一个U盘让科技瘫痪多年，整个国家政府重回纸笔时代，网络战真的发生了

本文为扩展迷原创文章，作者“牛大叔”，未经授权请勿转载。

瓦努阿图——一个绝大多数人都没怎么听说过的太平洋岛国，最近突然来到了世界的视野中心。

由于遭受网络攻击，一个多月来，瓦努阿图整个国家的政府办公被迫重新回到了纸和笔的时代。

自今年 11 月初以来，瓦努阿图政府一直处于瘫痪状态：政府官员们无法访问政府的电子邮件账户，公民无法更新他们的驾驶执照或缴税，医疗和紧急信息也无法访问。

由于政府部门的网络和服务器陷入瘫痪，政府的工作人员只好重新翻出纸笔以及打字机来维持工作。

瓦努阿图政府承认在 11 月初检测到中央连接系统存在漏洞。而截止目前，这个国家的政府依然没有确认这个漏洞的性质。

据一些媒体报道，在一个月前，该国财政部收到了含有可疑软件的文件，随后该恶意软件以极快的速度，破坏了几乎所有的政府电子邮件网络和网站，进而导致这个国家的政府部门通信陷入瘫痪。

通常情况下，黑客的攻击目标主要是面向个人或者企业，而像这种面向国家政府层面的网络攻击，实在是少之又少。

放眼望去，上一个从国家层面被黑客“黑”掉的还是 2010 年的伊朗。

而伊朗的那次的“被黑”，标志着人类第一次进入到了网络战争实战时代。

没有传统战争中的大炮、导弹、舰艇、轰炸机；

没有宣战，没有议和，没有死伤；

伊朗政府就这样被一个小小的 U 盘悄悄打败。

正是这个小小的 U 盘，让当时伊朗的 6 万台主机感染病毒，并且感染了伊朗超过 27000 个网络。

最重要的是，这个 U 盘像《三体》里的“智子”一样，锁死了伊朗的核工业达数年之久。

从这个 U 盘传播出去的就是后来震惊全球的“震网”病毒。

故事要从 2006 年说起。

那一年，伊朗撕毁先前签订的《不扩散核武器条约》，重启核计划。

作为制造核武器的最关键一步，伊朗政府在位于沙漠底下的纳坦兹核工厂安装了大批离心机，开始准备为浓缩铀的生产大干一场。

但是出乎伊朗官方意料的是，浓缩铀的生产极不顺利，生产浓缩铀的离心机故障率奇高，以至于在很短的时间内就损失了超过 1000 台离心机。

核工厂因此多次停工，而伊朗的浓缩铀分离能力也大幅下降。

由于无法形成稳定的浓缩铀生产能力，伊朗的核工业发展举步维艰。

伊朗工程师们一直以为是离心机的质量问题，于是将几乎所有的心力全部集中在离心机的质量提升上，由此白白浪费了数年的时光。

时间来到 2010 年 6 月，白俄罗斯一家小公司 VirusBlockAda 的安全研究人员意外地发现了一种能感染可移动存储设备的蠕虫病毒。

根据病毒代码中出现的特征字“stux”，新病毒被命名为“震网病毒”（stuxnet），这也第一次让这款强大异常的网络武器有了属于自己的名字。

随着进一步研究，发现“震网”的复杂程度远超想象。

到了 7 月份，这个复杂且诡异的病毒引发了国际主流安全厂商和安全研究者的全面关注。

卡巴斯基、赛门铁克、安天等安全厂商，Ralph Langne 等著名安全研究者，以及多国的应急组织和研究机构，纷纷投入到了全面的分析接力中。

最后，安全专家们给出了结论："震网"是当时人类所发现的最复杂、最精妙的网络病毒。

并且它跟以往流行的病毒完全不一样，这是世界上第一例被发现针对工业控制系统的病毒。

到了 2010 年 11 月，面对大批大批报废的浓缩铀离心机残骸，后知后觉的伊朗工程师们才突然意识到了情况不对。

当时的伊朗总统艾哈迈迪内贾德不得已只能扭扭捏捏地向世界公开承认：

“一种计算机病毒对我国（核）离心机制造了一些问题，”

随后，伊朗全面暂停了纳坦兹核工厂的铀浓缩生产。

随着时间推移，更多关于“震网”病毒的谜团被逐渐揭开：

“震网”病毒利用了包括远程执行、文件解析、权限提升等 5 个 Windows 操作系统的漏洞。

而这 5 个漏洞中的 4 个，是首次被利用的漏洞，是货真价实的零日漏洞。

所谓的“零日漏洞”，就是操作系统的开发者或者安全公司尚未发现的漏洞，万一被心怀不轨的人发现并且利用，那后果不堪设想。

通常情况下，每年互联网中会有 1200 万种恶意代码出现，而每年全球出现的的零日漏洞在 10 个左右。

如此一对比，“震网”一个病毒就利用了 4 个零日漏洞，可见这个病毒的夸张程度。

“震网”病毒主要通过伊朗使用的、西门子公司基于 Windows 操作系统搭建的工业控制软件中的漏洞迅速感染全网。

并且可以轻松做到对工业控制软件中的信息数据和控制指令进行劫持。

"震网"潜入伊朗核设施后，先记录系统正常运转的信息，等待离心机注满核材料。

制造浓缩铀，需要离心机以近乎音速的速度高速旋转，同时还需要提高温度，稍有不慎就会引起爆炸。

潜伏 13 天后，“震网”一边向控制系统发布此前记录的正常运转的信息，一边指挥离心机疯狂运转，突破其最大转速造成其物理损毁。

我们知道，政府部门或者工业互联网通常会和外部网络实现物理隔离，那"震网"是如何透过那堵“不透风的墙”并成功感染沙漠底下的几千台计算机的呢？

这就不得不说黑客们除了写代码之外更重要的一项技能：社会工程学。

根据后来荷兰情报机构的解密文件披露：

荷兰的情报机构在美国 CIA 和以色列摩萨德的要求下，联系到了一个伊朗核工程师，并将它成功“策反”，让这位间谍工程师使用 U 盘将病毒成功注入了伊朗工业互联网。

就是这个小小的 U 盘，最终让伊朗的核工业发展停滞数年。

如前文所描述，“震网”病毒是个为伊朗核工业量身定制的病毒，它成功实现了干扰伊朗核发展的目标，但是，它的遗毒并没有在伊朗核武器工厂止步。

根据“震网”运行原理，只要是使用了这款西门子工业控制软件的系统它都可以攻击，不仅是核设施，大型工厂，国家电网，证券交易等都可能成为“震网”病毒的攻击目标。

2011 年 1 月 26 日，俄罗斯常驻北约代表表示，这种病毒可能给伊朗布什尔核电站造成严重影响，导致有毒的放射性物质泄漏。

到了 2013 年，俄罗斯著名安全专家尤金·卡巴斯基披露，一名俄罗斯宇航员携带的优盘已经导致国际空间站感染病毒，除此之外，臭名昭著的“震网”病毒也已经感染了俄罗斯的一座核电厂。

“震网”感染了全球超过 45000 个网络，60%的个人电脑感染了这种病毒。

“震网”病毒被揭露时，安全人员几乎肯定只有美国才有这个实力制作出这种精密设计的程序，同时只有以色列有这种强烈的动机。

后期荷兰情报机构的解密也确实证实了美国和以色列主导了此次“震网”病毒扩散。

但是，美国政府至今没有承认过对任何国家使用网络攻击。

根据斯诺登在 12 年的揭秘：美国在使用网络武器时，都需要总统的同意。而在现实世界中，处于同等地位的只有——核武器。

“震网”病毒的故事距今已经时隔 10 年，“震网”病毒目前已经在网络世界销声匿迹，但是各个国家网络战争的“军备竞赛”从来都没有停止。

国家之间的网络交锋一直在继续，在我们可预见的将来，赛博空间里这个“矛与盾”的故事还会一直演下去。