2010年伊朗核電站遭到什麼病毒攻擊

A. 震網病毒的深度分析

2010年10月，國內外多家媒體相繼報道了Stuxnet蠕蟲對西門子公司的數據採集與監控系統SIMATIC WinCC進行攻擊的事件，稱其為「超級病毒」、「超級工廠病毒」，並形容成「超級武器」、「潘多拉的魔盒」。
Stuxnet蠕蟲（俗稱「震網」、「雙子」）在2010年7月開始爆發。它利用了微軟操作系統中至少4個漏洞，其中有3個全新的零日漏洞；偽造驅動程序的數字簽名；通過一套完整的入侵和傳播流程，突破工業專用區域網的物理限制；利用WinCC系統的2個漏洞，對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。據賽門鐵克公司的統計，截止到2010年09月全球已有約45000個網路被該蠕蟲感染， 其中60%的受害主機位於伊朗境內。伊朗政府已經確認該國的布希爾核電站遭到Stuxnet蠕蟲的攻擊。
安天實驗室於7月15日捕獲到Stuxnet蠕蟲的第一個變種，在第一時間展開分析，發布了分析報告及防範措施，並對其持續跟蹤。截止至本報告發布，安天已經累計捕獲13個變種、600多個不同哈希值的樣本實體。 2.1 運行環境
Stuxnet蠕蟲在以下操作系統中可以激活運行： Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 當它發現自己運行在非Windows NT系列操作系統中，即刻退出。
被攻擊的軟體系統包括： SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在這一問題的可能。
2.2 本地行為
樣本被激活後，典型的運行流程如圖1 所示。
樣本首先判斷當前操作系統類型，如果是Windows 9X/ME，就直接退出。
接下來載入一個主要的DLL模塊，後續的行為都將在這個DLL中進行。為了躲避查殺，樣本並不將DLL模塊釋放為磁碟文件然後載入，而是直接拷貝到內存中，然後模擬DLL的載入過程。
具體而言，樣本先申請足夠的內存空間，然後Hookntdll.dll導出的6個系統函數： ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 為此，樣本先修改ntdll.dll文件內存映像中PE頭的保護屬性，然後將偏移0x40處的無用數據改寫為跳轉代碼，用以實現hook。
進而，樣本就可以使用ZwCreateSection在內存空間中創建一個新的PE節，並將要載入的DLL模塊拷貝到其中，最後使用LoadLibraryW來獲取模塊句柄。
圖1 樣本的典型運行流程
此後，樣本跳轉到被載入的DLL中執行，衍生下列文件：
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有兩個驅動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統服務，實現開機自啟動。這兩個驅動程序都使用了Rootkit技術，並有數字簽名。
mrxcls.sys負責查找主機中安裝的WinCC系統，並進行攻擊。具體地說，它監控系統進程的鏡像載入操作，將存儲在%Windir%infoem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進程中，後兩者是WinCC系統運行時的進程。
mrxnet.sys通過修改一些內核調用來隱藏被拷貝到U盤的lnk文件和DLL文件（圖2 ）。
圖2驅動程序隱藏某些lnk文件
圖3 樣本的多種傳播方式
2.3 傳播方式Stuxnet蠕蟲的攻擊目標是SIMATIC WinCC軟體。後者主要用於工業控制系統的數據採集與監控，一般部署在專用的內部區域網中，並與外部互聯網實行物理上的隔離。為了實現攻擊，Stuxnet蠕蟲採取多種手段進行滲透和傳播，如圖3所示。
整體的傳播思路是：首先感染外部主機；然後感染U盤，利用快捷方式文件解析漏洞，傳播到內部網路；在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、列印機後台程序服務漏洞，實現聯網主機之間的傳播；最後抵達安裝了WinCC軟體的主機，展開攻擊。
2.3.1. 快捷方式文件解析漏洞（MS10-046）
這個漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時的系統機制缺陷，使系統載入攻擊者指定的DLL文件，從而觸發攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據文件中的信息尋找它所需的圖標資源，並將其作為文件的圖標展現給用戶。如果圖標資源在一個DLL文件中，系統就會載入這個DLL文件。攻擊者可以構造這樣一個快捷方式文件，使系統載入指定的DLL文件，從而執行其中的惡意代碼。快捷方式文件的顯示是系統自動執行，無需用戶交互，因此漏洞的利用效果很好。
Stuxnet蠕蟲搜索計算機中的可移動存儲設備（圖4）。一旦發現，就將快捷方式文件和DLL文件拷貝到其中（圖5）。如果用戶將這個設備再插入到內部網路中的計算機上使用，就會觸發漏洞，從而實現所謂的「擺渡」攻擊，即利用移動存儲設備對物理隔離網路的滲入。
圖4 查找U盤
拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。後者Hook了kernel32.dll和ntdll.dll中的下列導出函數：
FindFirstFileW FindNextFileW ZwQueryDirectoryFile 實現對U盤中lnk文件和DLL文件的隱藏。因此，Stuxnet一共使用了兩種措施（內核態驅動程序、用戶態Hook API）來實現對U盤文件的隱藏，使攻擊過程很難被用戶發覺，也能一定程度上躲避殺毒軟體的掃描。
圖5 拷貝文件到U盤
2.3.2. RPC遠程執行漏洞（MS08-067）與提升許可權漏洞
這是2008年爆發的最嚴重的一個微軟操作系統漏洞，具有利用簡單、波及范圍廣、危害程度高等特點。
圖6 發動RPC攻擊
具體而言，存在此漏洞的系統收到精心構造的RPC請求時，可能允許遠程執行代碼。在Windows 2000、Windows XP和Windows Server 2003系統中，利用這一漏洞，攻擊者可以通過惡意構造的網路包直接發起攻擊，無需通過認證地運行任意代碼，並且獲取完整的許可權。因此該漏洞常被蠕蟲用於大規模的傳播和攻擊。
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播（圖6）。利用這一漏洞時，如果許可權不夠導致失敗，還會使用一個尚未公開的漏洞來提升自身許可權（圖1），然後再次嘗試攻擊。截止本報告發布，微軟尚未給出該提權漏洞的解決方案。
2.3.3. 列印機後台程序服務漏洞（MS10-061）
這是一個零日漏洞，首先發現於Stuxnet蠕蟲中。
Windows列印後台程序沒有合理地設置用戶許可權。攻擊者可以通過提交精心構造的列印請求，將文件發送到暴露了列印後台程序介面的主機的%System32%目錄中。成功利用這個漏洞可以以系統許可權執行任意代碼，從而實現傳播和攻擊。
圖7 利用列印服務漏洞
Stuxnet蠕蟲利用這個漏洞實現在內部區域網中的傳播。如圖7所示，它向目標主機發送兩個文件：winsta.exe、sysnullevnt.mof。後者是微軟的一種託管對象格式（MOF）文件，在一些特定事件驅動下，它將驅使winsta.exe被執行。
2.3.4.內核模式驅動程序（MS10-073）
2.3.5.任務計劃程序漏洞（MS10-092）
2.4 攻擊行為
Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機中是否安裝WinCC系統（圖8）：
HKLMSOFTWARESIEMENSWinCCSetup
HKLMSOFTWARESIEMENSSTEP7
圖8 查詢注冊表，判斷是否安裝WinCC
一旦發現WinCC系統，就利用其中的兩個漏洞展開攻擊：
一是WinCC系統中存在一個硬編碼漏洞，保存了訪問資料庫的默認賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統的SQL資料庫（圖9）。
二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL載入策略上的缺陷，從而導致一種類似於「DLL預載入攻擊」的利用方式。最終，Stuxnet通過替換Step7軟體中的s7otbxdx.dll，實現對一些查詢、讀取函數的Hook。
圖9 查詢WinCC的資料庫
2.5 樣本文件的衍生關系
本節綜合介紹樣本在上述復制、傳播、攻擊過程中，各文件的衍生關系。
如圖10所示。樣本的來源有多種可能。
對原始樣本、通過RPC漏洞或列印服務漏洞傳播的樣本，都是exe文件，它在自己的.stud節中隱形載入模塊，名為「kernel32.dll.aslr.<隨機數字>.dll」。
對U盤傳播的樣本，當系統顯示快捷方式文件時觸發漏洞，載入~wtr4141.tmp文件，後者載入一個名為「shell32.dll.aslr.<隨機數字>.dll」的模塊，這個模塊將另一個文件~wtr4132.tmp載入為「kernel32.dll.aslr.<隨機數字>.dll」。
圖10 樣本文件衍生的關系
模塊「kernel32.dll.aslr.<隨機數字>.dll」將啟動後續的大部分操作，它導出了22個函數來完成惡意代碼的主要功能；在其資源節中，包含了一些要衍生的文件，它們以加密的形式被保存。
其中，第16號導出函數用於衍生本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅動程序，以及4個.pnf文件。
第17號導出函數用於攻擊WinCC系統的第二個漏洞，它釋放一個s7otbxdx.dll，而將WinCC系統中的同名文件修改為s7otbxsx.dll，並對這個文件的導出函數進行一次封裝，從而實現Hook。
第19號導出函數負責利用快捷方式解析漏洞進行傳播。它釋放多個lnk文件和兩個擴展名為tmp的文件。
第22號導出函數負責利用RPC漏洞和列印服務漏洞進行傳播。它釋放的文件中，資源編號221的文件用於RPC攻擊、編號222的文件用於列印服務攻擊、編號250的文件用於提權。 3.1 抵禦本次攻擊
西門子公司對此次攻擊事件給出了一個解決方案，鏈接地址見附錄。下面根據我們的分析結果，給出更具體的措施。
1.使用相關專殺工具或手工清除Stuxnet蠕蟲
手工清除的步驟為： 使用Atool管理工具，結束系統中的父進程不是winlogon.exe的所有lsass.exe進程； 強行刪除下列衍生文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
%Windir%infoem7A.PNF
%Windir%infmdmeric3.PNF
%Windir%infmdmcpq3.PNF
%Windir%infoem6C.PNF 刪除下列注冊表項：
HKEY_LOCAL_
HKEY_LOCAL_ 2. 安裝被利用漏洞的系統補丁
安裝微軟提供的下列補丁文件： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 3. 安裝軟體補丁
安裝西門子發布的WinCC系統安全更新補丁，地址見附錄。
3.2 安全建議
此次攻擊事件凸顯了兩個問題： 即便是物理隔離的專用區域網，也並非牢不可破； 專用的軟體系統，包括工業控制系統，也有可能被攻擊。 因此，我們對有關部門和企業提出下列安全建議：
加強主機（尤其是內網主機）的安全防範，即便是物理隔離的計算機也要及時更新操作系統補丁，建立完善的安全策略；
安裝安全防護軟體，包括反病毒軟體和防火牆，並及時更新病毒資料庫；
建立軟體安全意識，對企業中的核心計算機，隨時跟蹤所用軟體的安全問題，及時更新存在漏洞的軟體；
進一步加強企業內網安全建設，尤其重視網路服務的安全性，關閉主機中不必要的網路服務埠；
所有軟體和網路服務均不啟用弱口令和默認口令；
加強對可移動存儲設備的安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬體式U盤病毒查殺工具。 相比以往的安全事件，此次攻擊呈現出許多新的手段和特點，值得我們特別關注。
4.1 專門攻擊工業系統
Stuxnet蠕蟲的攻擊目標直指西門子公司的SIMATIC WinCC系統。這是一款數據採集與監視控制（SCADA）系統，被廣泛用於鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程；它運行於Windows平台，常被部署在與外界隔離的專用區域網中。
一般情況下，蠕蟲的攻擊價值在於其傳播范圍的廣闊性、攻擊目標的普遍性。此次攻擊與此截然相反，最終目標既不在開放主機之上，也不是通用軟體。無論是要滲透到內部網路，還是挖掘大型專用軟體的漏洞，都非尋常攻擊所能做到。這也表明攻擊的意圖十分明確，是一次精心謀劃的攻擊。
4.2 利用多個零日漏洞
Stuxnet蠕蟲利用了微軟操作系統的下列漏洞： RPC遠程執行漏洞（MS08-067） 快捷方式文件解析漏洞（MS10-046） 列印機後台程序服務漏洞（MS10-061） 內核模式驅動程序漏洞（MS10-073） 任務計劃程序程序漏洞（MS10-092） 後四個漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規模的使用多種零日漏洞，並不多見。
這些漏洞並非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發揮了獨特的作用。比如基於自動播放功的U盤病毒被絕大部分殺毒軟體防禦的現狀下，就使用快捷方式漏洞實現U盤傳播。
另一方面，在安天捕獲的樣本中，有一部分實體的時間戳是2013年3月。這意味著至少在3月份，上述零日漏洞就已經被攻擊者掌握。但直到7月份大規模爆發，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。
4.3 使用數字簽名
Stuxnet在運行後，釋放兩個驅動文件：
%System32%driversmrxcls.sys
%System32%driversmrxnet.sys
這兩個驅動文件偽裝RealTek的數字簽名（圖7）以躲避殺毒軟體的查殺。目前，這一簽名的數字證書已經被頒發機構吊銷，無法再通過在線驗證，但目前反病毒產品大多使用靜態方法判定可執行文件是否帶有數字簽名，因此有可能被欺騙。圖11 Stuxnet偽造的數字簽名
4.4 明確的攻擊目標
根據賽門鐵克公司的統計，7月份，伊朗感染Stuxnet蠕蟲的主機只佔25%，到9月下旬，這一比例達到60%。
WinCC被伊朗廣泛使用於基礎國防設施中。9月27日，伊朗國家通訊社向外界證實該國的第一座核電站「布希爾核電站」已經遭到攻擊。據了解，該核電站原計劃於2013年8月開始正式運行。因此，此次攻擊具有明確的地域性和目的性。 5.1 工業系統安全將面臨嚴峻挑戰
在我國，WinCC已被廣泛應用於很多重要行業，一旦受到攻擊，可能造成相關企業的設施運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。
對於Stuxnet蠕蟲的出現，我們並未感到十分意外。早在去年，安天就接受用戶委託，對化工行業儀表的安全性展開過研究，情況不容樂觀。
工業控制網路，包括工業乙太網，以及現場匯流排控制系統早已在工業企業中應用多年，目前在電力、鋼鐵、化工等大型重化工業企業中，工業乙太網、DCS（集散控制系統）、現場匯流排等技術早已滲透到控制系統的方方面面。工業控制網路的核心現在都是工控PC，大多數同樣基於Windows-Intel平台，工業乙太網與民用乙太網在技術上並無本質差異，現場匯流排技術更是將單片機/嵌入式系統應用到了每一個控制儀表上。工業控制網路除了可能遭到與攻擊民用/商用網路手段相同的攻擊，例如通過區域網傳播的惡意代碼之外，還可能遭到針對現場匯流排的專門攻擊，不可輕視。
針對民用/商用計算機和網路的攻擊，目前多以獲取經濟利益為主要目標，但針對工業控制網路和現場匯流排的攻擊，可能破壞企業重要裝置和設備的正常測控，由此引起的後果可能是災難性的。以化工行業為例，針對工業控制網路的攻擊可能破壞反應器的正常溫度/壓力測控，導致反應器超溫/超壓，最終就會導致沖料、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。因此，這種襲擊工業網路的惡意代碼一般帶有信息武器的性質，目標是對重要工業企業的正常生產進行干擾甚至嚴重破壞，其背景一般不是個人或者普通地下黑客組織。
目前，工業乙太網和現場匯流排標准均為公開標准，熟悉工控系統的程序員開發針對性的惡意攻擊代碼並不存在很高的技術門檻。因此，對下列可能的工業網路安全薄弱點進行增強和防護是十分必要的： 基於Windows-Intel平台的工控PC和工業乙太網，可能遭到與攻擊民用/商用PC和網路手段相同的攻擊，例如通過U盤傳播惡意代碼和網路蠕蟲，這次的Stuxnet病毒就是一個典型的例子。 DCS和現場匯流排控制系統中的組態軟體（測控軟體的核心），目前其產品，特別是行業產品被少數公司所壟斷，例如電力行業常用的西門子SIMATIC WinCC，石化行業常用的浙大中控等。針對組態軟體的攻擊會從根本上破壞測控體系，Stuxnet病毒的攻擊目標正是WinCC系統。 基於RS-485匯流排以及光纖物理層的現場匯流排，例如PROFIBUS和MODBUS（串列鏈路協議），其安全性相對較好；但短程無線網路，特別是不使用Zigbee等通用短程無線協議（有一定的安全性），而使用自定義專用協議的短程無線通信測控儀表，安全性較差。特別是國內一些小企業生產的「無線感測器」等測控儀表，其無線通信部分採用通用2.4GHz短程無線通信晶元，連基本的加密通信都沒有使用，可以說毫無安全性可言，極易遭到竊聽和攻擊，如果使用，將成為現場匯流排中極易被攻擊的薄弱點。 工業控制網路通常是獨立網路，相對民用/商用網路而言，數據傳輸量相對較少，但對其實時性和可靠性的要求卻很高，因而出現問題的後果相當嚴重。
傳統工業網路的安全相對信息網路來說，一直是憑借內網隔離，而疏於防範。因此，針對工業系統的安全檢查和防範加固迫在眉睫。

B. 急求一篇物理科技新聞。

新科學家雜志年度科技新聞：人體可作觸摸屏

Stuxnet惡意軟體攻擊伊朗核電站人們通常認為計算機病毒僅是一種令人討厭的病毒性程序，可導致計算機運行速度較慢，以及操作系統崩潰，但並不會對一些基礎性設施構成威脅。事實是這樣的嗎？今年9月，伊朗核電站遭受嚴重的計算機病毒攻擊，並證實一種叫做「Stuxnet」的惡意軟體能對軍用計算機網路造成物理性損害。伊朗官方聲稱，布希爾(Bushehr)核電站對於整個國家而言至關重要，該核電站被感染「Stuxnet」惡意軟體之後，並不是刪除文件或者伺服器遭受攻擊，這種惡意軟體會尋找鈾離心機的特殊電子組件，並進行破壞。經過這次破壞事件，伊朗核電站的能力倒退兩年。
據國外媒體報道，日前，英國《新科學家雜志》最新評選出2010年度9大科技新聞，其中包括：人體可作為觸摸屏、Stuxnet惡意軟體攻擊伊朗核電站、無煙射線槍、未來綠色生態城市像人類身體組織等。人體可作為觸摸屏觸摸屏操作界面作為一種非常精確的顯示技術，由於高精確性使得用戶難以操作。目前，美國科學家的最新研究帶來了觸摸屏的技術革命，用戶可以將自己手臂當作觸摸屏進行任意操作。這項技術的設計者是美國微軟公司研究院和卡內基－梅隆大學的研究人員，他們在一起設計出一種臂帶裝置，其中有介面可以直接接入手臂皮膚，再結合一種微型投影機形成一種「顯示器」，在高級感測器的感應下能夠呈現出信息使用戶懂得應當按手臂哪些區域。研究人員指出，這種被命名為「Skinput」的皮膚輸入界面可用於控制音頻裝置，運行一些像俄羅斯方塊的簡單游戲，撥打電話和簡單的瀏覽器系統導航。這種裝置通過敲打手臂不同區域能夠有效地使手臂轉換成為觸摸屏界面，由於骨骼密度和軟組織和關節的濾波效應，不同皮膚區域在聽覺上會截然不同。研究小組使用軟體匹配了特殊皮膚位置的聲波頻率。它還可以採用藍牙等無線傳輸技術，通過控制將指令傳輸至手機、iPod或者電腦等設備。設計人員指出，人們忽視了皮膚的作用，它可以作為信息輸入界面，便於人們隨身攜帶著。此外，我們的身體可以作為本體感受的感測器配置在立體三維空間中，使我們能夠自由地接觸自己身體便實現相應的操作。

上傳人：[email protected]

C. 使伊朗納坦茲鈾濃縮工廠大約1/5離心機報廢的病毒名稱是哪個

新華社2010年11月報道：在國際原子能機構向理事會公布有關伊朗核活動評估報告前夕,幾名外交人士透露,伊朗納坦茲鈾濃縮工廠數千台離心機近期因技術故障「停工」。
外界猜測,大批離心機莫名「停工」,可能因工廠計算機系統感染Stuxnet病毒所致。
雖然這些外交官沒有提及離心機停工的確切原因,但外界不禁懷疑這起事件與數月前伊朗遭受Stuxnet蠕蟲病毒襲擊有關。Stuxnet是世界上首個專門針對工業控制系統編寫的惡意病毒,今年7月被德國專家發現後,席捲伊朗、印度、美國等國。媒體猜測,這一專門針對西門子監控與數據採集系統的Stuxnet病毒的目標是伊朗布希爾核電站。上周,計算機專家認定這種病毒是專門為襲擊離心機而設計。根據專家分析,Stuxnet病毒能夠突然更改離心機中的發動機轉速,這種突然的改變足以摧毀離心機運轉能力且無法修復。
互聯網安全產品企業美國賽門鐵克公司計算機安全部門研究員埃里克·希昂在給美聯社記者的一封電子郵件中寫道:「這種病毒專門控制變頻器轉速,正常的頻率是807赫茲到1210赫茲……但結果(被病毒篡改為)有時1410赫茲,然後2赫茲,然後又是1064赫茲。」
眼下尚未有任何組織或個人宣稱是Stuxnet病毒的幕後設計者,但一些分析人士懷疑這一病毒可能出自以色列之手。

D. 震網病毒的概述

E. 請問「震網」是一個啥樣的病毒，真的是來源於中國嗎詳細一點

震網病毒又名Stuxnet病毒，是一個席捲全球工業界的病毒，世界上首個網路「超級武器」，一種名為Stuxnet的計算機病毒已經感染了全球超過 45000個網路，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。
1、日前世界上首個網路「超級武器」，一種名為Stuxnet的計算機病毒已經感染了全球超過 45000個網路，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。計算機安防專家認為，該病毒是有史以來最高端的「蠕蟲」病毒，其目的可能是 要攻擊伊朗的布希爾核電站。布希爾核電站目前正在裝備核燃料，按照計劃，它本應在2010年8月開始運行。
2、蠕蟲是一種典型的計算機病毒，它能自我復制，並將副本通過網路傳輸，任何一台個人電腦只要和染毒電腦相連，就會被感染。這種 Stuxnet病毒於2010年6月首次被檢測出來，是第一個專門攻擊真實世界中基礎設施的「蠕蟲」病毒，比如發電站和水廠。目前互聯網安全專家對此表示擔心。
震網病毒並非來自中國，而是從國外傳入中國的，它一般會攻擊工業系統，有專門的針對性，估計可能是美國等大國為了打擊伊朗核威脅而特意製造的，這么厲害的病毒單靠個人很難完成

F. 什麼時候美國曾利用震網病毒成功入侵伊朗布希爾核電站

2010年12月15日，一位德國計算機高級顧問表示，「震網」計算機病毒令德黑蘭的核計劃拖後了兩年。這個惡意軟體2010年一再以伊朗核設施為目標，通過滲透進「視窗」（Windows）操作系統，並對其進行重新編程而造成破壞。2011年1月26日，俄羅斯常駐北約代表羅戈津表示，這種病毒可能給伊朗布希爾核電站造成嚴重影響，導致有毒的放射性物質泄漏，其危害將不亞於1986年發生的切爾諾貝利核電站事故 採納

G. 什麼是火焰病毒

「火焰」病毒的全名為Worm.Win32.Flame，它是一種後門程序和木馬病毒，同時又具有蠕蟲病毒的特點。只要其背後的操控者發出指令，它就能在網路、移動設備中進行自我復制。一旦電腦系統被感染，病毒將開始一系列復雜的行動，包括監測網路流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等。被感染系統中所有的數據都能通過鏈接傳到病毒指定的伺服器，讓操控者一目瞭然。據卡巴斯基實驗室統計，迄今發現感染該病毒的案例已有500多起，其中主要發生在伊朗、以色列和巴勒斯坦。蘇丹、敘利亞、黎巴嫩、沙烏地阿拉伯和埃及等國也有個別案例。病毒入侵的起始點目前尚不清楚。
「火焰」設計極為復雜，能夠避過100種防毒軟體。感染該病毒的電腦將自動分析自己的網路流量規律，自動錄音，記錄用戶密碼和鍵盤敲擊規律，將用戶瀏覽網頁、通訊通話、賬號密碼以至鍵盤輸入等紀錄及其他重要文件發送給遠程操控病毒的伺服器。
火焰病毒被認為是迄今為止發現的最大規模的和最為復雜的網路攻擊病毒。
起因
2012年5月，俄羅斯安全專家發現一種威力強大的電腦病毒「火焰」(Flame)在中東地區大范圍傳播。俄羅斯電腦病毒防控機構卡巴斯基稱，這種新病毒可能是「某個國家專門開發的網路戰武器」。「火焰」病毒最早可能於2010年3月就被攻擊者放出，但一直沒能被其他網路安全公司發現。「火焰」病毒出現的最早時間甚至可追溯到2007年。
除卡巴斯基外，匈牙利的兩家反電腦病毒實驗室和伊朗反電腦病毒機構也發現了上述全新的蠕蟲病毒。

「火焰」病毒構造復雜，此前從未有病毒能達到其水平，是一種全新的網路間諜裝備。該病毒可以通過USB存儲器以及網路復制和傳播，並能接受來自世界各地多個伺服器的指令。感染「火焰」病毒的電腦將自動分析自己的網路流量規律，自動錄音，記錄用戶密碼和鍵盤敲擊規律，並將結果和其他重要文件發送給遠程操控病毒的伺服器。
一旦完成搜集數據任務，這些病毒還可自行毀滅，不留蹤跡。
從現有規律看，這種病毒的攻擊活動不具規律性，個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過。
電子郵件、文件、消息、內部討論等等都是其搜集的對象。

卡巴斯基實驗室公布統計數字，確認新型電腦病毒「火焰」入侵中東地區。
遭受該毒感染的國家包括伊朗（189個目標遭襲），以色列和巴勒斯坦(98個目標遭襲)，蘇丹 (32個目標遭襲)，敘利亞 (30 個目標遭襲)，黎巴嫩 (18 個目標遭襲)，沙烏地阿拉伯(10個目標遭襲)和埃及 (5個目標遭襲)。

由於破解病毒需要一定時間，截至2012年5月28日，還未查出源頭。
殺毒軟體廠商卡巴斯基指出，有證據顯示，開發「火焰」病毒的國家可能與開發2010年攻擊伊朗核項目的蠕蟲病毒的國家相同。但是，他們尚未確定該病毒是否像攻擊伊朗核項目的蠕蟲病毒那樣擁有特殊任務，並拒絕說出他們認為是誰開發了該病毒。2010年，伊朗離心機遭受計算機蠕蟲入侵，使伊朗核計劃遭受挫折。伊朗曾指責美國和以色列釋放了這些蠕蟲病毒。
伊朗外交部發言人指責是以色列製造「火焰」病毒，又說這些網路攻擊手段，不會成功。

首先，在惡意程序中使用Lua就是非同尋常的，特別是在這么大的一個攻擊工具中。一般來說，現代惡意程序大小都偏小，並用緊湊的編程語言進行編寫，這樣的話能很好的將其隱藏。因此，通過大量的代碼實現隱藏是Flame的新特點之一。
其次，記錄來自內部話筒音頻數據也是相當新的手段。當然，其它一些已知的惡意程序也能夠記錄音頻數據，但是Flame的關鍵不同是它很全面——能夠以各種各樣的手段盜取數據。
最後，Flame另外一個令人稱奇的特點就是對藍牙設備的使用。當設備的藍牙功能開啟的時候，Flame可以將配置模塊中的相關選項同時開啟，當發現有設備靠近被感染的計算機時，就可以收集設備中的信息。有賴於這樣的配置，它還能以受感染的計算機做為一個「燈塔」，發現通過藍牙傳輸的設備，並為背後的操控者提供有關編入到設備信息中的惡意程序狀態。

與曾經攻擊伊朗核項目計算機系統的「震網病毒」相比，「火焰」病毒不僅更為智能，且其攻擊目標和代碼組成也有較大區別。「火焰」病毒的攻擊機制更為復雜，且攻擊目標具有特定地域的地點。
「火焰」病毒最早可能於2010年3月就被攻擊者放出，但一直沒能被其他網路安全公司發現。「火焰」病毒出現的最早時間甚至可追溯到2007年。「震網」和「毒區」兩款病毒的創建時間也大概為2007年前後。
「火焰」病毒部分特徵與先前發現的「震網」和「毒區」兩款病毒類似，顯示三種病毒可能「同宗」。網路分析專家認為，已形成「網路戰」攻擊群。「震網」病毒攻擊的是伊朗核設施，「毒區」病毒攻擊的是伊朗工業控制系統數據，而「火焰」病毒攻擊的則是伊朗石油部門的商業情報。

H. 超級工廠（stuxnet病毒） 火焰病毒 暴雷漏洞 各是什麼東西

Stuxnet蠕蟲病毒（超級工廠病毒）是世界上首個專門針對工業控制系統編寫的破壞性病毒，能夠利用對windows系統和西門子SIMATIC WinCC系統的7個漏洞進行攻擊。特別是針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊，由於該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控。 傳播途徑：該病毒主要通過U盤和區域網進行傳播。歷史「貢獻」：曾造成伊朗核電站推遲發電。

I. 『火焰』病毒是什麼

簡介

「火焰」病毒的全名為Worm.Win32.Flame，它是一種後門程序和木馬病毒，同時又具有蠕蟲病毒的特點。只要其背後的操控者發出指令，它就能在網路、移動設備中進行自我復制。一旦電腦系統被感染，病毒將開始一系列復雜的行動，包括監測網路流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等。被感染系統中所有的數據都能通過鏈接傳到病毒指定的伺服器，讓操控者一目瞭然。據卡巴斯基實驗室統計，迄今發現感染該病毒的案例已有500多起，其中主要發生在伊朗、以色列和巴勒斯坦。蘇丹、敘利亞、黎巴嫩、沙烏地阿拉伯和埃及等國也有個別案例。病毒入侵的起始點目前尚不清楚。
「火焰」設計極為復雜，能夠避過100種防毒軟體。感染該病毒的電腦將自動分析自己的網路流量規律，自動錄音，記錄用戶密碼和鍵盤敲擊規律，將用戶瀏覽網頁、通訊通話、賬號密碼以至鍵盤輸入等紀錄及其他重要文件發送給遠程操控病毒的伺服器。
火焰病毒被認為是迄今為止發現的最大規模的和最為復雜的網路攻擊病毒。
起因
2012年5月，俄羅斯安全專家發現一種威力強大的電腦病毒「火焰」(Flame)在中東地區大范圍傳播。俄羅斯電腦病毒防控機構卡巴斯基稱，這種新病毒可能是「某個國家專門開發的網路戰武器」。「火焰」病毒最早可能於2010年3月就被攻擊者放出，但一直沒能被其他網路安全公司發現。「火焰」病毒出現的最早時間甚至可追溯到2007年。
除卡巴斯基外，匈牙利的兩家反電腦病毒實驗室和伊朗反電腦病毒機構也發現了上述全新的蠕蟲病毒。
編輯本段
特點

「火焰」病毒構造復雜，此前從未有病毒能達到其水平，是一種全新的網路間諜裝備。該病毒可以通過USB存儲器以及網路復制和傳播，並能接受來自世界各地多個伺服器的指令。感染「火焰」病毒的電腦將自動分析自己的網路流量規律，自動錄音，記錄用戶密碼和鍵盤敲擊規律，並將結果和其他重要文件發送給遠程操控病毒的伺服器。
一旦完成搜集數據任務，這些病毒還可自行毀滅，不留蹤跡。
從現有規律看，這種病毒的攻擊活動不具規律性，個人電腦、教育機構、各類民間組織和國家機關都曾被其光顧過。
電子郵件、文件、消息、內部討論等等都是其搜集的對象。
編輯本段
攻擊范圍

卡巴斯基實驗室公布統計數字，確認新型電腦病毒「火焰」入侵中東地區。
遭受該毒感染的國家包括伊朗（189個目標遭襲），以色列和巴勒斯坦(98個目標遭襲)，蘇丹 (32個目標遭襲)，敘利亞 (30 個目標遭襲)，黎巴嫩 (18 個目標遭襲)，沙烏地阿拉伯(10個目標遭襲)和埃及 (5個目標遭襲)，中國（1個目標遭襲）。
編輯本段
開發者

由於破解病毒需要一定時間，截至2012年5月28日，還未查出源頭。
殺毒軟體廠商卡巴斯基指出，有證據顯示，開發「火焰」病毒的國家可能與開發2010年攻擊伊朗核項目的蠕蟲病毒的國家相同。但是，他們尚未確定該病毒是否像攻擊伊朗核項目的蠕蟲病毒那樣擁有特殊任務，並拒絕說出他們認為是誰開發了該病毒。2010年，伊朗離心機遭受計算機蠕蟲入侵，使伊朗核計劃遭受挫折。伊朗曾指責美國和以色列釋放了這些蠕蟲病毒。
伊朗外交部發言人指責是以色列製造「火焰」病毒，又說這些網路攻擊手段，不會成功。
編輯本段
「火焰」的新特點

首先，在惡意程序中使用Lua就是非同尋常的，特別是在這么大的一個攻擊工具中。一般來說，現代惡意程序大小都偏小，並用緊湊的編程語言進行編寫，這樣的話能很好的將其隱藏。因此，通過大量的代碼實現隱藏是Flame的新特點之一。
其次，記錄來自內部話筒音頻數據也是相當新的手段。當然，其它一些已知的惡意程序也能夠記錄音頻數據，但是Flame的關鍵不同是它很全面——能夠以各種各樣的手段盜取數據。
最後，Flame另外一個令人稱奇的特點就是對藍牙設備的使用。當設備的藍牙功能開啟的時候，Flame可以將配置模塊中的相關選項同時開啟，當發現有設備靠近被感染的計算機時，就可以收集設備中的信息。有賴於這樣的配置，它還能以受感染的計算機做為一個「燈塔」，發現通過藍牙傳輸的設備，並為背後的操控者提供有關編入到設備信息中的惡意程序狀態。
編輯本段
關聯病毒

與曾經攻擊伊朗核項目計算機系統的「震網病毒」相比，「火焰」病毒不僅更為智能，且其攻擊目標和代碼組成也有較大區別。「火焰」病毒的攻擊機制更為復雜，且攻擊目標具有特定地域的地點。
「火焰」病毒最早可能於2010年3月就被攻擊者放出，但一直沒能被其他網路安全公司發現。「火焰」病毒出現的最早時間甚至可追溯到2007年。「震網」和「毒區」兩款病毒的創建時間也大概為2007年前後。
「火焰」病毒部分特徵與先前發現的「震網」和「毒區」兩款病毒類似，顯示三種病毒可能「同宗」。網路分析專家認為，已形成「網路戰」攻擊群。「震網」病毒攻擊的是伊朗核設施，「毒區」病毒攻擊的是伊朗工業控制系統數據，而「火焰」病毒攻擊的則是伊朗石油部門的商業情報。

J. 為什麼黑客想要毀掉工業4.0

這個世界有這么一群人，也在密切關注工業4.0。只不過，他們的方式和你不太一樣。
如果你是普通民眾，那麼可能你關注的是，工業4.0能給你的生活帶來什麼；如果你是企業家，你可能想知道，工業4.0能幫你的企業提升多少利潤；如果你是政府官員，你可能在考慮，工業4.0到底應該如何規劃和發展。
都是積極、有益的一面。
但這群人不一樣，他們關注的，是如何毀掉工業4.0！
嚴格來說，他們和工業4.0並沒有什麼不共戴天之仇，甚至，他們比你還熱愛工業4.0，希望工業4.0時代早點到來。
他們想毀掉工業4.0的原因，只有一個，因為他們是黑客。
是的，實際上不只是工業的4.0時代，當工業和網路剛剛產生交集的時候，這群「地下幽靈」就已經盯上了它。
只不過，最近幾年，當工業的智能化、網路化、信息化趨勢越來越明顯，他們毀掉工業的慾望和決心也越發強烈。
毀掉它，對黑客有什麼好處？
天下熙攘，皆為利來，好處自然只有一個，利益。
隨便翻翻最近幾年的一些經典案例，就能知道，相比普通的消費網路領域，搞定一個工業控制系統或者工業控制網路，能給黑客帶來多大的利益。
2015年以前，在網路安全圈流傳最廣的例子，當屬2010年「震網」病毒幹掉伊朗核電站事件。
迄今為止，它是誰研製的，怎麼潛入伊朗核電站等問題，仍在困擾軍事戰略家、信息安全專家以及公眾。
目前可以肯定的是，它確實在2010年7月，攻擊了伊朗的納坦茲鈾濃縮工廠，侵入了控制離心機的主機，改變了離心機轉速，導致工廠約1/5的離心機癱瘓報廢。
（時任伊朗總統內賈德視察核設施，紅圈內的紅點表示有兩台離心機已經損壞）
他說，以色列迪莫納核基地和美國能源部下屬的國家實驗室用了兩年時間，聯合研製了「震網」病毒，目的是給美國和以色列的敵人「製造點麻煩」。
且不論真假，至少按照大部分軍事戰略專家和信息安全專家的評估，它讓伊朗花了兩年時間恢復核計劃，作用已經趕上了一次軍事打擊，而且效果更好，沒有人員傷亡，也沒有發生戰爭。
前面說「震網」是2015年以前最經典的案例，2015年以後，最經典的案例，則是去年年底和今年年初剛剛發生的烏克蘭電網被黑事件。
2015聖誕前夕一直到2016年1月，烏克蘭的變電站控制系統持續遭到網路攻擊，至少三個區域的約140萬居民失去了電力供應，大規模停電3~6個小時。
與此同時，電力部門報修的電話線路也遭到惡意軟體攻擊堵塞，停電+通信中斷，引起了當地民眾的極大恐慌。
和「震網」事件一樣，誰乾的，為了什麼等問題還是個迷，由於沒有斯諾登這樣的「內部人士」爆料，烏克蘭局勢又不穩定，各種風言風語滿天飛。
有人甚至把它和大國博弈的局勢聯繫到一起。因為這次攻擊電力系統的惡意軟體「暗黑能源」，某些國家曾用它過用來攻擊其他一些東歐國家。
不管是黑客的炫技或者是國家工程，至少，和「震網」一樣，它也達到了破壞的目的。
工業系統這么脆弱？還是「敵人」太狡猾
在你的印象中，用來控制電力、製造、能源、水利等工業設施的系統，是不是應該固若金湯。又或者，你應該或多或少聽說過，工業控制系統都有個內網隔離的做法。
是的，大部分有操守的國家，都會對關鍵的工業設施進行隔離，網路和信息化控制系統更是如此，不僅不和外網連接，還會進行嚴格的物理隔離，修上水泥牆、關入小黑屋什麼的保護起來。
但即便如此，為什麼核電站離心機被幹掉、變電站被撂倒的事情還是會發生，黑客的技術和手法竟如此高明？
很遺憾告訴你，除去病毒編制部分要點網路和計算機技術，黑客搞定工業控制系統的其他手法，其實並沒有多高明，你最多隻能把它稱為「敵人太狡猾」。
因為絕大多數把病毒弄進工業控制系統的手法，都來自社會工程學。
什麼是社會工程學？
按照專業點的說法，叫「一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法」。
實際上，通俗一點解釋，沒那麼高大上，就是坑蒙拐騙。
比如，關於「震網」病毒如何傳播到與外網隔離的離心機控制系統上的，有一個普遍認同的說法，是控制系統主機被人插了個帶病毒的U盤。
等等，帶病毒的U盤？核設施管理這么嚴格，怎麼帶進去的？
最有意思的一種猜測是，攻擊方在核電站工作人員的工作和生活地點，扔了好多精美的U盤，工作人員一時喜歡，撿起來帶了進去。當然，U盤里的病毒經過遮掩處理，一般人是覺察不到的。
如果這個猜測有點開玩笑，那麼烏克蘭電力控制系統事件被挖出來的攻擊手法就更能說明問題。
刨根問底之後，眾多網路安全公司發現了搞定烏克蘭電力系統的源頭，竟來自一封電子郵件。
當時，烏克蘭電力公司的下屬機構和另一家公司不少人都收到一封電子郵件，標題是：「注意！2016-2025 年OEC烏克蘭發展計劃研討會變更舉行日期」。
郵件內容大意是：根據烏克蘭法律「運營烏克蘭電力市場的原則」以及「未來十年烏克蘭聯合能源系統的訂單准備系統運營商發展計劃」，經烏克蘭煤炭工業能源部批準的No.680 20140929系統運營商，在其官方網站發布。主題是：「烏克蘭2016年至2025年聯合能源系統發展規劃」。發展規劃具體內容草案在郵件附件中。
發件人是烏克蘭某國有電力公司，當然，郵箱肯定是偽造的。
但這樣的郵件，對於電力系統的人來說，就和我們收到了來自支付寶或運營商的賬單一樣。很多人會完全放鬆警惕。
下載了發展規劃草案附件後，是一個「老實巴交」的Excel文件，打開這個文件後，會跳出一個提示：「請注意！本文件創建於新版本的Office軟體中。如需展示文件內容，需要開啟宏。」
此時，大多數人估計會一邊吐槽單位的辦公軟體這么落後，一邊點擊「同意」下載。
那麼，恭喜你，你成功幫黑客下載了病毒。
接下來，這個下載的惡意代碼會在暗地裡繼續下載全套的攻擊軟體，並幫黑客留一個後門，再往後，你也知道了，控制電力控制系統，搞破壞。
看下整個過程，和我們常見的電信詐騙有什麼區別？完全沒有，就是坑蒙拐騙，使出各種手段，能讓你安上病毒就行。
得承認，很多工業控制系統確實很脆弱
沒錯，除了「敵人太狡猾」，確實在有些領域，工業控制系統存在不少漏洞，甚至在一些地方和行業「慘不忍睹」。
不說全球，單看看我們自己。
烏克蘭電力系統事件後，國內網路安全公司知道創宇對全球工控設備組建進行了偵測分析，整理出了《暴露在 Internet 上的工業控制設備》的報告。
報告中偵測了交通、能源、水利等多個領域，從中發現我國有一些重要工業控制系統正處於嚴重的安全威脅之中。
這張圖是全球及我國(含台灣地區)暴露在網路上的工業控制設備統計，可以看到，我國各種控制協議的工業控制設備中，完全暴露在外，換句話說，就是可以輕易被攻擊的，多達935個。
下面還有一些具體城市的數據。
看不懂協議名稱的話，看城市就好。可以看到，我國大陸地區長春、合肥、南京等城市，以及我國台灣地區的工控系統面臨較大安全風險。
為什麼這么慘？
其實原因大部分都是一個，不重視！
一位曾經在某能源系統科技部門擔任過總監的人士告訴過《財經國家周刊》，我國的大工業大製造設備基本都在國企手裡，由於體制機制等原因，大多數國企並不認為自己會成為攻擊目標，給自己的工業控制系統添加安全防護系統也不是工作的首選。
也有些企業，認識到工業控制系統安全的重要性，但由於沒有專業知識、人員和部門支撐，所以往往是買個防火牆裝上就完事了。
更嚴重的是，一些企業的生產系統還在用2003年的Windows 2003系統，幸運的話還可以找到1998年發布的Windows 98系統。隨便拿台外部電腦或外網設備連接一下，就能輕松搞定它。
試想下，如果這些設備被控制，軌道交通被人控制，電力被人切斷，水壩開合被人操縱，那是多麼可怕的場景和後果。
工業控制系統這么重要，怎麼辦？
當然不能坐以待斃。
對於工業企業來說，最要緊的事情自然是提高工業控制系統的安全意識，有漏洞查漏洞，有問題解決問題，趕緊加強針對性的防護措施。
這里需要注意的是，和其他領域的網路安全防護一樣，工業控制系統的安全防護也是一個系統性工程，要引入整體和全周期的防護理念和措施，不能再延續過去的舊思維，買個防火牆裝上了事。
至於黑客玩社會工程學，坑蒙拐騙滲透傳播病毒，沒什麼別的辦法，只能加強關鍵領域、部門和設施工作人員的安全防護意識，腦子里多根弦，同時制定嚴格的管理制度和權責要求。
對於國家來說，要做的事情就更多了。
首先機制上就有很多工作可以做，比如建立一個國家在關鍵基礎設施和重要系統遭受大規模高強度攻擊時的響應機制及協調機構，同時組建以工業企業、信息網路、公共安全為主的應急聯動機制，制定應急響應處理辦法。
再比如做好威脅情報研究。各方聯動，形成合力，提供更有價值的威脅情報信息，建立更有實用性的威脅情報庫，為政府機構、安全廠商、企事業用戶提供更好的支持。
除了機制上的事情，技術上也有一些辦法。
最要緊的是做好整個防護體系的「供應鏈」安全。特別是在國家工業領域一些關鍵基礎設施和重要信息系統新建項目上，必須要強化項目規劃和設計階段的信息安全風險評估，引入第三方安全機構或服務商對技術實施方案和產品供應鏈進行審查。
更靠譜的辦法是整體考慮工業控制系統安全體系，從涉及國計民生的關鍵基礎設施入手，加大投資力度，大力發展具有自主知識產權的安全防護技術和產品。
也就是用我國自己的安全工控系統，替換掉進口產品。不過，和晶元、操作系統一樣，因為起步太晚，我國的工控系統技術成熟度不夠，所以自主研發這條路只能一步步來，急也沒用。