最新发现的有关Stuxnet的新线索,以及如今死而复生的Flame网络间谍恶意软件,为这场改写历史的网络物理攻击添加了新的内容。
在2010年人们发现破坏伊朗纳坦兹(Natanz)核设施铀浓缩过程的超级病毒Stuxnet三年后,赛门铁克的研究人员推测认为是已知有效载荷的前身,导致了该工厂的离心机失去控制并发生故障。这个Stuxnet病毒的早期版本——Stuxnet .5,是针对西门子PLC控制系统的定制病毒,该系统负责控制将六氟化铀气体送入铀浓缩离心机的阀门。据悉,Stuxnet 5可能导致阀门关闭,停止释放贫化和浓缩铀气体,破坏设备和制造过程。
这一发现促使赛门铁克的研究人员将Stuxnet攻击开始时间修改到了2005年,比已知的在2007年到2009年发生的对纳坦兹离心分离机的攻击提前了两年。人们普遍认为是美国和以色列为了扼制伊朗发展核武器发动了此次攻击。
让我们回到现在,在2013年Stuxnet .5出现的6年后,关于超级病毒Stuxnet出现了新的转折。Alphabet所属网络安全公司Chronicle的研究人员本月早些时候透露,他们发现有证据表明有第四方网络间谍组织可能参与了Stuxnet病毒对纳坦兹核设施的攻击。
Chronicle的研究人员Juan Andres Guerrero Saade和Silas Cutler发现了一个较老的Stuxnet命令与控制组件与一个较老的网络间谍平台Flowershop之间的联系。这个平台早在2002年就开始活跃,最早是在2015年由卡巴斯基实验室发现的。
我们意识到这是早期的Stuxnet命令和控制模块——较老版本的Stuxnet .5。
该模块被Chronicle称为Stuxshop,它与已知的Stuxnet C2服务器通信,可以删除未连接到网络的机器的拨号提示。他们表示,Stuxshop为Stuxnet创建提供了一个线索:它已经与Flame、Duqu和Equation Group 这些民族国家网络间谍家族联系在一起。与收集情报的Flowershop代码一样,Stuxshop的功能包括检查受感染机器的Windows版本、Internet代理设置和注册表密钥信息。
Stuxnet由一大堆不同的部分整合而成,这是一个插件的大杂烩。
研究人员表示,Stuxnet模块中似乎使用了一些Flowershop代码,这表明两个攻击开发团队可能正在合作或共享代码。
Flowershop是它自己的情报收集平台,一个活跃了10年的完全不同的威胁源。在我们发现Stuxshop之前,没有人能够把它与Stuxnet病毒联系起来。Stuxshop与Flowershop共享代码,但Stuxshop是专门为Stuxnet攻击而开发的。
Chronicle的研究人员于本月在新加坡举行的卡巴斯基安全分析师峰会上首次披露了他们的研究结果。
赛门铁克的Liam O’Murchu是最早研究Stuxnet病毒的研究人员之一。尽管他表示还没有完全分析完Stuxshop文件,但初步阅读显示这份文件和他的公司发现Stuxnet .5的时间线相吻合。
虽然O’Murchu和其他Stuxnet专家表示,Chronicle的新发现并没有特别改变关于Stuxnet的故事,但他们确实完善了攻击行动时间表。单独确认时间线非常有帮助。
这为赛门铁克的长期活动理论提供了更多证据,该理论认为Stuxnet活动可以追溯到2002年。
赛门铁克安全技术和响应团队的开发主管O’Murchu表示:
Stuxshop的时间线与我们之前设想的开发时间线相符。我们一直在关注Stuxnet病毒的破坏性部分,这就是我们的发现。
卡巴斯基实验室 (Kaspersky Lab) 的首席研究员Costin Raiu曾追踪过Stuxnet病毒,他指出Chronicle的调查结果与之前的研究相一致,包括他的公司在2014年向客户提交的私人报告中,将Flowershop与Stuxnet病毒联系起来。他说,随着Yara恶意调查工具等更先进的研究工具呈爆炸式增长,以及Chronicle对其VirusTotal平台权限,研究人员现在能够更好地填补有关Stuxnet等高级攻击的信息空白。
Raiu表示,Chronicle在这方面确实有独特的优势,因为他们有很棒数据来源:VirusTotal。
Stuxshop和Stuxnet .5最终被Stuxnet 1.10及其命令和控制基础架构所取代。Stuxnet 1.10攻击了负责纳坦兹工厂离心机运转的西门子PLC设备。
火焰重燃
与此同时,Guerrero Saade和Cutler最近在他们VirusTotal库中发现了一个出人意料的东西:火焰网络间谍平台 (Flame cyber espionage platform) 的再生版本,该平台最后一次出现是在2012年,当时它自毁了。他们将新版本的火焰命名为 “火焰2.0 (Flame 2.0) ”,但目前载荷处于加密状态,他们还无法看到它的内部。
火焰2.0显然是在2014年之后的某个时候编译的,并于2016年出现在VirusTotal上。
我敢打赌,AV公司已经意识到了这一点,我们会找到更多这样的例子。
研究人员希望从其他安全公司获得帮助来解密样本。
卡巴斯基实验室(Kaspersky Lab)的安全研究员Kurt Baumgartner表示,解密新发现的Flame 2.0并不容易,他指出仍然没有被破解的高斯(Gauss)恶意软件载荷已经困扰了研究人员七年。Baumgartner表示,火焰2.0可能不会很快被破解。
火焰的再现符合一个高级威胁的特征,他们实际上从来没有消失。赛门铁克的O’Murchu表示:
有时我们看不见它们,但我们永远不知道它们是否真的消失了。它们可能只是被重组了,或者完全消失了。
迎头赶上?
在研究人员首次发现Stuxnet病毒的9年后,专家们表示对Stuxshop的研究揭示了这种网络武器在本世纪初是如何领先于它所处的时代,领先于私营部门研究人员的威胁捕获能力和可用工具。早在安全研究人员于2010年发现Stuxnet病毒之前,民族国家的黑客们就已经开始准备Stuxnet行动以及其组件了。
赛门铁克的Omurchu在谈到安全行业时表示:
在Stuxnet病毒出现之前,我们真的没有接受过网络战争训练。我们希望我们已经取得了进展,让他们更难以在不被注意的情况下行动。希望我们能更快地发现它们或者一些踪迹。但结局是什么样的谁都不知道,因为我们现在可能错过了很多东西。