|
在伊朗承認其石油部門受計算機病毒“火焰”影響后,多家反病毒公司的專家表示,“火焰”的確有獨特之處,比此前發現的病毒要復雜。 代碼打印長達2400米 “火焰”病毒引起人們對網絡間諜活動的關注,伊朗網絡安全部門表示,“火焰”和著名的“震網(Stuxnet)”、Duqu病毒有“密切關系”。“震網”和Duqu被看作是最早出現的兩種“網絡間諜戰武器”。 “震網”于2010年7月被發現,這種蠕蟲病毒專門針對德國西門子公司設計制造的供水、發電等基礎設施的計算機控制系統,伊朗曾承認“震網”影響到其核電站的部分離心機。Duqu病毒針對的也是工業控制系統,目的在于收集信息。大部分反病毒專家認為,“震網”和Duqu來源相同,需要多人長時間合作完成,因此可能是某組織或政府機構所為。 與“震網”相比,“火焰”病毒最直觀的特點是代碼量大,達到65萬行,是前者的20倍。這種大型的惡意軟件常被業內人士稱作“百米賽跑”,指的是代碼打印出來的紙張長度。“火焰”代碼打印出來的紙張長度達到2400米。 可通吃各行業信息 從功能上看,“震網”和Duqu能破壞某個目標,而“火焰”則是為了收集各行業的敏感信息。反病毒企業邁克菲公司負責安全研究的戴維·馬庫斯等專家對媒體表示,“火焰”的散布范圍主要在中東地區,但可針對多個不同行業。它實際是一個工具包,當計算機感染最初的“火焰”病毒后,計算機就會被安裝特定的任務模塊。 研究人員已發現,這些特定的任務模塊可捕捉鍵盤敲擊、竊取密碼、刪除硬盤數據、激活語音系統竊聽網絡電話和聊天內容,甚至利用藍牙功能竊取與被感染電腦相連的智能手機、平板電腦中的內容。 利用已知漏洞攻擊 馬庫斯解釋說,“震網”當年“成名”的一個重要原因在于它使用了“零日漏洞”攻擊,即病毒編寫者利用自己發現的4個系統漏洞,在軟件公司發布補丁之前發起攻擊。但“火焰”利用的都是已知漏洞,甚至包括“震網”曾攻擊的兩個漏洞。 由此看來,“火焰”編寫者很可能做了大量調研,分析了目標計算機的操作系統,發現目標還沒有修補某些系統漏洞,掌握了滲透這些系統的最佳方式。 通過藍牙信號傳遞指令也是此前罕見的功能。邁克菲公司的研究人員已成功關閉了幾個向被感染計算機發送指令的服務器。但即便與服務器的聯系被切斷,攻擊者依然可通過藍牙信號對被感染計算機進行近距離控制。 主要毒害中東地區 根據俄羅斯信息安全企業卡巴斯基實驗室的數據,“火焰”攻擊主要集中在中東地區:伊朗189起、約旦河西岸98起、蘇丹32起、敘利亞30起,黎巴嫩、沙特和埃及也發現該病毒的存在。位于日內瓦的國際電信聯盟說,“火焰”是危險的間諜工具,可以用于攻擊關鍵的基礎設施。這是該組織目前發出的最嚴肅的警告。反病毒軟件公司賽門鐵克表示,“火焰”的一些特點是前所未見的,它的復雜性猶如“用核武器去砸核桃”。 馬庫斯說,盡管“火焰”在復雜程度等方面超出此前發現的類似病毒,但現在要確定其在計算機病毒,甚至網絡間諜發展史中的位置還為時過早。 伊朗稱已出“滅火”軟件 伊朗通信與信息技術部副部長阿里·哈基姆·賈瓦迪5月31日對國家電視臺表示,伊朗專家已設計出清除“火焰”病毒的軟件。 賈瓦迪說,這款反病毒軟件由伊朗全國計算機應急反應小組研發,能夠發現和清除“火焰”病毒。他說,“火焰”比2010年發現的“震網”蠕蟲病毒更具破壞力。 伊朗官員說,“火焰”病毒企圖收集伊朗石油行業的關鍵信息,該病毒在4月份曾對伊朗石油網絡系統造成影響,導致伊朗短暫切斷石油部、石油出口數據中心等機構與互聯網的連接。 伊朗負責反網絡破壞的機構“消極防御組織”負責人吳拉姆-禮薩·賈拉利說,“火焰”病毒曾侵入伊朗一些行業的電腦,“所幸被伊朗及時發現”。伊朗國內僅石油行業受到“火焰”病毒嚴重影響,但其丟失數據已得到恢復。 有伊朗媒體指出,“火焰”病毒可能在5年前甚至8年前即被激活,美國和以色列具備設計“火焰”病毒的能力,利用電腦病毒攻擊伊朗關鍵行業及核設施系統是西方應對伊朗核計劃的手段之一。 卡巴斯基實驗室認為,“火焰”病毒自2010年3月起“猖獗”,由于其結構的復雜性和攻擊目標具有選擇性,安全軟件一直未能發現它。不少技術人員推測,從“火焰”病毒的復雜結構和廣泛攻擊范圍看,該病毒背后可能有某國官方機構支持。 |
