典型APT攻擊

震網(wǎng)：標(biāo)志著網(wǎng)絡(luò)攻擊對(duì)象已經(jīng)從傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)拓展到工業(yè)控制系統(tǒng)

2010年9月，伊朗稱布什爾核電站部分員工電腦感染了一種名為“震網(wǎng)（Stuxnet）”的超級(jí)電腦病毒。這種病毒可以悄無聲息地潛伏和傳播，并對(duì)特定的西門子工業(yè)電腦進(jìn)行破壞。萬幸的是，這次電站主控電腦并未感染。

首先，“震網(wǎng)”具有極強(qiáng)的針對(duì)性。它會(huì)自動(dòng)依據(jù)被感染電腦的語言、IP地址、生產(chǎn)廠商等條件進(jìn)行判斷，如果不是位于伊朗境內(nèi)的西門子工業(yè)電腦，它就會(huì)悄悄潛伏起來，以免引起殺毒軟件的反應(yīng)。

其次，這種病毒的滲透力非常可怕。為了防止被病毒感染，工業(yè)控制電腦往往自成體系，不通過網(wǎng)絡(luò)與外界聯(lián)接，這種做法稱為“物理隔離”。有時(shí)候，物理隔離會(huì)讓很多部門產(chǎn)生麻痹思想?！罢鹁W(wǎng)”正是利用了這種心態(tài)——一開始，它靜靜地潛伏在普通的個(gè)人電腦上，通過USB接口無聲無息地感染著一個(gè)個(gè)優(yōu)盤，直到某天某個(gè)粗心大意的家伙把被感染的優(yōu)盤插到核電站里的某臺(tái)電腦上，“震網(wǎng)”就會(huì)通過打印機(jī)等設(shè)備快速感染整個(gè)局域網(wǎng)。

由于攻擊目標(biāo)是與外界物理隔離的工業(yè)電腦，因此“震網(wǎng)”并不以盜竊信息為首要目標(biāo)，而是“自殺式攻擊”——利用一些漏洞偽裝自己，奪取控制權(quán)，隨后向該電腦控制的工業(yè)設(shè)備傳遞錯(cuò)誤命令，令整個(gè)系統(tǒng)自我毀滅。

Flame：世界上最復(fù)雜、最危險(xiǎn)的病毒

Flame病毒（又名火焰病毒）是于2012年5月被卡巴斯基首次發(fā)現(xiàn)的超級(jí)電腦病毒，其構(gòu)造十分復(fù)雜，危害性巨大，可以通過USB存儲(chǔ)器以及網(wǎng)絡(luò)復(fù)制等多種方式傳播，并能接受來自世界各地多個(gè)服務(wù)器的指令，堪稱目前世界上最復(fù)雜、最危險(xiǎn)的病毒。

該病毒由卡巴斯基首先發(fā)現(xiàn)，并根據(jù)該病毒內(nèi)部代碼所含字樣，而將其命名為“Flame”?？ò退够Q，F(xiàn)lame實(shí)際上是一個(gè)間諜工具包。至少過去兩年中，F(xiàn)lame病毒已感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國(guó)家的相應(yīng)目標(biāo)計(jì)算機(jī)系統(tǒng)。

卡巴斯基稱，與曾經(jīng)攻擊伊朗核項(xiàng)目計(jì)算機(jī)系統(tǒng)的Stuxnet病毒的相比，F(xiàn)lame病毒不僅更為智能，且其攻擊目標(biāo)和代碼組成也有較大區(qū)別?？ò退够J(rèn)為，Stuxnet和Flame病毒應(yīng)該不是同一個(gè)(或一群)程序員所為。Flame病毒的攻擊機(jī)制更為復(fù)雜，且攻擊目標(biāo)具有特定地域的地點(diǎn)，這或許表明，F(xiàn)lame病毒的幕后團(tuán)隊(duì)很可能由政府機(jī)構(gòu)操縱。

一些網(wǎng)絡(luò)安全專家認(rèn)為，F(xiàn)lame可能也是系列病毒攻擊的組成部分，即主持散布Stuxnet和DuQu病毒的幕后團(tuán)隊(duì)，同時(shí)也聘請(qǐng)其他程序員開發(fā)了Flame病毒。

據(jù)悉，F(xiàn)lame病毒最早可能于2010年3月就被攻擊者放出，但一直沒能被其他安全公司發(fā)現(xiàn)，“Flame包含了大量代碼。而過去兩年中一直沒有被安全公司檢測(cè)到，這種現(xiàn)象相當(dāng)令人感到奇怪。”一些線索暗示，F(xiàn)lame出現(xiàn)的最早時(shí)間甚至可追溯到2007年。外界認(rèn)為，Stuxnet和DuQu兩款病毒的創(chuàng)建時(shí)間也大概為2007年前后。