震網(Stuxnet)病毒事件出現了新的轉折
責編:gltian |2019-05-09 15:12:56最新發現的有關Stuxnet的新線索,以及如今死而復生的Flame網絡間諜惡意軟件,為這場改寫歷史的網絡物理攻擊添加了新的內容。
在2010年人們發現破壞伊朗納坦茲(Natanz)核設施鈾濃縮過程的超級病毒Stuxnet三年后,賽門鐵克的研究人員推測認為是已知有效載荷的前身,導致了該工廠的離心機失去控制并發生故障。這個Stuxnet病毒的早期版本——Stuxnet .5,是針對西門子PLC控制系統的定制病毒,該系統負責控制將六氟化鈾氣體送入鈾濃縮離心機的閥門。據悉,Stuxnet 5可能導致閥門關閉,停止釋放貧化和濃縮鈾氣體,破壞設備和制造過程。
這一發現促使賽門鐵克的研究人員將Stuxnet攻擊開始時間修改到了2005年,比已知的在2007年到2009年發生的對納坦茲離心分離機的攻擊提前了兩年。人們普遍認為是美國和以色列為了扼制伊朗發展核武器發動了此次攻擊。
讓我們回到現在,在2013年Stuxnet .5出現的6年后,關于超級病毒Stuxnet出現了新的轉折。Alphabet所屬網絡安全公司Chronicle的研究人員本月早些時候透露,他們發現有證據表明有第四方網絡間諜組織可能參與了Stuxnet病毒對納坦茲核設施的攻擊。
Chronicle的研究人員Juan Andres Guerrero Saade和Silas Cutler發現了一個較老的Stuxnet命令與控制組件與一個較老的網絡間諜平臺Flowershop之間的聯系。這個平臺早在2002年就開始活躍,最早是在2015年由卡巴斯基實驗室發現的。
我們意識到這是早期的Stuxnet命令和控制模塊——較老版本的Stuxnet .5。
該模塊被Chronicle稱為Stuxshop,它與已知的Stuxnet C2服務器通信,可以刪除未連接到網絡的機器的撥號提示。他們表示,Stuxshop為Stuxnet創建提供了一個線索:它已經與Flame、Duqu和Equation Group 這些民族國家網絡間諜家族聯系在一起。與收集情報的Flowershop代碼一樣,Stuxshop的功能包括檢查受感染機器的Windows版本、Internet代理設置和注冊表密鑰信息。
Stuxnet由一大堆不同的部分整合而成,這是一個插件的大雜燴。
研究人員表示,Stuxnet模塊中似乎使用了一些Flowershop代碼,這表明兩個攻擊開發團隊可能正在合作或共享代碼。
Flowershop是它自己的情報收集平臺,一個活躍了10年的完全不同的威脅源。在我們發現Stuxshop之前,沒有人能夠把它與Stuxnet病毒聯系起來。Stuxshop與Flowershop共享代碼,但Stuxshop是專門為Stuxnet攻擊而開發的。
Chronicle的研究人員于本月在新加坡舉行的卡巴斯基安全分析師峰會上首次披露了他們的研究結果。
賽門鐵克的Liam O’Murchu是最早研究Stuxnet病毒的研究人員之一。盡管他表示還沒有完全分析完Stuxshop文件,但初步閱讀顯示這份文件和他的公司發現Stuxnet .5的時間線相吻合。
雖然O’Murchu和其他Stuxnet專家表示,Chronicle的新發現并沒有特別改變關于Stuxnet的故事,但他們確實完善了攻擊行動時間表。單獨確認時間線非常有幫助。
這為賽門鐵克的長期活動理論提供了更多證據,該理論認為Stuxnet活動可以追溯到2002年。
賽門鐵克安全技術和響應團隊的開發主管O’Murchu表示:
Stuxshop的時間線與我們之前設想的開發時間線相符。我們一直在關注Stuxnet病毒的破壞性部分,這就是我們的發現。
卡巴斯基實驗室 (Kaspersky Lab) 的首席研究員Costin Raiu曾追蹤過Stuxnet病毒,他指出Chronicle的調查結果與之前的研究相一致,包括他的公司在2014年向客戶提交的私人報告中,將Flowershop與Stuxnet病毒聯系起來。他說,隨著Yara惡意調查工具等更先進的研究工具呈爆炸式增長,以及Chronicle對其VirusTotal平臺權限,研究人員現在能夠更好地填補有關Stuxnet等高級攻擊的信息空白。
Raiu表示,Chronicle在這方面確實有獨特的優勢,因為他們有很棒數據來源:VirusTotal。
Stuxshop和Stuxnet .5最終被Stuxnet 1.10及其命令和控制基礎架構所取代。Stuxnet 1.10攻擊了負責納坦茲工廠離心機運轉的西門子PLC設備。
火焰重燃
與此同時,Guerrero Saade和Cutler最近在他們VirusTotal庫中發現了一個出人意料的東西:火焰網絡間諜平臺 (Flame cyber espionage platform) 的再生版本,該平臺最后一次出現是在2012年,當時它自毀了。他們將新版本的火焰命名為 “火焰2.0 (Flame 2.0) ”,但目前載荷處于加密狀態,他們還無法看到它的內部。
火焰2.0顯然是在2014年之后的某個時候編譯的,并于2016年出現在VirusTotal上。
我敢打賭,AV公司已經意識到了這一點,我們會找到更多這樣的例子。
研究人員希望從其他安全公司獲得幫助來解密樣本。
卡巴斯基實驗室(Kaspersky Lab)的安全研究員Kurt Baumgartner表示,解密新發現的Flame 2.0并不容易,他指出仍然沒有被破解的高斯(Gauss)惡意軟件載荷已經困擾了研究人員七年。Baumgartner表示,火焰2.0可能不會很快被破解。
火焰的再現符合一個高級威脅的特征,他們實際上從來沒有消失。賽門鐵克的O’Murchu表示:
有時我們看不見它們,但我們永遠不知道它們是否真的消失了。它們可能只是被重組了,或者完全消失了。
迎頭趕上?
在研究人員首次發現Stuxnet病毒的9年后,專家們表示對Stuxshop的研究揭示了這種網絡武器在本世紀初是如何領先于它所處的時代,領先于私營部門研究人員的威脅捕獲能力和可用工具。早在安全研究人員于2010年發現Stuxnet病毒之前,民族國家的黑客們就已經開始準備Stuxnet行動以及其組件了。
賽門鐵克的Omurchu在談到安全行業時表示:
在Stuxnet病毒出現之前,我們真的沒有接受過網絡戰爭訓練。我們希望我們已經取得了進展,讓他們更難以在不被注意的情況下行動。希望我們能更快地發現它們或者一些蹤跡。但結局是什么樣的誰都不知道,因為我們現在可能錯過了很多東西。