病毒“火焰”再次拉响工业信息安全警报

2019-07-17 10:55

  在伊朗承认其石油部门受计算机病毒火焰影响后,多家反病毒公司的专家表示,火焰的确有独特之处,比此前发现的病毒要复杂。

  代码打印长达2400米

  火焰病毒引起人们对网络间谍活动的关注,伊朗网络安全部门表示,火焰和著名的震网(Stuxnet)、Duqu病毒有密切关系。震网和Duqu被看作是最早出现的两种网络间谍战武器。

  震网于2010年7月被发现,这种蠕虫病毒专门针对德国西门子公司设计制造的供水、发电等基础设施的计算机控制系统,伊朗曾承认震网影响到其核电站的部分离心机。Duqu病毒针对的也是工业控制系统,目的在于收集信息。大部分反病毒专家认为,震网和Duqu来源相同,需要多人长时间合作完成,因此可能是某组织或政府机构所为。

  与震网相比,火焰病毒最直观的特点是代码量大,达到65万行,是前者的20倍。这种大型的恶意软件常被业内人士称作百米赛跑,指的是代码打印出来的纸张长度。火焰代码打印出来的纸张长度达到2400米。

  可通吃各行业信息

  从功能上看,震网和Duqu能破坏某个目标,而火焰则是为了收集各行业的敏感信息。反病毒企业迈克菲公司负责安全研究的戴维马库斯等专家对媒体表示,火焰的散布范围主要在中东地区,但可针对多个不同行业。它实际是一个工具包,当计算机感染最初的火焰病毒后,计算机就会被安装特定的任务模块。

  研究人员已发现,这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容,甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。

  利用已知漏洞攻击

  马库斯解释说,震网当年成名的一个重要原因在于它使用了零日漏洞攻击,即病毒编写者利用自己发现的4个系统漏洞,在软件公司发布补丁之前发起攻击。但火焰利用的都是已知漏洞,甚至包括震网曾攻击的两个漏洞。

  由此看来,火焰编写者很可能做了大量调研,分析了目标计算机的操作系统,发现目标还没有修补某些系统漏洞,掌握了渗透这些系统的最佳方式。

  通过蓝牙信号传递指令也是此前罕见的功能。迈克菲公司的研究人员已成功关闭了几个向被感染计算机发送指令的服务器。但即便与服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。

  主要毒害中东地区

  根据俄罗斯信息安全企业卡巴斯基实验室的数据,火焰攻击主要集中在中东地区:伊朗189起、约旦河西岸98起、苏丹32起、叙利亚30起,黎巴嫩、沙特和埃及也发现该病毒的存在。位于日内瓦的国际电信联盟说,火焰是危险的间谍工具,可以用于攻击关键的基础设施。这是该组织目前发出的最严肃的警告。反病毒软件公司赛门铁克表示,火焰的一些特点是前所未见的,它的复杂性犹如用核武器去砸核桃。

  马库斯说,尽管火焰在复杂程度等方面超出此前发现的类似病毒,但现在要确定其在计算机病毒,甚至网络间谍发展史中的位置还为时过早。

  伊朗称已出灭火软件

  伊朗通信与信息技术部副部长阿里哈基姆贾瓦迪5月31日对国家电视台表示,伊朗专家已设计出清除火焰病毒的软件。

  贾瓦迪说,这款反病毒软件由伊朗全国计算机应急反应小组研发,能够发现和清除火焰病毒。他说,火焰比2010年发现的震网蠕虫病毒更具破坏力。

  伊朗官员说,火焰病毒企图收集伊朗石油行业的关键信息,该病毒在4月份曾对伊朗石油网络系统造成影响,导致伊朗短暂切断石油部、石油出口数据中心等机构与互联网的连接。

  伊朗负责反网络破坏的机构消极防御组织负责人吴拉姆-礼萨贾拉利说,火焰病毒曾侵入伊朗一些行业的电脑,所幸被伊朗及时发现。伊朗国内仅石油行业受到火焰病毒严重影响,但其丢失数据已得到恢复。

  有伊朗媒体指出,火焰病毒可能在5年前甚至8年前即被激活,美国和以色列具备设计火焰病毒的能力,利用电脑病毒攻击伊朗关键行业及核设施系统是西方应对伊朗核计划的手段之一。

  卡巴斯基实验室认为,火焰病毒自2010年3月起猖獗,由于其结构的复杂性和攻击目标具有选择性,安全软件一直未能发现它。不少技术人员推测,从火焰病毒的复杂结构和广泛攻击范围看,该病毒背后可能有某国官方机构支持。

分享到:
收藏
相关阅读