美国APT震网事件密切关联——毒曲、火焰和高斯病毒的跟进分析

“震网”病毒的全球传播还在持续肆虐，与之同源且更为复杂的“毒曲”（Duqu）、“火焰”（Flame）以及“高斯”（Gauss）等病毒相继出现，引起网络安全厂商的高度关注。经过深入的解构分析，业界专家逐步证实这些病毒与“震网”有着密切的关联，甚至在“震网”爆发前就已经开始传播。

一、事件回顾

2011年10月14日，匈牙利安全团队CrySyS发现了一个与“震网”相似的病毒样本[1]，其主要目的是方便地窃取秘密信息。这个病毒被命名为Duqu（“毒曲”），因为其创建文件以“~DQ”作为前缀。2012年4月，伊朗石油部和伊朗国家石油公司遭到了“火焰”病毒的攻击，这一威胁已感染了中东地区和北非等多个国家的计算机系统。同年8月，卡巴斯基发现了专门收集财务信息的“高斯”病毒。这些病毒与“震网”病毒有着相似性，形成了一系列相关攻击事件。

二、研究分析曝光经过

1. “毒曲”（Duqu）

CrySyS是最早发现“毒曲”病毒的研究机构，于2011年10月14日发布了一份60页的报告[1]，首次将该病毒命名为“毒曲”，并指出其在针对性攻击中被广泛使用。赛门铁克在2011年10月18日发布分析报告，详细分析了“毒曲”病毒的全球感染情况和安装过程，指出其主要目的是为了收集目标的情报数据和资产，为类似“震网”病毒的攻击做准备。卡巴斯基则在2011年10月20日起陆续发布了十篇关于“毒曲”病毒的分析报告[3-12]，揭示了其多功能框架、高度可定制性和通用性。2015年6月，卡巴斯基捕获到了“毒曲”2.0的攻击，进一步证实其背后组织的存在。

2. “火焰”（Flame）

2012年4月，伊朗石油部和伊朗国家石油公司遭到“火焰”病毒的攻击。卡巴斯基认为，“火焰”病毒是当时攻击机制最复杂且威胁程度最高的计算机病毒之一。其结构复杂度是“震网”病毒的20倍，具有极高的智能化和攻击目标的针对性。卡巴斯基首席安全专家亚历山大·戈斯捷夫表示，“火焰”病毒的编写和攻击机制都非常复杂，使用了中间人攻击技术，可收集键盘、屏幕、麦克风、网络等信息，然后传输到远程服务器。2012年5月，安天发布了关于“火焰”病毒的报告，分析了其运行逻辑、传播机理和主要模块功能。微软在2012年6月的调查报告中指出，“火焰”病毒主要用于高度复杂和有针对性的攻击，通过伪造的Windows Update进行传播。

3. “高斯”（Gauss）

2012年8月，卡巴斯基发现了“高斯”病毒，认为它是一个复杂的网络间谍工具包，由“火焰”病毒背后的参与者创建。该病毒具备高度模块化，能够支持新的功能，并可以通过插件形式进行远程部署。卡巴斯基认为，“高斯”病毒与“震网”、“毒曲”有相似性，表明它们至少在某个时刻共享过源代码，可能属于同一机构的平行项目。

总体而言，“毒曲”、“火焰”和“高斯”病毒的出现不仅引起了全球安全人士的警惕，也标志着互联网安全战争进入了新阶段。这些病毒的复杂性和智能化表明它们是能够轻松攻击任何国家的工具。网络安全领域必须对这些威胁保持高度警惕，以确保网络的安全和稳定。

三、小结

“震网”病毒的威胁在于其建立在“火焰”、“毒曲”等恶意代码的长期运行和信息采集基础上。这一系列病毒攻击揭示了工业基础设施可能面临全面入侵、渗透乃至完成战场预置的风险，带来了严重的后果。多家安全厂商的样本研究证实了“毒曲”、“火焰”、“高斯”与“震网”的关联性，并初步指向了可能的幕后黑手是美国。

对于“震网”及其同源病毒的发现和跟踪分析，全球网络安全厂商更多地关注其复杂结构和精密设计。研究分析主要建立在对使用漏洞原理、样本逆向分析以及样本作用机理的深入研究之上。然而，这些分析大多仅将攻击事件视为安全威胁技术事件的处理和防范，缺乏从作业到作战视角的深入思考。在分析中，对于这些病毒攻击往往缺乏对政治、外交、社会等层面更深入的理解。

未来的网络安全研究需要更多地从综合的视角考虑，不仅关注技术层面的分析，还要将其放置在更广泛的背景下。这意味着在研究中应该更加注重从政治、外交和社会等维度对网络攻击进行全面解读，以更好地应对未来可能出现的复杂网络威胁。 

原文始发于微信公众号（紫队安全研究）：美国APT“震网”事件密切关联——“毒曲”、“火焰”和“高斯”病毒的跟进分析