返回新闻列表

Stuxnet的头号攻击目标:揭秘这一蠕虫病毒的首批受害者

        Stuxnet蠕虫病毒是最复杂且危险的恶意程序之一,也被认为是首个网络武器。尽管自其被发现已过去四载有余,却仍有许多谜团尚未揭晓。其中,一大主要谜题便是:Stuxnet行动究竟目标何在?卡巴斯基实验室专家经两年时间收集并研究了逾2000个Stuxnet文件,目前已发现了首批受害者。

        安全研究专家们起初并未怀疑整个攻击行动具有针对性。Stuxnet蠕虫病毒的代码看起来非常专业与特别。有证据表明,它使用了极其昂贵的零日漏洞利用程序。然而,专家们当时并不清楚首批受害者是何种类型的组织以及该威胁如何畅通无阻地攻击了特定机密设施中的铀浓缩离心机。

        这一最新分析揭开了上述谜团。首批被攻击的五个组织同属伊朗的工控系统(ICS)领域,从事工控系统开发或材料与配件供应。其中一家组织非常特殊,它遭受了五次攻击,因为其它产品均属于工业自动化范畴,而这家组织的产品则是铀浓缩离心机。我们认为,这才是Stuxnet病毒的主要攻击目标。

        很显然,攻击者希望这些组织同其客户交换数据,如铀浓缩设施。如此一来,威胁就可以进入这些目标设施中。事实证明他们的阴谋得逞了。

        “通过分析针对首批受害组织的Stuxnet专业行动,我们更加清楚了整个攻击行动的部署情况。归根结底,这是一起以供应链为攻击途径的案例,威胁通过目标组织合作伙伴的网络间接传播至目标组织”,卡巴斯基实验室首席安全专家Alexander Gostev表示。

        卡巴斯基实验室专家还发现了另一有趣的现象:在计算机中插入受感染U盘并非Stuxnet病毒的唯一传播途径。这种最初的假设可以解释为何无需直接连网威胁便能偷偷进入某处。然而,我们在分析首例攻击事件时所收集的信息表明,第一例Stuxnet恶意样本(Stuxnet.a)在被编写数小时后便现身于首个受害组织的计算机上。难以想象攻击者在如此紧凑的时间内完成恶意样本编写,将其存储在U盘上并于数小时内传播至目标组织。我们可以合理的假设,在这一特殊案例中,Stuxnet的幕后者除了通过U盘感染,还采用了其它传播途径。

        请阅读Securelist上的博文以及新闻记者Kim Zetter编写的新书《零日漏洞倒计时》(Countdown to Zero Day),了解有关Stuxnet攻击不为人知的最新技术信息。这本书包含此前未曾公开的Stuxnet信息。其中一些信息源自对卡巴斯基实验室全球研究与分析团队成员的采访。