根据安全专家对恶意软件的调查,一种旨在窃取工业机密的复杂蠕虫已经比以前想象的时间长了很多。
称为Stuxnet,蠕虫直到7月中旬才发现调查人员与位于白俄罗斯明斯克的安全厂商VirusBlockAda发现了这一情况。这种蠕虫不仅因其技术复杂而引人注目,而且因为它针对的是用于运行工厂和发电厂的工业控制系统计算机。现在,赛门铁克的研究人员表示他们已经确定了早期版本的蠕虫是在2009年6月创建的,而且恶意软件在2010年初更加复杂。
[更多阅读:如何从Windows PC中删除恶意软件]
Stuxnet的早期版本其行为方式与目前的版本相同 - 它试图与西门子SCADA(监控和数据采集)管理系统连接并窃取数据 - 但它并未使用某些较新的蠕虫更为显着的技术来逃避防病毒检测,将其自身安装在Windows系统上。杀毒软件供应商卡巴斯基实验室的研究员Roel Schouwenberg表示,这些功能可能在最新检测到最新蠕虫病毒之前几个月才会增加。 “毫无疑问,这是迄今为止我们所见过的最复杂的有针对性的攻击,”他表示。“在创建Stuxnet之后,其作者添加了新软件,允许它在USB设备之间传播,而且几乎不受干扰。而且他们还设法得到属于芯片公司Realtek和JMicron的加密密钥,并对恶意软件进行数字签名,这样防病毒扫描程序就能更快地检测到它。Realtek和JMicron在新竹科学部门都设有办事处台湾新竹的Park和Schouwenberg认为,有人可能通过物理访问两家公司的计算机窃取了密钥。
安全专家说,这些有针对性的攻击已经持续了多年,但最近才开始引起主流关注,在Google披露它被Aurora攻击为目标之后。
Aurora和Stuxnet均利用Microsoft产品中未修补的“零日”缺陷。但Schouwenberg说,Stuxnet在技术上比谷歌攻击更为显着。 “极光的零日,但对IE6是零日,”他说。 “在这里,你有一个漏洞,对Windows 2000以后的所有版本的Windows都有效。”
周一,微软公司针对Stuxnet用来从系统传播到系统的Windows漏洞进行了早期修补。微软发布了这一更新,就像Stuxnet攻击代码开始用于更加恶毒的攻击一样。
尽管Stuxnet可能被伪造者用来窃取工业机密 - 例如制造高尔夫球杆的工厂数据, Schouwenberg怀疑一个民族国家是袭击事件的幕后控制者。
迄今为止,西门子称其四名客户已经感染了该蠕虫病毒。但所有这些攻击都影响到工程系统,而不是工厂中的任何东西。尽管第一版蠕虫病毒是在2009年6月编写的,但是目前还不清楚这个版本是否被用于真实世界的攻击。 Schouwenberg认为,第一次攻击可能早在2009年7月。赛门铁克安全技术和响应副总裁Vincent Weafer说,赛门铁克首次确认的攻击事件发生在2010年1月。大多数受感染系统位于伊朗,他补充说,尽管印度,印度尼西亚和巴基斯坦也受到打击。 Weaver说,这本身非常不寻常。 “这是20年来我第一次记得伊朗出现如此严重。”
Robert McMillan涵盖了
IDG新闻服务
的计算机安全和通用技术突发新闻。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]