美國(guó)APT供應(yīng)鏈打穿伊朗物理隔離的核工廠案例分析（第2篇）

 Part1 前言 

大家好，我是ABC_123。在上一篇文章《第74篇：美國(guó)APT網(wǎng)絡(luò)攻擊破壞伊朗核設(shè)施全過程復(fù)盤分析（震網(wǎng)病毒上篇）》中，我詳細(xì)介紹了美國(guó)APT組織如何通過網(wǎng)絡(luò)攻擊破壞伊朗核設(shè)施工廠的流程，并著重描述了美國(guó)NSA在此之前所做的準(zhǔn)備工作。多數(shù)讀者一直認(rèn)為震網(wǎng)病毒是通過特工將帶有病毒的U盤插入核設(shè)施工廠內(nèi)部網(wǎng)絡(luò)，但這個(gè)說法并不準(zhǔn)確，后續(xù)的震網(wǎng)病毒已經(jīng)實(shí)現(xiàn)了自動(dòng)化入侵絕對(duì)物理隔離的伊朗核設(shè)施工控內(nèi)網(wǎng)。這聽起來令人難以置信，一個(gè)病毒怎么可能自動(dòng)化突破國(guó)家級(jí)別的物理隔離呢？然而美國(guó)APT組織確實(shí)成功實(shí)施了這一行動(dòng)，他們采用的方法正是現(xiàn)在國(guó)內(nèi)攻防比賽中對(duì)于難打目標(biāo)的主戰(zhàn)打法——供應(yīng)鏈攻擊。

 Part2 供應(yīng)鏈攻擊思路 

• 供應(yīng)鏈攻擊誕生的背景

早期美國(guó)政府通過荷蘭招募的特工成功把藏有震網(wǎng)病毒0.500版本的U盤帶入伊朗納坦茲核工廠的工控內(nèi)網(wǎng)，并成功插入工控系統(tǒng)的重要主機(jī)，導(dǎo)致一批離心機(jī)損壞。后期特工進(jìn)入核設(shè)施工廠越來越困難，奧巴馬總統(tǒng)上臺(tái)之后，美國(guó)政府要求美國(guó)NSA修改病毒代碼，實(shí)現(xiàn)通過編程手段讓震網(wǎng)病毒自動(dòng)進(jìn)入伊朗核設(shè)施，由此誕生了震網(wǎng)病毒1.x系列。該版本病毒內(nèi)置4個(gè)windows操作系統(tǒng)級(jí)別的0day漏洞，在內(nèi)網(wǎng)中可以通過網(wǎng)絡(luò)共享目錄、U盤傳播、快捷方式解析漏洞、打印后臺(tái)服務(wù)漏洞來橫向傳播。

• 挑選5家核工廠的供應(yīng)鏈公司

美國(guó)APT組織的思路非常巧妙，雖然伊朗核設(shè)施內(nèi)網(wǎng)是絕對(duì)物理隔離不通外網(wǎng)的，但是諾大的核設(shè)施工廠，里面的軟件系統(tǒng)、硬件系統(tǒng)、水管電力等需要人更新維護(hù)，這就需要承包商的技術(shù)人員進(jìn)入核設(shè)施工廠以內(nèi)去進(jìn)行維護(hù)，于是震網(wǎng)病毒1.x版本的攻擊思路就非常明顯了。它首先感染這些承包商的公司內(nèi)網(wǎng)，然后獲取相關(guān)技術(shù)人員的電腦權(quán)限，把病毒自身復(fù)制到這些技術(shù)人員的筆記本電腦或者U盤中，等到這些技術(shù)人員下次進(jìn)入核設(shè)施工廠內(nèi)部時(shí)，一旦他們將筆記本或者U盤連接到工控內(nèi)網(wǎng)中，這些震網(wǎng)病毒會(huì)立馬蘇醒，開始自動(dòng)化地進(jìn)行內(nèi)網(wǎng)橫向傳播與滲透，尋找工控系統(tǒng)的工作站機(jī)器、操作員機(jī)器，改變下發(fā)給PLC的指令，進(jìn)而改變離心機(jī)轉(zhuǎn)速，導(dǎo)致離心機(jī)損壞或爆炸。

為此，美國(guó)APT組織結(jié)合前期獲取到的情報(bào)，重點(diǎn)挑選了伊朗納鉭茲核設(shè)施工廠的5家供應(yīng)商進(jìn)行網(wǎng)絡(luò)入侵，可以看到這5家公司都位于伊朗，其業(yè)務(wù)都與工業(yè)控制系統(tǒng)SCADA、工控集成，或者是某些核設(shè)施工廠內(nèi)部需要的管道設(shè)備、電力零部件、設(shè)備部件的相關(guān)公司等等。最重要的是他們都是納鉭茲核設(shè)施工廠的承包商，而且經(jīng)常有員工出入工控系統(tǒng)內(nèi)網(wǎng)，為震網(wǎng)病毒的傳播提供了通道。美國(guó)APT組織先后于 2009年6月、2010年3月和2010年4-7月發(fā)起了三輪攻擊，值得注意的是，百坡炯這家公司同時(shí)被3個(gè)版本的震網(wǎng)病毒在3次供應(yīng)鏈入侵中攻擊。

ABC_123通過網(wǎng)絡(luò)搜索，將這5家供應(yīng)鏈公司的簡(jiǎn)介整理如下，希望能讓讀者直觀感受到美國(guó)APT挑選這5家公司進(jìn)行入侵的緣由。

弗拉德技術(shù)工程公司。FOOLAD Technic Engineering Co(FIECO)公司為伊朗工業(yè)設(shè)施（主要為生產(chǎn)鋼鐵和電力）生產(chǎn)自動(dòng)化系統(tǒng)，擁有許多伊朗最大的工業(yè)企業(yè)的數(shù)據(jù)、圖紙和計(jì)劃。

百坡炯工業(yè)自動(dòng)化公司。Behpajooh Co. Elec & Comp. Engineering公司，位于伊朗-伊斯法罕，靠近伊朗新的鈾轉(zhuǎn)化工廠，該工廠的任務(wù)是把鈾礦轉(zhuǎn)化為鈾化物氣體，作為納鉭茲鈾濃縮的原料。主要業(yè)務(wù)包括電子設(shè)計(jì)與制造、計(jì)算機(jī)系統(tǒng)集成、自動(dòng)化控制系統(tǒng)、網(wǎng)絡(luò)和通信技術(shù)等，主要開發(fā)工業(yè)自動(dòng)化系統(tǒng)，為其它公司安裝Wincc、Step7、西門子S7-400型PLC等。

尼達(dá)工業(yè)集團(tuán)。Neda Industrial Group公司，業(yè)務(wù)包括設(shè)計(jì)、安裝工業(yè)控制系統(tǒng)，該公司的業(yè)務(wù)包括包括建筑、工程、制造和能源等，在建筑領(lǐng)域承擔(dān)了許多大型項(xiàng)目，涵蓋了住宅、商業(yè)和基礎(chǔ)設(shè)施等不同類型的建筑。該公司在工程領(lǐng)域擁有豐富的經(jīng)驗(yàn)，參與了道路、橋梁、隧道和水利等基礎(chǔ)設(shè)施項(xiàng)目的建設(shè)。

高士達(dá)自動(dòng)化公司。Control-Gostar Jahed Company是伊朗的一家工業(yè)自動(dòng)化公司，業(yè)務(wù)包括設(shè)計(jì)、安裝工業(yè)控制系統(tǒng)，致力于為各種行業(yè)提供自動(dòng)化和控制系統(tǒng)的設(shè)計(jì)、開發(fā)和實(shí)施。他們的解決方案涵蓋了工業(yè)自動(dòng)化、過程控制、機(jī)器人技術(shù)、智能建筑系統(tǒng)等領(lǐng)域，與伊朗最大的石油生產(chǎn)、冶金、能源等企業(yè)有著非常深入的合作。

卡拉楊電力公司。Kala Electric公司是一家專注于電氣工程和制造的公司。他們致力于提供高質(zhì)量的電氣設(shè)備和解決方案，是鈾濃縮離心機(jī)設(shè)備IR-1最主要的供應(yīng)商，同時(shí)實(shí)際任務(wù)是管理Natanz工廠和為核計(jì)劃秘密采購設(shè)備部件。

 Part3 供應(yīng)鏈攻擊與傳播流程 

• 震網(wǎng)病毒1.001版本

在2009年6月22日，震網(wǎng)病毒1.001版本編譯上線，它增加了兩種傳播方式。一種是通過U盤傳播，利用Windows的Autorun功能；另一種是利用打印后臺(tái)服務(wù)的一個(gè)0day漏洞，通過拿下其它主機(jī)權(quán)限進(jìn)行傳播。

在2009年6月29日星期一晚上11點(diǎn)20分，當(dāng)天德黑蘭街道出現(xiàn)了游行示威運(yùn)動(dòng)，悼念在近期抗議活動(dòng)中的遇害者。當(dāng)天晚上，震網(wǎng)病毒攻擊了百坡炯公司。2009年7月7日凌晨5點(diǎn)，震網(wǎng)病毒攻擊了尼達(dá)工業(yè)集團(tuán)的計(jì)算機(jī)和高士達(dá)工業(yè)自動(dòng)化公司。2009年7月22日，尼達(dá)公司在西門子論壇發(fā)帖子抱怨dll文件反復(fù)報(bào)錯(cuò)。這幾家公司被入侵之后，在6月到8月之間，伊朗的核設(shè)施的運(yùn)行狀態(tài)的離心機(jī)數(shù)量開始出現(xiàn)下滑。

• 震網(wǎng)病毒1.100版本

2010年1月19日，伊朗拒絕了美國(guó)政府提出的緩解核武研發(fā)計(jì)劃的方案。6天后，美國(guó)震網(wǎng)團(tuán)隊(duì)完成了新一輪攻擊的準(zhǔn)備工作。2010年1月25日，震網(wǎng)攻擊者為新版震網(wǎng)中的兩個(gè)驅(qū)動(dòng)程序文件簽發(fā)了從臺(tái)灣瑞昱公司盜取的數(shù)字證書。2010年3月1日，震網(wǎng)病毒1.100編譯完成，新增了2個(gè)提權(quán)0day漏洞、快捷方式文件解析0day漏洞傳播方式。

2010年3月23日，伊朗傳統(tǒng)新年諾魯孜節(jié)公共假期最后一天發(fā)動(dòng)攻擊，大部分伊朗上班族還在家中與家人和朋友過年，而震網(wǎng)恰恰選在這個(gè)時(shí)刻發(fā)動(dòng)新一輪攻擊。這次震網(wǎng)病毒只選擇了一家公司作為攻擊目標(biāo)，就是百破炯公司。

而以色列急攻心切，決定大干一場(chǎng)，對(duì)伊朗核設(shè)施的離心機(jī)發(fā)起全面攻擊，在未得到美國(guó)NSA同意的情況下，私自在震網(wǎng)病毒代碼中插入新的功能，修改了其傳播機(jī)制，并私自投放了震網(wǎng)病毒修改版本，最終導(dǎo)致震網(wǎng)病毒失控，并擴(kuò)散到全球。以色列打開了潘多拉魔盒，釋放到了病毒，使震網(wǎng)病毒擴(kuò)散到全世界。

• 震網(wǎng)病毒1.101版本

2010年4月14日，震網(wǎng)病毒1.101編譯完成，這是震網(wǎng)病毒最后一個(gè)版本，美國(guó)NSA主要修復(fù)了其傳播機(jī)制，阻止它進(jìn)一步擴(kuò)散。

2010年4月26日，震網(wǎng)病毒再次入侵弗拉德科技公司。2010年5月11日，兩周之后，震網(wǎng)病毒感染了卡拉揚(yáng)電力公司。2010年5月13日，百坡炯公司第3次被攻擊。百坡炯這家公司每次都被選作攻擊目標(biāo)，足以說明它在震網(wǎng)病毒自動(dòng)化入侵過程中的重要作用，而且成功率很高。

• 震網(wǎng)病毒終止日

震網(wǎng)病毒的設(shè)計(jì)者為了保持病毒的可控性，為每一個(gè)版本的病毒設(shè)置了一個(gè)終止日期，所有版本的震網(wǎng)病毒中，最晚的終止日期是2012 年 6 月 24 日。每當(dāng)震網(wǎng)病毒進(jìn)入一臺(tái)新的計(jì)算機(jī)，都會(huì)檢查計(jì)算機(jī)上的日期，如果晚于這個(gè)日期，病毒就會(huì)停下來放棄感染。已經(jīng)被感染機(jī)器上的惡意程序載荷仍然會(huì)繼續(xù)運(yùn)作，但震網(wǎng)病毒將不會(huì)再感染新的計(jì)算機(jī)。

• 震網(wǎng)病毒造成的影響

究竟震網(wǎng)病毒造成了多少離心機(jī)損壞，目前說法不一，預(yù)估有2000臺(tái)以上的離心機(jī)被破壞，但是造成的更嚴(yán)重的影響有兩方面：一是在03年到11年之間，震網(wǎng)病毒不斷給伊朗核設(shè)施工控系統(tǒng)制造麻煩，嚴(yán)重拖慢了伊朗核武研發(fā)進(jìn)程，使其在7、8年的時(shí)間里一直被離心機(jī)故障困擾，使伊朗核計(jì)劃進(jìn)程完全脫離預(yù)定軌道，為此還解雇了一批技術(shù)人員和科學(xué)家；另一個(gè)影響就是震網(wǎng)病毒通過各種方式造成的離心機(jī)的各種故障，導(dǎo)致伊朗的核原料大量的消耗，也造成了離心機(jī)零部件的供應(yīng)緊張，這些對(duì)于伊朗來說都是依賴于進(jìn)口的。

同時(shí)，震網(wǎng)病毒也規(guī)避了軍事行動(dòng)固有風(fēng)險(xiǎn)和代價(jià)，大大減少了人員傷亡和經(jīng)濟(jì)損失，對(duì)伊朗核武研發(fā)計(jì)劃的影響可以與派遣軍機(jī)進(jìn)行空襲轟炸相媲美。

 Part4 未完待續(xù) 

震網(wǎng)病毒以一種隱蔽的方式破壞了伊朗核工廠的離心機(jī)設(shè)備，而且持續(xù)了長(zhǎng)達(dá)6至7年的時(shí)間，而伊朗并未察覺到，震網(wǎng)病毒是如何做到隱蔽這么長(zhǎng)時(shí)間的，其中的手法是超級(jí)復(fù)雜，ABC_123會(huì)在下一篇文章盡可能地給大家講明白，敬請(qǐng)關(guān)注。