世界经济复苏前景堪忧 “超级工厂”病毒Stuxnet来袭
行业观察
在古希腊神话中,在潘朵拉打开箱子以前,人类没有任何灾祸,生活宁静,所有的病毒恶疾都被关在箱子中。而随着“潘朵拉魔盒”的打开,灾难降临人间。据英国《每日邮报》率先报道,日前,世界上首个网络“超级工厂”病毒Stuxnet已经感染了全球超过45000个网络,该病毒是有史以来最高端的“蠕虫”病毒,与传统的恶意程序最大的不同点在于,Stuxnet蠕虫的攻击目的不再是盗财窃私,而是旨在破坏工业信息系统。企业安防专家为此纷纷惊呼,随着Stuxnet这类“恶魔”的降临,企业将不得不直面网络恐怖活动与网络战争的新挑战。
●Stuxnet大规模入侵,企业信息安全告急
2010年6月,德国研究人员最先发现了Stuxnet蠕虫病毒,该恶意代码专门攻击西门子公司开发的监控和数据采集系统(SCADA),不过当时并没有太重视它。
2010年9月26日,伊朗官员称,国内大约30000个互联网终端感染Stuxnet蠕虫病毒,造成伊朗新的核电站推迟发电。伊朗工业和矿业部的信息技术部门负责人怀疑:这种病毒相当复杂,它更像是一个浩大的“政府工程”而非黑客个人行为,因为编写这种恶意代码需要一个多人组成的团队,且要有足够的资金支持,其目的是“配合西方针对伊朗的电子战”。该消息被披露后,全世界为之震惊。
同期,印度、印度尼西亚、巴基斯坦等国的不少工业计算机也遭到这种病毒攻击。
2010年9月29日,新华网北京电,一种名为“超级工厂(Stuxnet)”的计算机病毒已进入爆发期并侵入我国国内。
在艰难地熬过了国际金融危机的冲击后,中国制造工业上千家工厂正遭遇一种新的隐蔽威胁,一种名叫Stuxnet的超级计算机病毒,开始控制被感染的工厂计算机,并造成生产事故或停工,相关专家表示,该病毒的大规模爆发可能影响中国经济的复苏前景。该病毒专门攻击工业系统中采用西门子公司生产的Simatic WinCC监控与数据采集系统(SCADA) 的设备,该病毒通过极其隐蔽的技术手法快速传播,同时对感染的工业设备进行重新编程,夺取控制权后便会对工业生产关键设备进行破坏。
据瑞星安全公司透露,Stuxnet是全球首个能攻击现实世界的病毒。中国大陆目前有上千家工厂以及一些大型行业的龙头企业的信息系统已经遭受攻击破坏,由于中国制造工业广泛采用西门子公司的控制软件系统,因此潜在威胁难以估计。
相关专家表示,根据Stuxnet的行为研究发现,它有别于过去的计算机病毒,原因在于,过去的病毒只用于窃取资料或者破坏数据,而Stuxnet有着极其严格的攻击目标和行为准则,可能是带有某种政治意图的超级武器。
而在2010年10月,该病毒有可能在世界各地工厂计算机及企业网络间继续挑战企业的安全措施,Stuxnet病毒不仅以大型工业和公共设施为主要攻击目标,使用Windows操作系统的个人电脑也有极高的感染风险。
●Stuxnet,天生的工业杀手
从Stuxnet病毒的基本特点来看,Stuxnet及其变种是一种利用最新的Windows Shell漏洞传播的蠕虫病毒,它能自我复制,并将副本通过网络传输,任何一台电脑只要和染毒电脑相连,就会被感染。造成这个漏洞的原因是Windows错误地分析快捷方式,当用户单击特制快捷方式的显示图标时,就可能执行恶意代码(文件带有.LNK扩展名)。
从Stuxnet病毒针对的对象来看,很多专家认为,Stuxnet病毒是专门设计用来攻击伊朗重要工业设施的,包括上个月竣工的布什尔核电站。它在入侵一台电脑后,会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件。它通过对软件重新编程实施攻击,给机器编一个新程序,或输入潜伏极大风险的指令。专家指出,该病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。
大部分病毒就像擅长于扫射的冲锋枪或突击步枪,而Stuxnet病毒则是狙击手手中的狙击步枪,主要瞄准特定的目标系统。一旦它们发现了编码缺陷,就好像找到了蛋壳上的裂缝,将蛋搞臭弄坏便成为其终极目标。所以相关安全专家指出,Stuxnet病毒被设计出来,纯粹就是为了搞破坏,而且其破坏的目标还是工业系统,它已不是单纯的间谍病毒,而是纯粹的“间谍破坏病毒”。一位工业计算机专家表示,Stuxnet的编写者非常精通工业控制过程并予以外科手术刀式的攻击,从而使得系统自行损坏,这是一般计算机病毒编写者难以企及的。
而从Stuxnet病毒传播的具体案例分析,瑞星安全专家则指出,“超级工厂”病毒利用西门子自动控制系统的“默认密码安全绕过漏洞”程序,读取数据库中存储的数据,“超级工厂”病毒在侵入用户电脑后,会向注册地位于美国的服务器发送信息,接收其指令。黑客可以利用该服务器,向中毒电脑发送“读写文件”、“删除文件”、“创建进程”等多项危险命令。
同时,该病毒会感染在电脑上使用的U盘,Stuxnet病毒已经被证明是已知的恶意软件中有史以来最复杂的一个,它可以通过多个系统漏洞同时传播,其中还有一些不明漏洞,由于安装西门子自动控制系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。这些U盘被用到重要企业和政府机构的内网后,就会根据黑客发布的指令进行多种资料窃取和破坏活动。这种攻击手段,曾在许多军事黑客案例中被使用,通常被称为“U盘跳板攻击”。并且,如果黑客发现中毒电脑安装了工控软件,就会针对它进行重点侦测和探查,从而充当进一步侵袭企业内网的工具。同时,黑客的指令也会通过U盘传递到工控系统内部,从而进行多种危险操作。Stuxnet病毒的意图很明显,就是执行破坏性攻击,毁掉大量的企业内部信息。
为此很多人都发出这样的疑问,Stuxnet病毒究竟来自何方呢?世人的目光都瞄向了以色列和美国。对此,德国网络安全研究员朗纳指出,Stuxnet病毒的高端性,意味着只有“国家”才能把它开发出来。而卡巴斯基实验室则认为,这是全球第一个得到某国政府资助而开发的大规模恶意网络攻击病毒。尤金·卡巴斯基甚至认为,随着Stuxnet这个来自“潘朵拉魔盒”的“恶魔”降临,Stuxnet会开启一种全新的网络攻击方式,一个针对企业重要数据实施网络恐怖活动与网络战争的“新纪元”将会到来。这并非危言耸听,企业用户需要未雨绸缪。
●企业用户,别忘了拿起你的“盾”
Stuxnet,这个名字也许将被写进信息战的史册,它的出现标志着当代战争形态已经从冷兵器、热兵器时代,演化到了互联网战争时代。美国军队高层对此认为,网络战正成为美军干扰、破坏敌方网络信息系统,并保证己方网络信息系统正常运行而采取的一系列必要的网络攻防行动。在双方不发生火力杀伤破坏的情况下,网络战可对另一方的金融网络信息系统、交通网络信息系统、电力网络信息系统等民用网络信息设施及战略级军事网络信息系统,以计算机病毒、逻辑炸弹、黑客等手段实施攻击。而在战争状态下,网络战可对敌方的战略级军用和民用网络信息系统进行全面性的瘫痪型攻击。
为此,以美军为代表的世界前沿军事力量,纷纷成立了为数众多的网络战部队,专门针对敌对国家重要目标进行攻击,而企业,特别是大型企业、重要基础企业成为这种攻击的重点对象。互联网战争已兵临城下,各国都急于抢占未来网络战争的制高点,这种趋势已无法改变。并且计算机病毒的特性让它并不能完全指哪打哪,城门失火必会殃及池鱼,企业如何在这方面加强防范,成为众多企业CIO需要认真考虑的问题。
对此,瑞星反病毒专家警告说,国内许多大型重要企业在信息安全制度上存在缺失,可能促进Stuxnet这类病毒在企业中的大规模传播。为此,相关病毒防护专家为企业提出了一系列的防范方案。例如,由于Stuxnet蠕虫病毒是首个针对工业控制系统编写的破坏性病毒,对大型工业企业用户存在一定的风险,所以,冠群金辰病毒防护专家给企业用户提出了如下安全防护建议,以提高企业抵御未知安全风险的能力:在终端设备上开启防火墙功能;为终端设备上的所有应用系统安装最新的补丁程序;在终端上安装防病毒系统,并设置为实时更新病毒库,将病毒库升级到最新版本;为终端上的用户设置最小用户权限;尽量避免下载未知的软件或程序;使用强口令,以保护系统免受攻击。
并且,相关厂商已对自己的杀毒软件进行了即时更新。目前,卡巴斯基、江民、瑞星、趋势科技、金山科技等厂商的杀毒软件或补丁已能够主动防杀多个“超级工厂”病毒变种,以防止该病毒及其变种利用最新的Windows Shell漏洞传播恶意文件,并通过恶意文件破坏西门子监控系统的正常运行。
当然,这些措施一般只能阻挡非首波侵袭所带来的麻烦。企业要想在未来病毒的防护战中立于不败之地,选择或构建更完善的云安全系统或许是较好的解决途径。从技术发展来看,“云安全(Cloud Security)”是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中的软件异常行为进行监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,通过众多的反病毒厂商即时联动,整个互联网及整个企业网络就会更安全。■
编后>>
作为一款超级病毒,Stuxnet的终极目标是入侵工业、基础设施或工厂建设过程中所使用的相关终端控制系统,类似系统广泛应用于石油管道、电厂、大型通信系统、机场、船舶乃至全球军事设施,Stuxnet已引起个人用户及杀毒软件厂商的广泛关注。Stuxnet蠕虫病毒开启了网络战争新纪元,它已初具网络武器的雏形,互联网战争正兵临城下。这对企业安全再一次敲响警钟,企业信息安全无小事,企业如何获取更安全的盾牌,必将再次成为企业CIO关注的问题。而随着云安全系统的不断成熟,它可能在这方面发挥更大的作用,构建起一道拦截Stuxnet病毒的“天网”。