摩薩德的秘密武器:Stuxnet病毒開啟網絡戰爭新時代

以色列對外情報機關摩薩德憑借一種名為“Stuxnef”的電腦病毒襲擊了伊朗的鈾濃縮工廠。Sfuxnet病毒是第一個具有地緣政治意義的數字武器，它的出現將極大地改變戰爭的進行方式。

特拉維夫至海法港公路附近的山上，建有一座綜合設施，在以色列它被樸素地稱為“山丘”。高墻和鐵絲網把這塊面積約為數個足球場大小的地方與外界隔絕開來。這一現代化的要塞設施象征著以色列在中東地區為求得—席之地所作出的不懈斗爭。作為以色列對外情報機關摩薩德的總部，任何政客或新聞記者都被嚴令禁止進入這里。摩薩德對任何事件從來都采取主動姿態。

不久前，摩薩德—直以來嚴格推行的“閑雜人等嚴禁入內”的政策時臨時性地出現了松動。一輛車窗加黑的小客車停在了摩薩德總部附近一家電影院前的停車場里，車內的記者在進入摩薩德前被沒收了手機和錄音器。這一天是時任摩薩德局長梅爾·達甘七年任期的最后一天，達甘邀請了他們來記錄他最后的任務這一天摩薩德對伊朗鈾濃縮工廠發起了進攻。達甘言辭激昂地談到了對伊朗發起軍事襲擊可能引發的種種危機，他認為這一舉動將會在整個中東地區點燃戰火，包括以色列與黎巴嫩真主黨，哈馬斯組織和敘利亞的沖突。達甘還說，只通過軍事襲擊阻止伊朗核計劃是不可能的，這種舉措只能暫時性的減緩其核計劃的實施進程。出于這些考慮，即將離職的達甘局長并不贊成采取轟炸襲擊的方式，他支持其他任何既能摧毀伊朗核設施又不會引發傳統武裝沖突的襲擊。為了達到這一目的，摩薩德總部研發了一種秘密武器，在那一天，所有被達甘召集在場的人都知道了這一機密，但當時達甘并沒有提及這一秘密武器的名字：Stuxnet?！癝tuxnet”是一種可以潛入未與網絡連接的高級安全計算機內部的電腦病毒。這_入侵曾被認為是不可能的，但現在，Stuxnet病毒已經深入到了全球的政治領域。摩薩德使用這一病毒襲擊了伊朗納坦茲核設施，這處工廠是伊朗生產濃縮鈾的地方，它通過控制工廠里的電腦程序使所有離心機自毀，從而使這次襲擊傷及了伊朗核計劃的核心部分。Stuxnet病毒是世界上第一款具有地緣政治意義的數字武器。德國的傳奇黑客組織混亂電腦俱樂部的里格爾稱其為“數字領域的反掩體炸彈”。這一病毒的研發意味著為現代戰爭的軍械庫又添了一個新玩意。它使一場軍事襲擊變化為通過電腦程序鎖定目標的具體進攻。Stuxnet病毒問世一年以后，幾乎所有的殺毒軟件公司和國家政府部門都對其惡劣的破壞性和引發的后果進行聲討，并果斷采取各種措施加以應對。

美國著名的Symantec殺毒軟件公司在以色列的分公司位于特拉維夫一處毫不起眼的現代設施內，從本·古里安國際機場驅車15分鐘便可抵達。分公司經理安吉爾在地下車庫會見了來訪人員，并把他們帶去了四樓的會議室。山姆在播放演示文稿前，說道：“Stuxnet病毒是目前我們所見過的最復雜的電腦病毒，這種以發展成熟又相互獨立的工業體系為主要攻擊對象的病毒是前所未有的?！彼シ帕艘粡埢脽羝厦骘@示著出現Stuxnet病毒襲擊事件的國家，這些國家包括伊朗、印度尼西亞和馬來西亞，還有白俄羅斯，謝爾蓋·尤拉森在那里首次發現了Stuxnet病毒。

尤拉森在明斯克殺毒軟件公司VirusBlokAda的產品研發部工作，2010年6月17日當天他收到了_一封貌似平常的電子郵件，一家伊朗公司在信中表示其電腦運轉異常，并且毫無來由的反復重啟。尤拉森和一名同事用了一個星期的時間檢查那家公司的電腦，并最終發現了Stuxnet病毒。隨后，VirusBlokAda將此消息告知了其他同行，包括symantec公司。

當symantec公司的工程師開始研究這種病毒時，他們偶然發現了兩臺曾指揮過Stuxnet病毒的服務器。它們一個在馬來西亞，一個在丹麥。這兩個服務器可以通過www．todaysfutbol．com和WWW．mypremierfutbol．com這個兩個網址獲得，有人用假名和偽造的信用卡在位于美國亞利桑那州的網絡注冊公司注冊了這兩個網址。symantec公司利用這兩個服務器地址的收發通信追蹤到了其在都柏林的電腦主機，這些電腦主機操控了Stuxnet病毒的襲擊線路。盡管所有操縱過Stuxnet病毒的人都已不知所蹤，但Symantec公司還是可以根據他們留下的蛛絲馬跡來尋根究底。

追蹤通信信號后不難發現Stuxnet病毒主要攻擊的國家。根據數據分析，Stuxnet病毒在世界范圍內已經感染了10萬多臺電腦，其中有6萬多臺位于伊朗，1萬多臺位于印度尼西亞，5000多臺位于印度，還有2萬多臺散布在全球各地。Stuxnet病毒的開發者將其編程，第一步是通過激活病毒使兩個負責指揮與操控的服務器辨別受感染的電腦是否運行著Step 7軟件。Step 7是一款由德國西門子公司開發的軟件，而伊朗納坦茲鈾濃縮工廠也正是使用這一軟件來控制離心機。納坦茲工廠坐落在德黑蘭以南250千米處的沙漠地區，受軍事化的安全機制保護。那里的鋁質離心機受地下工事的保護，約1-8米高，直徑約10厘米。它們用于逐漸提純鈾的可分裂性同位素鈾235。離心機內部安裝有一個水平旋翼，運轉時可達到每秒一千次的轉速，在這個過程中六氟化鈾被離心作用分離出來，剩下的鈾235便會在離心機的中心位置不斷積聚。而離心機運轉的整個過程由西門子公司出品的微軟視窗系統控制。

Stuxnet病毒之所以能夠不斷襲擊電腦就源于其開發的獨創性。它利用操作系統和應用程序的安全漏洞主動進行攻擊。這種病毒程序優勢是病毒可以通過任何類似U盤的驅動器感染電腦系統。一旦驅動器連接到電腦上，病毒就會神不知鬼不覺地開始安裝到電腦系統之中。研發Stuxnet病毒的初衷是為了對抗殺毒程序。病毒編碼被設計成用來破壞亂殺毒程序，如若不成也可以迫使殺毒程序自動卸載。在很長一段時間里，這一侵入過程都沒有留Tim何痕跡。Stuxnet病毒入侵的第二步就是把自己下載到能運行U盤驅動器的操作系統當中，并在那里創建一個校驗碼，這一步驟目的為何尚不得而知。但是當校驗碼的數值到達19790509時，病毒入侵就宣告結束。Symantec公司猜測這一校驗碼實際上是一種密碼。因為把這一數字加以處理就可以得到1979年5月9日這個日期。歷史上得這一天有一名叫做哈比卜·艾爾甘尼安(Habib Elghanian)的猶太商人在德黑蘭被處死。這只是巧合嗎?還是一種挑釁?還是故意設計的聲東擊西之舉?

目前仍然不清楚以色列人到底是如何把這一電腦病毒傳播到納坦茲工廠的。用電腦專家的術語來說，發現未知的諸如操作系統安全漏洞這樣的安全間隙被稱之為“零日漏洞利用”。找到這些缺陷既是對黑客技術提出的挑戰也是各商家所力爭的。在這個領域，知識就是財富，一個先前不_為人知的系統缺陷在黑市E可以叫價到10萬美元甚至更高。如果能發現Stuxnet病毒攻擊原理使用的“零日漏洞利用”，它的價值將不低于40萬美元。Symantec公司的經理安吉爾認為，沒有對西門子軟件系統完整詳細的知識貯備，就不可能寫出Stuxnet病毒的編碼。他說：“因為西門子軟件的使用尚不廣泛，因此黑市上目前也沒有為謀取利潤而找尋此系統缺陷的人。”那么，摩薩德又是如何獲知納坦茲工廠使用的是西門子軟件系統這一情報的呢?

很多人大膽推測美國可能幫助了摩薩德。因為美國政府在愛達荷州所設立的一所科研機構就是在研究伊朗所使用的西門子軟件控制技術，對Stuxnet病毒的基本研發也很有可能就是在這里進行的。在這之后，這一病毒很可能就在以色列設于迪莫納附近內蓋夫沙漠中的核研究所里進行測試。

然而，熟悉這一襲擊內情的以色列人聲稱Stuxnet病毒是“一次藍白相間的實驗”，藍白指的是以色列國旗的顏色，換句話說，這場實驗只是以色列獨立進行的。他們認為軍事領域的情報單位只負責了一部分編碼的研發，剩下的由摩薩德全權負責。并且正是摩薩德將Stuxnet病私傳染到了納坦茲鈾濃縮工廠。這些人表示，摩薩德曾試圖在黑市買一批離心機，但失敗了。摩薩德最后很可能是在一個以色列軍火制造商的幫助下，建造了一個類似納坦茲工廠的實驗室，方便于測試Stuxnet病毒。這次攻擊實驗早在2009年夏天就已經籌劃完畢了。負責發動進攻的人員在2009年6月22日下午4點31分時釋放了Stuxnet病毒。進攻分三波進行，目標是伊朗的三處機構。第一波進攻結束以后，第二波攻擊于2010年3月開始，對伊朗造成了嚴重的影響。隨后4月，第三波進攻拉開帷幕。據Symantec公司稱，并不是所有進攻目標都是和伊朗核計劃直接相關的機構，有一些機構處于聯合國發出的制裁名單之上。在被攻擊的數個機構之中有約12000臺電腦被感染。

Stuxnet病毒被設定為在第三波進攻發起之后就在U盤驅動器上自動刪除，這大概是為了避免病毒在大范圍傳播之后被立即發現。這一網絡武器的目的在于以一種循序漸進的方式破壞襲擊對象，而不是對其進行大規模的公開摧毀。

另外一個讓Stuxnet病毒看起來貌似合法的花招也顯示了這一病毒編程的高復雜度。編程內擁有一個數碼證書，那些為服務器提供程序檢測服務，確保它們免于運行惡意程序的公司為這一證書在網絡上進行了驗證。如果一個程序可以證明本身具有上述證書，那么便可在系統內部自由運行。臺灣的瑞昱半導體公司和智微科技公司就是有權頒布數碼證書的公司之一。

在2010年1月，一種由瑞昱半導體公司提供數碼認證的Stuxnet病毒出現。緊接著，2010年7月，又出現了一種由智微科技公司提供數碼認證的Stuxnet病毒。兩家公司聲稱數碼證書均已被盜。這一起盜竊事故的原因，很有可能是有人物理侵入了兩家公司的總部。因為這些證書都是受到特殊安保和額外編碼的，世界上幾乎沒有黑客具有如此高超的技能依靠網絡盜取這兩家公司的數碼證書?！睹麋R》得到了一份歐洲情報局定為“機密文件”的分析數據，它表明研發Stuxnet病毒最起碼要花費一個程序員近三年的時間，研發經費也高達一億美元以上。Symantec公司也認為僅在模擬設施內進行試驗這一項，就需要十個程序員協同工作半年之久。情報分析徹底排除了“非官方研發Stuxnet病毒”這一可能性。德國聯邦安全理事會是一個可以秘密召開國防事務會議的政府機構，當他們在2010年11月25日于柏林會晤時，也認為Stuxnet病毒的研發肯定有某國政府部門的參與。德國前任內務部長，現任國防部長的德·梅齊埃說，Stuxnet病毒顯示了如果進攻者有意發起襲擊可能帶來的嚴重后果。他還說，任何能夠對此研發投入大量資金和資源的人都很清楚自己在做什么。議會成員也一致認同在Stuxnet病毒的幕后必然有一個主權國家。

德·梅齊埃和他的同事發現，在一個標準配置的電腦系統中，每天都會有15個缺陷被發現，在世界范圍內每天有成千上萬個常用網址被病毒感染。會晤結束后，議會成員決定成立一個國家網絡防控中心。一份政府內閣文件后來指出：“對Stuxnet病毒的接觸使我們認識到，工業基礎設施的核心部門在面臨高科技進攻時已經不再安全了o”Stuxnet病毒的出現也從根本上改變了人們對數碼襲擊的看法。美國政府最近出臺上項關于網絡戰爭的新法案，它將網絡進攻歸結為一種特定的戰爭形式。美國國土安全部的斯戴普雷提醒警告道，Stuxnet病毒的編碼現在已經公諸于眾，這很可能會誘使一些人進行盲目模仿。英國政府于2010年采取了一項新的安全措施，這一措施的出臺批準了約合6．5億英鎊的經費預算。以色列副總理丹·梅里多爾于2011年2月在耶路撒冷的一次講話中提到，網絡世界已經“在主權國家的>中突中變得愈發重要了，這是—片新的戰場，你在這里使用的將不再是槍支而是別的武器”。

摩薩德把Stuxnet病毒看做一個偉大的成功，可以與第二次世界大戰中波蘭人和英國人成功破譯德國密碼機之謎相媲美。但是以色列軍方卻沒有這么樂觀。他們認為不管這種病毒如何挫敗了伊朗的核計劃，Stuxnet病毒失去了它的隱蔽性，因此以色列也付出的沉重代價。

說起來伊朗確實遭受了慘重的挫敗。一臺伊朗IR-1型號離心機，通常情況下轉速是1064赫茲，或者說每秒鐘轉1064圈。當Stuxnet病毒導致回轉軸運轉異常時，離心機的轉速被提高到了1410赫茲，在持續了15分鐘之后才恢復正常。27天之后，Stuxnet病毒再一次掌控了離心機的運轉速度，不過這次病毒使其旋轉速度減慢至了幾百赫茲，并整整持續了50分鐘。離心機轉速的變化導致鋁管發生擴張，增加了機器零部件相互摩擦的幾率，并最終破壞了離心機。據報道，2011年夏天共有6組離心機遭到破壞。華盛頓科學與國際安全組織的奧爾布賴特等伊朗核計劃的分析人士表示，Stuxnet病毒破壞了約1000臺離心機。伊朗方面也承認其核計劃受到了極大的阻撓。根據伊朗民防組織首腦亞拉里的說法，其核計劃確實遭受了“潛在的巨大損害”。

摩薩德前任局長達甘實現了其在中東地區不動一槍一炮破壞伊朗核計劃的目標。但是伊朗全國依然有8000多臺其他現代化程度更高的IR-2二代離心機，這些離心機裝有碳化纖維材質的回轉軸，使其即在1400赫茲的轉速下也依然能夠正常運行。并且這些離心機不受現存破壞軟件的影響。摩薩德很快又需要研發新的病毒了。而新型病毒的使用也必將會引發又一輪暗中進行的網絡大戰了。

兩名間接為以色列政府部門工作的年輕人正坐在特拉維夫市一家充盈著現代氣息的咖啡館里。這兩個人經營著一家為摩薩德和以色列國內安全局辛貝特處理日常事務的公司。他們談笑風生，表示數字襲擊總是比數字防御有效。他們也是全球頂尖的精英黑客。根據在耶路撒冷和特拉維夫流傳已久的謠言來看，這些人確實在為摩薩德研發Stuxnet病毒時做了些基礎性的工作。

他們中的一人表示：“人們以前從來沒有是在電影之外見過類似于Stuxnet的電腦病毒，但現在他們知道這是真的了?！彼恼Z氣里充滿了驕傲，他提到“在由進攻者組成的小團體中，其實這些也不算是新聞?！彼€表示，其實幾乎所有的程序缺陷在以前的襲擊當中都已經被使用過了，只是沒有同時使用而已。他解釋道，在籌劃使用諸如Stuxnet這種電腦病毒進行攻擊時，使病毒進入到一臺未聯網的電腦中才是最大的難點。兩個年輕人沉默了一會兒后，從身為襲擊者的角度出發，其中一個^說：“Stuxnet病毒被發現對我們而言確實是一個沉重的打擊，這件事使我們感到煩惱，因為一個原本設計完美的進攻方式被揭穿了?！?/p>

Stuxnet病毒的研發人員顯然對這一產物寄予了更多的厚望。Symantec公司甚至還截獲了一款升級版本的Stuxnet病毒，里面含有更為復雜的編碼，襲擊的對象是更為高級的西門子控制系統。慶幸的是，這一病毒尚未被激活。symantec公司的員工說，Stuxnet是那種他們再也不想遇到的攻擊性病毒。

事實表明，他們的這一美好愿望似乎難以實現。