月19日,美國安全軟件巨頭CrowdStrike的一次軟件更新引發史上最大的IT故障,全球數百萬臺電腦的Windows系統崩潰,航空、銀行、醫療、零售等各行各業都受到了影響。
醫院被迫推遲了手術,麥當勞無法給客戶結賬,飛機和地面塔臺的溝通遇阻,FlightAware顯示全球超過21,000個航班延誤,普通人首次見識了網絡軟件如何突破次元壁壘,對現實世界造成重大影響。
雖然這次事件并非是某個國家級黑客組織或大師級黑客的杰作,但早在十幾年前,潘多拉的魔盒就已被打開。
點擊此處觀看完整版視頻
2008年11月10日,在大選中獲勝的奧巴馬來到白宮,與即將卸任的小布什磋商交接事宜。
在那次會面中,小布什告訴了奧巴馬一個正在進行中的絕密項目---Operation Olympic Games奧林匹克行動。
由該計劃誕生的震網病毒(Stuxnet)后來在福布斯雜志評選出的12 款威力驚人的新式武器中登頂榜首。
前任俄羅斯聯邦航天局局長德米特里·羅戈津說,掌握震網技術的人,只要他想,就可以輕而易舉地再引發一次「切爾諾貝利事件」。
深挖震網的故事,我們發現,在另一個隱蔽的空間里,第三次世界大戰可能已經悄然拉開了序幕,那么震網病毒究竟是用來做什么的呢?
離奇的故障
納坦茲是位于伊朗首都德黑蘭以南200英里左右的一座歷史悠久的小城,人口不到4萬,水土肥沃、氣候宜人,過去曾是貴族富商們休閑打獵的好去處。
2002年8月,這個小城因飽受爭議的伊朗核計劃,一躍登上國際風云舞臺。
伊朗反政府組織在華盛頓召開的一場記者招待會上,揭露了一個驚人的消息——在伊朗納坦茲附近的地下,修建有一處戒備森嚴的鈾濃縮設施。
該設施深入地下20米,為了阻止空對地導彈穿透,地下室上面不但有很厚的混凝土層,還有鋼板層,一般空襲對它根本不起作用。
而2009年,納坦茲核設施發生了一系列非常離奇的事件,許多離心機莫名其妙地停止工作,但控制離心機的電腦卻顯示一切工作正常,伊朗人百思不得其解。
納坦茲核設施中的離心機型號為IR-1,預期使用壽命10年。過去幾年間,IR-1離心機不斷地從六氟化鈾中提煉高純度鈾。
但IR-1離心機似乎非常脆弱、很容易損壞,每年納坦茲核設施中的工作人員需要更換10%的離心機。
2009年11月時,納坦茲大概有8700臺離心機,也就是說正常情況下一年需要替換800多臺。
但到了2009年12月到2010年1月期間,事情變得更糟糕了,離心機的替換率高得不正常,短短2個月就替換下來了2000臺離心機。
幾個月后的2010年6月,遠在數千公里外的白俄羅斯的一家小型反病毒公司VirusBlockAda的技術專家舍基·烏爾森在檢查一臺伊朗客戶的故障電腦時,發現了一種新型蠕蟲病毒。
這種病毒導致客戶的電腦不斷死機重啟,但除此之外似乎并沒有對客戶電腦造成其他破壞。
納坦茲核設施中離奇故障的離心機、伊朗客戶電腦里的蠕蟲病毒,這兩件看似不搭嘎的事之間其實存在著千絲萬縷的聯系。
震網病毒
2010年7月12日,烏爾森將這種新型蠕蟲病毒的代碼發布在一個安全論壇上,安全業界迅速展開了對此病毒的討論。
微軟從病毒代碼中提取了2個關鍵詞,合起來給病毒命名為Stuxnet,中文翻譯是「震網」病毒。
很快安全專家們就為震網病毒的不同尋常和潛在殺傷力感到震驚,它有幾個非常神奇的特征。
特征之一:非常大
震網的主文件大得不可思議,足足有500k字節,解壓縮后主模塊的體積更是增大到了1.18M。而常見的惡意代碼文件大小僅為10k到15k之間。
即便是在2008年感染了600萬臺計算機的怪物級病毒Conficker的大小也不過35k,大于這個量級的惡意文件,通常會包含一塊非代碼區域,一般是用圖片文件來填充的。
但震網病毒中并沒有圖片文件,也沒有無關填充物。也就是說,500k字節扎扎實實,全是精巧的代碼,其復雜程度比普通的電腦病毒高出20倍。
特征之二:不用互聯網傳播
一般的電腦病毒都是為了竊取數據或者敲詐勒索而開發的,黑客會想方設法讓病毒盡可能廣泛的傳播,傳播得越廣,感染的電腦越多,賺得越多。
那么最好的傳播途徑自然就是互聯網了。但震網病毒卻不通過互聯網傳播,而是通過U盤進行擺渡攻擊,進而滲入到內部局域網中。
具體做法是,先感染外部主機,然后感染U盤,再通過U盤感染局域網中的電腦。
安全專家們發現,震網病毒只對安裝有西門子Step 7和WinCC這兩款工業控制軟件的電腦感興趣。
這類電腦一般部署在專用的內部局域網中,并與外部互聯網實行了物理上的隔離。在感染一臺電腦后,震網病毒會首先檢測該電腦是否安裝了西門子的那兩款軟件。
如果沒有,那震網病毒就會悄悄地隱藏在系統最底層,等待傳播給另一臺電腦,除此之外,不會做任何進一步動作。這說明震網病毒對普通人的電腦并不感興趣。
除此之外,每新感染一臺電腦,震網病毒都會檢查該電腦是否被震網病毒感染過。
如果發現上面已有舊的震網版本,就會將其清除并用新版本替換掉。一旦被感染的電腦連接到了互聯網,震網病毒便會立刻「打電話回家」,家是兩個地址分別在丹麥和馬來西亞的服務器。
震網病毒會給家里匯報被感染電腦的信息,例如windows版本、內網IP、是否安裝了Step 7和WinCC軟件等等。
特征之三:有合法數字簽名
最先發現震網病毒的烏爾森察覺到,將震網病毒注入到電腦上后,在無任何彈窗提示的情況下,病毒的驅動程序文件就完成了自身的安裝。
要知道,當時主流的操作系統Windows 7的安全特性要求「當沒有安全證書的程序安裝時,會彈出提示框」,這意味著震網病毒已經獲得了合法數字簽名。
后來,烏爾森發現震網病毒的數字簽名來自臺灣一家名為瑞昱半導體的公司(RealTek Semiconductor,以生產聲卡著稱)。
數字簽名可以被理解為程序的數字護照,有簽名的程序就是合法產品。計算機會認為,這類程序是可信的,否則就會出現彈窗提示。
之前,也有黑客嘗試在數字簽名上做文章,但他們用的都是假的、自己制作的簽名文件,很容易被系統識破。
而震網病毒用的卻是著名臺灣硬件廠商瑞昱公司的簽名文件,這種戰術是烏爾森從未見過的。
一種可能性是震網背后的開發者黑掉了瑞昱公司開發人員的電腦,然后使用開發人員的電腦及權限,秘密授予了病毒數字簽名。
另一種可能性是攻擊者偷到了瑞昱公司的認證密鑰和證書。
出于安全考慮,很多公司會把它們的密鑰和證書保存在不聯網的服務器上,或者保存到提供額外安全防護的硬件模塊上,但并不是每個公司都會這樣做。
后來,有線索證明,瑞昱公司的證書確實被人偷走了。
特征之四:有截止日期
震網給自己的行動設定了終止日期:2012年6月24日。每當震網病毒進入一臺新的計算機,都會檢查計算機上的日期,如果晚于這個日期,病毒就會停下來,放棄感染。
已經被感染的機器上的惡意程序則仍然會繼續運作,但震網病毒將不再感染新的計算機。
特征之五:一個病毒用了4個零日漏洞
零日漏洞,是黑客世界中最牛的東西之一。「零日」二字指的是指軟件開發商有零日,即完全沒有時間來修復漏洞。
換句話說,零日漏洞是軟件開發者和反病毒公司還沒發現的漏洞,這意味著根本沒有補丁。
任何一款軟件或者系統都不可能是100%完美的,從發布的那一刻起就存在零日漏洞,但軟件開發商和反病毒公司并不知道。
零日漏洞可能會隱藏數天、數月或數年,直到有人發現為止。理想的情況下,安全研究人員或軟件開發人員能在黑客之前發現漏洞。
然而,有時黑客也會搶先一步,一旦黑客先發現了零日漏洞,他們便可以利用零日漏洞為所欲為了。
每年有超過1200萬種惡意代碼出現,但被發現的「零日漏洞」大概只有10來個。
一個頂級的零日漏洞可以在黑市上賣到10萬美元以上,而震網病毒足足配置了4個零日漏洞,以對應Windows 2000以來的4個不同操作系統,確保攻擊萬無一失。
如此不惜血本的投入絕非一般黑客組織可以做到的。
震網病毒的目標軟件Step 7和WinCC,都是西門子公司生產的可編程邏輯控制器PLC配套的工業控制系統的一部分。
PLC一般有烤箱那么大,是廣泛用于世界各地的小型工業計算機,通常被稱為工廠的「大腦」,用來控制機械臂、傳送帶或裝配生產線等等等。
而且只有PLC的型號是S7-315或者S7-417,且系統中的變頻器是偉肯公司或法拉羅巴耶利公司生產的、運行頻率在807赫茲至1210赫茲之間時,震網病毒才會開始攻擊。
變頻器的用途非常廣,但運行頻率在600赫茲以上的卻很少。
進一步拆解病毒代碼后,安全專家發現,發起攻擊之前,震網病毒會先偵查13天。
期間,病毒只是安靜的記錄著PLC正常運行狀態下的數據,以便在破壞開始后把「正確的數據」發送給管理員看,掩人耳目。
偵查期結束后,震網會把變頻器的頻率提升至1410赫茲,也就是超頻的狀態,但攻擊只會持續15分鐘。然后會把頻率調至正常運行范圍內的1064赫茲,持續26天,繼續記錄數據。
26天后,震網會把變頻器的頻率降低到2赫茲的水平上,持續50分鐘,然后再恢復到1064赫茲。
再過26天,攻擊會再重復一遍,如此循環往復。這路數安全專家沒看懂,但原子能專家們看懂了。
1064赫茲是IR-1型離心機的最佳運行頻率,而且這個頻點是IR-1離心機獨有的。
其他型號的離心機的標稱頻率都和這個數值相去甚遠,最重要的是除了伊朗以外,沒有其他國家使用IR-1型離心機。
IR-1型離心機非常脆弱,反復的變頻很容易導致離心機故障。
而每當管理員試圖查看離心機運行數據時,震網病毒就會把記錄好的正確數據呈現給管理員看,讓其很難發現問題所在,狡猾至極。
震網病毒原本的設計是定向攻擊,也就是不攻擊普通人的電腦,但安全專家們拆解代碼后發現,在一次版本更新時,黑客不小心將and和or用錯了,這才導致病毒感染了普通人電腦的Windows系統,并發起了攻擊,導致電腦不斷死機重啟。
最終,2010年6月,舍基·烏爾森在給客戶修電腦時,捕獲了震網病毒。
根據反病毒軟件供應商賽門鐵克的統計,截止到2010年7月20日,至少已有來自數十個國家的38000多臺電腦感染了震網病毒。
在這38000臺電腦中,有22000臺在伊朗,印尼遠遠的排在第二,有6700臺,印度第三,3700臺。美國只有不到400臺電腦遭感染,其他國家遭感染數量也特別少。
另外,在所有遭感染電腦中中,只有很小一部分安裝了西門子公司的特定軟件,其中大部分在伊朗,有217臺,相比之下美國只有16臺。很明顯,這是一次針對伊朗某一特定目標的黑客攻擊。
2010年11月29日的清晨7點45分,德黑蘭南部的阿泰什大街上車流熙攘。40歲的伊朗著名核物理學家馬吉德·沙利亞里駕駛著他的標致轎車,擠在長龍般的隊伍中艱難前行。
車上還坐著兩個人,一個是他的妻子,也是一名核物理專家,另外還有一名保鏢。
就在車輛駛向一個十字路口時,車的左側突然冒出一輛摩托車,摩托車主朝沙利亞里的車門上拋下了一個「粘性炸彈」,然后逃之夭夭。
很快,炸彈爆炸,沙利亞里當場殞命,他的妻子和保鏢也受了傷。附近瀝青路面上被炸出的大坑,訴說著這場光天化日之下的謀殺。
同時,在城市的另一邊,52歲的伊朗放射性同位素分離專家法雷多·艾巴西,也在上班途中遭遇了跟蹤。
他先是發現,一輛可疑的摩托車從旁邊跟上來,然后又聽到自己車門上發出了奇怪的聲響。
艾巴西當過兵,所以警惕性比沙利亞里高,他迅速跳車逃跑,把同車的妻子也拉下了車。兩人雖被受了點傷,但所幸死里逃生。
馬吉德·沙利亞里和法雷多·艾巴西都是伊朗核計劃中的核心人物,真相呼之欲出。
破案
每個故事都有個開端,震網病毒的故事也不例外,而且它的開端甚至可以追溯到上個世紀60年代。
二戰過后,蘇聯、英國、法國和中國陸續踏過了核武器的門檻,為了遏制核武器瘋狂發展的勢頭,聯合國于60年代末發起了《不擴散核武器條約》
一方面防止更多國家發展核武器,另一方面削減有核國家的核武器數量。
條約將世界分成了有核國家和無核國家2大類,規定,如果無核國家承諾放棄發展核武器,并同意IAEA「國際原子能機構」對核設施進行定期核查
以確保用于民用項目的核原料和裝備沒有挪用于制造武器,那么,有核國家就將幫助其發展民用核項目。
但條約最大的問題在于民用核項目中的很多組件和設備都可以同時用于核武器制造,IAEA「國際原子能機構」又沒有對違反約定的國家進行強制性調查和懲戒的權力,這就使監督的有效性大打折扣。
正如諾貝爾物理學獎得主漢尼斯.阿爾文所言,「用于和平目的的原子能與用于武器的原子能本就是一對連體雙胞胎。」
伊朗是1968年首批簽署《不擴散核武器條約》的國家之一,70年代起,伊朗開始在美、法等國的支持下建造核反應堆和核電站。
一開始國際上也有擔憂的聲音,擔心伊朗的最終目標可能是核武器。但當時美國對此毫無憂慮,他們認為伊朗巴列維國王是他們的朋友,巴列維王朝的根基很穩固,不會有倒臺的那一天。
然而,世界上沒有永不落幕的王朝。1979年,就在伊朗布什爾第一個核電站接近完工時,伊朗國內爆發了伊斯蘭革命。
革命分子驅逐了國王,擁戴宗教領袖阿亞圖拉.魯霍拉.霍梅尼上臺,而且將布什爾高大的反應堆視為國王與西方勾結的象征。鑒于政局不穩,美國人退出了伊朗的民用核項目。
在緊接著的兩伊戰爭中,伊朗革命衛隊慫恿霍梅尼啟動核武器計劃,以抵抗伊拉克及其盟友。
起初,霍梅尼認為核武器在伊斯蘭教看來是不祥的,其暴力手段與伊斯蘭基本教義相違背,拒絕了這個提議。
但是,在薩達姆對伊朗軍隊和平民使用化學武器、造成重大傷亡后,霍梅尼的態度發生了轉變。
他對聯合國不聞不問的態度大為惱火,同時深受「伊拉克即將發展核武器」的傳言的震懾,最終決定啟動伊朗核計劃。
為此,伊朗曾向巴基斯坦「核彈之父」阿卜杜勒.卡迪爾.汗求助。
卡迪爾.汗早年曾在荷蘭阿姆斯特丹的「物理動力學研究實驗室」工作,并利用職務之便,竊取了歐洲國家離心機設計的核心機密,然后把資料帶回了巴基斯坦。
利用這些機密資料,卡迪爾.汗使巴基斯坦成為了穆斯林世界唯一的核國家。后來,卡迪爾.汗承認曾為伊朗、利比亞和朝鮮等國提供核技術。
關于幫助伊朗的原因,卡迪爾.汗說,如果伊朗和巴基斯坦都成為有核國家,它們將可以共同對抗以色列在中東地區的強權。
2002年8月,伊朗反政府組織在華盛頓召開的一場記者招待會上,揭露了納坦茲的機密鈾濃縮設施。
2003年2月,時任伊朗總統穆罕默德.哈塔米承認了納坦茲核設施的存在,并說道,事實上,伊朗正在大力發展核能,納坦茲只是眾多核設施中的一個。
而且哈塔米強調,伊朗發展核能,完全是出于和平目的,還說,一個像伊朗這樣,同時擁有崇高宗教信仰和嚴密行事邏輯的偉大國家,根本不需要什么大規模殺傷性武器。
但是,他并沒有解釋,如果伊朗并不想掩蓋什么,為什么要把納坦茲工廠埋在深深的地下?如果沒有做不正當的事情,為什么要用一層又一層的鋼筋混凝土筑起要塞?
為什么明明可以按照國際通行做法光明正大地進口核燃料,卻要偷偷摸摸地購買鈾原料?
從2003年起,美國開始不斷指責伊朗有意發展核武器,但伊朗方面則堅持本國擁有和平利用核能的權力。
站在美國的角度,伊朗擁核不僅會對美國形成戰略威懾,也可能導致中東各國出現核軍備競賽,讓中東成為全球最可能爆發大規模核沖突的地區。
但站在伊朗的角度,面對不斷發生的地緣政治沖突,核武器似乎是確保自身安全的唯一途徑。而伊朗發展核武器,比起美國,更著急的其實是以色列。
伊朗伊斯蘭革命后,伊朗和以色列兩國間的關系急劇惡化,伊朗拒絕承認以色列國的存在。以色列擔心,伊朗真的造出核武器的話,自己會被伊朗從地球上「抹掉」。
《紐約時報》的一篇報道指出,伊朗核問題談判陷入僵局后,以色列甚至考慮發動常規軍事攻擊,一個導彈把伊朗納坦茲核設施給炸了,但美國堅決反對這樣的做法,因為這很可能引發大規模戰爭。
于是,時任美國總統小布什啟動了Operation Olympic Games奧林匹克行動,他想要另辟蹊徑,用信息技術改變21世紀的戰爭模式。
拆解震網的代碼,安全專家們發現,代碼的開發最早可以追溯到2005年,也就是說「奧林匹克行動」在2005年時就已經開始籌備了。
該行動開始于小布什時期,隨后在奧巴馬任期內被加速推進。《紐約時報》的這篇專題報道直言不諱地指出了震網病毒的操盤手,稱震網是以色列和美國發動的一次聯合行動,并得到了來自德國和英國的少許幫助和啟發。
《紐約時報》稱這篇報道是基于對參與了「奧林匹克行動」的官員和專家的采訪而寫成的,但沒有人愿意透露自己的姓名,因為報道發布時,行動仍處于高度機密狀態。
文中還講到,病毒編寫完成后,曾在以色列核設施迪莫諾內完成了測試。
在迪莫諾,有關人員構建了包含西門子PLC和IR-1型離心機的試驗臺,對病毒破壞處于運轉態離心機的效果進行了測評。
震網病毒的終止日期,2012年6月24日,被猜測是奧巴馬定下的「奧林匹克行動」的終止日期。
因為不久后就要進行下一次總統選舉了,如果奧巴馬連任(確實連任了)或者新總統對此行動仍持積極態度,行動終止日期還可以被延長。
計算機安全公司卡巴斯基實驗室后來發現,編寫震網程序時,美國方面應該是派出了國安局NSA下屬的頂級黑客組織Equation Group。
因為被曝光的另一款Equation Group編寫的惡意軟件(GrayFish)使用了后來用在震網中的兩個零日漏洞。
確實,也只有擁有國家背景的黑客組織才能如此不計成本的使用多個零日漏洞,只為達到目的。
當然了,美國和以色列官方從來沒有承認過「奧林匹克行動」的存在,也沒有承認過震網病毒是他們的杰作。
然而,還有一個謎團是震網最初是怎么感染到納坦茲核設施的局域網中的呢?
既然震網病毒的原本設計是定向攻擊,那么就需要一個能接觸納坦茲核設施或者工程師的人,把病毒植入到工程師的電腦、U盤或者局域網內,否則病毒設計的再完美也無法發揮效力。
震網病毒被發現后的很長一段時間里,人們都不知道這個關鍵人物究竟是誰,直到2024年1月,在多年的調查后,荷蘭《人民報》公布了此人的身份:荷蘭間諜埃里克.范.薩本。
美國CIA、NSA和以色列摩薩德都有很多出色的特工,但他們的身份都太扎眼了,沒有一個可以靠近納坦茲核設施而不引起懷疑的,于是美、以向荷蘭情報與安全總局AIVD求助。
AIVD不負所托,很快物色到了一名合適的人選。
埃里克.范.薩本出生于荷蘭弗利辛恩,大學畢業后,搬到了迪拜,在位于迪拜的一家荷蘭跨國重型設備貨運公司做工程師,這家公司與伊朗之間有頻繁的業務往來。
埃里克后來還娶了一位伊朗老婆。在多年的工作中,埃里克在伊朗積攢了強大的人脈和社會關系,是理想的間諜人選。
2005年,埃里克被荷蘭情報與安全總局AIVD吸收為特工人員。
2007年,伊朗納坦茲核設施通過埃里克所在公司進購了一批水泵,埃里克利用職務之便,順利進入納坦茲核設施,并將震網病毒植入了一臺控制水泵的計算機內。
然而,任務完成之后,留給埃里克的時間也不多了。2008年末,埃里克請了10天的假,和妻子一起到伊朗首都德黑蘭探親。
據埃里克的妻子后來所說,假期即將結束時,埃里克似乎陷入了恐慌的情緒當中,不停地說著,要趕快回迪拜。
埃里克的家人們當時都不知道,他有著特工的身份。2009年1月16日,埃里克在迪拜自家附近死于一起可疑的摩托車事故。
警方調查后稱,這起事故就是個意外,但一位不愿透露姓名的AIVD官員對荷蘭媒體表示,這是埃里克付出的代價。埃里克究竟是被美、以卸磨殺驢了,還是被伊朗惡意報復了,無人知曉。
有意思的是,荷蘭《人民報》的這篇報道特別指出了,多名荷蘭情報人員表示,荷蘭情報與安全總局AIVD并不了解美以的具體計劃,荷蘭政府更是被蒙在鼓里,他們是被利用了。
鑒于震網病毒在納坦茲核設施里的擴散程度,要清除所有計算機設備中的病毒將相當費時費力。2010年11月,伊朗一度全面暫停了納坦茲的鈾濃縮生產。
一些西方媒體認為,震網病毒至少將伊朗核發展計劃拖后了2年。而面對攻擊,伊朗也沒有坐以待斃。
一觸即發
2013年8月,七名有伊朗政府背景的黑客對位于美國紐約市郊的鮑曼水壩的網絡發起了DDoS攻擊。
鮑曼大壩位于紐約市以北不到20英里的地方,靠近全球人口最稠密的區域,而且是美國電網的一部分。不過這場攻擊及時被美國安全部門攔截了下來,并未給美國造成實際的損失。
2014年,伊朗黑客攻擊了拉斯維加斯金沙賭場的網絡系統,致使賭場服務器癱瘓,給賭場造成了140億美元的損失。
據媒體報道,伊朗黑客發起這次攻擊的原因是金沙的老板是以色列的重要支持者。
2016 年 3 月,美國司法部起訴了那7名攻擊鮑曼水壩網絡的伊朗黑客,并指控他們在2011年至2013年間對46家美國境內的機構發起過網絡攻擊
攻擊對象包括關鍵基礎設施、科研機構、銀行系統以及個人網絡賬戶。
2019年6月,美國攻擊了伊朗的導彈發射系統,導致伊朗控制火箭和導彈發射的電腦系統癱瘓。
半個月后的7月13日,作為還擊,伊朗革命衛隊信息戰部隊成功突破了美國信息戰部隊的圍堵,闖入了紐約市三十多個變電站的控制中心,實施了網絡攻擊,導致紐約全城大約停電4個小時。
同年10月,有伊朗政府背景的黑客組織又發起了名為Phosphorus 的攻擊,試圖入侵美國總統候選人、政府官員和媒體記者的郵件賬戶。
總之,震網事件成功打開了潘多拉的魔盒,開辟了一塊傳統戰爭以外的新戰場,各國間的信息戰愈演愈烈。
潘多拉的魔盒
震網用事實證明了,網絡攻擊僅僅使用二進制代碼,就能達到與常規炸彈等同的破壞性效果。
而發明了震網的奧林匹克行動具體包含了什么、如今是否已被終止,還沒完全被披露出來。不過,已知的另一點是,除了震網病毒,另一種被稱為「火焰」的病毒也是計劃的一部分。
2012年4月,伊朗石油部和伊朗國家石油公司的電腦中發現了這種比震網還要強大的病毒,它能清除每一臺染毒電腦上的所有硬盤數據。
具體攻擊步驟是這樣的:先刪除文檔和數據,再刪除系統文件,最后摧毀硬盤的核心部分,造成不可逆轉的損毀。
卡巴斯基實驗室拿到了一個染毒的硬盤,繼而開始拆解火焰病毒的代碼。令他們感到驚訝的是,該病毒的大小居然有20M,代碼長達65萬行。
它的功能絕不止損毀硬盤這么簡單,說它是「一個網絡間諜工具百寶箱」都不為過。
有的模塊負責從感染的電腦中直接盜取文檔;有的模塊負責每隔15至60秒抓取屏幕截圖;
有的模塊通過暗中打開染毒電腦上自帶的麥克風來偷聽環境聲音;
還有的模塊利用染毒電腦的藍牙功能,自動搜尋可與之連接的智能手機或其他藍牙設備,再盜取手機或設備上的數據。
卡巴斯基實驗室初步判斷,「火焰」病毒應該是一款多用途的間諜工具。它不會在每個目標上使用它的全部代碼,而是按需部署。
在大部分行動中,首先載入目標計算機的是一個大小為6M的「搶灘部隊」,其中包含一個后門。攻擊者可以利用這個后門,隨時通過指揮控制服務器,在目標電腦上安裝新的間諜工具模塊。
卡巴斯基團隊表示,要想徹底破解火焰病毒,即便搭上卡巴斯基公司的所有員工,最少也得4、5年。
早在1993年,美國海、陸、空三軍就分別著手成立了各自的信息戰中心。
2010年5月,當震網在全世界的計算機上瘋狂傳播、幾近失控時,美國五角大樓整合了各軍種從事網絡攻防的部門,組建了「美軍網絡司令部」。
同時宣布,網絡空間已經成為繼空、地、海、太空之后的「第五作戰域」。
比起常規作戰,信息戰更隱蔽、更難以偵查、難以取證。投下一枚導彈,至少攻擊目標是有范圍的,可網絡武器一旦上線,路徑和后果都更難以預測。
就像《原子能科學家公報》執行主編柏南迪曾說的「網絡武器的第一次軍事化運用,是為了阻止核武器的擴散。可諷刺的是,為了終結前一個大規模殺傷性武器的時代,我們又開啟了另一個新的大規模殺傷性武器的時代。」
家好,我是菜雞。今天來同時運行這五個電腦病毒,話不多說直接運行。
來重啟一下,這也是進不了系統了。
本期視頻就到這里,下期再見,拜拜。
嘍大家好,我是菜雞。這六款電腦病毒pk這六款殺毒軟件,看看哪款殺毒軟件可以正常的防御。有一視頻教程,本期視頻分成了七段。
先看一下這六款電腦病毒同時運行的效果,運行的差不多了,重啟一下,這也是進不了系統了。
本期視頻就到這里,想看六款殺毒軟件防御效果的可以去發發我的視頻。本期視頻就到這里,下期再見,拜拜。