title: 网络战武器——震网(Stuxnet)病毒
date: 2021-06-06 12:00:00
categories:
- 网络空间
- 网络战
tags:
- 网络攻击

网络战武器——震网(Stuxnet)病毒

震网事件

2010 年 6 月 17 日，白俄罗斯一家小公司 VirusBlockAda 的安全研究人员发现一种能感染可移动存储设备的恶意软件。2010年7月，“震网”（Stuxnet）蠕虫攻击事件浮出水面，引发了国际主流安全厂商和安全研究者的全面关注，卡巴斯基、赛门铁克、安天等安全厂商，Ralph Langne等著名安全研究者，以及多国的应急组织和研究机构，都投入到了全面的分析接力中。2010 年 11 月，伊朗总统艾哈迈迪内贾德公开承认，一种计算机病毒对“我国（核）离心机中为数不多的几台机制造了一些问题，”

最终使这场攻击的大量细节被呈现出来：这是一起经过长期规划准备和入侵潜伏作业；借助高度复杂的恶意代码和多个零日漏洞作为攻击武器；以铀离心机为攻击目标；以造成超压导致离心机批量损坏和改变离心机转数导致铀无法满足武器要求为致效机理，以阻断伊朗核武器进程为目的的攻击。

事件时间轴

下图取自安天实验室关于震网的报告：

震网病毒

Stuxnet 是一种计算机蠕虫，大约写于 2005 年到 2010 年之间。主要针对西门子型号为S7-315 和 S7-417 的工控机。其中对于315在攻击发生时，就让他宕机，对于417就使用类似中间人攻击的方式，对工控系统进行欺骗。具体可参考[3].

工作原理

工作原理如下图所示，蠕虫的基本操作。

震网影响

Stuxnet 是网空武器针对工业设备的首件案例。

Stuxnet 成功地影响了一个非虚拟实体。这是武器研制的一项重大进展——在计算机打开后才存在的一个软件能成功地对真实世界造成破坏。 Stuxnet 清楚地展示，网空武器在军事行动中能发挥重要作用。

Stuxnet 所引发的军事革命的最后一个方面是，它证明一些安全假设是站不住脚的。

常见的第一个假设是，物理隔离的系统更安全。

按照定义，SCADA 系统控制对使命具有关键意义的设备，很多管理人员不把这些计算机同外部网络相连，以物理隔离的方式来保证安全，结果是采用可移动媒介把文件传至计算机。Stuxnet 的设计者利用了这一假设，使病毒通过 U 盘等可移动存储设备来传播。一旦 U 盘被感染，病毒软件本身就在后来使用被感染驱动器的计算机上运行；使用者只要在视窗上点击相关图形，便开始被感染。这是 Stuxnet 利用其中一个零日漏洞的直接应用。

被 Stuxnet 证明是错误的另外一个关键安全假设，是数字签名证书设立的信任关系。

为了提供更大的稳定性，当代操作系统，包括微软视窗，限制计算机的程序访问系统部件。一个正常的程序要求系统经由驱动软件呼叫硬件。鉴于这种情况，驱动软件比其他程序具更高权限访问低层级系统部件。为了避免轻易产生恶意驱动软件，微软视窗依赖数字签名证书识别。Stuxnet 为了防止被杀毒软件发现，使用了合法的数字签名证书。这是此前没有发现的 Stuxnet 的另外一个方面。早期的 Stuxnet 版本使用瑞昱（Realtek）半导体系统公司提供的证书，后来的版本使用智微（JMicron）科技公司的证书。使用这些证书使病毒在微软视窗面前呈现合法软件的假象。ESET 的安全专家注意到，两家公司都在台湾地区，因此怀疑这些证书系被盗窃。此外，他们相信，这极可能是实物盗窃（甚至可能是内贼所为），因为在互联网的黑市上驱动软件的数字证书并不常见。

思考

网络空间作为一个新的虚拟空间，网络作战的参与方的能量不能以现实实体的大小来标定。

最近的事件表面，即使是个人，也能够宣告对公司、企业发动勒索；即使是组织，也能在网络空间中，对某国发动攻击。那么，网络空间的国家意志如何体现呢？在美国，或许就是网络空间作战司令部吧。

网络空间已经渗透入生活的方方面面，发动网络攻击对现实社会的影响巨大。

前段时间，美国东部输油管道被勒索，导致供应紧张，这件事情前后还报道了有相关的对物理基础设施的攻击事件，足以见到网络武器的威力。一枪一炮或许威力有限，但是对信息社会来说，信息类攻击的损失无可估量，每天都上演的DDoS分布式拒绝服务攻击造成了极大的经济损失。

与自然空间相比，人造空间还是有差距啊。

在网络空间中，规则是协议，落地是代码，协议和代码都是人设计和实现的，所以难免有漏洞，只要还有人的参与，漏洞就依旧会存在。自然空间就不一样了，规律就是规律(谁设计的呢？)，例如热力学第一定律（解释了为什么没有永动机），熵增定律（解释了人为啥会内卷）

闲扯一句：这就是为什么唯物辩证法说，一定要掌握事物运行的规律，运动和静止都是相对的等等

马克思诚不欺我也

参考文献

[1]震网事件的九年再复盘与思考，https://www.antiy.cn/research/notice&report/research_report/20190930.html

[2]震网——掀起网空战争军事革命， http://www.knowfar.org.cn/publication/uploadfiles/0204/0129/4.1.pdf

[3] Stuxnet: Dissecting a Cyberwarfare Weapon, https://courses.cs.duke.edu/spring20/compsci342/netid/readings/stuxnet-dissect.pdf

本篇文章懂珠宝的NetW0rker懂珠宝的NetW0rker自动发布