美国APT情报战争开启——对震网事件的重新分析

在20世纪末期，随着信息技术的飞速发展，网络空间逐渐演变成为人类社会的“第五空间”。然而，与此同时，各国对网络空间军事化的担忧也不断加剧。2010年，“震网”病毒（Stuxnet）攻击伊朗核设施事件成为了网络战的先声，标志着美国打开了“潘多拉魔盒”，人们对网络战争的担忧从理论变为现实。

（一）事件回顾

2010年11月，伊朗政府首次公开承认该国纳坦兹核设施遭受病毒攻击。据外界分析，这次攻击使用的是“震网”病毒，摧毁了伊朗近20%（有说法为2/3）的离心机，感染了20多万台计算机，导致近千台机器运行异常，使伊朗核计划倒退了2年。这一事件被认为开启了网络战争时代，将网络病毒作为“超级破坏性武器”引入战争模式。

（二）研究分析曝光经过

2010年6月，白俄罗斯网络安全公司VirusBlokAda为伊朗客户调查电脑死机和重启问题时，发现了一种新的蠕虫病毒。由于病毒代码中出现的特征字“stux”，该病毒被命名为“Stuxnet”。美国网络安全厂商赛门铁克在2010年8月指出，全球60%的感染计算机位于伊朗境内。之后，赛门铁克详细披露了“震网”病毒的基本情况、传播方法、攻击目标，并分析了其感染西门子Step7工程文件的方式，以及感染可编程控制器（PLC）的过程。赛门铁克在2010年11月整理了网络安全厂商发现和认知“震网”病毒的过程。

俄罗斯网络安全厂商卡巴斯基对“震网”及其相关病毒进行了深入的分析，并发表了数十篇报告，涵盖了功能行为、攻击目标、漏洞利用、规避对抗、命令和控制服务器等多个方面。卡巴斯基指出，这种复杂的攻击行为必然是在“国家支持下”进行的。此外，中国网络安全厂商安天也是早期对“震网”进行分析的厂商之一，他们在捕获样本后，搭建了模拟分析沙盘。

2010年9月27日，安天发布了“对Stuxnet蠕虫攻击工业控制系统事件的综合报告”，对“震网”病毒的攻击过程、传播方式、攻击意图、文件衍生关系和利用的多个零日漏洞进行了深入分析，并给出了解决方案。此后，安天陆续发布了关于“震网”病毒USB摆渡行为等方面的后续分析报告。

2012年1月，安天发布了“WinCC之后发生了什么”报告，分析了“震网”病毒对工业控制系统的影响过程，并推测了一个可能的攻击场景。

2013年11月，德国IT安全专家拉尔夫·朗纳发表两篇文章，公布了他三年来对“震网”这一“史上首次曝光的网络-物理战争武器”的跟踪和分析研究结果。他将“震网”事件称为“网络战的教科书范例”，总结了“网络战产生物理性战果”的实现方法和作战流程。

（三）小结

在网络安全厂商和专家的深度分析中，“震网”攻击事件的全貌得以呈现。这次攻击是一场经过长期规划和入侵潜伏的活动，利用高度复杂的恶意代码和多个零日漏洞作为攻击武器，以伊朗的铀离心机为目标。攻击通过造成超压使离心机异常加速，导致1000多台离心机被摧毁，从而大幅降低了浓缩铀的分离能力。虽然网络安全历史上曾发生过许多网络病毒和攻击事件，但“震网”被认为是第一个得到充分技术实证，对现实世界关键工业基础设施产生与传统物理毁伤等效的网络攻击行动，并成功达到了预设的攻击目的。

然而，遗憾的是，在当时的分析工作中，全球各国和网络安全界更多地看到了攻击暴露的技术风险，却没有充分意识到事件背后美国所推动的网络空间军事化威胁。这些分析工作在整合国家主权、安全视角以及国际法等多个层面上仍存在不足。希望未来的网络安全分析能更全面、深入地探讨网络攻击事件的多个方面，以更好地理解和应对网络空间的挑战。

参考资料

1. Symantec. (2010). Stuxnet Introduces the First Known Rootkit for Industrial Control Systems. (https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=94b1015b-da22-499a-abff-7f263ee5e490&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments)

2. Symantec. (2010). Stuxnet P2P component. (https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=12adb5c4-1b6b-41dc-95a5-e6320371a847&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments)

3. Symantec. (2013). Stuxnet 0.5: The Missing Link. (https://docs.broadcom.com/doc/stuxnet-missing-link-13-en)

4. Symantec. (2010). W32.Stuxnet Dossier. (https://docs.broadcom.com/doc/security-response-w32-stuxnet-dossier-11-en)

5. Symantec. (2010). Stuxnet: A Breakthrough. (https://community.broadcom.com/symantecenterprise/viewdocument/stuxnet-a-breakthrough?CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments)

6. Symantec. (2010). Exploring Stuxnet’s PLC Infection Process. (https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=ad4b3d10-b808-414c-b4c3-ae4a2ed85560&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments)

7. Kaspersky. (2014). Stuxnet: Zero victims. (https://securelist.com/stuxnet-zero-victims/67483/)

8. 安天. (2016). 安天研究人员在安全焦点峰会进行两场主题演讲. (https://www.antiy.cn/Market/Meeting/404.html)

9. 安天. (2010). 对 Stuxnet 蠕虫攻击工业控制系统事件的综合分析报告. (https://www.antiy.cn/research/notice&report/research_report/20100927.html)

10. 安天. (2010). 对 Stuxnet 蠕虫的后续分析报告. (https://www.antiy.cn/research/notice&report/research_report/20101011.html)

11. 安天. (2012). WinCC 之后发生了什么？——浅析攻击工业控制系统对现场设备的影响过程. (https://www.antiy.cn/research/notice&report/research_report/20120117.html)

12. Ralph Langner. (2013). Stuxnet’s Secret Twin. Foreign Policy. (https://foreignpolicy.com/2013/11/19/stuxnets-secret-twin/)

13. Ralph Langner. (2013). To kill a centrifuge: A Technical Analysis of What Stuxnet’s Creators Tried to Achieve. (https://www.langner.com/to-kill-a-centrifuge/)

14. 肖新光. (2017). 请君入瓮—APT 攻防指南之兵不厌诈-序言. (https://blog.csdn.net/weixin_34403693/article/details/90540185)

原文始发于微信公众号（紫队安全研究）：美国APT情报战争开启——对“震网”事件的重新分析