在伊朗承认其石油部门受计算机病毒“火焰”影响后,多家反病毒公司的专家表示,“火焰”的确有独特之处,比此前发现的病毒要复杂。
代码打印长达2400米
“火焰”病毒引起人们对网络间谍活动的关注,伊朗网络安全部门表示,“火焰”和著名的“震网(Stuxnet)”、Duqu病毒有“密切关系”。“震网”和Duqu被看作是最早出现的两种“网络间谍战武器”。
“震网”于2010年7月被发现,这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统,伊朗曾承认“震网”影响到其核电站的部分离心机。Duqu病毒针对的也是工业控制系统,目的在于收集信息。大部分反病毒专家认为,“震网”和Duqu来源相同,需要多人长时间合作完成,因此可能是某组织或政府机构所为。
与“震网”相比,“火焰”病毒最直观的特点是代码量大,达到65万行,是前者的20倍。这种大型的恶意软件常被业内人士称作“百米赛跑”,指的是代码打印出来的纸张长度。“火焰”代码打印出来的纸张长度达到2400米。
可通吃各行业信息
从功能上看,“震网”和Duqu能破坏某个目标,而“火焰”则是为了收集各行业的敏感信息。反病毒企业迈克菲公司负责安全研究的戴维·马库斯等专家对媒体表示,“火焰”的散布范围主要在中东地区,但可针对多个不同行业。它实际是一个工具包,当计算机感染最初的“火焰”病毒后,计算机就会被安装特定的任务模块。
研究人员已发现,这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容,甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。
利用已知漏洞攻击
马库斯解释说,“震网”当年“成名”的一个重要原因在于它使用了“零日漏洞”攻击,即病毒编写者利用自己发现的4个系统漏洞,在软件公司发布补丁之前发起攻击。但“火焰”利用的都是已知漏洞,甚至包括“震网”曾攻击的两个漏洞。
由此看来,“火焰”编写者很可能做了大量调研,分析了目标计算机的操作系统,发现目标还没有修补某些系统漏洞,掌握了渗透这些系统的最佳方式。
通过蓝牙信号传递指令也是此前罕见的功能。迈克菲公司的研究人员已成功关闭了几个向被感染计算机发送指令的服务器。但即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。
主要毒害中东地区
根据俄罗斯信息安全企业卡巴斯基实验室的数据,“火焰”攻击主要集中在中东地区:伊朗189起、约旦河西岸98起、苏丹32起、叙利亚30起,黎巴嫩、沙特和埃及也发现该病毒的存在。位于日内瓦的国际电信联盟说,“火焰”是危险的间谍工具,可以用于攻击关键的基础设施。这是该组织目前发出的最严肃的警告。反病毒软件公司赛门铁克表示,“火焰”的一些特点是前所未见的,它的复杂性犹如“用核武器去砸核桃”。
马库斯说,尽管“火焰”在复杂程度等方面超出此前发现的类似病毒,但现在要确定其在计算机病毒,甚至网络间谍发展史中的位置还为时过早。
■链接
伊朗称已出“灭火”软件
伊朗通信与信息技术部副部长阿里·哈基姆·贾瓦迪5月31日对国家电视台表示,伊朗专家已设计出清除“火焰”病毒的软件。
贾瓦迪说,这款反病毒软件由伊朗全国计算机应急反应小组研发,能够发现和清除“火焰”病毒。他说,“火焰”比2010年发现的“震网”蠕虫病毒更具破坏力。
伊朗官员说,“火焰”病毒企图收集伊朗石油行业的关键信息,该病毒在4月份曾对伊朗石油网络系统造成影响,导致伊朗短暂切断石油部、石油出口数据中心等机构与互联网的连接。
伊朗负责反网络破坏的机构“消极防御组织”负责人吴拉姆-礼萨·贾拉利说,“火焰”病毒曾侵入伊朗一些行业的电脑,“所幸被伊朗及时发现”。伊朗国内仅石油行业受到“火焰”病毒严重影响,但其丢失数据已得到恢复。
有伊朗媒体指出,“火焰”病毒可能在5年前甚至8年前即被激活,美国和以色列具备设计“火焰”病毒的能力,利用电脑病毒攻击伊朗关键行业及核设施系统是西方应对伊朗核计划的手段之一。
卡巴斯基实验室认为,“火焰”病毒自2010年3月起“猖獗”,由于其结构的复杂性和攻击目标具有选择性,安全软件一直未能发现它。不少技术人员推测,从“火焰”病毒的复杂结构和广泛攻击范围看,该病毒背后可能有某国官方机构支持。
【背景资料】
伊朗屡受病毒攻击
2010年7月,德国专家宣布发现“震网”病毒,伊朗、印度尼西亚、印度等国部分电脑用户反映受到这种病毒攻击。该病毒对电脑的传染性很强,可严重威胁工业系统的安全。西方媒体当时猜测“震网”病毒的目标是伊朗的布什尔核电站。
2010年9月,伊朗国内数万个互联网终端感染“震网”病毒。随后伊朗数次推迟布什尔核电站的供电时间。
2011年2月,伊朗突然宣布暂时卸载布什尔核电站的核燃料,但未披露具体原因。由于在核工业领域卸载未使用的核燃料非常罕见,因此舆论猜测原因是核电站系统遭受“震网”病毒攻击,但伊朗官方对此一再否认。
动态
以色列否认“放火”
一名以色列政府发言人5月31日否认以方是“火焰”病毒攻击的幕后黑手。
这名不愿公开姓名的发言人告诉英国广播公司(BBC)记者,以色列副总理摩西·亚阿隆先前的言论遭误解,“他接受采访时所说的话,没有任何一点暗示以色列关联这种病毒”。
以色列分管战略事务的副总理亚阿隆告诉军方电台:“一些西方国家政府有高技术(手段),而他们视伊朗,尤其是伊朗核威胁为实质性威胁,可能介入(病毒攻击)这一领域。”
“我可以想象,不仅以色列,包括以美国为首的整个西方,所有视伊朗为重大威胁的人都可能会为破坏伊朗核计划采取任何一种措施。”
专家称各国应联手“灭火”
多名安全专家认为,现在对“火焰”攻击来源下定论为时尚早,各国应尽快研讨并采取措施。
卡巴斯基实验室5月28日发布报告称,“火焰”病毒部分特征与先前攻击伊朗核设施电脑系统的“震网”蠕虫病毒相似,伊朗方面当时指责美国和以色列是幕后主使。
不过,以色列政府一名不愿公开姓名的发言人5月31日否认了这种病毒与以色列有关联。另一种猜测是“火焰”与美国相关,一名不愿公开姓名的美国政府官员告诉美全国广播公司,美国策划这次攻击,但他承认没有掌握“第一手资料”。
美国前助理国防部长、哈佛大学教授约瑟夫·奈4月下旬发表题为《网络战争与和平》的文章指出,对网络计算机和网络通信依赖程度的加深,使美国比其他国家更易遭受攻击,而且网络空间已成为不安的主要源头,因为在当前的技术发展阶段,网络领域里的攻击比防御更强。他认为,现在是各国坐下来讨论如何限制网络攻击对世界和平构成威胁的时候了。