震网 震网要找的目标

一、引子

2006年，伊朗重启核计划，在纳坦兹核工厂安装大量离心机，生产浓缩铀。

2010年1月，联合国负责核查伊朗核设施的国际原子能机构（IAEA）开始注意到，纳坦兹铀浓缩工厂出现了问题。

伊朗纳坦兹核工厂

核设施埋在沙漠之下50英尺的深处，那里有一个巨大的离心机车间。

离心机型号为IR-1，总数8,700台，预期使用寿命10年。

在过去数周，工人们大批量拆掉离心机，并换成新的。

故障比例高得令人发指。

即使考虑到伊朗原料不达标、设备维护差和工人操作错误等问题，离心机的更换率也高得太离谱。

然而，伊朗人无需向IAEA解释到底发生了什么，IAEA检察人员也无权过问。

核查部门的任务是检查铀浓缩工厂的铀，而不是跟踪坏了多少设备。

二、预警

舍基·乌尔森（Sergey Ulasen），是白俄罗斯一家小型反病毒公司VirusBlockAda的技术负责人，2010年6月，他正在系统地梳理近期在伊朗计算机上发现的恶意文件。

突然，他激动得有些喘不过气来。

一段他们已经研究好几天了的代码，竟然是一部如恶魔般可怕而又天才般冷静的顶级作品，一个病毒界的"稀世珍宝"。

舍基·乌尔森（SergeyUlasen）

乌尔森努力破译这个令人惊异的复杂代码，虽然力不从心，但初步发现，它不仅有效利用了"内核极"后门来躲过反病毒引擎的扫描，还利用了"零日漏洞"（zero-day），从而能突破Windows系统。

令乌尔森警觉的是，这个病毒的两个驱动已经获得了台湾一家名为瑞昱半导体公司（RealTek）的合法数字签名，可以在无任何弹窗提示的情况下，完成了自身的安装。

7月12日，乌尔森在一个英文安全论坛上发布了一条消息，警告说可能将爆发大规模感染。

全球安全业界迅速展开了对这个病毒的分析和破译。

同时，微软给它起了一个新的名字：震网（Stuxnet）。

通过全球安全专家几个月的接力研究，发现震网病毒的隐蔽性、复杂性远超人们的想象。

可以说，它的出现，是病毒进化过程中的一次划时代"基因突变"。

安全业界中很多人都感到心神不宁、不知所措。

ESET公司研究员皮埃尔在网上说："擦，从来没见过这么专业的坏蛋。

"

然而，震网的意图到底是什么，仍然是个谜。

研究者没有发现任何有关震网试图盗取银行账号等机密信息的行为，这一点与其他大多数恶意程序大相径庭。

三、跟踪

一天，一名来自德国的研究者弗兰克（Frank Boldewin）找到了一个可能的线索。

弗兰克深入震网的内层代码，发现其中有一些不寻常的、对德国西门子公司所生产软件的说明文字。

攻击者看上去是在寻找那些安装有SIMATIC Step 7或SIMATIC WINCC这两种西门子公司专有软件的计算机。

这两种软件都是与西门子公司生产的可编程逻辑控制器（PLC）配套的工业控制系统的一部分，用于配置自动控制系统的软硬件参数。

随后，赛门铁克公司的一个专门研究小组公布：根据对日志文件的分析结果，攻击者释放病毒的起点，是最有可能接触到震网攻击目标的5家伊朗公司。

之后，以这5家公司为源头，震网实现了对100多个国家10万多台计算机的传播。

德国的一个研究小组，通过数月艰苦分析，得出了一个骇人的结论。

震网的攻击目标，并非西门子两款特定型号的PLC，而是使用PLC的特定设备。

震网可谓"军用级精确制导武器"。

同时，他们发现，居然会有如此详尽的PLC配置信息。

这只能说明一个问题，就是它的目标，就是伊朗境内的某一个特定设施。

花这么多钱、费这么大劲，就为了区区一个目标？！这让人百思不得其解。

最后，只有一种可能，就是目标非常非常之重要。

2011年11月16日，伊朗纳坦兹的技术人员全面暂停了工厂的铀浓缩活动。

6天后的11月22日，所有离心机都停止了运转。

安全专家们恍然大悟，伊朗方面停工的目的，一定是为了在计算机中寻找震网的踪迹。

震网的攻击目标，就是伊朗纳坦兹核工厂！

2010年11月29日的清晨7点45分，德黑兰南部的阿泰什大街（Artesh Boulevard）上，车流熙攘。

40岁的著名核物理学家马吉德·沙利亚里（Majid Shahriari）在上班的路上，车上还坐着两个人。

他的妻子，也是一名核物理专家；另外还有一名保镖。

正在沙利亚里驶向一个十字路口时，车的左侧突然冒出一辆摩托车。

来人朝司机一侧的车门上抛下了一个"粘性炸弹"，然后逃之夭夭。

几秒钟后，炸弹爆炸。

沙利亚里当场毙命。

马吉德·沙利亚里被暗杀现场

暗杀事件当天，伊朗总统内贾德对"数字武器攻击纳坦兹核设施"一事首次做出了官方的确认。

他在谴责以色列和西方国家发动暗杀袭击伊朗核物理学家的同时，还明确指责他们"一年前开始对伊朗核设施进行病毒攻击。

"内贾德说，病毒通过软件，并对部分离心机造成了破坏。

至此，一个精心策划并尽在掌控的惊天大机密，世界上第一个真正的数字武器，在顺利实施多年之后，正被人一步一步的抽丝剥茧，暴露在世人面前。

四、"奥运会计划"

伊朗在2006年初恢复了纳坦兹试验厂的铀浓缩活动。

随后，以色列不断指责美国人在伊朗核问题上拖拖拉拉，总是幻想靠制裁和外交努力解决问题。

以色列总理埃胡德奥尔默特（Ehud Olmert）在公开场合警告说，如果无法叫停伊朗核计划，以色列将"采取单边行动"。

纳坦兹核燃料浓缩厂外部署的防空炮

经过多方权衡，美国军方和情报官员向当时的美国总统布什提交了一个对伊朗核设施发动网络攻击的提案，得到批准。

该计划被命名为"奥运会"，因为有多个国家的情报机构参与。

病毒由美国和以色列的程序员共同编写，并在内盖夫荒漠（Negev Desert）中的迪莫诺（Dimona）建筑复合体——始建于20世纪60年代的以色列核武器研发基地内完成了测试，并将代码加载到U盘上，

德国提供了西门子公司生产的工业控制系统的技术规范。

因为西门子公司产的工业控制系统被广泛运用于伊朗核设施之中。

在以色列的迪莫诺，有关人员构建了西门子控制器和与纳坦兹相同的IR-1型离心机的试验台，对病毒破坏处于运转态离心机的效果进行了测评。

英国政府也参与了试验。

试验完成后，荷兰情报人员将病毒植入到核设施内。

为什么是荷兰？

这是因为纳坦兹的离心机，是基于20世纪70年代巴基斯坦科学家阿卜杜勒·卡迪尔·汗从一家荷兰公司偷来的设计。

汗偷了设计，建造离心机，然后向其他国家推销它们，包括伊朗和利比亚。

荷兰情报人员在伊朗开设了两家离心机方面的技术咨询服务公司。

荷兰特工，通过训练成为一名工程师，设法进入纳坦兹，将U盘插入控制系统，安装了恶意代码。

在几个月的时间里，他多次进入纳坦兹，从而相应地更新病毒。

更新病毒是因为攻击者决定改变策略。

一开始，「震网」通过修改程序命令，旨在关闭随机数量的离心机上的出口阀门，这样气体就会无法及时排出，离心机内部的压力升高，并随着时间的推移致使离心机报废，同时不断向主控机房监控系统回传"设备正常运转"的假指令。

后来更新的病毒，主要是改变离心机转数，导致生产出来的铀，无法满足核武器的质量要求。

研究人员认为，之后版本的Stuxnet战术变化，表明攻击者的能力有所改善，以至于他们不再需要内部特工。

"他们能够在没有人员接应的情况下完成整个攻击。

"

五、失误

令人吃惊的是，虽然故障不断，伊朗在反复排查核设施之后，竟一直没能发现工业控制系统出现的问题。

这种病毒，彻底“弄懵”了伊朗。

不幸的是，美国或以色列的某位程序员，某天在编程的时候，可能心情很糟糕，因此错误地将and和or字符交换，导致程序能够蔓延到任何版本的Windows系统中，使病毒扩散，终于在2010年6月被人发现。

六、故事远未结束

2020年7月5日，伊朗政府承认，纳坦兹核浓缩厂大火，造成严重破坏，导致核计划至少推迟了数月。

起火爆炸的地点，是一处新建的离心机装配中心，该中心2013年开建，2018年落成，计划建造更多更先进的离心机。

针对外界对以色列的怀疑，以色列防长甘茨7月5日称：""并非伊朗发生的每件事都与我们有关……"

伊朗纳坦兹核设施外观爆炸前后对比，上图是2015年拍摄的旧照，下图是爆炸后的景象

随后，伊朗的两座发电厂又发生爆炸，一座化工厂发生氯气泄漏，德黑兰东部Khojir军事设施的一处导弹生产基地发生爆炸……