????在伊朗承認其石油部門受計算機病毒“火焰”影響后,多家反病毒公司的專家表示,“火焰”的確有獨特之處,比此前發(fā)現(xiàn)的病毒要復雜。
????代碼打印長達2400米
????“火焰”病毒引起人們對網(wǎng)絡間諜活動的關(guān)注,伊朗網(wǎng)絡安全部門表示,“火焰”和著名的“震網(wǎng)(Stuxnet)”、Duqu病毒有“密切關(guān)系”?!罢鹁W(wǎng)”和Duqu被看作是最早出現(xiàn)的兩種“網(wǎng)絡間諜戰(zhàn)武器”。
????“震網(wǎng)”于2010年7月被發(fā)現(xiàn),這種蠕蟲病毒專門針對德國西門子公司設計制造的供水、發(fā)電等基礎設施的計算機控制系統(tǒng),伊朗曾承認“震網(wǎng)”影響到其核電站的部分離心機。Duqu病毒針對的也是工業(yè)控制系統(tǒng),目的在于收集信息。大部分反病毒專家認為,“震網(wǎng)”和Duqu來源相同,需要多人長時間合作完成,因此可能是某組織或政府機構(gòu)所為。
????與“震網(wǎng)”相比,“火焰”病毒最直觀的特點是代碼量大,達到65萬行,是前者的20倍。這種大型的惡意軟件常被業(yè)內(nèi)人士稱作“百米賽跑”,指的是代碼打印出來的紙張長度?!盎鹧妗贝a打印出來的紙張長度達到2400米。
????可通吃各行業(yè)信息
????從功能上看,“震網(wǎng)”和Duqu能破壞某個目標,而“火焰”則是為了收集各行業(yè)的敏感信息。反病毒企業(yè)邁克菲公司負責安全研究的戴維·馬庫斯等專家對媒體表示,“火焰”的散布范圍主要在中東地區(qū),但可針對多個不同行業(yè)。它實際是一個工具包,當計算機感染最初的“火焰”病毒后,計算機就會被安裝特定的任務模塊。
????研究人員已發(fā)現(xiàn),這些特定的任務模塊可捕捉鍵盤敲擊、竊取密碼、刪除硬盤數(shù)據(jù)、激活語音系統(tǒng)竊聽網(wǎng)絡電話和聊天內(nèi)容,甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的內(nèi)容。
????利用已知漏洞攻擊
????馬庫斯解釋說,“震網(wǎng)”當年“成名”的一個重要原因在于它使用了“零日漏洞”攻擊,即病毒編寫者利用自己發(fā)現(xiàn)的4個系統(tǒng)漏洞,在軟件公司發(fā)布補丁之前發(fā)起攻擊。但“火焰”利用的都是已知漏洞,甚至包括“震網(wǎng)”曾攻擊的兩個漏洞。
????由此看來,“火焰”編寫者很可能做了大量調(diào)研,分析了目標計算機的操作系統(tǒng),發(fā)現(xiàn)目標還沒有修補某些系統(tǒng)漏洞,掌握了滲透這些系統(tǒng)的最佳方式。
????通過藍牙信號傳遞指令也是此前罕見的功能。邁克菲公司的研究人員已成功關(guān)閉了幾個向被感染計算機發(fā)送指令的服務器。但即便與服務器的聯(lián)系被切斷,攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制。
????主要毒害中東地區(qū)
????根據(jù)俄羅斯信息安全企業(yè)卡巴斯基實驗室的數(shù)據(jù),“火焰”攻擊主要集中在中東地區(qū):伊朗189起、約旦河西岸98起、蘇丹32起、敘利亞30起,黎巴嫩、沙特和埃及也發(fā)現(xiàn)該病毒的存在。位于日內(nèi)瓦的國際電信聯(lián)盟說,“火焰”是危險的間諜工具,可以用于攻擊關(guān)鍵的基礎設施。這是該組織目前發(fā)出的最嚴肅的警告。反病毒軟件公司賽門鐵克表示,“火焰”的一些特點是前所未見的,它的復雜性猶如“用核武器去砸核桃”。
????馬庫斯說,盡管“火焰”在復雜程度等方面超出此前發(fā)現(xiàn)的類似病毒,但現(xiàn)在要確定其在計算機病毒,甚至網(wǎng)絡間諜發(fā)展史中的位置還為時過早。
????鏈接
????伊朗稱已出“滅火”軟件
????伊朗通信與信息技術(shù)部副部長阿里·哈基姆·賈瓦迪5月31日對國家電視臺表示,伊朗專家已設計出清除“火焰”病毒的軟件。
????賈瓦迪說,這款反病毒軟件由伊朗全國計算機應急反應小組研發(fā),能夠發(fā)現(xiàn)和清除“火焰”病毒。他說,“火焰”比2010年發(fā)現(xiàn)的“震網(wǎng)”蠕蟲病毒更具破壞力。
????伊朗官員說,“火焰”病毒企圖收集伊朗石油行業(yè)的關(guān)鍵信息,該病毒在4月份曾對伊朗石油網(wǎng)絡系統(tǒng)造成影響,導致伊朗短暫切斷石油部、石油出口數(shù)據(jù)中心等機構(gòu)與互聯(lián)網(wǎng)的連接。
????伊朗負責反網(wǎng)絡破壞的機構(gòu)“消極防御組織”負責人吳拉姆-禮薩·賈拉利說,“火焰”病毒曾侵入伊朗一些行業(yè)的電腦,“所幸被伊朗及時發(fā)現(xiàn)”。伊朗國內(nèi)僅石油行業(yè)受到“火焰”病毒嚴重影響,但其丟失數(shù)據(jù)已得到恢復。
????有伊朗媒體指出,“火焰”病毒可能在5年前甚至8年前即被激活,美國和以色列具備設計“火焰”病毒的能力,利用電腦病毒攻擊伊朗關(guān)鍵行業(yè)及核設施系統(tǒng)是西方應對伊朗核計劃的手段之一。
????卡巴斯基實驗室認為,“火焰”病毒自2010年3月起“猖獗”,由于其結(jié)構(gòu)的復雜性和攻擊目標具有選擇性,安全軟件一直未能發(fā)現(xiàn)它。不少技術(shù)人員推測,從“火焰”病毒的復雜結(jié)構(gòu)和廣泛攻擊范圍看,該病毒背后可能有某國官方機構(gòu)支持。
????【背景資料】
????伊朗屢受病毒攻擊
????2010年7月,德國專家宣布發(fā)現(xiàn)“震網(wǎng)”病毒,伊朗、印度尼西亞、印度等國部分電腦用戶反映受到這種病毒攻擊。該病毒對電腦的傳染性很強,可嚴重威脅工業(yè)系統(tǒng)的安全。西方媒體當時猜測“震網(wǎng)”病毒的目標是伊朗的布什爾核電站。
????2010年9月,伊朗國內(nèi)數(shù)萬個互聯(lián)網(wǎng)終端感染“震網(wǎng)”病毒。隨后伊朗數(shù)次推遲布什爾核電站的供電時間。
????2011年2月,伊朗突然宣布暫時卸載布什爾核電站的核燃料,但未披露具體原因。由于在核工業(yè)領域卸載未使用的核燃料非常罕見,因此輿論猜測原因是核電站系統(tǒng)遭受“震網(wǎng)”病毒攻擊,但伊朗官方對此一再否認。
????動態(tài)
????以色列否認“放火”
????一名以色列政府發(fā)言人5月31日否認以方是“火焰”病毒攻擊的幕后黑手。
????這名不愿公開姓名的發(fā)言人告訴英國廣播公司(BBC)記者,以色列副總理摩西·亞阿隆先前的言論遭誤解,“他接受采訪時所說的話,沒有任何一點暗示以色列關(guān)聯(lián)這種病毒”。
????以色列分管戰(zhàn)略事務的副總理亞阿隆告訴軍方電臺:“一些西方國家政府有高技術(shù)(手段),而他們視伊朗,尤其是伊朗核威脅為實質(zhì)性威脅,可能介入(病毒攻擊)這一領域?!?/p>
????“我可以想象,不僅以色列,包括以美國為首的整個西方,所有視伊朗為重大威脅的人都可能會為破壞伊朗核計劃采取任何一種措施?!?/p>
????專家稱各國應聯(lián)手“滅火”
????多名安全專家認為,現(xiàn)在對“火焰”攻擊來源下定論為時尚早,各國應盡快研討并采取措施。
????卡巴斯基實驗室5月28日發(fā)布報告稱,“火焰”病毒部分特征與先前攻擊伊朗核設施電腦系統(tǒng)的“震網(wǎng)”蠕蟲病毒相似,伊朗方面當時指責美國和以色列是幕后主使。
????不過,以色列政府一名不愿公開姓名的發(fā)言人5月31日否認了這種病毒與以色列有關(guān)聯(lián)。另一種猜測是“火焰”與美國相關(guān),一名不愿公開姓名的美國政府官員告訴美全國廣播公司,美國策劃這次攻擊,但他承認沒有掌握“第一手資料”。
????美國前助理國防部長、哈佛大學教授約瑟夫·奈4月下旬發(fā)表題為《網(wǎng)絡戰(zhàn)爭與和平》的文章指出,對網(wǎng)絡計算機和網(wǎng)絡通信依賴程度的加深,使美國比其他國家更易遭受攻擊,而且網(wǎng)絡空間已成為不安的主要源頭,因為在當前的技術(shù)發(fā)展階段,網(wǎng)絡領域里的攻擊比防御更強。他認為,現(xiàn)在是各國坐下來討論如何限制網(wǎng)絡攻擊對世界和平構(gòu)成威脅的時候了。綜合新華社消息