“火焰”病毒點燃網(wǎng)絡(luò)戰(zhàn)火

2012年5月27日，一種名為“火焰”（Flame，全名為Worm.Win32.Flame）的新型電腦病毒被發(fā)現(xiàn)。從媒體披露的細節(jié)來看，美國和以色列利用“震網(wǎng)”與“火焰”這樣的新概念武器發(fā)動網(wǎng)絡(luò)戰(zhàn)的過程，如同好萊塢大片一樣驚心動魄。

“火焰”病毒入侵中東

早在2012年4月，“火焰”病毒就竊取了伊朗石油網(wǎng)絡(luò)系統(tǒng)的信息，導(dǎo)致伊朗不得不短暫切斷石油部、石油出口數(shù)據(jù)中心等機構(gòu)與互聯(lián)網(wǎng)的連接。

2012年5月27日，一種名為“火焰”（Flame，全名為Worm.Win32.Flame）的新型電腦病毒被發(fā)現(xiàn)。俄羅斯電腦病毒防控機構(gòu)卡巴斯基實驗室的統(tǒng)計數(shù)據(jù)，較為準確地反映出“火焰”病毒的感染和傳播情況。數(shù)據(jù)顯示，感染該病毒的案例已有500多起。其中，主要發(fā)生在伊朗、以色列和巴勒斯坦；蘇丹、敘利亞、黎巴嫩、沙特阿拉伯和埃及等國也有個別案例。

雖然“火焰”病毒攻擊的目標主要集中在中東地區(qū)，但由于部分受害用戶可能使用了VPN代理服務(wù)，所以“火焰”病毒的傳播已經(jīng)蔓延到全球其他地區(qū)。據(jù)估測，世界范圍內(nèi)受感染電腦數(shù)量在1000至5000臺之間。

“火焰”病毒被發(fā)現(xiàn)純屬偶然。當時，卡巴斯基實驗室正在尋找一種在中東地區(qū)刪除敏感信息的未知病毒。然而，在搜索的過程中，卻意外地發(fā)現(xiàn)了一個全新的病毒——Worm.Win32.Flame。

病毒入侵的起始點目前尚不清楚。卡巴斯基實驗室目前已發(fā)現(xiàn)，約有80個域名屬于“火焰”病毒的指令與控制基礎(chǔ)設(shè)施。其指令與控制服務(wù)器所使用的域名，均是使用虛假的身份注冊，并且通過多個注冊商注冊。最早的注冊時間，可以追溯到2008年。

卡巴斯基實驗室的研究報告的分析證實，“火焰”病毒企圖收集伊朗石油行業(yè)關(guān)鍵信息的目的非常明確。早在2012年4月，“火焰”病毒就竊取了伊朗石油網(wǎng)絡(luò)系統(tǒng)的信息，導(dǎo)致伊朗不得不短暫切斷石油部、石油出口數(shù)據(jù)中心等機構(gòu)與互聯(lián)網(wǎng)的連接。而匈牙利的一個研究組織報告，“火焰”病毒可能已經(jīng)活躍了5至8年，甚至更長的時間。

“火焰”具備諜報功能

“火焰”病毒是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點。火焰病毒構(gòu)造十分復(fù)雜，被稱為有史以來最復(fù)雜的電腦病毒。

據(jù)了解，“火焰”病毒以Lua和C++語言寫成，利用微軟公司“視窗”操作系統(tǒng)的一個漏洞侵入電腦。該病毒用了5種不同加密算法，3種不同壓縮技術(shù)，和至少5種不同文件格式，包括其專有格式。病毒文件達到20MB之巨，程序代碼打印出來的紙張長度達到2400米。

基于如此復(fù)雜的程序構(gòu)造，“火焰”的“毒性”達到前所未有的水平也就不足為怪。據(jù)分析，“火焰”病毒最重要的應(yīng)用是它的間諜功能。感染該病毒的電腦將自動分析使用者的上網(wǎng)規(guī)律、記錄用戶密碼、自動截屏并保存一些文件和通訊信息，甚至可以暗中打開麥克風(fēng)進行秘密錄音等，然后再將竊取到的這些資料發(fā)送給遠程操控該病毒的服務(wù)器。如果不是病毒預(yù)定的攻擊目標，或者一旦完成搜集數(shù)據(jù)任務(wù)，“火焰”病毒還可自行毀滅，不留下一絲痕跡。最恐怖的是，“火焰”病毒能夠通過藍牙信號傳遞指令。被攻擊者即使關(guān)閉了向被感染電腦發(fā)送指令的服務(wù)器，攻擊者依然可以通過藍牙信號對被感染電腦進行近距離的控制。

防病毒專家說，“火焰”病毒是世界級水平的密碼員制造出來的，因為這個病毒使用了一種從未見過的加密攻擊方法——通過劫持Microsoft Windows系統(tǒng)的升級程序，把自己安裝在目標計算機上。升級程序本來自帶數(shù)字簽名證書，以防止程序被篡改，但火焰病毒的制造者能夠偽造這個證書。這類證書使用的是hash算法簽名，這種算法可以把任意的文件內(nèi)容轉(zhuǎn)換為簡短的字符串。當一個可執(zhí)行程序包含合法的數(shù)字簽名時，殺毒軟件則不會對這個程序進行監(jiān)控。火焰病毒正是利用了Microsoft Windows系統(tǒng)的一個未被發(fā)現(xiàn)的漏洞，對自身代碼進行數(shù)字簽名，使殺毒軟件認為病毒本身擁有來自微軟的數(shù)字證書，從而繞過殺毒軟件的查殺。

幕后黑手疑是美國

從“火焰”病毒的復(fù)雜結(jié)構(gòu)和攻擊范圍來看，個人電腦黑客或者黑客公司幾乎根本無力研發(fā)，“火焰”病毒背后可能有某國官方機構(gòu)支持。

卡巴斯基實驗室高級研究員舒文伯格說，“火焰”病毒所包含的代碼數(shù)量，大約相當于之前發(fā)現(xiàn)的“震網(wǎng)”病毒的20倍，且有證據(jù)表明“火焰”與“震網(wǎng)”都由同一個組織或者國家控制，“火焰”更像是“震網(wǎng)”計劃的重啟。

“震網(wǎng)”于2010年7月被發(fā)現(xiàn)，這種蠕蟲病毒專門針對德國西門子公司設(shè)計制造的供水、發(fā)電等基礎(chǔ)設(shè)施的計算機控制系統(tǒng)。“震網(wǎng)”當年成名的一個重要原因在于其使用了“零日漏洞”攻擊，即病毒編寫者利用自己發(fā)現(xiàn)的4個系統(tǒng)漏洞，在軟件公司發(fā)布補丁之前發(fā)起攻擊。而“火焰”病毒利用的已知漏洞中，就包括“震網(wǎng)”曾攻擊的兩個漏洞。

美國網(wǎng)絡(luò)安全專家羅杰?克雷西認為，“火焰”病毒的主要目的是在中東地區(qū)的計算機網(wǎng)絡(luò)中搜集情報，而伊朗則是首要目標之一。此外，它的攻擊特點帶有很強的“美國特色”。有不愿透露姓名的業(yè)內(nèi)人士稱，“火焰”病毒很可能出自美國國家安全局（NSA）之手，而此前則有“震網(wǎng)”由美國中央情報局（CIA）設(shè)計的說法。

直到最近，美國媒體才從美國、歐洲國家和以色列的前任和現(xiàn)任官員口中獲悉驚天秘密——先前入侵伊朗電腦系統(tǒng)并造成巨大破壞的“震網(wǎng)”以及“火焰”病毒，確實是美國和以色列聯(lián)手研發(fā)的網(wǎng)絡(luò)武器。其首要目的在于搜集情報，并通過破壞關(guān)鍵設(shè)備拖慢德黑蘭核計劃的進程。從媒體披露的細節(jié)來看，美國和以色列利用“震網(wǎng)”與“火焰”這樣的新概念武器發(fā)動網(wǎng)絡(luò)戰(zhàn)的過程，如同好萊塢大片一樣驚心動魄。

《紐約時報》在2012年6月1日報道說，2006年，時任美國總統(tǒng)小布什被告知，用網(wǎng)絡(luò)武器阻滯伊朗鈾濃縮進程，比普通的破壞活動更有效。隨即，白宮便批準了代號“奧林匹克運動會”的項目，美國國家安全局、中央情報局和以色列軍方參與其中。行動的第一個步驟是，由美方研發(fā)網(wǎng)絡(luò)戰(zhàn)“道具”并收集情報，確認攻擊目標。

經(jīng)過大約兩年密謀，“奧運會”行動悄然進入執(zhí)行階段。首先，中情局派間諜將“震網(wǎng)”病毒植入伊朗核技術(shù)人員的電腦中，借后者之手，成功讓病毒“混進”伊朗納坦茲核電站的計算機系統(tǒng)。據(jù)分析，“震網(wǎng)”侵入由德國西門子公司為伊朗核設(shè)施設(shè)計的計算機控制系統(tǒng)后，獲得控制系統(tǒng)數(shù)據(jù)，進而指揮離心機高速運轉(zhuǎn)，最終導(dǎo)致伊朗的5000臺離心機中有近1000臺癱瘓。白宮后來評估稱，伊朗核計劃進程因此推遲了一年半到兩年。

種種異狀也曾引起伊方困惑，但他們始終沒想到計算機系統(tǒng)已被“攻陷”，反而歸咎于機器零件質(zhì)量差、操作失當。伊方為此派人在工廠“蹲點”，仍未發(fā)現(xiàn)問題的根源。然而，世上沒有不透風(fēng)的墻。此后不久，通過伊朗工程師的便攜式電腦，“震網(wǎng)”病毒終于“逃出”納坦茲核電站，迅速蔓延到整個互聯(lián)網(wǎng)。

“火焰”的“兄弟”在中東出沒

“火焰”病毒來源尚未理清，“火焰”的“兄弟”近日出現(xiàn)在中東。

俄羅斯電腦病毒防控機構(gòu)卡巴斯基實驗室2012年8月9日發(fā)布報告，宣布在中東地區(qū)發(fā)現(xiàn)了一種新型設(shè)計復(fù)雜的電腦病毒，它可以監(jiān)視銀行交易，并竊取社交網(wǎng)站、電子郵件以及即時通信等注冊信息。這種病毒以代碼中發(fā)現(xiàn)的名字“高斯”命名。報告還說，從其代碼、結(jié)構(gòu)和運行方式來看，這種被稱為“高斯”的新型電腦病毒，與之前發(fā)現(xiàn)的“火焰”和“網(wǎng)震”電腦病毒，在很大程度上存在關(guān)聯(lián)。卡巴斯基確認超過2500臺電腦遭“高斯”侵入，其中大部分在黎巴嫩境內(nèi)，預(yù)計受攻擊電腦的總數(shù)數(shù)以萬計，攻擊的主要對象包括貝魯特銀行、比卜魯斯銀行、黎巴嫩信貸銀行、BLOM銀行和花旗銀行黎巴嫩分行等的用戶賬號。

卡巴斯基實驗室沒有就“高斯”的幕后主使作出推測，僅斷定“高斯”與先前入侵中東地區(qū)國家電腦系統(tǒng)的多個病毒“同宗”。技術(shù)人員說，“高斯”和“火焰”病毒由同一個程序平臺搭建，代碼類似，程序語言相同，并且能夠憑借類似“火焰”的手法感染沒有連接互聯(lián)網(wǎng)的電腦。卡巴斯基實驗室認為，“高斯”和“火焰”病毒應(yīng)該出自同一開發(fā)者之手。一些分析人士指出，考慮到美國政府一直懷疑黎巴嫩銀行為敘利亞和黎巴嫩真主黨提供金融轉(zhuǎn)賬服務(wù)，此次“網(wǎng)絡(luò)間諜活動”極有可能是由美國發(fā)起。

“網(wǎng)絡(luò)戰(zhàn)爭”：

“第五個領(lǐng)域的戰(zhàn)爭”

美國是世界上首個提出“網(wǎng)絡(luò)戰(zhàn)爭”概念并將這種戰(zhàn)爭實戰(zhàn)化的國家，而且將“網(wǎng)絡(luò)戰(zhàn)爭”認定為與陸地、空中、海上和太空戰(zhàn)爭領(lǐng)域并列的“第五個領(lǐng)域的戰(zhàn)爭”。

戰(zhàn)爭是國與國對抗的一種形式，網(wǎng)絡(luò)戰(zhàn)是國與國在網(wǎng)絡(luò)上對抗的形式。自世界各國接入互聯(lián)網(wǎng)以來，一場以鍵盤、鼠標為武器的新形態(tài)戰(zhàn)爭便悄然拉開了序幕。

美國是世界上首個提出“網(wǎng)絡(luò)戰(zhàn)爭”概念并將這種戰(zhàn)爭實戰(zhàn)化的國家，而且將“網(wǎng)絡(luò)戰(zhàn)爭”認定為與陸地、空中、海上和太空戰(zhàn)爭領(lǐng)域并列的“第五個領(lǐng)域的戰(zhàn)爭”。2010年，美國網(wǎng)絡(luò)司令部全面運作，英、俄、印、日、韓等國緊隨其后。2011年，美國公布《網(wǎng)絡(luò)空間國際戰(zhàn)略》，將網(wǎng)絡(luò)戰(zhàn)略提升到國家戰(zhàn)略的高度。借助媒體報道，通過戰(zhàn)例對網(wǎng)絡(luò)戰(zhàn)爭的戰(zhàn)法已可以看到比較清晰的輪廓。

早在1991年的海灣戰(zhàn)爭中，美軍就對伊拉克實施了網(wǎng)絡(luò)戰(zhàn)。開戰(zhàn)前，美國中央情報局派特工到伊拉克，將其從法國購買的防空系統(tǒng)使用的打印機芯片換上了染有計算機病毒的芯片。在戰(zhàn)略空襲前，又用遙控手段激活了病毒，致使伊防空指揮中心主計算機系統(tǒng)程序錯亂，防空系統(tǒng)的C3I系統(tǒng)失靈。

在1999年的科索沃戰(zhàn)爭中，網(wǎng)絡(luò)戰(zhàn)的規(guī)模和效果都有增無減。南聯(lián)盟使用多種計算機病毒，組織“黑客”實施網(wǎng)絡(luò)攻擊，使北約軍隊的一些網(wǎng)站被垃圾信息阻塞，北約的一些計算機網(wǎng)絡(luò)系統(tǒng)曾一度癱瘓。北約一方面強化網(wǎng)絡(luò)防護措施，另一方面實施網(wǎng)絡(luò)反擊戰(zhàn)，將大量病毒和欺騙性信息注入南聯(lián)盟軍隊的計算機網(wǎng)絡(luò)系統(tǒng)，致使南聯(lián)盟防空系統(tǒng)陷于癱瘓。

2011年3月22日，“美國之音”網(wǎng)站突然遭到篡改，同時受到破壞的還有95個關(guān)聯(lián)網(wǎng)站。伊朗官方通訊社隨后發(fā)布消息，確認伊朗網(wǎng)軍實施了這次“進攻”。事后美國網(wǎng)絡(luò)安全專家杰弗里?卡爾表示，伊朗網(wǎng)軍很有實力，絕不是菜鳥。伊朗網(wǎng)軍的這個戰(zhàn)例是一種一個國家針對另一個國家目標的網(wǎng)絡(luò)游擊戰(zhàn)，主要目的是報復(fù)和制造恐慌與混亂。

2008年，俄羅斯和格魯吉亞爆發(fā)南奧塞梯戰(zhàn)爭。7月20日，格政府網(wǎng)站的服務(wù)器受“分布式拒絕服務(wù)攻擊”，瀕臨崩潰。格魯吉亞的電視媒體、通信系統(tǒng)和交通系統(tǒng)均受到了攻擊。8月8日，俄羅斯軍隊進入格魯吉亞南奧塞梯后，格魯吉亞的網(wǎng)站遭到全面封鎖。無奈之下，格魯吉亞總統(tǒng)薩卡什維利向波蘭總統(tǒng)萊赫?卡欽斯基“求救”。

新一輪網(wǎng)絡(luò)戰(zhàn)已經(jīng)打響

歷史也提醒我們，任何一種戰(zhàn)爭形態(tài)的出現(xiàn)，就像又打開了一個“潘多拉魔盒”；它的后果，可能遠遠超出我們的掌控。

與以往炮火紛飛的傳統(tǒng)作戰(zhàn)方式不同，網(wǎng)絡(luò)戰(zhàn)是一種隱蔽無聲的全新作戰(zhàn)方式，它不僅活躍在戰(zhàn)爭和各類沖突中，而且閃爍于平時的各種政治、經(jīng)濟、軍事、文化和科技等活動中。不論是哪個國家和民族，要想立足未來，必須占領(lǐng)互聯(lián)網(wǎng)這個制高點。

互聯(lián)網(wǎng)起源于美國。美國始終牢牢掌握著互聯(lián)網(wǎng)的最終控制權(quán)，操縱互聯(lián)網(wǎng)域名與地址管理公司，控制互聯(lián)網(wǎng)運行的中樞神經(jīng)“根服務(wù)器”，可以拒絕任何人訪問互聯(lián)網(wǎng)，讓任何一個國家從互聯(lián)網(wǎng)上消失，任意監(jiān)控他國互聯(lián)網(wǎng)主機，隨時監(jiān)視他國互聯(lián)網(wǎng)使用情況。根據(jù)美國的國防新預(yù)算，美方在網(wǎng)絡(luò)戰(zhàn)方面的投入力度顯著加大。

此次“火焰”病毒的肆虐，也給我們帶來了重要啟示：首先，網(wǎng)絡(luò)戰(zhàn)武器已經(jīng)走向系列化和專業(yè)化，以適應(yīng)網(wǎng)絡(luò)特種戰(zhàn)、網(wǎng)絡(luò)情報戰(zhàn)、網(wǎng)絡(luò)毀癱戰(zhàn)和網(wǎng)絡(luò)心理戰(zhàn)等多種作戰(zhàn)樣式的特殊需要。比如，“震網(wǎng)”病毒是一種典型的網(wǎng)絡(luò)特種戰(zhàn)武器，它以破壞敵方特定的物理目標為主，是網(wǎng)絡(luò)空間的“特種部隊”。而“火焰”病毒則是一種典型的網(wǎng)絡(luò)情報戰(zhàn)武器，其使命是長期隱蔽地收集目標國的各類情報，是潛入敵國網(wǎng)絡(luò)空間的“間諜”。

虛擬的網(wǎng)絡(luò)世界，正逐漸成為真實廝殺的新戰(zhàn)場，暗戰(zhàn)與博弈已經(jīng)進入數(shù)字化時代。可是，網(wǎng)絡(luò)戰(zhàn)爭不是一個好玩的虛擬游戲。歷史也提醒我們，任何一種戰(zhàn)爭形態(tài)的出現(xiàn)，就像又打開了一個“潘多拉魔盒”；它的后果，可能遠遠超出我們的掌控。

（作者單位：淮南聯(lián)合大學(xué)）