第十七章離心機之謎 · 零日漏洞：震網病毒全揭秘

震網新版本上線兩周前，伊朗內部一片喧囂。2009年6月12日，一場在現任總統內賈德和挑戰者穆薩維（Mir-Hossein Mousavi）之間展開的總統大選，并沒有產生大多數人期望中的結果。人們本以為選舉會很激烈，但是當投票結束兩個半小時后，官方宣布了最終結果——內賈德以63%對穆薩維34%的優勢勝選。部分選民認為有人作弊，紛紛表示抗議。第二天，憤怒的抗議人群涌向德黑蘭街頭，向官方表達憤慨與懷疑。據媒體報道，這是自1979年驅逐國王的革命以來，伊朗國內最大的一場抗議活動。很快，抗議示威演變成了暴力沖突。抗議者肆意破壞商店，點燃垃圾箱，警察、圣戰者（Basijis）以及穿便裝的國民自衛隊則奮力用警棍、電棒甚至子彈驅散人群。 [![](https://box.kancloud.cn/2015-12-08_5666b1ce9612d.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-53.jpg) 2009年伊朗總統大選候選人：內賈德和穆薩維隨后的星期天，內賈德發表了一席雄心勃勃的勝選演說，宣稱伊朗的新時代即將到來，并把抗議者比作輸紅了眼的足球流氓。抗議者并未示弱，繼續示威游行，直到6月19日，為了平復局面，宗教領袖哈梅內伊出面，認可了選舉結果。他主張，1100萬人的選票差距太大了，很難通過作弊手段取得。但他的說法，抗議者似乎并不買賬。第二天，一位名叫尼達?阿迦-蘇爾坦（Neda Agha-Soltan）的26歲婦女陷入了抗議者引發的交通擁堵，正當她和她的音樂教師走下車來觀察路況時，一枚來自狙擊手的子彈擊中了她的胸膛。 [![](https://box.kancloud.cn/2015-12-08_5666b1ceaf724.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-63.jpg) 不幸遇害的尼達?阿迦-蘇爾坦（Neda Agha-Soltan） 2天后，6月22日星期一，負責監督選舉進程的“伊朗監管委員會”正式宣布內賈德獲勝。抗議活動在持續近兩周之后，突然銷聲匿跡，德黑蘭出現了反常的平靜。前兩天還用催淚瓦斯和空炮彈驅趕示威者的警察們，也可以喘口氣了。當天下午4:30左右，伊朗人還沒來得及從前些天的恐懼與悲傷中醒過神來，震網的新版本已經完成了編譯，正式上線。雖然德黑蘭的街頭亂作一團，納坦茲的技術人員卻是泰然自若。他們從2009年元旦前后重新開始安裝離心機，到2月底已經共完成新裝離心機5400臺，接近內賈德之前承諾新裝6000臺的目標。但只有部分離心機投入了運行。不管怎么說，整個進度還是逐步向前推進的。到6月份，新裝的離心機數量增至7052臺，其中4092臺處于運行狀態。其中，除了A24機房中的18個級聯系統外，還有A26機房中的12個級聯系統。另有A28機房中的7個級聯系統已經抽成了真空狀態，隨時可以注入氣體。離心機的性能也得到了改善。伊朗低純度濃縮鈾的日產量提高了20%，并在2009年整個夏天都保持穩定。雖然之前遇到一些問題，但伊朗的低純度鈾的總產量已達839公斤，越過了實施一次核爆的技術瓶頸。如果繼續保持這個速度，伊朗將在一年之內獲得足夠制造兩枚核彈的濃縮鈾。而這只是建立在納坦茲已經安裝的IR-1型離心機的基礎上，估算出來的。伊朗已經在試驗工廠中安裝了一個IR-2型離心機的小型級聯系統，一旦技術人員完成試驗并開始在地下車間安裝IR-2型離心機，一切就得重新計算了。1年內生產制造1枚核彈所需的濃縮鈾，需要3000臺IR-1型離心機，但如果把離心機換成IR-2型，則只需1200臺。提示：震網1.001版被揭露的時間，正是2009年6月底。（回看第一章）為了讓病毒進入鈾濃縮工廠，攻擊者首先對4家公司的計算機發起了攻擊。這4家都與控制系統和某些處理過程有關，要么是生產某些產品、組裝某些部件，要么是安裝工業控制系統。它們都經過了精心挑選，因為它們都是納坦茲的承包商，而且經常有員工出入納坦茲。這為病毒的傳播提供了通道。為了讓病毒更有效的傳播到目標位置，與之前僅有“感染Step 7項目文件”一種傳播方式的0.5版相比，震網的這個版本增加了兩種傳播方式。一種是通過U盤，利用Windows的Autorun功能進行傳播，另一種是利用打印緩存服務中的一個零日漏洞進行傳播。而卡巴斯基和賽門鐵克稍后都在代碼中找到了這個零日漏洞。震網1.001版本的日志文件顯示，“首位染毒者”位于一家名為弗拉德（Foolad）科技的公司。感染時間為6月23日星期二的凌晨4:40。大約一周之后，才有第二家公司遭到感染。第二周的周一，大約5000名游行示威者安靜的穿過德黑蘭的街道，來到深衣（Qoba）清真寺，悼念在近期抗議活動中的遇害者。當天晚上11:20左右，震網對第二個目標百坡炯（Behpajooh）公司發動了攻擊。很容易分析為什么百坡炯公司也會遭到攻擊。這是一家位于伊斯法罕的工程公司，靠近伊朗新的鈾轉化工廠。伊斯法罕鈾轉化工廠的任務是，將采掘出的鈾礦轉化為鈾化物氣體，作為納坦茲鈾濃縮的原料。同時，伊斯法罕還是伊朗核能科技中心的所在地，據信伊朗的核武器開發項目就在其中。在美國聯邦法院關于伊朗非法采購活動的法庭文件中，百坡炯公司也赫然在列。百坡炯的業務是安裝、調試包括西門子公司產品在內的各種控制系統和自動化系統。公司的網站上沒有提到納坦茲，但提到了公司曾為一家伊斯法罕的鋼鐵廠安裝過西門子S7-400型PLC，配套的Step 7和WinCC軟件以及現場總線通信模塊。這些設備，與震網在納坦茲的目標設備完全一致。在百坡炯遭攻擊9天后的7月7日凌晨5點，震網攻擊了尼達工業集團的計算機。同時遭到攻擊的，還有一家在日志文件中被縮寫為CGJ的公司，據信是高士達（Gostar Jahed）控制系統公司。這兩家公司的業務都是設計、安裝工業控制系統。尼達的業務范圍包括工業控制系統、精密儀器和電力系統的設計與安裝，主要客戶是伊朗的石油天然氣行業、電廠、礦產開采與加工廠等。在2000年和2001年，公司曾為伊朗多個天然氣管道項目安裝過西門子S7系列PLC，也為伊斯法罕鋼鐵廠建筑群安裝過西門子S7系統。與百坡炯一樣，尼達也因參與了非法采購活動進入了“核擴散監控公司清單”，并因通過走私渠道獲取微控制器和其他設備部件，位列美國法院的訴狀之上。又過了兩周左右（7月22日），一名尼達公司的控制系統工程師在西門子用戶論壇上發了一個帖子，抱怨自己公司的同事們遇到了一些問題。他發帖時用的名字是Behrooz，他在帖子中說公司所有計算機都遇到了相同的問題，有一個西門子Step 7系統的.DLL文件反復報錯。他懷疑其中可能存在某種通過U盤傳播的病毒。他還寫道，當他用西門子安裝光盤重新安裝Step 7，用正常的文件覆蓋染毒系統中可疑文件后，一切恢復正常。但當他使用U盤在計算機間傳遞文件之后，問題再次出現。我們知道，U盤是震網病毒的主要傳播途徑。然而，盡管Behrooz和他的同事們用殺毒軟件進行了掃描，卻沒有發現病毒。在論壇的回帖中，也沒有他們及時解決該問題的跡象。對于“在震網感染尼達等4家公司之后，又用了多久才到達最終目標”，我們并不清楚。但在6月至8月間，納坦茲處于運行狀態的離心機數量出現了下滑。那么，這一筆軍功，到底是該記在震網新版本身上，還是記在遺留其中的震網0.5版本身上？我們也不知道。我們只知道，到8月底的時候，處于運行狀態的離心機數量，比6月減少了328臺，至4592臺。問題還是出現在之前出過故障的A26機房。6月份的時候，A26機房里面共運行著12個級聯系統，但到了11月，一半級聯系統都處于停工狀態，只剩下6個級聯系統還在勉強運行。在5個月中，處于運行狀態的離心機數量一共減少了984臺，還剩下3936臺。而且，雖然還在不斷安裝新的離心機，但沒有1臺投入運行。在A28機房里，17個級聯系統已經安裝就緒，但這將近3000臺離心機都沒有開機運轉。很明顯，級聯系統出狀況了，技術人員卻大眼瞪小眼，無從下手。然而，納坦茲發生的這些變化，準確的反映出震網攻擊的有力功效。如前所述，震網1.001版會將離心機轉子的頻率升至1410赫茲（接近每小時1000英里）并保持15分鐘，然后休眠3周，將頻率將至2赫茲并保持50分鐘。這種攻擊行為循環實施幾次之后，就會逐漸開始對離心機造成破壞，并影響濃縮鈾氣體的產量。但奧爾布賴特和它的同事們卻認為，要想把離心機轉子的頻率升至1410赫茲，15分鐘是不夠的，而且這個頻率會直接對離心機造成顯著破壞。因此，在這個攻擊段中，實際頻率大概在1324至1381赫茲之間。盡管如此，長期持續加速減速，仍會逐漸增加離心機轉子的負荷與磨損。此外，突然的加速還會導致鋁制離心機振幅擴大，以致失去平衡。 IR-1型離心機由于設計上的缺陷，本身非常脆弱，一點小問題就可能讓它無法正常運轉。比如，膛內有灰塵都可以導致離心機自毀。伊朗原子能機構（AEOI）主席阿扎加德（Gholam Reza Aghazadeh）在鈾濃縮項目實施初期（2006年）接受采訪時表示，IR-1型離心機經常會由于機器內部的病菌而崩潰。最初，他們完全找不到離心機爆炸的原因，直到后來終于發現，這居然是技術人員在操作時沒戴手套造成的。離心機一開始高速旋轉，機器上的微生物就會一點一點的將其腐蝕。他對記者說：“離心機遭到破壞的實質，是它的部件被微生物化作了粉末。” 離心機頂部裝有軸承，這些軸承像是旋轉的陀螺，起著穩固離心機的作用。離心機從靜止狀態開始運行時，加速十分緩慢，但姿態非常美麗而優雅。但一眨眼的工夫，優雅就可能變為災難。一旦離心機開始晃動，很快就會失去控制。離心機外殼很堅固不會被摔碎，但要么會像熱狗一樣開裂，要么會變得彎曲，使兩端的蓋子迸射出去。同時，離心機內膛里的轉子和其他部件也會分離、碎裂。震網發出的加速指令所引起的晃動，會在多輪循環之后最終將軸承磨損殆盡，讓離心機最終因失衡而倒塌。但由于操作人員看到的數據永遠都是正常的，他們既看不到破壞發生過程，也無法在事故發生后找出其原因。震網會在攻擊的第二階段中，將離心機運行頻率降至2赫茲，并持續50分鐘。這說明攻擊者的另一個目標，是在破壞離心機的同時，降低濃縮鈾的產量。要把一臺以1064赫茲的頻率高速旋轉的離心機降至接近靜止狀態的2赫茲，需要很長一段時間。因此，據奧爾布賴特團隊分析，50分鐘只能將離心機頻率降至864赫茲，攻擊結束后再慢慢恢復正常轉速。不過，只要震網能把離心機轉速降低50至100赫茲，就可以使其產量減半。在鈾濃縮生產進程中，離心機必須持續穩定的高速旋轉，才能將含有鈾235和鈾238從混合氣體中分離出來。如果速度下降長達50分鐘，分離進程將受到嚴重影響。納坦茲的技術人員本期待著從離心機中得到高品質的濃縮鈾，但震網的攻擊卻讓成品濃縮鈾的品質大大降低。這部分攻擊基本上沒什么破壞性，也不會對推遲伊朗核計劃產生特別顯著的影響。但作為從另一個角度實施騷擾的攻擊活動，它很適合與破壞性攻擊配合使用。這個攻擊階段的實施，不僅降低了濃縮鈾成品的純度，還起到了使濃縮鈾產量不再穩定的作用。在2009年2月，離心機的分離功單位是0.62，到了5月份已經降至0.49。在6月至8月間，這個數值在0.51至0.55之間波動。回到美國。此時，ISIS的奧爾布賴特團隊正在研究IAEA的報告，并從中發現了納坦茲鈾濃縮進程中的變化。考慮到技術人員在A26機房安裝離心機的“瘋狂速度”，看到伊朗遇到麻煩，他們一點都不驚訝。奧爾布賴特從報告中看到，納坦茲的技術人員已經放慢了安裝離心機的速度，以確定問題出在哪。但他推測，除了正常損耗和技術難題之外，一定有其他原因導致了這些問題。他專門找到美國政府和IAEA中的熟人，索要更多與這些問題有關的資料，但沒有得到什么決定的結果。進入2010年，納坦茲處于運行狀態的離心機數量進一步下滑。已安裝的離心機數量為8692臺，運行中的離心機只剩下3772臺，比2009年6月減少了1148臺。在此之前，問題僅僅出現在A26機房的離心機中，但可怕的是，A24和A28機房的離心機也開始出問題了。A24機房的級聯系統中，出現了含鈾氣體逸出的情況。然而，更有意思的是，技術人員開始將離心機從級聯系統中斷開或移除。2009年8月，IAEA在地下車間中安裝了更多攝像頭，來監控技術人員安裝離心機的過程。但在2010年初，攝像頭拍下了畫面顯示，技術人員正在急急忙忙的從機房中移除離心機。1月，IAEA報道，技術人員從A26機房的11個級聯系統中移除了部分離心機，具體數量不明；同時，他們還移除了A28機房某級聯系統中的全部164臺離心機。而且，A28機房中余下的11個級聯系統也沒有處于運行狀態。之后，《華盛頓郵報》的一篇報道中提到，在這段時間內，共有984臺離心機被替換，相當于6個級聯系統那么多。但此時，震網的攻擊行動尚未全部展開。臨近2009年底，美國加快了對伊朗核計劃施壓的步伐。 9月底，納坦茲離心機數量正在下滑之中，奧巴馬總統在“聯合國安理會核不擴散和核武軍控峰會”上宣布，在伊朗發現了一個新的秘密鈾濃縮設施。這個設施位于庫姆圣城（holy city of Qom）30公里外的一個軍事基地之內，深藏于福爾多（Fordow）山下150英尺處。該設施的規模遠小于納坦茲，設計容量為3000臺離心機，還不到納坦茲47000臺的零頭。但這已經足夠生產出每年制造一枚核彈的濃縮鈾了。“伊朗擁有和平利用核能，滿足人民能源需求的正當權利。但福爾多鈾濃縮工廠的規模與配置似乎并不是用于和平目的的。”奧巴馬在發言中說道。伊朗人告訴IAEA總干事巴拉迪，這是納坦茲的后備工廠，由于納坦茲面臨軍事打擊的威脅，他們才不得不未雨綢繆。新的鈾濃縮工廠仍在建設之中，預計將在2011年完工。但根據美國情報部門的消息，該設施早在2002至2004年間的某個時刻就已破土動工。這意味著，IAEA核查人員在去往納坦茲的路上，曾多次路過這個鈾濃縮工廠，卻分別不知道它的存在。奧巴馬知道此事的時間是2009年1月，當時他在白宮做就職演說前的準備工作。而情報部門至少在2007年就知道了。當時，伊朗國民衛隊司令叛變后告訴CIA，伊朗正在境內某處建造第二個秘密鈾濃縮工廠。之后，美國通過衛星偵察，找到了福爾多工廠的地址。 [![](https://box.kancloud.cn/2015-12-08_5666b1cf3eed0.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-7.jpg) 福爾多（Fordow）鈾濃縮工廠地址福爾多鈾濃縮工廠雖然比納坦茲規模小，但實際上卻比納坦茲更加危險。因為，納坦茲無時無刻不在IAEA的監控之下，伊朗人很難把納坦茲的鈾原料轉移出去，并把它濃縮為武器級鈾化物。但像福爾多工廠這樣的秘密設施，卻可以在IAEA不知情的情況下，生產武器級濃縮鈾。這才是真正令人擔憂的。福爾多工廠的另一個令人擔憂之處，是它建造在厚達100多英尺的堅固巖石下面，因此，就連目前最先進的集束炸彈和美國正在研制的新一代炸彈，都對它無計可施。英國首相戈登·布朗在回應福爾多鈾濃縮工廠的新聞時表示，伊朗核計劃是“當前國際社會所面臨的最緊迫的核擴散挑戰。”他說，面對伊朗“多年來一系列欺騙行為”，國際社會除了“給伊朗戴上緊箍咒”之外，別無選擇。然而，伊朗官員似乎并未受到福爾多曝光的干擾。AEOI主席阿扎加德挑戰似的宣稱，他們打算在未來10年內再建造10個鈾濃縮工廠，向未來的多所大型核電站供應濃縮鈾燃料。而且，這些濃縮鈾工廠都將建在大山深處，以抵御外部攻擊。獲悉福爾多工廠之后，以色列更加堅定了對伊朗核計劃采取行動的決心。11月，在特拉維夫（Tel Aviv）的一場會議上，以色列軍方領導對美國官員說，2010年將是與伊朗攤牌的“關鍵之年”。如果他們不迅速動手，伊朗人就會進一步加固他們的核設施，到時候再想打，就更困難了。美國方面則秘密承諾以色列，一旦新一代集束炸彈從工廠下線，會立即將其運往以色列。但是，要拿到這批貨，還得等上6個月。 2010年1月，一家隸屬于伊朗軍方的秘密核能研究機構FEDAT被媒體曝光，緊張態勢進一步升級。據稱，該機構的領導人是德黑蘭伊瑪目?侯賽因（Imam Hossein）大學教授穆赫辛?法克里薩德（Mohsen Fakhrizadeh）。2月份，IAEA表示，已經得到了有關伊朗研制核武器“具有顯著一致性和可信性”的證據。“這條消息表明，伊朗曾經或正在實施著某個不為人知的導彈核彈頭研發工程。而這引發了各界的強烈憂慮。” 此外，以“緩解各方對伊朗不斷增長的低純度濃縮鈾庫存的憂慮”為目標的談判也陷入了破裂。多年來，伊朗一再聲稱需要用鈾化物為德黑蘭的研究性反應堆提供燃料棒，以開展癌癥病理學與腫瘤治療研究，但美國等西方國家始終在懷疑，這些鈾化物可能會被進一步濃縮至武器級。為了解開這個疑團，2009年中，一名白宮的顧問想出了一個高明的計策。這是一個和解建議，其內容是，讓伊朗將絕大多數低純度濃縮鈾發往俄羅斯和法國，后者幫助伊朗生產燃料棒。那么，伊朗人說反應堆需要多少燃料，就能得到多少燃料。這樣一來，伊朗官員肯定會受不了鉆空子的誘惑，讓俄法兩國多生產些燃料，以供自己制造核彈之用。伊朗官員曾于2009年表示，將認真考慮這項建議。但在2010年1月19日，他們宣布拒絕此建議。而且，他們還說已經開始用納坦茲生產的部分低純度濃縮鈾，在一個試驗工廠中進行進一步濃縮了。在那里，他們將得到用于醫學研究用途的純度近20%的濃縮鈾。 6天后，震網團隊完成了新一輪攻擊的準備工作。在上任第一年內，奧巴馬總統一直密切關注的震網攻擊的實施進程。美國在這項行動上押下了巨大的賭注，不過目前來看，反饋回來的都是好消息。實際上，攻擊所取得的成效，比預想的還要理想。雖然遭到震網攻擊的離心機數量有限，但伊朗人卻為了查找問題原因，移除了包括整個級聯系統在內的大量設備。這種反應不僅倍增了攻擊成效，而且對伊朗核計劃起到了進一步的延遲作用。伊朗人至今仍然不知道問題出在控制級聯系統的計算機上，因此根本找不到解決問題的出路。值得一提的是，這一切都發生在對伊朗發動軍事打擊呼聲漸強之時。 1月25日，震網攻擊者為新版震網中的兩個驅動程序文件簽發了從臺灣瑞昱公司盜取的數字證書。3月1日，代碼編譯完成。接下來要做的，就是等待時機。 3月20日是伊朗傳統新年諾魯孜節，奧巴馬把他在上一個伊朗新年時發出的和平合作倡議又重復了一遍。這一次，他明確提出了伊朗核計劃。“美國與國際社會一道，承認伊朗和平利用核能的權利，我們所堅持的，只是希望你們能夠恪守其他國家共同遵守的責任。”他說。“我們了解你們胸中對過往的怨氣，因為我們也有怨氣。但是，我們仍然希望繼續前行。我們知道你們反對什么，請告訴我們你們支持什么。” 當他提到伊朗于近期拒絕關于生產鈾燃料的和解建議時，聲調變得更低沉了。“面對我們伸出的友好之手，伊朗領導人卻只是緊握著拳頭。” 在演講之前的幾周內，伊朗技術人員挑燈夜戰，努力查找問題原因。他們又把A24機房的全部18個級聯系統裝了回去，并開始將之前從A26機房移除的離心機一一復位。他們還增加了注入仍然處于運行狀態的離心機的氣體量，想要挽回之前浪費的時間，盡力增加濃縮鈾氣體的產出。但他們根本不知道，攻擊還會卷土重來。伊朗的傳統新年的公共假期為4天，相關慶祝活動則會持續13天。3月23日是公共假期的最后一天，大部分伊朗上班族還在家中與家人和朋友過年，而震網恰恰選在這個時刻發動新一輪攻擊。2010年3月版震網的載荷與2009年6月版沒有變化，但導彈部分中增加了多個零日漏洞利用程序和其他傳播機制，其中就包括最終導致其曝光的.LNK漏洞利用程序。盡管加了不少花里胡哨的小工具，但攻擊者似乎卻只為新版本震網選取了一個攻擊目標——百坡炯。代碼上線的具體時間不詳，只知道百坡炯的首位染毒計算機的中招時間是3月23日早上6點左右。百坡炯不僅是2009年攻擊的“首位感染者”之一，而且在2010年4月的下一輪攻擊中也率先中招。實際上，它是唯一一個在3次攻擊中都遭到震網攻擊的對象，這表明它作為通往納坦茲目標計算機的中間渠道，比其他公司具有更大的利用價值。同時，不幸的是，它也成為了伊朗國內外數以千計染毒計算機的發源地。在接下來的日子里，員工們結束休假返回公司，病毒開始快速傳播，首先傳遍了百坡炯在伊朗、英國和亞洲其他國家的辦公室，之后又感染了這些國家的其他公司……后來，當賽門鐵克的研究員分析來自世界各地染毒計算機上的病毒樣本時，他們發現數千臺染毒計算機的源頭都指向百坡炯。為什么攻擊者在這個時間節點，突然增加了指向目標的攻擊火力呢？也許，過去兩年來他們已經習慣了在納坦茲計算機中肆意妄為，因而信心膨脹、忘了自己姓啥。但最可能的解釋是，前面幾個版本的震網都是通過某個接近目標計算機的內部人士和其他什么人帶進去的。如果震網攻擊者后來失去了這個入口，他們會感覺到有些別扭。因此，他們需要提升病毒的傳播能力，以增加病毒到達目標的機會。支持這種解釋的一個旁證是，在上一輪攻擊中，攻擊者在完成代碼編譯到上線、感染“首位感染者”之間的等待時間，與本輪攻擊有所區別。在2009年6月的攻擊中，代碼編譯完成到首臺計算機被感染之間，只有12個小時。但在2010年3月的攻擊中，代碼編譯時間是3月1日上午，首臺計算機被感染的時間是3月23日。（之后于2010年4月上線的下一個版本，其編譯-感染延遲時間也是12天。）2009年攻擊短暫的時間間隙表明，攻擊者可能有一個內線，或精心挑選了一個不知情的受害者，充當了帶毒者的角色。但當攻擊者上線震網后續版本時，情況可能發生了變化，他們不得不靜待時機，方可將病毒上線。震網在到處擴散的同時，一直通過指揮控制服務器跟攻擊的控制者保持著聯系。因此，當震網出狀況后，華盛頓應該很快就會有所覺察。很顯然，那時，這項已經實施3年之久的華盛頓最高機密行動，突然遇到了暴露的風險。一個精心設計且長期可控的網絡武器，怎么突然之間就掉鏈子了？一開始，以色列成了千夫所指。據報道，2010年春天，白宮、NSA和以色列“決定來個全壘打”，意思是要對一組多達1000臺的離心機發動攻擊。這組目標可能是A26機房中的6個級聯系統。在上一輪攻擊中，震網成功的將A26機房中的級聯系統數量由12個減少到6個，這一次他們希望把最后這6個級聯系統全部搞定。6個級聯系統，每個系統有164臺離心機，總數是984臺。很明顯，為了確保勝利，以色列人插了一腳，在代碼中加入了更多零日漏洞利用程序和其他傳播機制。據紐約時報記者桑格（David Sanger）報道，知情人士告訴他，一名伊朗科學家先是將自己的筆記本接入了一臺染毒的控制系統計算機，之后有把筆記本帶回家接入了互聯網。借助這臺筆記本，他們得到了“震網成功侵入納坦茲”的消息。但是，這種說法與研究員在代碼中找到的證據并不相符。如前所述，每一個震網樣本中都包含一個日志文件，上面記錄著它感染過的每臺計算機的信息。這些文件先是，首位感染者均來自百坡炯和其他3家公司，染毒計算機似乎都是些普通的計算機，而非納坦茲內部存有Step 7文件或安裝西門子軟件的編程計算機。退一步考慮，或許有可能，這些染毒筆記本是承包商的資產，只是放在納坦茲內部供人使用。（因此帶了毒進來）然而，桑格還提到，當震網離開目標環境之后，應該可以識別出環境的變化。但各大公司的研究員卻從未在任何版本的震網代碼中發現過“識別環境變化并防止震網傳播至納坦茲之外”的功能。震網代碼中的限制條件只有一個，就是“投下載荷”的地點（滿足一系列條件），而非傳播的區域。不過，有一個很重要的問題必須說明，就是負責管理指揮控制服務器的操作人員，的確具有在發現震網傳播失控時停止其傳播的能力。震網本身具有自毀功能，攻擊者可以將它從染毒計算機上移除。當震網四處傳播、即將失控時，攻擊者將會看到位于印度尼西亞、澳大利亞等地的服務器收到來自染毒計算機的報告，這時，他們可以發出指令，把震網從這些發出報告的計算機上刪掉。他們之所以沒這么做，只有幾種可能的原因。“要么是他們不在乎震網四處傳播，要么是震網的傳播速度實在太快，超出了他們的預想，因此來不及實施對策。”莫楚說。他認為，傳播失控，并非因為攻擊者無能。“他們對染毒計算機擁有完全的控制權，我認為他們看著震網大規模爆發卻什么都沒做，確實有點不可思議。”當震網四處傳播的新聞傳到了華盛頓之后，華府做出了一個令人的決定：不做阻攔，任其發展。然而，其細節仍然不甚分明。據桑格的線人透露，在3月份之后，至少又有兩個新版本的震網上線，其中移除了前一個版本中導致大規模傳播的錯誤（bug）。 4月14日，攻擊者完成了另一個版本的編譯，但其載荷與3月份的版本幾無二致。雖然擁有同樣的傳播機制，但后者并不像前者那樣，傳播的既遠且廣。該版本之后，互聯網上再無其他版本的震網出現。不過也有這種可能：攻擊者隨后又推出了更新的版本，但由于對它實施了更嚴密的控制，因此沒被任何人發現。相關線索的確存在，ESET公司研究員曾在2010年7月發現過一個可疑的驅動程序文件，上面帶有智微公司的數字證書。他們認為，這個文件應與震網有關。但是，如前所述，這個驅動程序文件是單獨發現的，沒有跟震網的主要文件在一起出現，但是經過分析，研究員仍然認為它可能來自震網的另一個版本。在2010年4月這一輪攻擊中，弗拉德科技繼2009年6月之后，再次成為“首位感染者”。震網于4月26日侵入公司，并再次擊中了在去年那輪攻擊中第一臺被感染的計算機。兩周后的5月11日，震網感染了據信為卡拉揚電力公司（日志上為Kala）的3臺計算機。卡拉揚電力正是反政府組織NCRI發言人阿里雷薩?賈法薩德在2002年揭露納坦茲的新聞發布會上提到的幌子公司，實際任務是管理納坦茲工廠和為核計劃秘密采購設備部件。百坡炯遭感染的時間更晚些，在5月13日。值得一提的是，雖然研究員在2010年版震網樣本的染毒日志中，并未發現尼達工業集團的名字，但該公司那位曾在西門子用戶論壇上發帖的控制系統工程師Behrooz又跑到論壇上來抱怨了。6月2日，他發帖說，（尼達）公司的所有使用Windows系統的計算機，再次遭遇了與去年一樣的問題（報錯）。公司的其他工作人員也紛紛頂帖，表示贊同。其中一名用戶也說公司所有PC都被感染了，還說他覺得好像只有伊朗才遇到了這個問題。“因為大家可以看到，自從1個多月前開始，論壇上有很多伊朗人都遇到了相同的問題。”他寫道。論壇上的討論一直持續到7月底，其中較為活躍的Behrooz經常會有種挫敗感，因此總是會以表示憤怒的表情符（emoticons）作為帖子的結尾。突然，7月24日，他發出了一條消息，說這個謎團已經解開了。他發了一個超鏈接，指向一篇近期發布的關于震網的新聞，并以三個咧嘴大笑的表情符結尾。但是，要等到幾個月之后，Behrooz和其他人才會知道，震網攻擊的真正目標到底是何方神圣。與2009年的攻擊不同，外界并不清楚2010年版震網到底對納坦茲造成了多大影響。桑格在攻擊者上線2010年4月版震網后，報道說它對984臺離心機造成了“致命的破壞”。如前所述，當時A26機房中只剩下6個級聯系統的984臺離心機還處于運行狀態，但IAEA的報告中并沒有說這些離心機停止了運行。9月份，A26機房中仍然有6個運行中的級聯系統，還有另外6個級聯系統已經安裝調試完畢。當然，也有可能是在IAEA的《5月版報告》和《9月版報告》之間，離心機確實遭到了攻擊，但之后又恢復了正常或者被替換掉了。還有一種可能，是桑格把兩輪攻擊的日期搞混了，他所說的大約1000臺離心機，不是2010年4月這一輪攻擊的成果，而是IAEA在2009年底和2010年初，當納坦茲技術人員拆卸離心機時，通過監控攝像頭拍到的。 2010年6月，伊朗官員以“IAEA向媒體泄露鈾濃縮活動相關信息”為由，開始驅逐IAEA核查人員，因此，很難弄清楚納坦茲在此之后的確切情況。在一封發送于6月3日的信中，伊朗官員警告IAEA說，如果有關核項目的機密信息“以任何形式泄露出去，或到了媒體手上”，就將終結與IAEA的合作。首當其沖的就是取消IAEA核查人員進入核設施的許可。同月，伊朗把威脅變成了現實，借口IAEA《5月版報告》上出現了“錯誤和不當言論”，從一個包括150名IAEA核查人員的許可名單上劃掉了2個人的名字。這份報告中聲稱，伊朗的部分核設備“不翼而飛”。9月，又有2名核查人員遭禁，原因是他們在IAEA公開發布報告之前，向媒體走漏了消息。伊朗官方對IAEA的非難，給后者在發布信息方面制造了困難，有關納坦茲的信息眼看著越來越少。到11月，IAEA干脆在季度報告中砍掉了離心機具體情況方面的內容。代替原來“已安裝離心機數量”和“運行中離心機數量”的，是“A24、A26、A28機房中離心機總數”。這個變化，讓外界再也無法判斷震網對納坦茲的具體影響了。我們所知道的是，在2010年7月，離心機的開工率只有45%至66%。ISIS在7月出版的一份報告中首次指出，納坦茲離心機出現故障的原因可能是“遭人破壞”。彼時，震網已經被曝光出來了，但各路人馬在幾個月后才最終分析出，震網就是納坦茲故障的罪魁禍首。我們還知道，已安裝離心機和運行中離心機的數量，在2010年急劇減少。2009年11月，伊朗共安裝了8692臺離心機，這時納坦茲最輝煌的時刻。到了2010年5月，安裝到位的離心機下降到8528臺（其中3936臺運行），到了9月小幅回升至8856臺（其中3772臺運行），11月又掉到8426臺（4816臺運行）。有可能在2010年一整年里，納坦茲的離心機持續損毀，即便到了后來他們發現了震網，并確定它就是罪魁禍首之后，情況仍無改觀。9月至11月，運行中離心機的數量出現了1000左右的增長，這說明震網的影響受到了削弱。然而，11月時，納坦茲仍有3600臺離心機已安裝到位卻沒有運行。這充分表明至少問題一直沒得到圓滿解決。很快，11月16日，伊朗官員在賽門鐵克發布“震網的功能是破壞變頻器”的報告6天后，徹底終止了納坦茲的鈾濃縮活動。而就在這前后，他們還嘗試著在機房里新安裝了6個級聯系統，說明他們可能希望通過更改級聯系統的配置，來避免震網彈頭的侵襲。回到華盛頓，關于震網的討論貫穿了2010年全年。初夏時節，CIA局長萊昂·帕內塔（Leon Panetta）和詹姆斯·卡特萊特將軍，共同向總統匯報了震網傳播失控的情況。這激起了奧巴馬一系列的疑問。有沒有跡象表明伊朗人已經發現了震網？如果發現了，那他們是否能判斷出它的目標，是否能追蹤到它的來源？此外，對于震網可能給納坦茲以外的染毒計算機造成的連鎖反應，他也表現出了擔憂。考慮到這些問題，那么，是否應該就此取消這此行動呢？此時，他的幕僚們提醒他，震網病毒式一種精度很高的制導武器，只會將載荷釋放到滿足一系列特定條件的計算機上；而且，雖然它會因感染其他計算機而對它們產生一些影響，但并不會造成破壞。 [![](https://box.kancloud.cn/2015-12-08_5666b1cf5b48b.jpg)](http://www.aqniu.com/wp-content/uploads/2015/12/640.webp-81.jpg) 時任（2010）美國CIA局長，后任國防部長的萊昂?帕內塔（Leon Panetta）得知“行動仍然基本可控”的答案后，奧巴馬鎮定的做出了“繼續行動”的指示。考慮到震網的復雜性和它被發現和被破解的超低概率，美國方面的決定在當時看來沒什么不對。實際上，雖然賽門鐵克等公司在震網曝光后取得了一些破解成果，但并沒有撼動震網“不可知性”的根基。所有跡象都指向同一個結論：面對復雜且陌生的震網，信息安全業界在發布了用于探測的病毒特征碼之后，不得不就此止步。但華盛頓沒想到，賽門鐵克這幫研究員有著堅如磐石的信念，非得把代碼中的謎團探個究竟。華盛頓也沒想到，世界上居然會有拉爾夫?朗納這樣的二愣子外加大嘴巴，非得把知道的一切一字不落的說個痛快。隨著時間的推移，朗納和賽門鐵克發布的信息越來越多，華盛頓和特拉維夫的達官貴人們卻束手無策，只能閑坐家中，看著震網謎底的碎片一片一片的被人拼接起來，直到拼出一幅完整的圖像。