超限戰專家:攻擊伊朗核電廠病毒Stuxnet與其煙幕彈Conficker

作者:趨勢科技全球安全研究副總裁Rik Ferguson

我剛剛讀了篇路透社的新聞報導,裡面有關於備受推崇的「超限戰專家」 – John Bumgarner談到Conficker是被製作跟散播出來做為全球性的煙幕彈,去掩蓋真正的攻擊 –對伊朗核電廠使用的 Stuxnet

Bumgarner聲稱,一開始的偵查階段是在2007年透過Duqu去確認之後Stuxnet
的攻擊目標。到了2008年11月,Conficker 開始被散播到全球去盡可能的感染更多電腦。當這些 Conficker中毒電腦回報時,如果受害者電腦是位在特定的位置(伊朗),就會被標記起來做為以後Stuxnet的目標。他進一步指出,Conficker 對伊朗之外的電腦並沒有造成損害,而4月1日這惡名昭彰的「發動日期」(出現在2009年3月的第三個變種)是用來將 Stuxnet植入那些位於伊朗合適位置的機器內。

0401

以下是Bumgarner用來佐證他說詞的證據,但是它們對我來說都不夠有力:

1. StuxnetConficker都是「前所未見的複雜」,所以他認為它們是有關連的。

2. StuxnetConficker都用一樣的系統漏洞來感染電腦( MS08-67

3. 沒講明的「關鍵日期」出現在沒講明的「不同版本」的ConfickerStuxnet的時間戳記內是重疊的,也「讓他可以確認攻擊發動的日子是2009年4月1日」。

4. 2009年4月1日是伊朗伊斯蘭共和國宣布建國30週年紀念日。其他未講明的日子也和「伊朗總統內賈德說他的國家將不顧國際社會反對,繼續追求核計劃」還有「他在紐約哥倫比亞大學發表爭議性演講」等日子有關。

至於這攻擊是如何做收尾的,最終的目標機器還坐落在它該在的地方 –核電廠裡面,Bumgarner也說在這時候惡意軟體還沒有進到目標機器上。因此為了要跨過這最後一道鴻溝,Stuxnet被設計來感染隨身碟,然後期望某人會拿著曾經插入 Conficker/Stuxnet中毒電腦的隨身碟,然後將它插到位於核電廠隔離網路的機器上。走到這一步時,Bumgarner說:「這就將軍啦」。

唉,這什麼跟什麼呀!我實在沒有辦法相信這些說法。讓我列舉幾個原因

1. 如果在伊朗以外的目標都是多餘的,那為什麼第一代的Conficker會只排除烏克蘭的電腦?為什麼這個限制之後被拿掉?為什麼不一開始就只感染伊朗的電腦?而且說感染Conficker的電腦沒事也是不正確的。Conficker曾被用來派送假防毒軟體,而且 它跟Waledac殭屍網路也有關係

2. ConfickerStuxnet
的複雜程度出現在不同的地方。原始版本的Conficker只用了一個已經被修補的Windows系統漏洞來散播,第二個變種加上了透過隨身碟和用常見密碼清單來做暴力密碼破解來散播,這些作法都不大複雜。這惡意軟體複雜的地方在於它會隨機產生網域來做為可能的C&C伺服器位置。但是這些都可以很快的被反組譯和破解。而到了 Conficker的第三個變種,這些傳播方法都被拿掉了,直到第四個變種才再次加回來。Stuxnet
相較起來就複雜得多,它利用了零時差弱點攻擊,而且還需要有SCADA系統和核電廠的專業知識。

3. 關於為什麼Stuxnet病毒的製造者也選擇用MS08-67系統漏洞,我有一個理論。因為有強烈的事實證明它很有效,Conficker
在出現三年之後還是企業網路中最常見的病毒感染。不但你幹嘛製造兩種惡意軟體使用相同的漏洞來散播,卻還是要用其中一個來下載另外一個呢?

4. 4月1日的「發動日期」直接寫在Conficker的第三個變種的程式碼內。並不需要未講明檔案上的未講明時間戳記來告訴你。

5. 4月1日同時也是很多國家的愚人節,它也是Apple成立的日子,英國內政部重大組織犯罪署(Serious Organised Crime
Agency)成立的日子,愛爾蘭的生日,東德軍隊封鎖西柏林的日子。你知道我的意思嗎?至於什麼伊朗總統內賈德說他的國家會繼續追求核計劃,當然了,隨便任何一天也都可以掰出個對應的事件出來…

最後還有這艱難的結尾方式,依靠不知名的人,將隨身碟插到感染Confuxnet的電腦上,在毫無所覺的情況下再將同一個隨身碟插到核電廠的可編成控制器(PLC)上?看看我們談到的這一切「前所未有的複雜性」,這成功的機會不會太渺小了點嗎?也太靠運氣了些。

抱歉了,Bumgarner先生,它可能是真的,當然它的確可能。也可能是你被報導錯誤了,但是看看你到目前為止列出的那些證據,我就是無法接受。

如果我是一個擁有這麼多資源的政府組織,那麼我不會直接找特務拿著裝有Stuxnet病毒的隨身碟去目標設施就好了嗎?

我知道,這篇文章並沒有出現Aliens(外星人)。

@原文出處:Conficker, Duqu, Stuxnet, Aliens, Confuxnet!

@延伸閱讀:

搜尋超級電腦病毒Stuxnet,搜尋結果頁面夾帶更多守株待兔惡意攻擊

Stuxnet 蠕蟲藉著USB隨身碟等感染電力公司等公共基礎建設電腦和個人電腦

2010年重大資安事件回顧:Stuxnet的喧擾與真相
DOWNAD/Conficker 冬眠了嗎?超過一億個 IP 蠢蠢欲動

假微軟名義發送的 Conflicker.B病毒警告信,真中毒
DOWNAD/Conflicker是愚人節的惡作劇?

繼DOWNAD/Conflicker 之後,又有蠕蟲攻擊同一漏洞

DOWNAD/Conficker一歲生日回顧


免費下載 防毒軟體 PC-cillin 試用版下載

Comments are closed.