猎云网11月20日报道 （编译：朱宁）

Stuxnet(震网病毒)攻击 纳坦兹核工厂 事件虽然已经 不再新鲜 ，但到目前为止仍然是不少安全研究人员 津津乐道 的话题。 作为 全球范围内第一个已知的网络武器， Stuxnet拥有 谜一样的背景和谜一样的目的，今天就让我们来看看这团迷是如何攻击伊朗核工厂的。

2010年1月，审查人员在国际原子能机构的支持下参观了伊朗的纳坦兹铀浓缩工厂，用来浓缩铀气的离心机大量失效无法工作，速度之快前所未有。原因则是个谜——显然更换离心机的伊朗技术人员找不出原因，而前来考察的审查员也看不出任何端倪。

5个月后，一件看似不相关的事发生了。白俄罗斯的一家电脑安全公司收到请求，要求检修伊朗电脑不停死机和重启等一系列故障。这一次，原因又是一个谜。调查人员在该系统中发现了一些恶意文件，经证实，这就是世界上第一件数字武器——Stuxnet“震网”蠕虫病毒。

正如我们了解的那样，Stuxnet不像之前的任何其他病毒或蠕虫。它不仅攻击目标电脑或从中盗取信息，还能跳跃数字领域而对目标电脑所控制的设备进行物理破坏。

《倒数到零日：Stuxnet和世界第一件数字武器的诞生》由Wired资深作家Kim Zetter所著，为我们讲述Stuxnet的计划、执行和发现背后的故事。该书籍节选指出，Stuxnet悄悄破坏纳坦兹核工厂的离心机已经约有一年了。这项武器在进攻初期先控制离心机阀门，增大其内部压力并由此摧毁设备和整个浓缩过程。那么离心机是怎样工作的呢？它是一根大型的圆柱管，由小段管子串联起来工作，它以超音速旋转分离出铀气中的同位素，然后用于核电站和核武器的研发合成。受到Stuxnet攻击时，纳坦兹核工厂的每个大串联线路都连接着164个离心机。铀气要到达离心机需要在管子中经过一系列不同的加工分离阶段，每一阶段的铀气都比上一阶段更为“浓缩”，核反应所需的同位素因此从其他同位素中分离出来，最终聚集在气体中。

上图选自《倒数到零日：Stuxnet和世界第一件数字武器的诞生》

节选从2009年6月开始，在此约一年前人们首次发现了Stuxnet，而直到2010年它的“地下攻击”才被众人察觉并研究。就在伊朗准备总统大选的时候，Stuxnet的幕后操手也在准备新一代的恶意软件发动下一次对铀浓缩站的攻击。正当浓缩厂从上次的“废墟”中恢复的时候，却被Stuxnet的第二次进攻打了个措手不及。这一次，Stuxnet打算操控德国西门子公司负责控制并监视离心机速度的电脑系统。但由于这些电脑没有联网，所以它们不能直接受到远程攻击。攻击者这次将感染病毒的USB闪存驱动器作为散播Stuxnet的途径。为了使Stuxnet得以攻击到目标机器，攻击者首先感染独立于纳坦兹核工厂外部的五家公司的电脑，之所以选择这些公司，是因为它们与核计划有某种程度的关联。此举的目的是使这些“零号病人”成为不知情的载体，帮助闪存驱动器上的病毒顺利通过杀毒软件，进入保护设施和西门子电脑。尽管这五家公司在之前的新闻中被曝光过，但从未被确认。今天，我们的节选会确定其中四家。（Zetter公开了这四家公司的名字：Foolad Technic Engineering Co.，Behpajooh Co. Elec & Comp. Engineering，Neda Industrial Group和Control Gostar Jahed。卡巴斯基 官方博客 则给出了第五个公司名字——铀浓缩离心机制造商Kala Electric。）

政局动荡， Stuxnet 趁火打劫

Stuxnet第二次袭击纳坦兹核工厂前的两周，伊朗正经受着巨大骚动。2009年6月12日，现任总统Mahmoud Ahmadinejad和挑战者Mir-Hossein Mousavi的总统大选没有得到众望所归的结果。两方票数应该相对接近，但在投票结束两小时后，公布的结果却出人意料，Ahmadinejad以63%的票数大比分击败只有34%票数的Mousavi。选民大喊上当，第二天，这群气愤的抗议者叫嚣着涌向德黑兰的街头，宣泄着他们的愤怒与怀疑。据媒体报道，这是伊朗自1979年革命推翻伊朗王以来最大的公民抗议活动，且不久就演变成了暴力行动。抗议者毁坏商店，纵火烧垃圾箱，忠于政府的便衣兵团和警察则试图用警棍、电棒和子弹驱散他们。

那个周日，Ahmadinejad做了一次舍我其谁的成功演讲，开启了伊朗新纪元，而抗议者就像足球流氓随着自己队伍的失败而溃不成军一样被遣散。尽管这样，抗议群众在接下来的一周内仍继续进行抗议活动，为平复这些暴民，Ayatollah Ali Khamenei在6月19日承认了选举结果，坚持认为欺诈的猫腻不足以获得相差1100万投票的大比分胜利。然而民众情绪依然没有缓和。

第二天，一位26岁名叫Neda Agha-Soltan的女性在抗议活动引起的交通拥堵中被捕，随后因颈部受暗枪射杀而死亡，只因为她和她的音乐老师从车里出来看了看游行。

两天后，即6月22日的那个周一，负责监督伊朗大选的宪法监护委员会正式宣布Ahmadinejad赢得了选举，在抗议过后的近两周里，德黑兰变得异常安静。警察用催泪瓦斯和真枪实弹驱散示威者，街上几乎不再有反抗者。当地时间下午大约4点半，当伊朗正在安抚和照顾那些在几天前的事件中受到惊吓和经受悲痛的民众时，新一轮的Stuxnet又集中发动了攻击。

从上次攻击中恢复

就在德黑兰的大街陷入一片混乱时，纳坦兹核工厂的技术人员们却经历着相对平静的时期。在同年第一次受到攻击时，他们已经重装了离心机，截止到2月底，纳坦兹已经更换了5400部机器，接近Ahmadinejad去年承诺的6000部。虽然有的离心机还未投入到铀浓缩的工作中，但至少它们都在恢复和改进；到6月底已经更换了7052部离心机，其中4092部已投入工作。除了A24区的18段串联管，现在又为A26区增加了12段串联管。另外A28区也有7段串联管正在安装，现已抽真空，随时准备好接收铀气。

离心机的性能也在提高。伊朗低浓缩铀的日产量上升了20%并在2009年的整个夏季都保持高产。尽管之前受到Stuxnet蠕虫攻击，伊朗却迅速跨越了科技里程碑并成功产出839千克低浓缩铀，这足以实现核武器的突破。如果继续保持该速度增长，伊朗将会产出足以在一年内生产两件核武器的浓缩铀。但是，这种估计是基于纳坦兹刚刚安装的IR-1离心机的工作能力而言的。而伊朗已经在实验工厂的小型串联管上安装了更为先进的IR-2离心机，一旦实验成功，技术人员便会将它们安装在地下，那么浓缩铀的新能力就要重新估计了。先进的IR-2离心机越多，工作效率就越高。3000部IR-1离心机就可以浓缩足够制造一年核武器的铀，而等量的浓缩铀只需要1200部IR-2就可完成。

第二次攻击

为了攻击实验工厂，攻击者先拿四家公司的电脑下手。这些公司全都从事与工业控制和处理相关的业务，要么是制造相关产品，要么是组装组件或安装工业控制系统。它们容易被Stuxnet盯上因为它们作为纳坦兹核工厂的承包者，可以为病毒攻击纳坦兹核工厂的提供通道。