压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最新發(fā)現(xiàn)的有關(guān)Stuxnet的新線索，以及如今死而復(fù)生的Flame網(wǎng)絡(luò)間諜惡意軟件，為這場(chǎng)改寫歷史的網(wǎng)絡(luò)物理攻擊添加了新的內(nèi)容。

在2010年人們發(fā)現(xiàn)破壞伊朗納坦茲(Natanz)核設(shè)施鈾濃縮過(guò)程的超級(jí)病毒Stuxnet三年后，賽門鐵克的研究人員推測(cè)認(rèn)為是已知有效載荷的前身，導(dǎo)致了該工廠的離心機(jī)失去控制并發(fā)生故障。這個(gè)Stuxnet病毒的早期版本——Stuxnet .5，是針對(duì)西門子PLC控制系統(tǒng)的定制病毒，該系統(tǒng)負(fù)責(zé)控制將六氟化鈾氣體送入鈾濃縮離心機(jī)的閥門。據(jù)悉，Stuxnet 5可能導(dǎo)致閥門關(guān)閉，停止釋放貧化和濃縮鈾氣體，破壞設(shè)備和制造過(guò)程。

這一發(fā)現(xiàn)促使賽門鐵克的研究人員將Stuxnet攻擊開始時(shí)間修改到了2005年，比已知的在2007年到2009年發(fā)生的對(duì)納坦茲離心分離機(jī)的攻擊提前了兩年。人們普遍認(rèn)為是美國(guó)和以色列為了扼制伊朗發(fā)展核武器發(fā)動(dòng)了此次攻擊。

讓我們回到現(xiàn)在，在2013年Stuxnet .5出現(xiàn)的6年后，關(guān)于超級(jí)病毒Stuxnet出現(xiàn)了新的轉(zhuǎn)折。Alphabet所屬網(wǎng)絡(luò)安全公司Chronicle的研究人員本月早些時(shí)候透露，他們發(fā)現(xiàn)有證據(jù)表明有第四方網(wǎng)絡(luò)間諜組織可能參與了Stuxnet病毒對(duì)納坦茲核設(shè)施的攻擊。

Chronicle的研究人員Juan Andres Guerrero Saade和Silas Cutler發(fā)現(xiàn)了一個(gè)較老的Stuxnet命令與控制組件與一個(gè)較老的網(wǎng)絡(luò)間諜平臺(tái)Flowershop之間的聯(lián)系。這個(gè)平臺(tái)早在2002年就開始活躍，最早是在2015年由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)的。

我們意識(shí)到這是早期的Stuxnet命令和控制模塊——較老版本的Stuxnet .5。

該模塊被Chronicle稱為Stuxshop，它與已知的Stuxnet C2服務(wù)器通信，可以刪除未連接到網(wǎng)絡(luò)的機(jī)器的撥號(hào)提示。他們表示，Stuxshop為Stuxnet創(chuàng)建提供了一個(gè)線索：它已經(jīng)與Flame、Duqu和Equation Group 這些民族國(guó)家網(wǎng)絡(luò)間諜家族聯(lián)系在一起。與收集情報(bào)的Flowershop代碼一樣，Stuxshop的功能包括檢查受感染機(jī)器的Windows版本、Internet代理設(shè)置和注冊(cè)表密鑰信息。

Stuxnet由一大堆不同的部分整合而成，這是一個(gè)插件的大雜燴。

研究人員表示，Stuxnet模塊中似乎使用了一些Flowershop代碼，這表明兩個(gè)攻擊開發(fā)團(tuán)隊(duì)可能正在合作或共享代碼。

Flowershop是它自己的情報(bào)收集平臺(tái)，一個(gè)活躍了10年的完全不同的威脅源。在我們發(fā)現(xiàn)Stuxshop之前，沒(méi)有人能夠把它與Stuxnet病毒聯(lián)系起來(lái)。Stuxshop與Flowershop共享代碼，但Stuxshop是專門為Stuxnet攻擊而開發(fā)的。

Chronicle的研究人員于本月在新加坡舉行的卡巴斯基安全分析師峰會(huì)上首次披露了他們的研究結(jié)果。

賽門鐵克的Liam O’Murchu是最早研究Stuxnet病毒的研究人員之一。盡管他表示還沒(méi)有完全分析完Stuxshop文件，但初步閱讀顯示這份文件和他的公司發(fā)現(xiàn)Stuxnet .5的時(shí)間線相吻合。

雖然O’Murchu和其他Stuxnet專家表示，Chronicle的新發(fā)現(xiàn)并沒(méi)有特別改變關(guān)于Stuxnet的故事，但他們確實(shí)完善了攻擊行動(dòng)時(shí)間表。單獨(dú)確認(rèn)時(shí)間線非常有幫助。

這為賽門鐵克的長(zhǎng)期活動(dòng)理論提供了更多證據(jù)，該理論認(rèn)為Stuxnet活動(dòng)可以追溯到2002年。

賽門鐵克安全技術(shù)和響應(yīng)團(tuán)隊(duì)的開發(fā)主管O’Murchu表示：

Stuxshop的時(shí)間線與我們之前設(shè)想的開發(fā)時(shí)間線相符。我們一直在關(guān)注Stuxnet病毒的破壞性部分，這就是我們的發(fā)現(xiàn)。

卡巴斯基實(shí)驗(yàn)室 (Kaspersky Lab) 的首席研究員Costin Raiu曾追蹤過(guò)Stuxnet病毒，他指出Chronicle的調(diào)查結(jié)果與之前的研究相一致，包括他的公司在2014年向客戶提交的私人報(bào)告中，將Flowershop與Stuxnet病毒聯(lián)系起來(lái)。他說(shuō)，隨著Yara惡意調(diào)查工具等更先進(jìn)的研究工具呈爆炸式增長(zhǎng)，以及Chronicle對(duì)其VirusTotal平臺(tái)權(quán)限，研究人員現(xiàn)在能夠更好地填補(bǔ)有關(guān)Stuxnet等高級(jí)攻擊的信息空白。

Raiu表示，Chronicle在這方面確實(shí)有獨(dú)特的優(yōu)勢(shì)，因?yàn)樗麄冇泻馨魯?shù)據(jù)來(lái)源：VirusTotal。

Stuxshop和Stuxnet .5最終被Stuxnet 1.10及其命令和控制基礎(chǔ)架構(gòu)所取代。Stuxnet 1.10攻擊了負(fù)責(zé)納坦茲工廠離心機(jī)運(yùn)轉(zhuǎn)的西門子PLC設(shè)備。

火焰重燃

與此同時(shí)，Guerrero Saade和Cutler最近在他們VirusTotal庫(kù)中發(fā)現(xiàn)了一個(gè)出人意料的東西：火焰網(wǎng)絡(luò)間諜平臺(tái) (Flame cyber espionage platform) 的再生版本，該平臺(tái)最后一次出現(xiàn)是在2012年，當(dāng)時(shí)它自毀了。他們將新版本的火焰命名為 “火焰2.0 (Flame 2.0) ”，但目前載荷處于加密狀態(tài)，他們還無(wú)法看到它的內(nèi)部。

火焰2.0顯然是在2014年之后的某個(gè)時(shí)候編譯的，并于2016年出現(xiàn)在VirusTotal上。

我敢打賭，AV公司已經(jīng)意識(shí)到了這一點(diǎn)，我們會(huì)找到更多這樣的例子。

研究人員希望從其他安全公司獲得幫助來(lái)解密樣本。

卡巴斯基實(shí)驗(yàn)室(Kaspersky Lab)的安全研究員Kurt Baumgartner表示，解密新發(fā)現(xiàn)的Flame 2.0并不容易，他指出仍然沒(méi)有被破解的高斯(Gauss)惡意軟件載荷已經(jīng)困擾了研究人員七年。Baumgartner表示，火焰2.0可能不會(huì)很快被破解。

火焰的再現(xiàn)符合一個(gè)高級(jí)威脅的特征，他們實(shí)際上從來(lái)沒(méi)有消失。賽門鐵克的O’Murchu表示：

有時(shí)我們看不見(jiàn)它們，但我們永遠(yuǎn)不知道它們是否真的消失了。它們可能只是被重組了，或者完全消失了。

迎頭趕上？

在研究人員首次發(fā)現(xiàn)Stuxnet病毒的9年后，專家們表示對(duì)Stuxshop的研究揭示了這種網(wǎng)絡(luò)武器在本世紀(jì)初是如何領(lǐng)先于它所處的時(shí)代，領(lǐng)先于私營(yíng)部門研究人員的威脅捕獲能力和可用工具。早在安全研究人員于2010年發(fā)現(xiàn)Stuxnet病毒之前，民族國(guó)家的黑客們就已經(jīng)開始準(zhǔn)備Stuxnet行動(dòng)以及其組件了。

賽門鐵克的Omurchu在談到安全行業(yè)時(shí)表示：

在Stuxnet病毒出現(xiàn)之前，我們真的沒(méi)有接受過(guò)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)訓(xùn)練。我們希望我們已經(jīng)取得了進(jìn)展，讓他們更難以在不被注意的情況下行動(dòng)。希望我們能更快地發(fā)現(xiàn)它們或者一些蹤跡。但結(jié)局是什么樣的誰(shuí)都不知道，因?yàn)槲覀儸F(xiàn)在可能錯(cuò)過(guò)了很多東西。