今年是“震网”病毒发动首次攻击第十个年头。作为全球第一个国家级网络武器,不仅令伊朗国骄傲的核计划“流产”,还以谜一样的背景和如何步步为营地进行潜伏渗透最终给出致命一击。
震网病毒初始感染靠荷兰情报机构雇佣的内鬼操作完成。
不止于美国以色列,“超级武器”行动另涉三国。
比如伊朗使用了德国西门子离心机。
在抽丝剥茧,层层剖析,“超级武器”如何上演摧毁“核武器”大战之时,我们先来认识下“参战国”。
实际上,除美国以色列两个国家外,“摧毁伊朗核计划”行动还得到了荷兰、德国、法国三个国家的支持,故而“震网武器”行动又名“奥林匹克”行动,五国分别代表了奥林匹克上的五环。他们一起合作、通过线上线下情报、物理和网络的完美结合,步步紧逼,完成了长达六年的渗透、入侵行动,把伊朗重新拉回了谈判桌。
五国参与机构及其分工:
美国:国家情报局NSA、中央情报局CIA,承担提供网络武器之责;
以色列:摩萨德、国防部和电子情报国家小组,负责支持网络武器和伊朗情报;
荷兰:情报机构AIVD,荷兰人在“行动”中具有其独特的地位:不仅提供有关伊朗从欧洲采购非法核计划设备的活动的关键情报,还承担设置间谍公司、实际投递的“重要之职”;
德国、法国:提供西门子公司生产的离心机相关的技术细节和知识。
20世纪70年代,巴基斯塔核物理科学家阿卜杜勒·卡迪尔·可汗(Adbul·Qadeer·Khan) 从一家荷兰公司偷走用于分离铀产物的西门子离心机和相关蓝图,向其他国家出售。
1996年,可汗把离心机(数千台)和蓝图,卖给伊朗和利比亚,支持各自的核武器计划。
2000年,位于纳坦兹(Natanz)核工厂破土动工,计划建造一座能够容纳5万台旋转离心机以富集铀气的设施。荷兰情报机构AIVD潜入伊朗某核心国防组织,获取伊朗核计划相关情报。
2002年,伊朗异见政治组织在华盛顿开发布会,公开曝光伊朗的核计划,引起联合国和西方国家重视。 (叛徒内奸各国都有)
2003年,英美情报部门联合行动截获了一批(约数千)可汗卖往利比亚离心机。这批离心机组件与在纳坦兹使用的型号相同。
在谈判中,放低对利比亚的制裁为条件,利比亚同意放弃核计划,退还所有已经收到的离心机。
利比亚投降。
2004年,IAEA(国际原子能组织)试图进一步调查伊朗核计划,伊朗表面同意放弃计划,但仍在计划暗中筹划。 美国获取了被扣押的利比亚离心机(同运往纳坦兹的是同一款),并运到位于田纳西州的橡树岭国家实验室进行分析,以确定伊朗需要多长时间才能充满足够的气体来制造**,而植入干扰和破坏离心机的网络武器的计划,也自此诞生。
摩萨德努力下,以色列驻荷大使、美国驻荷大使馆CIA官员同AIVD(荷兰情报机构)代表见面,开始制定对伊朗核武器的情报计划,当年只停留在情报层面,未制定针对工控系统的攻击计划。一方面因为AIVD在伊朗的间谍网还不够坚实,当时,荷兰情报机构在伊朗仅一名间谍,在CIA和摩萨德的请求后,开始在伊朗设立间谍网,建立两条情报获取的线路,每条线路都涉及一家当地的和核工厂有关皮包公司,尝试通过内部打入纳坦兹。
2005年,伊朗撕毁核武器协议,开始核武器研制计划。
2006年2月,第一批产物从纳坦兹的实验工厂产出。在伊朗“高歌猛进”核计划时,大洋的彼岸,用于攻击“核武器”的网络武器已研制完毕,并在搭建模拟环境成功实现攻击测试,乔治布什确认了成功后授权秘密行动,即“奥林匹克”行动。
2007年2月,伊朗正式启动核计划,在纳坦兹安装离心机。5月,伊朗在纳坦兹安装1,700台富含天然气的离心机,并计划在夏天前,再安装两倍的离心机。但就在2007年夏天之前,荷兰间谍已经成功潜入了。
荷兰特工建立的第一家公司未能进入纳坦兹,因该公司的成立方式存在问题,并且“伊朗人已经开始怀疑”他的存在。在以色列的援助下,第二家公司的间谍,伪装成维修工成功潜入了纳坦兹。虽然他的工作并不能直接接触到离心机,但该间谍利用几个月里多次进入纳坦兹机会,持续收集相关信息。研制网络武器的小组将“震网”设计为只在特定的网络和配置下才发作。
(备注,在此次披露的消息中,并没有提供特工所收集的信息,但依据震网病毒本身是一种精确攻击,只有在发现非常具体的设备配置和网络状况时才会进行破坏。使用特工提供的信息,攻击者能够更新代码并提供一些攻击精确度。
事实上,有证据表明在此期间发生的代码更新。根据安全公司赛门铁克公司对震网病毒进行逆向分析发现,攻击者在2006年5月和2007年2月对代码进行了更新,并于2007年9月24日对代码进行了最后的修改,修改了完成攻击所需的关键功能,并在该日期编译了代码。编译代码就是启动它之前的最后阶段。此前代码的修改与更新也暗示了荷兰间谍在2007年提供的情报对此版本有所贡献。)
9月24日,第一批攻击的代码完成。该代码旨在关闭随机数量的离心机上的出口阀门,致使铀能进不能出,此举提升了离心机内部压力,损坏离心机,并浪费铀。
由于纳坦兹的离心机网络是隔离的,离心机工程师会用U盘拷代码进离心机网络,因此间谍要么是直接把U盘插到了离心机网络,要么是感染了工程师,接着让工程师带入感染后的代码。
2008年,震网成功影响了离心机。荷兰间谍再也没有回去过纳坦兹,这一年,恶意软件也被删除了。
2009年,美国不满足于当前的结果,决定改变策略并于当年6月,以及在2010年的3、4月再次推出新版本。新版本代码改进版的离心机破坏部分,随机地提高离心机转速到超出设计范围,再降低,试图进一步破坏离心机本身和萃取过程。 这一次可能由于他们失去了潜伏到纳坦兹的路径,选择了一个更容易被曝光的激进方案:散播无差别攻击传播的感染版本到五家纳坦兹的合作公司。这一次行动失控了,攻击迅速蔓延到这五家公司的合作伙伴、客户,并最终导致安全公司发现了这一网络武器。
2010年6月,震网病毒首次被安全专家检测出来,成为世界史上首个超级网络破坏性武器。事实上,震网病毒有很多个全球公认的“第一”——世界上第一款军用级网络攻击武器,世界上第一款针对工业控制系统的木马病毒,世界上第一款能够对现实世界产生破坏性影响的木马病毒。