典型APT攻击

典型APT攻击

震网：标志着网络攻击对象已经从传统的计算机网络拓展到工业控制系统

2010年9月，伊朗称布什尔核电站部分员工电脑感染了一种名为“震网（Stuxnet）”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播，并对特定的西门子工业电脑进行破坏。万幸的是，这次电站主控电脑并未感染。

首先，“震网”具有极强的针对性。它会自动依据被感染电脑的语言、IP地址、生产厂商等条件进行判断，如果不是位于伊朗境内的西门子工业电脑，它就会悄悄潜伏起来，以免引起杀毒软件的反应。

其次，这种病毒的渗透力非常可怕。为了防止被病毒感染，工业控制电脑往往自成体系，不通过网络与外界联接，这种做法称为“物理隔离”。有时候，物理隔离会让很多部门产生麻痹思想。“震网”正是利用了这种心态——一开始，它静静地潜伏在普通的个人电脑上，通过USB接口无声无息地感染着一个个优盘，直到某天某个粗心大意的家伙把被感染的优盘插到核电站里的某台电脑上，“震网”就会通过打印机等设备快速感染整个局域网。

由于攻击目标是与外界物理隔离的工业电脑，因此“震网”并不以盗窃信息为首要目标，而是“自杀式攻击”——利用一些漏洞伪装自己，夺取控制权，随后向该电脑控制的工业设备传递错误命令，令整个系统自我毁灭。

Flame：世界上最复杂、最危险的病毒

Flame病毒（又名火焰病毒）是于2012年5月被卡巴斯基首次发现的超级电脑病毒，其构造十分复杂，危害性巨大，可以通过USB存储器以及网络复制等多种方式传播，并能接受来自世界各地多个服务器的指令，堪称目前世界上最复杂、最危险的病毒。

该病毒由卡巴斯基首先发现，并根据该病毒内部代码所含字样，而将其命名为“Flame”。卡巴斯基称，Flame实际上是一个间谍工具包。至少过去两年中，Flame病毒已感染了伊朗、黎巴嫩、叙利亚、苏丹、其他中东和北非国家的相应目标计算机系统。

卡巴斯基称，与曾经攻击伊朗核项目计算机系统的Stuxnet病毒的相比，Flame病毒不仅更为智能，且其攻击目标和代码组成也有较大区别。卡巴斯基认为，Stuxnet和Flame病毒应该不是同一个(或一群)程序员所为。Flame病毒的攻击机制更为复杂，且攻击目标具有特定地域的地点，这或许表明，Flame病毒的幕后团队很可能由政府机构操纵。

一些网络安全专家认为，Flame可能也是系列病毒攻击的组成部分，即主持散布Stuxnet和DuQu病毒的幕后团队，同时也聘请其他程序员开发了Flame病毒。

据悉，Flame病毒最早可能于2010年3月就被攻击者放出，但一直没能被其他安全公司发现，“Flame包含了大量代码。而过去两年中一直没有被安全公司检测到，这种现象相当令人感到奇怪。”一些线索暗示，Flame出现的最早时间甚至可追溯到2007年。外界认为，Stuxnet和DuQu两款病毒的创建时间也大概为2007年前后。