本公眾號從本週開始分析幾次比較著名的軍事網絡戰爭
2009年,美軍“震網”(Stuxnet)行動成功摧毀伊朗核設施中的1000臺離心機,成為世界上首次通過虛擬空間對現實世界實施的攻擊破壞。
事件經過(摘自解放軍報 有刪減)
2006年,伊朗重啟核計劃,在納坦茲核工廠安裝大量離心機,生產濃縮鈾。以色列對此反應強烈,聲稱要對伊朗核工廠進行軍事打擊。美國既無法接受伊朗擁核,也不希望以色列單方面採取軍事行動。時任美國總統布什批准啟動了代號為“奧運會”的絕密項目,即“運用網絡武器阻滯伊朗鈾濃縮進程”。2008年,病毒武器開發完成,測試結果非常成功。2009年,奧巴馬總統一上任,便下令加速實施該項目。年底,新型病毒“震網”成功研發,該病毒採取了多種先進技術,具有極強的隱身性和控制力。
2009年8月,以色列設法通過馬來西亞軟件公司,使伊朗購入了夾帶“震網”病毒的離心機控制軟件。該軟件運行幾周後,“震網”病毒於2010年6月爆發。病毒控制並破壞伊朗核設施的離心機設備,使其運行失控、高溫自毀,同時不斷向主控機房監控系統回傳“設備正常運轉”的假指令。當伊朗核設備管理部門發現問題時,已有1000餘臺離心機因過熱出現了永久性物理損壞,伊方不得不暫停濃縮鈾進程。
“震網”行動是歷史上首次在沒有爆發武裝衝突、沒有造成人員傷亡的情況下,通過虛擬空間對現實世界實施攻擊破壞,達到了以往只有通過實地軍事行動才能實現的效果。此次行動,顛覆了傳統作戰觀念,標誌著網絡空間作戰進入實戰化時代。 (摘抄結束)
技術解讀
震網4大優勢
1)不通過互聯網傳播
現在很多安全網絡都是內部網,與互聯網物理隔離或有安全的保障架構。震網病毒通過U盤或局域網傳播;
2)文件大小
主文件500字節,我們一次網絡傳輸的最小單位為1k(比如手機上傳一次GPS位置,是2個字節,但是運營商都是按照1k來計算,所以一般情況下都是一分鐘上傳一批位置信息);
3)有截止日期
震網有戰鬥結束日期,2012年6月24日。每當震網病毒進入一臺新的計算機,都會檢查計算機上的日期,如果晚於這個日期,病毒就會停下來,放棄感染。已經被感染機器上的惡意程序載荷仍然會繼續運作,但震網病毒將不再感染新的計算機。
4)一個病毒有4個zero-day
zero-day,是黑客世界中最牛的東西之一。因為它利用的漏洞是軟件開發者和反病毒公司還沒發現的——這意味著根本沒有補丁。每年有超過1200萬種惡意代碼出現,但“zero-day”大概只有10來個。而震網這一個病毒就華麗麗地配了4個。
震網整體運行框架
震網行動步驟分析
這次戰鬥有一個需要重點關注的內容就是其決策和準備過程,類似如此複雜精密的攻擊,如果不搭建一個完全等效的模擬靶場環境,是很難達成效果的。如果僅僅把目光放在惡意代碼和漏洞利用工具本身,而不能就行動管理與資源保障、目標勘察與環境整備等前期環節進行深入的分析,就一定程度上失去了引入威脅框架的意義。
事實上,震網病毒有很多個全球公認的“第一”——世界上第一款軍用級網絡攻擊武器,世界上第一款針對工業控制系統的木馬病毒,世界上第一款能夠對現實世界產生破壞性影響的木馬病毒。
在線雜誌《原子能科學家公報》執行主編柏南迪說,
“可笑的是,網絡武器的第一次軍事化運用,居然是為了阻止核武器的擴散。為了終結前一個大規模殺傷性武器的時代,開啟了一個新的大規模殺傷性武器的時代。”
編者注:本文系“數據港”原創制作,歡迎轉載請保留出處與鏈接,不得刪減內容。
閱讀更多 數據港 的文章