其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。
最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。
震网病毒引起了信息安全界的极大兴趣,随着更多专家投入到对它的分析,它的面纱渐渐揭开——它跟以往流行的病毒完全不一样,这是世界上第一例针对工控系统的病毒!
说得再精准一点,它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。
举个例子。研究人员在病毒代码中发现一个数组,用以描述离心机的级联方式,数组的最后几位是:20,24,20,16,12,8,4。
把上面那张总统视察图的左下角放大,可以看到在图片最下方,红色箭头所指的位置有一排灰色小柱子。这些小柱子把上面的绿色小点分为若干块,从右往左数,每块含有的列数分别是1,2,3,4,5,6,5。每列包含有4个离心机,因此,从这张图可以看出,纳坦兹核工厂的离心机级联方式,从左往右正是20,24,20,16,12,8,4,与震网病毒的描述完全相同!
由此可见,震网是有备而来。其开发团队里不仅有软件和网络专家,还有工业控制和核武器的专家,并且通过某种秘密途径,他们还事先掌握了纳坦兹的设计图纸。它背后的力量绝不是一般网络犯罪组织可以比拟的。
震网病毒的攻击方式也非常狡猾。当它渗透进入核工厂,它本可以制造一起轻易的工业灾难,一举摧毁整个工厂。但它却没有马上发作,而是悄悄地潜伏下来,每隔一个月才攻击一次。攻击期间,它会首先修改西门子工控系统的数据,让离心机看上去运转正常。但背地里,它却大幅提高离心机的转速,迫使其在临界速度以上运转,从而迅速毁坏一台离心机。
这时候,如果走到那台遭受攻击的离心机旁边,会听到机器转动声的明显异常,它的声音频率比正常状态要高得多。但工厂内有几百台离心机在同时运行,巨大的背景噪声往往会掩盖单台离心机的问题,不仔细听根本注意不到。更何况由于背景噪声太大,工程师都是带着耳罩进入车间,根本无法辨别那点细小的差别。他们一般还是从控制系统的屏幕上监控工厂状态,而震网病毒早已控制了监控系统,呈现给操作人员的,是一切正常的运行状态。
这是一种更加高明的战术,它使得伊朗人疲于奔命。崭新的离心机装进工厂,没用多久便告损坏,日常的生产工作变成了不停地更换离心机,纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力。伊朗人更换了数批工程师,却一直找不到问题原因,震网病毒的隐蔽性太强(即使是今天,震网病毒已经暴露了数年之后,最新的Windows仍然会把它当作合法程序),他们从没发现工厂早已被病毒入侵,仍然一味地认定是离心机的质量问题,白白损失了几年时光。
伊朗到底是什么时候才发现中毒的,外界不得而知。2010年,震网病毒公布后,引起了信息安全界的轰动,经过许多专家的深入研究,它针对纳坦兹核工厂的攻击意图已经被揭露成了司马昭之心。但即便如此,伊朗仍然矢口否认核工厂遭到了攻击。当然,伊朗到底是真的认为自己的工厂固若汤金,还是出于某种宣传策略而拒不承认,外界同样也不得而知了。
受害一方不肯承认,作案一方同样也没人出来领功。开发像震网这样一款高度复杂的病毒,对资金、人才、情报、组织等各方面都有极高的要求,再加上其独特的攻击目标设定,世界上有这种能力和动机的,只有美国或以色列政府。但美国和以色列并不承认自己与此有关,从病毒代码中也找不出什么证据能牵涉到美以两国,外界也只能停留在猜测而已。震网病毒如同一件孤独的凶器,不知道谁制造了它,也不知道它杀害过谁,外界只能从那锋利的刀刃推测它可怕的战斗力。
直到2012年,伊朗核问题波澜已定,一些美国退休官员才向《纽约时报》透露,针对伊朗核工厂的攻击,是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的网络战争。
