针对伊朗原子的病毒。 对德黑兰的计算机攻击仍在继续
纳坦兹铀浓缩厂
叙利亚的局势正变得越来越紧张。 世界因预期而冻结。 认为自己有权决定世界命运的势力正准备对一个主权国家的内政进行另一次军事干预。 独立国家内部过程中外部干涉事实数量的增长使我们能够将此视为世界政治中的危险倾向。 使用的方法非常不同。 不仅军事攻击变得更加有效。 在不久的将来,不会少,也可能更强大。 武器,允许从外部影响国家的发展,可以成为信息影响,信息攻击,信息战争。 并且不顾有罪地影响而不考虑国际社会的意见。
最近,关于计算机攻击伊朗伊斯兰共和国核设施的信息,特别是纳坦兹的铀浓缩厂和布什尔核电厂,有时会出现在报刊上。 来自不同国家的专家检测到媒体中使用的恶意计算机程序:Stuxnet,Duqu,Flame,Wiper等。 这些和类似的计算机攻击对伊朗核计划的发展和中东其他问题的真正影响是什么?
计算机攻击的方向 - 伊朗
在2010的夏天,有史以来第一次假设某种病毒有目的地袭击了位于伊朗纳坦兹市的铀浓缩设施。 这是怎么解释的?
据国际原子能机构称,11月2009,3936离心机在纳坦兹工厂运行。 同年5月,铀被送入4920离心机。 因此,从5月到11月,操作离心机的数量减少了20%。 科学与国际安全问题研究所(ISIS)的研究人员表示,这是由于一些故障造成的。 这表明离心机仅在一个模块中停止工作,尽管它们在另一个模块中继续工作。
这种所谓的病毒,或者更确切地说是一种名为Stuxnet的恶意计算机程序(VP),是否能够损害纳坦兹的企业并阻止铀的加工和浓缩? 据一些媒体预测,Stuxnet应用程序应该在几年前放弃了伊朗的核计划。 德国网络防御工业系统专家拉尔夫·兰格总结道:“为了使他们的系统再次运行,他们(伊朗人)将不得不摆脱这种病毒。 这需要时间,他们可能不得不更换设备,重建纳坦兹的离心机,并可能在布什尔购买新的涡轮机。“
以色列外交情报局局长Meir Dagan少将指出,与反地堡轰炸相比,纳坦兹的计算机攻击具有优势:“四年前Stuxnet拒绝了伊朗的核计划,轰炸之后将在三年后恢复。”
但是伊朗应对了。 目前,据欧美专家介绍,没有一台计算机感染过这个程序。
假设如果Stuxnet对纳坦兹的企业造成重大损害,铀的浓缩将会减缓,这也是合情合理的。 然而,国际原子能机构的报告表明相反:在2007 - 2013期间,纳坦兹富集的铀量增长均匀。 此外,20%的富集开始于部分离心机被禁用时。
在披露有关Stuxnet CW的信息后,Ralph Langner建议“计算机蠕虫”也可能针对布什尔的核电站。 他对程序代码进行了自己的研究,并且随后对赛门铁克的专家进行了研究,他说Stuxnet是一个破坏工业站点的工具。 他还提请注意今年2月2009在核电站拍摄的UPI照片,其中显然该电台正在使用具有过期许可证的SCADA(监控控制数据采集)系统。 与此同时,西门子声称该公司没有向伊朗提供软件。 到那时,人们已经知道Stuxnet被设计用于攻击SCADA系统,因此Langner确信VP是针对布什尔核电站的。
控制系统网络防御的另一位专家戴尔彼得森同意这一点,并指出以色列有意停止或暂停伊朗核计划,以及以色列专家的高水平培训。 他还提请注意这样一个事实:在Stuxnet代码中有一些有趣的间接迹象,包括旧约中的一本书 - Esthery书。 rootkit驱动程序代码包含该项目的作者姓名:Myrtus(Myrtle)在希伯来语中称为Hadassah,这是犹太人的名字Esther,旧约女主角,波斯犹太人的救世主,其坟墓位于现代伊朗。
关于感染起源的版本
除了Stuxnet之外,在从2010到2012期间,来自不同国家的专家还向网络空间伊朗核设施发现了其他恶意程序:Duqu,Wiper和Flame。 他们通过许多技术参数,代码的高度复杂性以及显然创建它们的目的而联合起来。 专家指出,这些IG的功能不同于网络犯罪领域的常用功能。 因此,LC的负责人Yevgeny Kaspersky将这一事实与“潘多拉盒子”的开头进行了比较,并表示Stuxnet VP“的创建不是为了窃取金钱和个人用户数据,不是为了发送垃圾邮件,而是为了破坏企业和禁用工业系统。“ 这种系统广泛用于石油管道,发电厂,大型通信系统,机场,船舶,甚至全球军事设施中。
这些VI的起源有各种版本。 但是他们中的许多人都同意他们创作背后有一群人或合作团队的可能性很大。
在发现Stuxnet之后,LK员工几乎立即得出结论,该计划是在政府机构的支持下创建的。 考虑到多层攻击和访问证书的合法性,对EaP工作的分析证明,Stuxnet是由一群资源丰富,资源丰富,资金严重的专业团队创建的。 EAP针对的是工业设施,这使得它不仅可以作为网络犯罪的例子,而且可以作为网络武器,网络恐怖主义或网络战争来谈论它。
在2011中,特定的客户状态在媒体上被命名:原因是以色列和美国支持对伊朗核设施的网络攻击。 今年1月,美国报纸“纽约时报”在以色列报道了核研究中心所在的内盖夫沙漠,纳坦兹的浓缩植物的精确副本是用于测试网络武器,即Stuxnet蠕虫。 不仅以色列,而且美国专家也参与了这项工作。 值得注意的是,该文章的一位作者是华盛顿报社的负责人David Sanger。
6月,2012出版了他的书“对抗与隐瞒:奥巴马的秘密战争和美国力量的惊人用途”,其中他揭示了在布什少年总统任期内在美国发起的奥运会计划的存在。 在2006当年,当伊朗根据小布什的指示恢复在纳坦兹的铀浓缩活动时,该国的军事政治领导层制定了伊朗核问题的行动计划。 在此过程中,美国参谋长联席会议副主席卡特赖特将军提出了针对伊朗工业体系的网络攻击计划。 总统亲自指定了目标:纳坦兹的核设施。 与此同时,据称以色列军事情报局8200部门提供了恶意软件的开发。 这些攻击是在2008年左右进行的,但伊朗工程师当时无法理解离心机的损坏是由于网络行为造成的。
在Stuxnet副总裁被发现之前,人们怀疑是以色列能够发起针对伊朗的网络战。 在2009,非营利性研究机构美国网络后果部门的专家斯科特博格说,敏感的伊朗企业,如铀浓缩工厂,可能会使用某种恶意软件。 在发现Stuxnet的存在之后,他建议以色列本可以成为它的创造者。
几年前,在2007,以色列空军少将Ben Ben表示以色列有机会通过攻击几个关键的核设施来重回伊朗核计划。 以色列已做好采取果断步骤的准备,根据已经测试过的情况,这次袭击可能已经发生 - 通过摧毁可疑的工业设施,剥夺了该国生产核武器的可能性。 但是,由于显而易见的原因,这并没有发生。 也许后来计算机攻击被选为一种相当有效的手段,不需要国际社会的参与,也没有报复性打击的危险。
回想一下,早些时候,以色列已经对中东国家的核设施进行了轰炸,以防止在其中制造核武器。 6月,1981,伊拉克Osirak-1核反应堆遭到袭击。 9月2007,以色列空军袭击了叙利亚Deir-ez-Zor市的一个目标,根据一些消息来源,正在建造Al-Kibar核设施。 一个半月后,伊斯兰国发布了一份报告,认为它是一个核反应堆。 6月2008,国际原子能机构检查员在Al-Kibar土壤中发现“大量铀颗粒”,这些“铀颗粒”是人为的,即这种材料是化学加工产生的。
更多事实。 2月,在以色列国防军中将加比·阿什肯纳兹中将出席的仪式上,2011展示了一个视频故事,其中Stuxnet被评为这位将军无可否认的成功之一。 而在12月,2011在接受IEEE Spectrum杂志采访时,美国着名软件科学家拉里康斯坦丁证实,以色列被认为是Stuxnet发展的主要嫌疑人。
如果你认为以色列在纳坦兹发动了Stuxnet领空,那就意味着以色列在该地区反对核武器扩散的斗争中,已经成功地制定了一项战略,不仅使用武装行动,而且还使用了几年的虚拟攻击。 也就是说,以色列认为是中东最大威胁的伊朗核计划可能会受到伊朗尚未准备好的新型战争的威胁。 也许,如果伊朗不消除制造核武器的嫌疑并且不符合联合国和国际原子能机构的要求,以色列可以对纳坦兹工厂和其他设施进行一些网络攻击:福建核电厂阿拉克正在建设的工厂和反应堆( 9月,AEOI负责人,Fereydun Abbasi的2012已经宣布向Fordo提供能源的电力线爆炸。
顺便提一下,以色列媒体对奥巴马总统的31八月2013关于他决定与国会就叙利亚进行军事打击的决定发表声明:“根据民意调查,以色列人认为叙利亚局势是伊朗情景的预演。 正如叙利亚一样,华盛顿为德黑兰建立了一些红线,并向以色列承诺不会允许伊朗成为核国家。 许多以色列人认为,如果美国现在撤退并且不对叙利亚采取任何行动,伊朗就会发生同样的情况。“
这些信息说明如下:以色列对伊朗的核计划有明确的意图,并一直在寻找独立影响伊朗核问题的新途径。 在信息领域,其功能非常重要。
在叙利亚和伊朗在以色列的理解情况之间明确联系的背景下,毫不奇怪,在奥巴马总统对叙利亚采取“犹豫不决的行动”之后,3 9月已经发射了俄罗斯EWS从地中海中部向东地中海沿岸记录的弹道导弹。 而且,尽管以色列和美国军事部门声称他们“不知道发生了这样的行动”,但这些发射的组织者并不难计算。 经过几个小时后,下面的证词证实了这一点:“据以色列国防部的代表称,地中海的导弹发射是美国和以色列军队的军事试验。 各国测试了用于反导系统的锚导弹。“ 同一天,以色列总理本雅明内塔尼亚胡警告敌方国家不要攻击犹太国家:“我想告诉所有想要伤害我们的人:我不建议你这样做。”
“病毒”的类型
六月份的Stuxnet副总裁2010由白俄罗斯公司Virus Block of Hell,Sergei Ulasen的专家发现。 随后导致发现Stuxnet的消息来自伊朗。 Ulasen和他的同事在专门的互联网论坛上发布了使用微软和Realtek电子签名的副总裁的详细描述。 首先,IT记者Krebs和计算机安全专家Baldwin提请注意这一点,这表明Stuxnet与西门子SCADA WinCC控制和数据采集控制系统有一些联系,并且该程序是为间谍编写的。
对Stuxnet代码的分析表明,它的痕迹首次记录在2005年份,并且第一批样本在2007年度被发送到反病毒公司的数据库。 此恶意软件的污染在6月2009停止,而在7月2010,赛门铁克推出了Stuxnet病毒流量监控系统。 这样就可以跟踪各个区域中受感染计算机的数量。 统计数据显示,大多数病毒感染 - 几乎是60% - 发生在伊朗,其中9月2010比60计算机遭受的更多。 赛门铁克的专家透露,最初EaP是针对五个组织的,每个组织在伊朗设有代表处。
第一次提到Duqu VP是在1上于今年9月2011上在Virustotal服务上注册的。 10月,布达佩斯科技大学的密码学和系统安全实验室(CrySyS)发布了该EP的60页面分析。 与此同时,LK,赛门铁克和其他信息安全专家分析了其代码。 CrySyS认为Duquimeli的创建者可以访问Stuxnet的源代码,并且还指出了构建两个EP的类似结构和哲学。 这些程序是在同一个Tilda平台上编写的,因为它的大部分文件都以tilde~icon开头。 LK的工作人员Ryan Narein指出,Duqu可能是为了监视伊朗的核计划。
Duqu EAP计算机的大多数登记的目标感染发生在伊朗。 对组织受害者的活动和对Duqu作者感兴趣的信息的性质的分析如下:攻击者的主要目的是关于IRI各行业的生产管理系统以及许多伊朗组织的贸易关系的任何数据。
在去年春天,世界媒体报道了一些副总裁,该副总统在伊朗石油部的建设中删除了计算机硬盘的数据。 该计划被称为Wiper。 她在今年4月22的2012上记录了她的大规模袭击事件,之后伊朗当局决定将所有油库从互联网上断开。 石油工业没有受到网络攻击的影响,因为它仍然主要是机械的。
在分析LC中的Wiper代码时,他们得出结论:她负责从伊朗政府的计算机中删除机密数据; Wiper VP使用Tilda平台,如Stuxnet和Duqu; 在对事件进行调查并删除数据时,另一个EP被发现,名为Flame,专家将其与Wiper分开。
此外,LK认为Wiper可能与以色列开发者有关:VP创建并删除了一个引用Rahdaud 64服务的注册表项,并且模块名称Rahdaud 64是代表伟大的圣经国王David - Daud和形容词Rah形成的 - 翻译自希伯来语“邪恶,坏”。
几乎同时报道了来自各种来源的Flame VI:29 - 30中的2012。 在LC中,Flame被认为是“当今最复杂的网络武器”。 详细介绍了Flame与之前已知的Stuxnet和Duqu之间的相似之处 - 这是攻击的地理位置,狭窄的目标定位以及软件中特定漏洞的使用。 Flame的功能非常多样化,但它主要归结为数据被盗,访问电子邮件,文档,消息,秘密对象领域的对话。 它的传播发生在中东国家,伊朗经历了最活跃的袭击 - 大约是50%的感染。
LC对这些VP进行了比较分析,将Stuxnet与火箭进行了比较。 超频模块 - 计算机主体“蠕虫” - 在Duqu中使用,但是没有安装“弹头”(在Stuxnet的情况下,这是禁用离心机的单元)。 赛门铁克认为,Duqu是一个类似于Stuxnet行动的攻击存根。 Duqu和Stuxnet之间的相似之处也体现在两个VI的相同平台架构中,因此LK得出的结论是Duqu和Stuxnet是由同一开发团队支持的并行项目。
乍一看,程序代码中的Stuxnet和Flame之间没有联系,这表明同样的人是创建这两个副总裁的背后。 然而,通过更深入的分析,LC专家能够确定这种关系确实存在。 在2009开始时,Flame平台已经存在,并且在其基础上编写了一个Stuxnet模块,之后,正如预期的那样,Flame继续独立于Stuxnet进行开发。
因此,所有提到的VI都是相互关联的,他们的开发人员显然是合作的。 同时,所有VP都按功能划分 - 它们监视用户,擦除受感染计算机的信息或禁用工业设备。
预防和治疗
伊朗官方没有立即通过Stuxnet程序承认该国内部计算机的感染。 仅一个月后的2010年30月,伊朗工业部信息技术理事会负责人利亚伊就报告说,大约有XNUMX万台计算机被感染。 与此同时 新闻 IRNA引述了布什弗尔核电厂的一名项目经理贾法里的话说,Stuxnet受到了核电厂工人的一些个人计算机的攻击。 阿拉伯语电视台Al-Alam在接受Jafari采访时表示:“该病毒对布什尔核电站的主要系统没有危害。 该站的所有计算机程序都在正常运行。”
10月初,伊朗情报和国家安全部长穆斯林宣布逮捕在伊朗关注核设施的“几个”间谍:“敌人通过互联网开发和发射可能破坏伊朗核计划的计算机蠕虫。” 同时,对象本身没有被调用。 同年11月底,伊朗总统艾哈迈迪内贾德承认,铀浓缩公司遭遇过网络攻击(该公司未被命名,但几乎没有选择:位于库姆市附近的第二个伊朗浓缩中心准备在10月2010上工作)。
不能排除伊朗当局没有完全忽视,但公然回应网络攻击,以减轻西方在伊朗核计划六方谈判中的立场。
12月,伊朗武装部队副总参谋长马苏德·贾扎耶里宣布成立一个“软战争”总部,以回应“敌人超越自我,为伊朗在网络战中的成功和进步制造障碍”这一事实。 2月,伊朗被动防御组织负责人Jalali将军2011宣布成立一个总部来应对网络威胁,并打算在未来组织第一次 故事 伊朗的cyberarmy。 据以色列媒体报道,伊朗打算花费1十亿来创造防御性的网络潜力。与此同时,一支非官方的“伊朗网络军队”,显然是所谓的黑客行动主义者,早在2009就已存在。 12月,2009,黑客设法破解Twitter的微博服务 - 在网站的主页上花了几个小时挂着一面绿色标志的图像,上面写着美国对伊朗事务的干涉以及伊朗的电子邮件地址.Cyber.Army @gmail。 COM。 其他行动随后出现“伊朗网络恐怖主义”。
在2012的夏天,伊朗当局宣布计划建立他们自己的国家互联网,他们开始关闭部门和国有企业的计算机,从正常的互联网。 根据伊朗伊斯兰共和国信息技术和通信部长Reza Tagipur的说法,这样一个网络将有助于解决该国的安全问题。 据非政府组织自由之家的代表称,这是伊朗采取紧缩全球网络措施的一般政策的结果。 可以假设所描述的VP,尤其是Wiper,它们破坏了伊朗政府计算机的数据,影响了伊朗当局的这些步骤。
谈到政治影响,我们注意到,过去几年伊朗一再表示,如果核计划面临外部压力,就有可能退出“不扩散核武器条约”。 例如,12月2012,伊朗驻国际原子能机构大使Ali Asghar Soltanieh并不排除他的国家如果对其核设施进行任何形式的攻击将退出NPT。 然而,在发现Stuxnet IO后,没有任何官方代表就伊朗核计划的威胁或退出“不扩散核武器条约”发表任何声明。
不能排除德黑兰不坚持网络攻击的非法性,也因为它担心会采取更激进的反应。 伊朗领导人也有可能认为国际社会不会关注他们的声明,例如,尽管该国当局正式提出上诉,但他们并未关注黑客行为主义者对爱沙尼亚互联网基础设施政府部门的攻击。 与此同时,伊朗可以掩盖EaP造成的真正破坏,以便制造自己的网络战争。 贾拉利将军关于建立相应总部的声明证实了这一假设。
无论如何,假设在经过一系列严重的网络攻击后,伊朗将不得不更多地关注其设施的信息安全并计划获得自己的网络武器(回想起伊斯兰共和国拥有大规模杀伤性武器的愿望)。尤其是在伊朗伊拉克战争期间使用化学武器的事实。 另一方面,现在伊朗有可能站在国际舞台上,建立一个不扩散网络武器的法律基础。 此外,伊朗可能会发现更难隐藏其核计划的现阶段。
伊朗伊斯兰共和国的战略领导层已在考虑并将在未来制定网络威胁的答案。 从中期来看,它有可能使网络武器能够对发达国家造成重大损害。 首先,这种武器可以针对以色列和美国。
信息