“火焰”病毒點燃網絡戰火

2012年5月27日，一種名為“火焰”（Flame，全名為Worm.Win32.Flame）的新型電腦病毒被發現。從媒體披露的細節來看，美國和以色列利用“震網”與“火焰”這樣的新概念武器發動網絡戰的過程，如同好萊塢大片一樣驚心動魄。

“火焰”病毒入侵中東

早在2012年4月，“火焰”病毒就竊取了伊朗石油網絡系統的信息，導致伊朗不得不短暫切斷石油部、石油出口數據中心等機構與互聯網的連接。

2012年5月27日，一種名為“火焰”（Flame，全名為Worm.Win32.Flame）的新型電腦病毒被發現。俄羅斯電腦病毒防控機構卡巴斯基實驗室的統計數據，較為準確地反映出“火焰”病毒的感染和傳播情況。數據顯示，感染該病毒的案例已有500多起。其中，主要發生在伊朗、以色列和巴勒斯坦；蘇丹、敘利亞、黎巴嫩、沙特阿拉伯和埃及等國也有個別案例。

雖然“火焰”病毒攻擊的目標主要集中在中東地區，但由于部分受害用戶可能使用了VPN代理服務，所以“火焰”病毒的傳播已經蔓延到全球其他地區。據估測，世界范圍內受感染電腦數量在1000至5000臺之間。

“火焰”病毒被發現純屬偶然。當時，卡巴斯基實驗室正在尋找一種在中東地區刪除敏感信息的未知病毒。然而，在搜索的過程中，卻意外地發現了一個全新的病毒——Worm.Win32.Flame。

病毒入侵的起始點目前尚不清楚。卡巴斯基實驗室目前已發現，約有80個域名屬于“火焰”病毒的指令與控制基礎設施。其指令與控制服務器所使用的域名，均是使用虛假的身份注冊，并且通過多個注冊商注冊。最早的注冊時間，可以追溯到2008年。

卡巴斯基實驗室的研究報告的分析證實，“火焰”病毒企圖收集伊朗石油行業關鍵信息的目的非常明確。早在2012年4月，“火焰”病毒就竊取了伊朗石油網絡系統的信息，導致伊朗不得不短暫切斷石油部、石油出口數據中心等機構與互聯網的連接。而匈牙利的一個研究組織報告，“火焰”病毒可能已經活躍了5至8年，甚至更長的時間。

“火焰”具備諜報功能

“火焰”病毒是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點。火焰病毒構造十分復雜，被稱為有史以來最復雜的電腦病毒。

據了解，“火焰”病毒以Lua和C++語言寫成，利用微軟公司“視窗”操作系統的一個漏洞侵入電腦。該病毒用了5種不同加密算法，3種不同壓縮技術，和至少5種不同文件格式，包括其專有格式。病毒文件達到20MB之巨，程序代碼打印出來的紙張長度達到2400米。

基于如此復雜的程序構造，“火焰”的“毒性”達到前所未有的水平也就不足為怪。據分析，“火焰”病毒最重要的應用是它的間諜功能。感染該病毒的電腦將自動分析使用者的上網規律、記錄用戶密碼、自動截屏并保存一些文件和通訊信息，甚至可以暗中打開麥克風進行秘密錄音等，然后再將竊取到的這些資料發送給遠程操控該病毒的服務器。如果不是病毒預定的攻擊目標，或者一旦完成搜集數據任務，“火焰”病毒還可自行毀滅，不留下一絲痕跡。最恐怖的是，“火焰”病毒能夠通過藍牙信號傳遞指令。被攻擊者即使關閉了向被感染電腦發送指令的服務器，攻擊者依然可以通過藍牙信號對被感染電腦進行近距離的控制。

防病毒專家說，“火焰”病毒是世界級水平的密碼員制造出來的，因為這個病毒使用了一種從未見過的加密攻擊方法——通過劫持Microsoft Windows系統的升級程序，把自己安裝在目標計算機上。升級程序本來自帶數字簽名證書，以防止程序被篡改，但火焰病毒的制造者能夠偽造這個證書。這類證書使用的是hash算法簽名，這種算法可以把任意的文件內容轉換為簡短的字符串。當一個可執行程序包含合法的數字簽名時，殺毒軟件則不會對這個程序進行監控。火焰病毒正是利用了Microsoft Windows系統的一個未被發現的漏洞，對自身代碼進行數字簽名，使殺毒軟件認為病毒本身擁有來自微軟的數字證書，從而繞過殺毒軟件的查殺。

幕后黑手疑是美國

從“火焰”病毒的復雜結構和攻擊范圍來看，個人電腦黑客或者黑客公司幾乎根本無力研發，“火焰”病毒背后可能有某國官方機構支持。

卡巴斯基實驗室高級研究員舒文伯格說，“火焰”病毒所包含的代碼數量，大約相當于之前發現的“震網”病毒的20倍，且有證據表明“火焰”與“震網”都由同一個組織或者國家控制，“火焰”更像是“震網”計劃的重啟。

“震網”于2010年7月被發現，這種蠕蟲病毒專門針對德國西門子公司設計制造的供水、發電等基礎設施的計算機控制系統。“震網”當年成名的一個重要原因在于其使用了“零日漏洞”攻擊，即病毒編寫者利用自己發現的4個系統漏洞，在軟件公司發布補丁之前發起攻擊。而“火焰”病毒利用的已知漏洞中，就包括“震網”曾攻擊的兩個漏洞。

美國網絡安全專家羅杰?克雷西認為，“火焰”病毒的主要目的是在中東地區的計算機網絡中搜集情報，而伊朗則是首要目標之一。此外，它的攻擊特點帶有很強的“美國特色”。有不愿透露姓名的業內人士稱，“火焰”病毒很可能出自美國國家安全局（NSA）之手，而此前則有“震網”由美國中央情報局（CIA）設計的說法。

直到最近，美國媒體才從美國、歐洲國家和以色列的前任和現任官員口中獲悉驚天秘密——先前入侵伊朗電腦系統并造成巨大破壞的“震網”以及“火焰”病毒，確實是美國和以色列聯手研發的網絡武器。其首要目的在于搜集情報，并通過破壞關鍵設備拖慢德黑蘭核計劃的進程。從媒體披露的細節來看，美國和以色列利用“震網”與“火焰”這樣的新概念武器發動網絡戰的過程，如同好萊塢大片一樣驚心動魄。

《紐約時報》在2012年6月1日報道說，2006年，時任美國總統小布什被告知，用網絡武器阻滯伊朗鈾濃縮進程，比普通的破壞活動更有效。隨即，白宮便批準了代號“奧林匹克運動會”的項目，美國國家安全局、中央情報局和以色列軍方參與其中。行動的第一個步驟是，由美方研發網絡戰“道具”并收集情報，確認攻擊目標。

經過大約兩年密謀，“奧運會”行動悄然進入執行階段。首先，中情局派間諜將“震網”病毒植入伊朗核技術人員的電腦中，借后者之手，成功讓病毒“混進”伊朗納坦茲核電站的計算機系統。據分析，“震網”侵入由德國西門子公司為伊朗核設施設計的計算機控制系統后，獲得控制系統數據，進而指揮離心機高速運轉，最終導致伊朗的5000臺離心機中有近1000臺癱瘓。白宮后來評估稱，伊朗核計劃進程因此推遲了一年半到兩年。

種種異狀也曾引起伊方困惑，但他們始終沒想到計算機系統已被“攻陷”，反而歸咎于機器零件質量差、操作失當。伊方為此派人在工廠“蹲點”，仍未發現問題的根源。然而，世上沒有不透風的墻。此后不久，通過伊朗工程師的便攜式電腦，“震網”病毒終于“逃出”納坦茲核電站，迅速蔓延到整個互聯網。

“火焰”的“兄弟”在中東出沒

“火焰”病毒來源尚未理清，“火焰”的“兄弟”近日出現在中東。

俄羅斯電腦病毒防控機構卡巴斯基實驗室2012年8月9日發布報告，宣布在中東地區發現了一種新型設計復雜的電腦病毒，它可以監視銀行交易，并竊取社交網站、電子郵件以及即時通信等注冊信息。這種病毒以代碼中發現的名字“高斯”命名。報告還說，從其代碼、結構和運行方式來看，這種被稱為“高斯”的新型電腦病毒，與之前發現的“火焰”和“網震”電腦病毒，在很大程度上存在關聯。卡巴斯基確認超過2500臺電腦遭“高斯”侵入，其中大部分在黎巴嫩境內，預計受攻擊電腦的總數數以萬計，攻擊的主要對象包括貝魯特銀行、比卜魯斯銀行、黎巴嫩信貸銀行、BLOM銀行和花旗銀行黎巴嫩分行等的用戶賬號。

卡巴斯基實驗室沒有就“高斯”的幕后主使作出推測，僅斷定“高斯”與先前入侵中東地區國家電腦系統的多個病毒“同宗”。技術人員說，“高斯”和“火焰”病毒由同一個程序平臺搭建，代碼類似，程序語言相同，并且能夠憑借類似“火焰”的手法感染沒有連接互聯網的電腦。卡巴斯基實驗室認為，“高斯”和“火焰”病毒應該出自同一開發者之手。一些分析人士指出，考慮到美國政府一直懷疑黎巴嫩銀行為敘利亞和黎巴嫩真主黨提供金融轉賬服務，此次“網絡間諜活動”極有可能是由美國發起。

“網絡戰爭”：

“第五個領域的戰爭”

美國是世界上首個提出“網絡戰爭”概念并將這種戰爭實戰化的國家，而且將“網絡戰爭”認定為與陸地、空中、海上和太空戰爭領域并列的“第五個領域的戰爭”。

戰爭是國與國對抗的一種形式，網絡戰是國與國在網絡上對抗的形式。自世界各國接入互聯網以來，一場以鍵盤、鼠標為武器的新形態戰爭便悄然拉開了序幕。

美國是世界上首個提出“網絡戰爭”概念并將這種戰爭實戰化的國家，而且將“網絡戰爭”認定為與陸地、空中、海上和太空戰爭領域并列的“第五個領域的戰爭”。2010年，美國網絡司令部全面運作，英、俄、印、日、韓等國緊隨其后。2011年，美國公布《網絡空間國際戰略》，將網絡戰略提升到國家戰略的高度。借助媒體報道，通過戰例對網絡戰爭的戰法已可以看到比較清晰的輪廓。

早在1991年的海灣戰爭中，美軍就對伊拉克實施了網絡戰。開戰前，美國中央情報局派特工到伊拉克，將其從法國購買的防空系統使用的打印機芯片換上了染有計算機病毒的芯片。在戰略空襲前，又用遙控手段激活了病毒，致使伊防空指揮中心主計算機系統程序錯亂，防空系統的C3I系統失靈。

在1999年的科索沃戰爭中，網絡戰的規模和效果都有增無減。南聯盟使用多種計算機病毒，組織“黑客”實施網絡攻擊，使北約軍隊的一些網站被垃圾信息阻塞，北約的一些計算機網絡系統曾一度癱瘓。北約一方面強化網絡防護措施，另一方面實施網絡反擊戰，將大量病毒和欺騙性信息注入南聯盟軍隊的計算機網絡系統，致使南聯盟防空系統陷于癱瘓。

2011年3月22日，“美國之音”網站突然遭到篡改，同時受到破壞的還有95個關聯網站。伊朗官方通訊社隨后發布消息，確認伊朗網軍實施了這次“進攻”。事后美國網絡安全專家杰弗里?卡爾表示，伊朗網軍很有實力，絕不是菜鳥。伊朗網軍的這個戰例是一種一個國家針對另一個國家目標的網絡游擊戰，主要目的是報復和制造恐慌與混亂。

2008年，俄羅斯和格魯吉亞爆發南奧塞梯戰爭。7月20日，格政府網站的服務器受“分布式拒絕服務攻擊”，瀕臨崩潰。格魯吉亞的電視媒體、通信系統和交通系統均受到了攻擊。8月8日，俄羅斯軍隊進入格魯吉亞南奧塞梯后，格魯吉亞的網站遭到全面封鎖。無奈之下，格魯吉亞總統薩卡什維利向波蘭總統萊赫?卡欽斯基“求救”。

新一輪網絡戰已經打響

歷史也提醒我們，任何一種戰爭形態的出現，就像又打開了一個“潘多拉魔盒”；它的后果，可能遠遠超出我們的掌控。

與以往炮火紛飛的傳統作戰方式不同，網絡戰是一種隱蔽無聲的全新作戰方式，它不僅活躍在戰爭和各類沖突中，而且閃爍于平時的各種政治、經濟、軍事、文化和科技等活動中。不論是哪個國家和民族，要想立足未來，必須占領互聯網這個制高點。

互聯網起源于美國。美國始終牢牢掌握著互聯網的最終控制權，操縱互聯網域名與地址管理公司，控制互聯網運行的中樞神經“根服務器”，可以拒絕任何人訪問互聯網，讓任何一個國家從互聯網上消失，任意監控他國互聯網主機，隨時監視他國互聯網使用情況。根據美國的國防新預算，美方在網絡戰方面的投入力度顯著加大。

此次“火焰”病毒的肆虐，也給我們帶來了重要啟示：首先，網絡戰武器已經走向系列化和專業化，以適應網絡特種戰、網絡情報戰、網絡毀癱戰和網絡心理戰等多種作戰樣式的特殊需要。比如，“震網”病毒是一種典型的網絡特種戰武器，它以破壞敵方特定的物理目標為主，是網絡空間的“特種部隊”。而“火焰”病毒則是一種典型的網絡情報戰武器，其使命是長期隱蔽地收集目標國的各類情報，是潛入敵國網絡空間的“間諜”。

虛擬的網絡世界，正逐漸成為真實廝殺的新戰場，暗戰與博弈已經進入數字化時代。可是，網絡戰爭不是一個好玩的虛擬游戲。歷史也提醒我們，任何一種戰爭形態的出現，就像又打開了一個“潘多拉魔盒”；它的后果，可能遠遠超出我們的掌控。

（作者單位：淮南聯合大學）