震网蠕虫：零日漏洞的受害者

就在一年前，有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置，也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒，创造这一病毒的原因又是什么，到现在依然是个谜。然而，有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高，因为该恶意软件的确有能力让铀浓缩离心机无法正常工作，从而让伊朗核计划推延数年时间。

震网病毒的创造者成功地对未联网且受保护的设备实施攻击，并进行大规模的破坏活动。正如许多专家所监控到的，该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标，因此至少从表面上并未对家庭和企业的电脑造成危害。

首批受害者或’零日漏洞受害者’

Kim Zetter是一名美国新闻记者，她于11月11日出版了一本名为《Countdown to Zero Day》（零日倒计时）的书。从该书中，我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动，而将更多注意力放在该病毒的迭代，正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。

我们能够很容易重现这一事件的前后始末，而这正是得益于该恶意软件的一个有趣属性：即自动保存所有曾感染过的计算机历史记录，包括：主机名、域名以及IP地址。尽管这一数据不断更新，但我们依然能够追踪到其最初的记录。

赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告，其中确定了五家最先遭受震网病毒感染的公司（事实上，其中两家公司在2009年和2010年遭受了两次攻击），但并未公开披露这五家公司的名字。为了确定到底是哪几家公司，我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。

#Stuxnet Zero Victims
The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq

— Dmitry Bestuzhev (@dimitribest) November 11, 2014

域名A

震网2009的首个迭代（被称为Stuxnet.a）于2009年6月22日首次出现。在编译后的数个小时内，该恶意软件感染了名为”ISIE”的主机。网络犯罪分子不太可能使用移动存储设备，因为这样就不可能在如此短的时间在特定设施内传播病毒。

由于缺少这方面的数据，我们无法正式确定这些受感染公司的名字。然而，我们非常肯定Foolad Technic Engineering Co (FIECO) — 一家伊朗专门为重工业公司生产自动化系统的生产商位列其中。

除了能对离心机转子造成影响外，震网还内含间谍组件，而FIECO正是其创造者的完美攻击目标。他们很可能将该公司作为连接最终目标的某种捷径，同时也是收集伊朗矿产数据以及核工业信息的目标–2010年该公司再次遭受震网第三迭代的攻击。

域名B

第二家受害公司总共遭受了三次攻击：2009年6月一次，其后两次分别发生在2010年3月和5月。其中第二次攻击直接导致震网 2010（即Stuxnet.b）在全球范围的爆发。”behpajooh”域名让我们立即想到了Behpajooh Co. Elec & Comp. Engineering这家公司。该家公司同样涉及工业自动化领域且与许多公司有所联系。

在2006年，据《海湾时报》（Khaleej Times）报道，一份迪拜的报纸撰写了本国阿联酋的一家公司涉嫌参与将一些原子弹部件非法装运至伊朗，而接收方则是伊朗Isfakhana的”Bejpajooh INC”公司。

由伊朗的一家冶金厂：Mobarakeh Steel Company（MSC）所拥有。该工厂安装了大量PC电脑，且与全球许多公司相连接。由于还能连接到兵工厂，震网病毒得以在全球范围传播：截止2010年夏天，该蠕虫病毒传播范围扩大到了位于俄罗斯和白俄罗斯的一些公司。

域名C、D和E

在2009年7月7日，震网感染了NEDA域名内的”applserver”PC电脑。对于受害者，我们可以百分之百确定是Neda Industrial Group。截止2008年，该公司遭受美国司法部调查并被控向伊朗非法出口违禁品。

与Neda一起感染该蠕虫病毒的还有一家使用”CGJ”域名的公司。经过一段时间的分析后，我们发现该公司也是一家参与工业自动化交易的伊朗公司– Control-Gostar Jahed Company。该恶意软件传播到这家公司后就戛然而止，尽管该公司拥有丰富的产品组合以及广泛的业务领域。

最后一家零日漏洞受害公司拥有许多受感染设备：2010年5月11日最后发现震网是在”KALA”域名内的三台计算机。这家公司很可能就是Kala Electric，即Kalaye Electric Co。该家公司被视为IR-1铀浓缩离心机的大型开发商，以及伊朗铀浓缩计划的重要参与者之一。有些奇怪的是，在此之前该家公司并没有遭受过任何攻击。

结束语

对于这样一种复杂精密且具有破坏性的载体（要想让铀浓缩离心机无法工作其实并不容易）而言，震网的传播方式有些过于简单了。此外，有一段时间震网就突然销声匿迹了；否则的话，就无法解释震网的传播范围，即为何创造者与最初的攻击目标相隔如此之远。

尽管缺点不少，但该恶意软件证明了自身”颇具成效”：它的创造者成功地实施全球最大的网络破坏活动，并推出了新时代的网络武器。

在#震网# 病毒出现之前，没有人曾主动考虑过如何确保工业设施安全的问题

在震网病毒出现之前，没有人曾主动考虑过如何确保工业设施安全的问题：我们许多人曾一度认为，将设施与全球网络分离，是一种有效的安全保护措施。在成功对未联网设备进行攻击后，该蠕虫病毒创造者可以说是开启了信息安全的新时代。唯一能与震网重要性相提并论的，是在1988年创造的被称为大蠕虫（Great Worm）或莫里斯蠕虫（Morris Worm）的病毒。