freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国以色列针对伊朗制作的震网病毒,竟是荷兰特工带进核工厂
2019-09-04 18:12:39
所属地 天津

按照惯例,先来介绍一下当年关于震网病毒的背景。

2006年

美国军方和情报官员向当时的美国总统提交了一个对伊朗发动网络攻击的提案,名为Olympic Games计划,之后通过一些手段将由美国和以色列联合开发的Stuxnet病毒,又称震网病毒,开始利用四个微软0day漏洞对伊朗核设施进行长期而隐蔽的破坏行动。

2010年3月

震网病毒通过各种途径疯狂传播,在感染伊朗将近 20 万台计算机后,持续向全球扩散。在安全研究员对其进行深入分析后,发现元凶是美国与以色列,同时计划破产。

2010年11月20日

为了规避美国的网络攻击,伊朗纳坦兹的技术人员全面暂停了工厂的铀浓缩活动。

2010年11月22日

所有离心机都停止了运转。

复盘结束,下面进入正题。

荷兰秘密特工协助美以用Stuxnet攻击伊朗设施的内幕


多年来,一个持久的谜团围绕着针对伊朗核计划的Stuxnet病毒攻击:美国和以色列是如何在高度安全的铀浓缩工厂将其恶意软件带入计算机系统的?


根据与雅虎新闻采访的消息人士透露,将装有震网病毒的U盘带入伊朗核工厂的,实际上是荷兰情报人员在美国中央情报局和以色列情报机构摩萨德的要求下招募的内部特工

四位情报人士透露,荷兰情报机构AIVD招募的一名伊朗工程师提供了关键数据,帮助美国开发人员将他们的恶意代码投递到伊朗纳坦兹的系统。当使用U盘将Stuxnet放到这些系统上时,那个特工提供了内部访问权限。(黑鸟:千防万防防不住内鬼)

2004年,荷兰人被要求帮助中央情报局和摩萨德进入该工厂,但直到三年后,这位特工在纳坦兹为一家前线公司工作时,找准机会才将网络武器投递到目标系统。(黑鸟:公司背调的重要性)

中央情报局和摩萨德都没有回应雅虎新闻有关这些信息的询问。AIVD拒绝评论其参与该行动的情况。

现在名为“Olympic Games”的秘密行动的目的不是为了彻底摧毁伊朗的核计划,而是将其暂时搁置一段时间,以便为制裁和外交生效腾出时间。该战略成功地帮助伊朗进入谈判桌,并最终在2015年与该国达成协议。

荷兰参与的启示让人回想起美国及其盟国之间仍然就如何应对伊朗核计划达成广泛合作和强有力的多边协议。

然而这一情况在去年特朗普政府退出伊朗核协议后发生了变化。可谓,特朗普同志辛苦了。

image.png

特朗普总统在宣布美国于2018年5月8日撤出伊朗核协议后,展示了恢复对伊朗制裁的文件。

Olympic Games活动主要是美国和以色列的联合任务,涉及国家安全局,中央情报局,摩萨德,以色列国防部和以色列SIGINT国家部队(相当于以色列的国家安全局)。

但根据消息来源,美国和以色列得到了其他三个国家的援助,因此隐蔽的代号为这世界上最着名的国际体育赛事的五环象征致敬。

三名参赛选手中有两名是荷兰队和德国队。第三个被认为是法国,尽管英国的情报也发挥了作用。


image.png


据消息人士称,德国提供了德国西门子公司生产的工业控制系统的技术规范和知识,这些系统在伊朗工厂用于控制旋转离心机,据信法国提供了类似的情报。

但荷兰人在其中扮演的角色具有其独特的地位:提供有关伊朗从欧洲采购非法核计划设备的活动的关键情报,以及有关离心机本身的信息

这是因为纳坦兹的离心机是基于20世纪70年代巴基斯坦科学家阿卜杜勒·卡迪尔汗从一家荷兰公司偷来的设计。汗偷了设计建造巴基斯坦的核计划,然后继续向其他国家推销它们,包括伊朗和利比亚。(有趣。)

被称为AIVD的荷兰情报机构,以及美国和英国的情报,渗透了卡迪尔汗的欧洲顾问和前线公司的供应网络,这些公司帮助在伊朗和利比亚建立核计划。这种渗透不仅涉及老派的贸易手段,而且还采用了黑客行动,这些行动是作为新兴的数字间谍领域的一部分而发展起来的。

AIVD的网络能力现在众所周知,去年初便有一则消息。

"

荷兰国家情报局(AIVD)曾向美国联邦调查局(FBI)提供了关于俄罗斯政府黑客网络攻击美国大选的“可靠性”关键证据,这些证据来源基于荷兰国家情报局黑客团队多年来对俄黑客组织APT29(CozyBear)的计算机网络和摄像头系统的渗透控制。

"

但在伊朗核计划的早期阶段,AIVD的黑客团队虽然规模很小,但仍处于发展阶段。

多年来一直处于劣势的伊朗核计划于1996年开始高速运转,当时伊朗秘密从卡迪尔汗购买了一套蓝图和离心机部件。

2000年,伊朗在纳坦兹(Natanz)破土动工,计划建造一座能够容纳50,000台旋转离心机以富集铀气的设施。据消息人士称,同年,AIVD攻击伊朗一个重要国防组织的电子邮件系统,以获取有关伊朗核计划的更多信息。


image.png

2003年,英国和美国情报部门截获了一艘载有数千台前往利比亚的离心机部件的船只,这是他们在纳坦兹使用的同型号离心机的组件。这批货物清楚地证明了利比亚的非法核计划。有人说服利比亚放弃该计划以取消制裁,并同意放弃已收到的任何组成部分。

到2004年3月,在荷兰人的**下,美国在利比亚的船上扣押了部件,并将它们运往田纳西州的橡树岭国家实验室和以色列的一个设施。在接下来的几个月里,科学家们组装了离心机并对它们进行了研究,以确定伊朗需要多长时间才能充满足够的气体来制造**,其中出现了破坏离心机的阴谋。

可见,为了收集情报,连重新组装离心机的操作都用上了。

image.png

田纳西州橡树岭的能源部门

而当时,荷兰情报机构已经在伊朗有一名间谍,在中央情报局和摩萨德的请求后,间谍决定建立两条情报获取的线路,每条线路都涉及一家当地的和核工厂有关的前线公司,从而希望有人能成功进入纳坦兹。

然后,他们让特工自己建立了一家虚拟公司,还有雇员清单,并且构建了一个虚拟的时间线。

2005年底,伊朗宣布退出暂停协议,并于2006年2月开始在纳坦兹的一个试验工厂中浓缩其第一批****气体。然而,伊朗人遇到了一些使他们放慢速度的问题,直到2007年2月,他们才通过在纳坦兹的主要大厅安装第一台离心机正式启动了浓缩计划。

而那时,震网病毒攻击代码的开发已经很久了,他们在2006年一段时间用离心机进行了一次破坏试验,并提交给乔治布什总统,乔治布什当时在确认攻击成功后就授权进行秘密行动。


image.png

截至2007年5月,伊朗在纳坦兹安装了1,700台富含天然气的离心机,并计划在夏季将这一数量翻一番。

但是在2007年夏天之前的某个时候,荷兰特工已经潜入了纳坦兹内。

据其中两位消息人士透露,特工建立的第一家公司未能进入纳坦兹,因为该公司的成立方式存在问题,并且“伊朗人已经开始怀疑”他的存在。

然而,第二家公司得到了以色列的援助。这一次,荷兰特工,通过训练成为一名工程师,设法通过冒充机械师进入纳坦兹。

他的工作并不涉及安装离心机,但是他需要在那里收集有关那里系统的配置信息。在几个月的时间里,他显然已经几次回到了纳坦兹。

“他必须多次获取......以收集必要的信息,从而相应地更新病毒”,其中一位消息人士称。(黑鸟:关于病毒需要在不同的攻击场景进行调整的绝妙案例)

消息来源没有提供特工所收集的信息,但Stuxnet本来是一种精确攻击,只有在发现非常具体的设备配置和网络状况时才会进行破坏。使用特工提供的信息,攻击者能够更新代码并提供一些攻击精确度。

事实上,有证据表明在此期间发生的代码更新。根据安全公司赛门铁克公司对Stuxnet进行逆向分析发现,攻击者在2006年5月和2007年2月对代码进行了更新,就像伊朗开始在纳坦兹安装离心机一样。但他们在2007年9月24日对代码进行了最后的修改,修改了完成攻击所需的关键功能,并在该日期编译了代码。

编译代码是启动它之前的最后阶段。

image.png

纳坦兹燃料浓缩厂的鸟瞰图。

该代码旨在关闭随机数量的离心机上的出口阀门,这样气体就会进入它们但却无法排出,这是为了提高离心机内部的压力并随着时间的推移而造成损坏。

这个版本的Stuxnet只有一种传播方式: 通过U盘传播。纳坦兹的西门子控制系统不会连接外网,所以攻击者必须找到一种方法来跳过这个差距来感染他们。

Natanz的工程师对控制系统进行编程,将代码加载到U盘上,因此特工通过将USB插入控制系统直接安装恶意代码,或者通过感染了工厂工程师的系统,然后工程师在编程时无意中运行了Stuxnet。

在攻击完成后,特工在也没有回去过纳坦兹,直到2008年,恶意软件被删除了。

2009年,攻击者决定改变策略并于当年6月,以及次年的3、4月再次推出新版本的代码,这个版本不是关闭离心机上的阀门,而是改变离心机旋转的速度,或者将它们加速到超过它们设计旋转和减速的水平,目的是破坏离心机并破坏浓缩过程的效率

值得注意的是,攻击者还在2007年9月24日更新并编译了此版本的攻击代码,当时他们编译了第一个版本的代码,暗示荷兰特工在2007年提供的情报可能对此版本有所贡献。

然而,当这个代码的后续版本被释放时,攻击者已经失去了他们通过特工享受的内部访问纳坦兹的权限( 或许他们根本不再需要权限)。他们通过恶意软件感染了会进入工厂的人员,并将这个版本的Stuxnet载入纳坦兹。

这些目标是五家伊朗公司的雇员,他们都是在纳坦兹和伊朗其他工厂安装工业控制系统的承包商,而他们就这样成了不知内幕的恶意软件的载体,不过网传是被收买。

当时的漏洞(CVE-2010-2568 ),利用了该漏洞的U盘,只要插入存在漏洞的核工厂工业控制系统的电脑即可运行恶意代码。

赛门铁克安全研究员称:"令人惊讶的是,在发现病毒10年后,我们仍然可以深入了解Stuxnet的发展过程,有趣的是,他们对Stuxnet的第一个版本有相同的策略,但新版本同样需要通过手动操作植入恶意代码。"

研究人员表明,后来版本的Stuxnet战术的变化可能表明攻击者的能力有所改善,以至于他们不再需要内部特工。

“也许......早在2004年,他们没有能力以自动方式做到这一点,但五年之后,他们能够在没有人员接应的情况下完成整个攻击。”

但他们后来的策略有一个不同的缺点。攻击者为此版本的代码添加了多种传播机制,以增加它到达Natanz内部目标系统的可能性。这导致Stuxnet严重失控,首先是五个承包商的其他客户,然后是全球数千台其他机器,导致Stuxnet在2010年6月的发现和公众曝光。

这就是蠕虫的牛逼之处。

image.png

2014年1月,伊朗纳坦兹核电站的国际原子能机构视察员和伊朗技术人员。

在Stuxnet被发现几个月之后,以色列的一个网站表示伊朗已经逮捕并可能在纳坦兹处决了几名工人,因为伊朗官员相信是他们帮助将恶意软件送到工厂的系统上。

image.png


虽然Stuxnet没有显着挫败伊朗的计划,由于其过早的发现,它确实有助于争取外交和制裁时间,以便将伊朗带入谈判桌。Stuxnet也改变了战争的本质并发起了网络战争时代。

它使包括伊朗在内的其他国家看到了利用进攻性网络行动实现政治目标的价值。

因此,网络战的万恶之源,还是美国。

原文链接:

https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html

顺便一提,荷兰是什么国家,事实上,黑鸟此前曾写过关于某个经常在外网公布关于我国的隐秘数据的荷兰官员,也顺便介绍了荷兰的背景,直觉告诉我此人和荷兰的情报工作有关。



上期阅读

image.png

▲点击此处

image.png

# stuxnet # 美国 # 震网 # 以色列 # 荷兰情报
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者