排,十多臺一人來高的離心機則遍布整個空曠的廠房。臨時鋪設的線纜從部分離心機上彎彎曲曲的延伸出來,一直連到各種傳感器上,以記錄診斷結果,測量“離心機外殼溫度”“用于保持平衡的栓釘和球狀軸承的晃動幅度”等數據。
部分離心機持續數月的高速旋轉,期間所有數據均被記錄下來。這些離心機只是研究樣本,還有一些則扮演著更悲慘的角色。在廠房的入口里面,有一個散發著丙烯酸和金屬氣味的巨型加固籠子,這就是為離心機“執行死刑”的場所。如果讓《流言終結者》(MythBusters,一檔由2位前好萊塢特效專家和3位充滿魅力、博學多才的聯合主演明星主持的有線電視節目)節目組的人來設計一個醫院嬰兒探視室,估計就會是這么個樣子。每當有離心機在籠中死于非命之時,都會發出可怕的爆炸聲,附近的地板也會隨之隆隆作響,讓現場工作人員為之一怔。
到了2008年,整個項目已經比較成熟完善了,離心機獵殺實驗更是家常便飯。“項目組可以說是花錢如流水。”這位熟悉項目的匿名人士說。或許,布什總統從國會拿到用于打擊伊朗核計劃秘密行動的4億美金預算,恰恰就在這個時候。
據報道,與橡樹嶺實驗項目同步進行的,還有以色列迪莫納核設施中的離心機實驗。但是,關于“這些實驗持續了多久”“官員何時認為掌握了成功發動網絡攻擊的足夠數據”等問題,并沒有準確的消息。
2006年橡樹嶺進行實驗的同時,另一個團隊正在編寫攻擊代碼。雖然不清楚研發的精確時間表,但賽門鐵克的研究員發現,攻擊代碼中的一個關鍵函數似乎在2006年5月被改動過。這個函數是針對315型PLC攻擊代碼的一部分,其功能是,與變頻器之間建立通信連接。如前所述,用于該版本震網的兩個指揮控制服務器mypremierfutbol.com和todaysfutbol.com中的代碼,編譯時間也是2006年5月。攻擊代碼中的另一個關鍵函數在2007年9月被改動過,兩個月后的2007年11月,震網0.5版被人發現并提交至VirusTotal網站。
在某一時刻,橡樹嶺或其他某個實驗室中部分離心機的用途發生了改變,它們被直接用于測量網絡攻擊的功效。當概念驗證實驗完成后,官員們向布什總統進行了匯報,用離心機的殘片為攻擊計劃的有效性做了完美的注腳。與橡樹嶺實驗室的姊妹機構——愛達荷國家實驗室于2007年初進行的極光發動機試驗類似,離心機實驗充分證明,在一段精心制作的代碼面前,再龐大的機器也不堪一擊。
那么,震網0.5版是何時進入納坦茲內部計算機的?它又是怎么進去的?這仍然是個謎。因為,納坦茲的工業控制系統與互聯網之間沒有直接連接,而震網0.5版的傳播機制卻非常弱,因此要想突破物理隔離,攻擊者必須親自進入設施內部,或向內網發送一封郵件。震網0.5版只有一種傳播途徑,就是感染Step 7系統的項目文件。這意味著,它必須要直接感染編程人員或操作人員的計算機。一種方式是使用U盤“擺渡”,要么通過不知情的承包商充當帶毒者,要么花錢買通某個內奸。另一種方式是給納坦茲中的某個人發送郵件,把病毒藏在Step 7項目文件中“夾帶”進去。如果病毒從編程人員或操作人員的計算機起跳,只需一到兩步就可以進入目標PLC。在震網后續版本中有一個日志文件,它會記錄所有染毒計算機的基本信息和感染時間,但研究員發現,震網0.5版中根本沒有這項功能。
震網0.5版的目標不是315型PLC和變頻器,而是417型PLC和閥門。其功能是,通過頻繁開關閥門,操縱含鈾氣體的流動。
納坦茲的離心機級聯系統共分為15層,每一層中的離心機數量都不一樣。隨著層次的提高(層號變小),需濃縮的氣體量不斷減少,因此所需的離心機數量也不斷減少。
第10層是“氣體注入層”,共有離心機24臺。在這一層,新一批含鈾氣體被泵入。離心機中的轉子高速旋轉,將鈾同位素分離開來,“富鈾235濃縮氣體”被提取并運送到第9層。第9層有20臺離心機,氣體經過再次濃縮后,“富鈾235濃縮氣體”進入第8層的16臺離心機。同時,含鈾238較多的廢棄氣體從第10層進入第11層,進行進一步分離。第11層提取的“富鈾235濃縮氣體”又會被送往第8層,與那里的氣體相混合。這個過程不斷循環,直到富鈾235濃縮氣體進入第1層,廢棄氣體被排出系統為止。而級聯系統的最高層一般只有2臺離心機,1臺主用,1臺作為備份。
每個級聯系統都有多個用來控制氣體出入系統、出入各個層次的輔助閥門。此外,每一臺IR-1型離心機頂部都有3個狹窄的管道,每個管道上有一個控制氣體出入離心機的閥門。進氣管道用于向離心機注入氣體,成品管道用于向更高層發送“富鈾235濃縮氣體”,廢氣管道用于向下層發送廢棄的“富鈾238濃縮氣體”。
震網0.5版并未攻擊納坦茲的所有閥門,而是有所選擇。安裝離心機的地下車間被分成了多個單元,也就是級聯系統機房。每個機房可容納18個級聯系統,每個級聯系統又包括164臺離心機,因此每個機房中的離心機數量約為3000臺。震網0.5版上線時,納坦茲的地下車間中,只有1個機房是滿編的,有18個級聯系統。但震網只會攻擊其中的6個級聯系統。同時,震網不會攻擊級聯系統中的所有離心機,而只會攻擊其中110臺離心機的閥門,放過另外54臺。
震網0.5版進入納坦茲的級聯系統后,會首先潛伏30天左右。在此期間,它會對系統進行全面檢查,以確定各種閥門、壓力傳感器和其他部件是否與預期一致,并監控其活動。
在全面監測系統的同時,它還會將級聯系統運行的正常值記錄下來。與針對315型PLC的攻擊一樣,當真正的破壞行動開始后,它會將監測的真實值替換為這些正常值,反饋給操作人員。比如,它在潛伏的過程中,會迅速開啟級聯系統第1層的某個閥門,并從壓力傳感器上讀取正常的壓力值,然后在攻擊時把這個值發送給操作人員,以掩蓋壓力升高的事實。
當它完成數據收集工作后,仍會繼續等待,等待級聯系統中出現某個特定的時機。在攻擊開始前,震網0.5版會在單個級聯系統中潛伏超過35天;如果要攻擊6個連在一起的級聯系統,則需要潛伏至少298天。
一旦攻擊啟動,病毒會關閉除第10層(氣體注入層)之外各層次上的部分閥門。比如,在第9層,它會關閉20臺離心機中14臺的“廢氣管道閥門”;在第8層,會關閉16臺離心機中13臺的“廢氣管道閥門”。具體關閉哪一臺離心機上的閥門,則是通過一個復雜運算進程隨機挑選的。
關閉閥門后,震網0.5版會停止動作,等待只進不出的氣體,讓離心機中的壓力不斷上升。等待期結束的條件是:時間滿2小時,或離心機內部壓力升高至初始值的5倍。條件滿足后,震網0.5版將轉入下一個階段,打開除氣體注入層附近3個閥門之外的所有輔助閥門。然后,它會轉入3分鐘的等待期,同時向操作人員發送更多偽造監控數據。之后,進行7分鐘的靜默觀察。在攻擊的最后一步中,它會再次打開一組約25個閥門。奧爾布賴特和他ISIS的同事推測,這組閥門位于“應急排放管”。級聯系統中的每一層都有一個與“應急排放管”相連的通道,以防離心機或鈾濃縮進程出現故障時,可以迅速將離心機中的氣體排放到一個冷卻容器中。那么,震網打開這組閥門后,離心機中的氣體就會迅速進入冷卻容器,并徹底變為廢氣。
整個過程結束后,攻擊將跳轉至啟動部分,開始新一輪循環。
由于攻擊僅僅持續兩個小時,受影響的只是部分離心機的部分閥門,而且在這個過程中操作人員看到的數值都是“正常的”,這讓納坦茲的工作人員陷入了空前的困惑之中。長期以來,他們一直目睹著離心機出現這樣那樣的問題,面對濃縮鈾產量不斷下降的情況,卻無法確定故障的模式,也找不出真正的原因。
研究人員至今仍不清楚,震網打開、關閉的具體是哪些閥門,因此也很難說清具體的影響有多大。但基于一般性的假設,奧爾布賴特和他的同事推演出兩種可能版本。第一種,被關閉的是級聯系統最高層的成品氣體輸出閥門和最低層的廢氣排放閥門,因此氣體會持續泵入級聯系統,卻無法排出。這種情況下,內部壓力會迅速升高,當氣壓上升到正常水平5倍時,離心機內的含鈾氣體會開始凝結、凝固。凝固的鈾化物固體進入高速旋轉中的離心機轉子后,會立即破壞轉子,或令其失去平衡、敲打離心機的外殼。強烈的晃動會使離心機底部的軸承變得不穩定,從而令整個離心機脫離平衡狀態。而一個高速旋轉的離心機從靜止狀態中脫離出來,其破壞力將會非常之大,必然會對臨近的其他離心機造成嚴重影響,從而產生災難性的連鎖反應。
在這種情形下,處于較高層次離心機中的壓力增速,比較低層次離心機中的壓力增速更快,因此更先出故障。奧爾布賴特團隊估計,一次攻擊可以同時對每個級聯系統中的30臺離心機造成破壞。他們認為,把含“富鈾235濃縮氣體”較多的高層次離心機作為攻擊的重點,具有更顯著的破壞效果。接近“氣體注入層”(第10層)的離心機中的“富鈾235濃縮氣體”最少,而接近最高層(第1層)的離心機中則匯集了幾乎全部“富鈾235濃縮氣體”,因此,攻擊后者造成的損失更大,對鈾濃縮進度的延遲更顯著。
不過,還存在另一種可能,震網0.5版并沒有關閉級聯系統兩端的成品閥門和廢氣閥門。如果是這樣,震網0.5版所能造成的影響會小得多——只是減少鈾濃縮成品的生產量,而不會破壞設備。含鈾氣體原料泵入級聯系統后,由于164臺離心機中有110臺遭到了震網的攻擊,閥門被關閉,因此只有剩下的54臺還可以正常運轉。這樣一來,參與濃縮進程的含鈾氣體大幅減少,最終得到的成品氣體也會大幅減少。
此外,在震網0.5版一邊實施攻擊,一邊向操作人員發送偽造的正常數據之前,它已經廢掉了生產線中的安全系統。其功能是,當發現離心機出現運行故障時,及時使之脫離級聯系統,以免造成破壞。安全系統的設計非常精密,主要包括兩類裝置:一類是安裝在每臺離心機上的加速度傳感器,用于監控離心機的振幅;另一類是安裝在每個級聯系統上的數十個壓力傳感器,用于監控級聯系統中各部分的壓力。如果某臺離心機出現故障,應急響應系統會做出毫秒級的反應——關閉該離心機與級聯系統之間的閥門,使離心機及其中的氣體與系統隔開。故障離心機中蘊含的能量,可能使其中的高溫氣體噴涌而出,在級聯系統中發散開來,對其他離心機造成損害。而正常運行的應急響應系統可以快速采取相關措施,阻止高溫高速氣流從故障離心機中噴出。但是,震網對安全系統的攻擊,讓這些功能全都成了擺設。(待續)
在納坦茲,級聯系統的安裝共分為3個階段,IAEA核查人員則跟蹤了每個階段的實施過程。首先,要安裝管道、氣泵和閥門等級聯系統的基礎設施;然后安裝離心機,轉子開始旋轉。這時,真空泵會將可能造成過大摩擦力和過多熱量的空氣排出腔外。當離心機轉速達到額定值后,含鈾氣體被泵入,鈾濃縮進程啟動。
納坦茲一共有兩個巨型地下車間。在2007年初的時候,伊朗人就開始在其中一個車間(編號為車間A)安裝離心機了。如前所述,這個車間分為8個機房,編號分別為A21至A28,每個機房可安裝18個級聯系統,每個級聯系統可容納164臺離心機。因此,每個機房中都可以安裝離心機2952臺。
2007年2月,技術人員首先在A24機房安裝離心機,并計劃于5月之前完成18個級聯系統的安裝。但是,他們的計劃沒有實現。8月中旬,他們才安裝、啟動了12個級聯系統;直到11月,所有級聯系統終于安裝完畢并投入運行。然而,新的麻煩又出現了。技術人員發現,級聯系統中的氣體總量少于設計容量,還發現,總有一部分氣體滯留在注入點和級聯系統之間的“進程緩沖區”中。2月至11月間,他們共向各級聯系統中注入了1670公斤含鈾氣體原料,但其中400公斤氣體滯留在緩沖區,只有1240千克氣體真正進入了離心機。更奇怪的是,離心機中最終生成的濃縮鈾成品大大少于預期。按10%的“成品-原料比”計算,應該生成124公斤低純度濃縮鈾,但實際上,他們只得到了75公斤。在2007年全年的大多數時間里,“產量不及預期、原料消耗過快”的問題始終存在,濃縮鈾的純度也偏低。納坦茲的技術人員聲稱,他們得到了純度為4.8%的濃縮鈾,但IAEA的測試結果顯示,成品濃縮鈾氣體的純度僅為3.7-4.0%。
擾亂閥門開關、降低濃縮鈾純度的,到底是不是震網0.5版呢?事實有待查證,不過納坦茲遇到麻煩的風聲很快傳了出去。2007年12月發布的美國國家情報年度評估報告中,提到了伊朗在鈾濃縮離心機方面“遇到了明顯的技術困境”,離心機的損壞率高達20%,遠遠高出設計水平。一位IAEA的高級官員告訴奧爾布賴特說,離心機損壞和產量偏低的部分原因,是大量濃縮鈾氣體被排放到了廢棄物回收罐中。
當時,奧爾布賴特團隊認為,離心機損壞率偏高的原因,一方面是離心機設計方面的瑕疵,另一方面與伊朗人正處于“如何將大量離心機安裝為級聯系統,并令其正常運行”的探索期有關。然而,納坦茲出現的問題,與震網0.5版“操縱閥門”的特點非常吻合。
不論原因到底是什么,反正離心機故障讓伊朗人損失了大量鈾原料。本來從國外進口渠道獲得的供應量就少,國內的賈欽鈾礦更是不給力,難以產出維持核計劃所需的足夠原料。
在2007年11月至2008年2月之間,技術人員沒有增加新的級聯系統,而是集中精力排除故障。之后,情況似乎出現了轉機。當內賈德于2008年春季展開“偉大勝利宣傳之旅”的時候,級聯系統進入了一個更加平穩的運行狀態,離心機損壞事故大幅減少。濃縮鈾成品的純度穩定在4%的水平附近,產能利用率由之前的50%上升到85%,單臺離心機的產量也增加了。
各界一致認為,伊朗似乎已經解決了級聯系統中的問題。伊朗人不顧旁人的勸導,以喪心病狂的速度,開始了新一輪的離心機安裝。級聯系統剛一到位,立即開始注入氣體、啟動生產進程,然后再轉入下一個級聯系統的安裝。從2008年5月到8月這3個月中,伊朗處于運行狀態的離心機數量,由3280臺增加了約500臺,至3772臺。
伊朗這樣做,其實面臨著巨大的政治壓力。聯合國的制裁,以及與西方毫無進展的談判,讓伊朗領導人非常惱火,也耗盡了他們的耐心。但對于這種無腦的大躍進,伊朗的科學家和工程師們是明確反對的。即便在正常條件下,安裝離心機并啟動生產進程,都是一件非常棘手的任務。更何況IR-1型離心機天生非常脆弱,快馬加鞭的折騰,純粹是沒事找事。
“從工程師的觀點來看,這太魯莽了。居然一口氣就把級聯系統中的164臺離心機運行起來了!干嘛不同時啟動18個或30個級聯系統呢?”奧爾布賴特說,“真正優秀的工程師一定會慢慢的安裝,在確認每一個步驟、每一個單元都運轉正常之后,才會把它們一層一層的連起來。”
但是,這段時期里,納坦茲卻運轉的異常順遂,到夏天過完的時候,納坦茲的技術人員們重新找回了信心,把先前遇到的麻煩拋到了腦后。不過,他們還沒高興幾天,形勢再次急轉直下。
IAEA的報告用一系列冷冰冰的數字,呈現出了當時的情景。
在2008年4月的參觀中,內賈德樂觀的宣布,納坦茲將很快在現有3000臺離心機的基礎上,再增加6000臺。但是,離心機數量在8月份達到3772臺之后,技術人員突然停了下來,而且在接下來的3個月里1臺都沒裝。同時,成品的生產量也是逐步下滑。從2007年初鈾濃縮開始起算,納坦茲的技術人員一共向級聯系統中注入了7600公斤鈾化物氣體原料,但到2008年8月,所有離心機的總產量只有480公斤,而不是計劃中的760公斤。產量偏低的情況一直持續到2008年底。在8月至11月間,技術人員共注入2150公斤鈾原料,但只生產出150公斤濃縮鈾成品。和2007年那次出故障時一樣,大量含鈾氣體不翼而飛。
然而,對伊朗而言,雖然存在種種問題,2008年仍然比2007年強多了。納坦茲2007年的濃縮鈾產量僅為75公斤,2008年已經增至630公斤。奧爾布賴特團隊估計,在理想條件下,伊朗人可以將700至800公斤低純度濃縮鈾轉化為20至25公斤武器級濃縮鈾,足以制造一枚初級核彈(crude nuclear weapon)。盡管產量不及預期,但當時并沒有傳出“伊朗核計劃沒有按時取得應有成效”的消息。
納坦茲的這一波故障,出現于2008年下半年,而這似乎與震網0.5版實施攻擊的時段正好吻合。震網感染417型PLC后,有一段時間的潛伏期。在為期至少一個月的偵察階段中,震網會記錄下用于欺騙操作人員的數據。如果目標是一個級聯系統,偵察至少需耗時35天;如果目標是6個連在一起的級聯系統,則至少需耗時297天。在這個過程中,級聯系統的運行不會受到任何影響。一輪攻擊結束后,震網又會轉入新一輪為期35天的偵察期。看起來,2008年下半年的問題集中出現在春季開始安裝的A26機房。如果震網0.5版感染與A26機房對應PLC的時間是2007年底到2008年初,那么從攻擊引發離心機內部壓力上升到造成可見的破壞性影響,剛好需要幾個月的時間。
在此期間,發生了一件特別的事情。一位加拿大籍伊朗人想要從兩家西方制造商手上采購一批壓力傳感器。這批設備的用途是,測量離心機內部氣壓。在2008年12月至2009年3月之間,Mahmoud Yadegari一共購買了價值11000美元的10臺壓力傳感器,并將其中的兩臺通過迪拜轉運到了伊朗。當他向第二家制造商提交采購20臺機器的訂單時,由于無法證明最終買家的身份而遭到了拒絕。4月,美國當局獲悉此事后,立即把他抓了起來。那么,這件事會不會與“伊朗人發現納坦茲的傳感器可能有問題”存在關聯呢?
進入2009年,納坦茲的技術人員迅速在A26機房展開了離心機安裝工作。到2月底的時候,已有9個級聯系統安裝完畢。但是,技術人員并沒有將它們投入運行。要是放在過去,技術人員每次都是剛一裝好就立即把它們啟動,這次不知是什么原因,他們沒有這樣做。同時,A24和A26機房中離心機的“分離功單位”(separative work unit,用于測度單臺離心機鈾濃縮效率的值)由0.80驟降至0.55,濃縮鈾成品的純度也從2008年的4%左右下降至3.49%。如果這些影響都是震網造成的,那么可以說,攻擊者通過震網達到了他們預期的目標。
就在此時,攻擊者決定要換個玩法。(待續)
2009年初,總統候選人巴拉克·奧巴馬應邀去往白宮與布什總統會面,商討新老領導人權力交接有關事宜。在交談中,布什談到了在過去一年中,對納坦茲離心機實施破壞性網絡攻擊的細節。這項行動確實起到了推遲伊朗核計劃的作用,但效果不算特別明顯,而且需要更多時間才能取得更大進展。如果行動繼續,那么必須得到在任總統的授權,這意味著奧巴馬必須簽署一項新的總統調查令,以批準該行動。考慮到當時除了發動空襲之外,似乎沒有什么其他選擇,因此沒費多少唇舌,奧巴馬就對這事點了頭。
2008年夏天,在總統選戰當中,奧巴馬曾親赴以色列拉票,并告訴以色列人,他“可以感受到以色列的痛苦”。他說,一個擁核的伊朗,將成為中東地區乃至全世界和平的“重大威脅”。他承諾,在他的領導下,將采取一切可能的措施來阻止伊朗獲得核武器。雖然這句話在本質上蘊含著使用武力的意思,但奧巴馬和布什一樣,也希望避免爆發無法控制的戰爭。因此,用比特武器實現物理破壞,越來越成為一個受歡迎的選擇。
上任之后,來自多方面的壓力讓奧巴馬應接不暇。通過外交渠道與伊朗溝通沒有任何效果,制裁也打不垮伊朗政府的斗志。他還擔心,如果美國再不快點動手的話,以色列很可能會采取單邊軍事行動。出于種種考慮,奧巴馬決定,在執行原計劃的同時,進一步提出“加快取得攻擊成效”的要求。就是在這樣一個決策背景之下,他批準了新的作戰計劃——上線以納坦茲變頻器為目標、更具侵略性的震網新版本。
那么,為什么美國人會在原計劃順利執行之時,轉而推出新的攻擊行動?根本原因在于,針對閥門的攻擊行動雖然有效,但見效太慢。攻擊者已經等不及了,他們需要一個能夠更直接破壞離心機、因而從根本上拖慢伊朗核計劃進程的作戰行動。他們也希望換一套迷惑伊朗技術人員的新招式,免得原有招式被拆穿。
具有諷刺意味的是,就在奧巴馬批準針對伊朗計算機系統發動新攻擊的同時,他還宣布了一項新的聯邦行動法案(federal initiatives),主題是保護網絡空間和國內關鍵基礎設施安全。而震網破壞的,正是這種所謂“關鍵基礎設施安全”。他在就職演說數周之后的一次演講中提到,國家的網絡基礎設施是國家戰略資產,在國家安全領域具有基礎性的地位。“我們將確保這些網絡的安全性、可信性和適應性,”他說,“我們將通過威懾、拒止、探測和防御等行動,使其免遭攻擊,并在受到干擾或破壞時快速將其恢復至正常狀態。”
實際上,就在奧巴馬批準新作戰計劃之時,還面臨著內容被曝光的風險。美國及其盟友致力于破壞伊朗核計劃,早已是人盡皆知。2009年2月,倫敦的《每日電訊》報道,以色列曾策動過一起針對伊朗核計劃的大規模暗戰,其中包括職業殺手、幌子公司、雙面間諜和秘密破壞行動。文章中,一位前CIA官員透露,其中有一種破壞行動,可以“以伊朗人無法理解的手段減緩核活動進程”,這似乎是在提示震網的存在。他說,行動的目標是“將伊朗核進程推遲、推遲、再推遲,直到找到其他的解決方案……這真是個好辦法,因為它避免了直接軍事對抗帶來的無法接受的巨大風險。”
幾乎同時,《紐約時報》也披露,一項針對伊朗的新的秘密作戰行動已經開始實施,但并未透露更多細節。
我們不知道伊朗人是不是看到了這些報道,也不知道他們是否將報道中的內容與納坦茲的問題聯系在一起。他們當然明白,自己正在面臨著與2006年“土耳其UPS功率調節器事件”類似的風險。但是,除此之外更重要的是,他們只把注意力放在引起破壞的部件(而非程序)上。
當攻擊者準備上線震網新版本時,奧巴馬實現了另一項有關伊朗的競選承諾。他曾在總統大選中對選民承諾,如果上臺,將對伊朗采取更強硬的外交攻勢。作為落實承諾的一部分,他在就職演說中做出了一個前所未有的突破,直接通過電視直播向穆斯林世界喊話。他說,“對于穆斯林世界,我們將以共同利益和相互尊重為基礎,探尋新的相處之道。對于那些試圖在世界各地散播沖突、并把本國社會問題歸咎于西方的領導人們,我們希望你們能夠明白,人民評判你的依據,不是你能摧毀什么,而是你能建設什么。”(2009年1月20日)
3月20日,奧巴馬再次直接向伊朗喊話。這一天是伊朗傳統新年“諾魯孜節”,他通過《美國之音》廣播電臺,專門向伊朗國家元首和人民發表了演講。
“在新的一年來臨之際,我想跟伊朗的領袖說句真心話。”他說,美國希望和伊朗發展“真誠的、以相互尊重為基礎的”建設性伙伴關系,并希望看到伊朗人民和鄰國乃至全世界其他國家都能享有“更安全、更和平”的生活。他引用了波斯詩人薩迪(Saadi)的一句話作為演講的結尾:“亞當子孫皆兄弟,兄弟猶如手足親,造物之初本一體。”美國已經向伊朗伸出了友誼與和平之手,“你是否愿意松開你緊握的拳?”
然而,奧巴馬可不是什么天真的中學生。他一面向伊朗人民表達和解的愿望,一面卻在積極準備對納坦茲發動新一輪的網絡攻擊。(待續)
