什麼是震網？

當談到網絡安全時，通常是數據洩露成為新聞。這些事件影響了很多人，對於數據洩露接收端的公司來說，這是一個可怕的消息。更不常見的是，您聽說了一種新的零日攻擊，它通常預示著無法保護自己的公司將發生大量數據洩露事件。您很少聽到不直接影響用戶的網絡事件。Stuxnet 是那些罕見的例外之一。

蠕蟲進入

Stuxnet 是一種惡意軟件的名稱。具體來說，它是一種蠕蟲。蠕蟲是一個術語，用於指代任何可以自動從一台受感染設備傳播到另一台設備的惡意軟件。這使其能夠迅速傳播，因為一次感染可能導致更大規模的感染。這甚至不是讓 Stuxnet 出名的原因。它的傳播範圍也不重要，因為它沒有引起那麼多的感染。讓 Stuxnet 脫穎而出的是它的目標和技術。

Stuxnet 最初是在伊朗的一個核研究設施中發現的。具體來說，納坦茲設施。關於這一點的一些事情很突出。首先，納坦茲是一個致力於濃縮鈾的原子能設施。其次，該設施沒有連接到互聯網。第二點使得惡意軟件難以感染系統，通常被稱為“氣隙”。氣隙通常用於不需要 Internet 連接的易受影響的系統。它確實使安裝更新變得更加困難，但它也減少了面臨的威脅環境。

在這種情況下，Stuxnet 能夠通過使用 U 盤“跳過”氣隙。確切的故事是未知的，有兩個流行的選擇。較早的故事是，U 盤被偷偷丟在了設施的停車場，一個過於好奇的員工將其插入。最近的一個故事稱，在該設施工作的荷蘭內奸插入了 U 盤，或者找了其他人來做所以。USB 記憶棒上的惡意軟件包括 Stuxnet 中使用的四個零日攻擊中的第一個。當 U 盤插入 Windows 計算機時，這個零日漏洞會自動啟動惡意軟件。

Stuxnet 的目標

Stuxnet 的主要目標似乎是納坦茲核設施。其他設施也受到影響，伊朗幾乎佔全球感染總數的 60%。納坦茲令人興奮，因為它作為核設施的核心功能之一是濃縮鈾。雖然核電站需要低濃縮鈾，但製造鈾基核彈需要高濃縮鈾。雖然伊朗表示它正在濃縮鈾以用於核電站，但國際社會一直擔心濃縮的數量，伊朗可能試圖製造核武器。

要濃縮鈾，必須分離三種同位素：U234、U235 和 U238。U238 是迄今為止自然界中最豐富的，但不適合用於核能或核武器。目前的方法使用離心機，其中旋轉導致不同的同位素按重量分離。由於多種原因，該過程很慢並且需要花費大量時間。至關重要的是，所使用的離心機非常敏感。納坦茲的離心機以 1064Hz 的頻率旋轉。Stuxnet 使離心機旋轉得更快，然後更慢，最高可達 1410Hz，最低可達 2Hz。這會對離心機造成物理壓力，導致災難性的機械故障。

這種機械故障是預期的結果，推測的目的是減緩或停止伊朗的鈾濃縮過程。這使得 Stuxnet 成為已知的第一個用於降低民族國家能力的網絡武器示例。這也是第一次使用任何形式的惡意軟件，導致現實世界中硬件的物理破壞。

Stuxnet 的實際過程——感染

Stuxnet 是通過使用 U 盤引入計算機的。當自動插入 Windows 計算機時，它使用零日漏洞利用來運行自身。U 盤被用作主要目標 Natanz 核設施是氣隙式的，沒有連接到互聯網。U 盤要么“掉落”在設施附近並被不知情的員工插入，要么被設施內的荷蘭內奸帶入；其具體細節基於未經證實的報導。

當 U 盤通過零日漏洞插入時，惡意軟件會感染 Windows 計算機。此漏洞針對呈現圖標並允許遠程代碼執行的進程。至關重要的是，除了插入 USB 記憶棒之外，此步驟不需要用戶交互。該惡意軟件包含一個 Rootkit，可使其深入感染操作系統並操縱所有內容，包括防病毒等工具，以隱藏其存在。它能夠使用一對被盜的驅動程序簽名密鑰進行自我安裝。

提示： Rootkit 是特別討厭的病毒，很難檢測和刪除。他們讓自己處於可以修改整個系統（包括防病毒軟件）以檢測其存在的位置。

然後，該惡意軟件試圖通過本地網絡協議將自身傳播到其他連接的設備。一些方法利用了以前已知的漏洞。但是，有人利用了 Windows 打印機共享驅動程序中的零日漏洞。

有趣的是，該惡意軟件包含一項檢查，以在設備感染了三個不同的設備後禁止感染其他設備。然而，這些設備本身可以自由感染另外三個設備，依此類推。它還包括在 2012 年 6 月 24 日自動刪除惡意軟件的檢查。

Stuxnet的實際過程——利用

一旦它自己傳播開來，Stuxnet 就會檢查受感染的設備是否可以控制它的目標，即離心機。西門子 S7 PLC 或可編程邏輯控制器控制離心機。這些 PLC 又由西門子 PCS 7、WinCC 和 STEP7 工業控制系統 (ICS) 軟件進行編程。如果找不到安裝的三個軟件中的任何一個，為了最大限度地降低惡意軟件在無法影響其目標的地方被發現的風險，它處於休眠狀態，什麼都不做。

如果安裝了任何 ICS 應用程序，它會感染 DLL 文件。這允許它控制軟件向 PLC 發送哪些數據。同時，第三個零日漏洞以硬編碼數據庫密碼的形式用於在本地控制應用程序。結合起來，這允許惡意軟​​件調整 PLC 的編程，並向 ICS 軟件隱藏它已經這樣做的事實。它會生成錯誤的讀數，表明一切正常。它在分析程序、隱藏惡意軟件和報告旋轉速度時執行此操作，從而隱藏實際效果。

然後，ICS 只會感染西門子 S7-300 PLC，即便如此，也只有在 PLC 連接到來自兩家供應商之一的變頻驅動器時才會感染。受感染的 PLC 實際上只會攻擊驅動頻率在 807Hz 和 1210Hz 之間的系統。這比傳統的離心機快得多，但卻是典型的用於鈾濃縮的氣體離心機。PLC 還獲得了一個獨立的 Rootkit，以防止未受感染的設備看到真實的轉速。

結果

在納坦茲設施中，所有這些要求都得到了滿足，因為離心機跨度為 1064Hz。感染後，PLC 將離心機的頻率調高至 1410Hz，持續 15 分鐘，然後降至 2Hz，然後調回至 1064Hz。在一個多月的時間裡反復進行，這導致納坦茲工廠的大約一千台離心機發生故障。發生這種情況是因為轉速的變化對鋁製離心機施加了機械應力，導致零件膨脹、相互接觸並發生機械故障。

雖然有報導稱大約有 1000 台離心機在這段時間內被處理掉，但幾乎沒有證據表明故障會造成多麼災難性的後果。損失是機械的，部分是由應力和共振引起的。故障也發生在一個旋轉速度非常快的巨大、沉重的設備中，並且可能是戲劇性的。此外，離心機可能含有六氟化鈾氣體，這種氣體具有毒性、腐蝕性和放射性。

記錄顯示，雖然蠕蟲在執行任務時非常有效，但並非 100% 有效。伊朗擁有的功能性離心機數量從 4700 台下降到 3900 台左右。此外，它們的更換速度都相對較快。納坦茲設施在 2010 年（感染之年）比前一年濃縮了更多的鈾。

蠕蟲也不像希望的那樣微妙。早期關於離心機隨機機械故障的報告被發現並不可疑，即使前兆導致它們進入 Stuxnet。Stuxnet 更為活躍，並被一家安全公司識別出來，因為 Windows 計算機偶爾會崩潰。當內存攻擊沒有按預期工作時，就會出現這種行為。這最終導致發現了 Stuxnet，而不是出現故障的離心機。

歸因

Stuxnet 的歸因籠罩在似是而非的否認之中。然而，人們普遍認為罪魁禍首是美國和以色列。這兩個國家都與伊朗有著強烈的政治分歧，並強烈反對其核計劃，擔心它試圖發展核武器。

這種歸因的第一個暗示來自 Stuxnet 的性質。專家估計，一個由 5 到 30 名程序員組成的團隊至少需要六個月才能完成編寫。此外，Stuxnet 還使用了四個零日漏洞，這是前所未聞的數量。代碼本身是模塊化的，易於擴展。它針對的是一個工業控制系統，然後是一個不是特別常見的系統。

它的目標非常明確，可以最大限度地降低被發現的風險。此外，它還使用了很難訪問的被盜驅動程序證書。這些因素指向一個非常有能力、積極性和資金充足的來源，這幾乎可以肯定意味著民族國家的 APT。

美國參與的具體暗示包括使用以前歸因於 Equation 組織的零日漏洞，該組織被廣泛認為是 NSA 的一部分。以色列的參與程度略有下降，但不同模塊中編碼風格的差異在很大程度上暗示至少存在兩個貢獻方。此外，至少有兩個數字，如果轉換為日期，將對以色列具有政治意義。在 Stuxnet 部署前不久，以色列還調整了伊朗核武器的估計時間表，表明他們知道對所謂的計劃即將產生的影響。

結論

Stuxnet 是一種自我傳播的蠕蟲病毒。這是第一次使用網絡武器，也是第一個造成現實世界破壞的惡意軟件實例。Stuxnet 主要針對伊朗納坦茲核設施部署，以降低其鈾濃縮能力。它利用了四個零日漏洞並且非常複雜。所有跡像都表明它是由民族國家 APT 開發的，懷疑落在美國和以色列身上。

儘管 Stuxnet 取得了成功，但它並沒有對伊朗的鈾濃縮過程產生有意義的影響。它還為未來使用網絡武器造成物理破壞打開了大門，即使在和平時期也是如此。雖然還有許多其他因素，但它也有助於提高政治、公眾和企業對網絡安全的認識。Stuxnet 在 2009-2010 的時間段內部署