本公众号从本周开始分析几次比较著名的军事网络战争
2009年,美军“震网”(Stuxnet)行动成功摧毁伊朗核设施中的1000台离心机,成为世界上首次通过虚拟空间对现实世界实施的攻击破坏。
事件经过(摘自解放军报 有删减)
2006年,伊朗重启核计划,在纳坦兹核工厂安装大量离心机,生产浓缩铀。以色列对此反应强烈,声称要对伊朗核工厂进行军事打击。美国既无法接受伊朗拥核,也不希望以色列单方面采取军事行动。时任美国总统布什批准启动了代号为“奥运会”的绝密项目,即“运用网络武器阻滞伊朗铀浓缩进程”。2008年,病毒武器开发完成,测试结果非常成功。2009年,奥巴马总统一上任,便下令加速实施该项目。年底,新型病毒“震网”成功研发,该病毒采取了多种先进技术,具有极强的隐身性和控制力。
2009年8月,以色列设法通过马来西亚软件公司,使伊朗购入了夹带“震网”病毒的离心机控制软件。该软件运行几周后,“震网”病毒于2010年6月爆发。病毒控制并破坏伊朗核设施的离心机设备,使其运行失控、高温自毁,同时不断向主控机房监控系统回传“设备正常运转”的假指令。当伊朗核设备管理部门发现问题时,已有1000余台离心机因过热出现了永久性物理损坏,伊方不得不暂停浓缩铀进程。
“震网”行动是历史上首次在没有爆发武装冲突、没有造成人员伤亡的情况下,通过虚拟空间对现实世界实施攻击破坏,达到了以往只有通过实地军事行动才能实现的效果。此次行动,颠覆了传统作战观念,标志着网络空间作战进入实战化时代。 (摘抄结束)
技术解读
震网4大优势
1)不通过互联网传播
现在很多安全网络都是内部网,与互联网物理隔离或有安全的保障架构。震网病毒通过U盘或局域网传播;
2)文件大小
主文件500字节,我们一次网络传输的最小单位为1k(比如手机上传一次GPS位置,是2个字节,但是运营商都是按照1k来计算,所以一般情况下都是一分钟上传一批位置信息);
3)有截止日期
震网有战斗结束日期,2012年6月24日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。已经被感染机器上的恶意程序载荷仍然会继续运作,但震网病毒将不再感染新的计算机。
4)一个病毒有4个zero-day
zero-day,是黑客世界中最牛的东西之一。因为它利用的漏洞是软件开发者和反病毒公司还没发现的——这意味着根本没有补丁。每年有超过1200万种恶意代码出现,但“zero-day”大概只有10来个。而震网这一个病毒就华丽丽地配了4个。
震网整体运行框架
震网行动步骤分析
图片我自己做的
这次战斗有一个需要重点关注的内容就是其决策和准备过程,类似如此复杂精密的攻击,如果不搭建一个完全等效的模拟靶场环境,是很难达成效果的。如果仅仅把目光放在恶意代码和漏洞利用工具本身,而不能就行动管理与资源保障、目标勘察与环境整备等前期环节进行深入的分析,就一定程度上失去了引入威胁框架的意义。
事实上,震网病毒有很多个全球公认的“第一”——世界上第一款军用级网络攻击武器,世界上第一款针对工业控制系统的木马病毒,世界上第一款能够对现实世界产生破坏性影响的木马病毒。
在线杂志《原子能科学家公报》执行主编柏南迪说,
“可笑的是,网络武器的第一次军事化运用,居然是为了阻止核武器的扩散。为了终结前一个大规模杀伤性武器的时代,开启了一个新的大规模杀伤性武器的时代。”
编者注:本文系“数据港”原创制作,欢迎转载请保留出处与链接,不得删减内容。