典型APT攻擊

典型APT攻擊

震網：標志著網絡攻擊對象已經從傳統(tǒng)的計算機網絡拓展到工業(yè)控制系統(tǒng)

2010年9月，伊朗稱布什爾核電站部分員工電腦感染了一種名為“震網（Stuxnet）”的超級電腦病毒。這種病毒可以悄無聲息地潛伏和傳播，并對特定的西門子工業(yè)電腦進行破壞。萬幸的是，這次電站主控電腦并未感染。

首先，“震網”具有極強的針對性。它會自動依據被感染電腦的語言、IP地址、生產廠商等條件進行判斷，如果不是位于伊朗境內的西門子工業(yè)電腦，它就會悄悄潛伏起來，以免引起殺毒軟件的反應。

其次，這種病毒的滲透力非?？膳?。為了防止被病毒感染，工業(yè)控制電腦往往自成體系，不通過網絡與外界聯接，這種做法稱為“物理隔離”。有時候，物理隔離會讓很多部門產生麻痹思想?！罢鹁W”正是利用了這種心態(tài)——一開始，它靜靜地潛伏在普通的個人電腦上，通過USB接口無聲無息地感染著一個個優(yōu)盤，直到某天某個粗心大意的家伙把被感染的優(yōu)盤插到核電站里的某臺電腦上，“震網”就會通過打印機等設備快速感染整個局域網。

由于攻擊目標是與外界物理隔離的工業(yè)電腦，因此“震網”并不以盜竊信息為首要目標，而是“自殺式攻擊”——利用一些漏洞偽裝自己，奪取控制權，隨后向該電腦控制的工業(yè)設備傳遞錯誤命令，令整個系統(tǒng)自我毀滅。

Flame：世界上最復雜、最危險的病毒

Flame病毒（又名火焰病毒）是于2012年5月被卡巴斯基首次發(fā)現的超級電腦病毒，其構造十分復雜，危害性巨大，可以通過USB存儲器以及網絡復制等多種方式傳播，并能接受來自世界各地多個服務器的指令，堪稱目前世界上最復雜、最危險的病毒。

該病毒由卡巴斯基首先發(fā)現，并根據該病毒內部代碼所含字樣，而將其命名為“Flame”?？ò退够Q，Flame實際上是一個間諜工具包。至少過去兩年中，Flame病毒已感染了伊朗、黎巴嫩、敘利亞、蘇丹、其他中東和北非國家的相應目標計算機系統(tǒng)。

卡巴斯基稱，與曾經攻擊伊朗核項目計算機系統(tǒng)的Stuxnet病毒的相比，Flame病毒不僅更為智能，且其攻擊目標和代碼組成也有較大區(qū)別。卡巴斯基認為，Stuxnet和Flame病毒應該不是同一個(或一群)程序員所為。Flame病毒的攻擊機制更為復雜，且攻擊目標具有特定地域的地點，這或許表明，Flame病毒的幕后團隊很可能由政府機構操縱。

一些網絡安全專家認為，Flame可能也是系列病毒攻擊的組成部分，即主持散布Stuxnet和DuQu病毒的幕后團隊，同時也聘請其他程序員開發(fā)了Flame病毒。

據悉，Flame病毒最早可能于2010年3月就被攻擊者放出，但一直沒能被其他安全公司發(fā)現，“Flame包含了大量代碼。而過去兩年中一直沒有被安全公司檢測到，這種現象相當令人感到奇怪?！币恍┚€索暗示，Flame出現的最早時間甚至可追溯到2007年。外界認為，Stuxnet和DuQu兩款病毒的創(chuàng)建時間也大概為2007年前后。