俄罗斯电脑安全公司卡巴斯基实验室新近发现了一个名为“火焰”(Flame)的新恶意软件。卡巴斯基的荷兰网络专家罗尔·斯豪温伯格称, “火焰”病毒背后绝对是有官方政府的支持的。“火焰”的出现在数字军备竞赛中是符合逻辑的事。
“火焰”非常先进,潜在的危险性很大,联合国下属的国际电信联盟(ITU)对成员国发出严重警告,称其将对关键基础设施造成威。这是有关机构首次发出如此严重的警告。 该机构还呼吁国际间加强合作,共同打击数字间谍活动。
火焰
“火焰”病毒目前已侵入伊朗、苏丹和中东一些国家,其攻击对象各异,从个人、政府机构、企业到大学院校不等。
“火焰”网络间谍程序蠕虫利用了微软软件的漏洞,这个巨大的程序包大小约为20MB,而普通的恶意软件只有几个KB,著名的“震网”Stuxnet (2009-2010) 也只有500KB。“火焰”的功能十分强大,它会窃取数据,记录键盘输入,远程启动摄像头并截屏。攻击者可监听Skype通话,收录被感染的电脑附近人们的交谈。此外,它还可通过蓝牙设备进行监听。
超级恶意软件
出蓝牙功能外,上述的间谍功能并没有什么新奇的。网络专家斯豪温伯格介绍说,对“火焰”来说,它的功能并不重要,重要的是该恶意软件是如何编写,如何操作运行的。他说:“这可是非常不同的级别。”专家预测将需要几年的时间才能琢磨透这一网络武器。
攻击者向要进入的系统发送一个特制的“程序包”,它包括有不同功能的各种模块,可远程控制其开关, 目前并不排斥还有未发现的模块。斯豪温伯格说,这可能是“震网”的并行操作:“我们怀疑还有一个旨在破话的模块,其目的从网络间谍活动而转成了网络破坏活动,这显然危险性更大。”
人们不明白的是,“火焰”是如何在采用良好安全措施的系统内进行传播的。“没有任何代码是100%安全的,” 斯豪温伯格指出,“好在大学里人们对程序代码中出现的错误越来越关注。”政府机构和企业界对系统更新和安全关注太少,但他们本该更清楚这些措施的重要性。
软件漏洞
2010年,“震网”病毒的出现震动了安全部门,这一破坏性病毒是专门针对伊朗铀浓缩计划的。. “编制‘震网’和‘火焰’好像是同一实体布置的任务,” 斯豪温伯格介绍说,“ 编程代码的某些技术特性是我们在其他地方没有碰到过的。”这两者都是利用了打印机和U盘使用的Windows软件的漏洞的。
斯豪温伯格接着说,这两者原在原理上有着根本的不同。“震网”感染了数千台电脑,受“火焰”感染的不到1千,而后者存在时间更长,可能在2007年就传播开了。 此外,“震网”是用来造成损害的,而“火焰”主要通过狡猾的方式收集信息。“火焰”使用较为普通的文件名,在安全扫描中不太容易引起注意。
谁干的?
《纽约时报》披露,“震网”病毒是由美国和以色列联合研发的,这一项目是在小布什时期开始启动的,奥巴马总统则亲自指挥对伊朗网攻。把《纽约时报》的这一观点引申一下,很明显人们会想到“火焰”也是来自同一个角落。这也没有什么不合逻辑的,因为不同的阿拉伯国家、伊朗和苏丹都是攻击行动的目标,美国在打击恐怖主义的斗争中对这些国家都是密切加以注意的。
斯豪温伯格不愿对此作出猜测,至目前为此,强有力的证据谁也没有,在他看来,一个国家的政府不会自己编写此类恶意软件。就像政府向企业订购轰炸机一样,政府也会让别人制造网络攻击武器。
网络破坏活动
“火焰”病毒被发现之后,网络间谍和破坏活动已成为战争的一部分就变得更为明显了,这一网络工业集群耗资数十亿美元。斯豪温伯格说:“网络战比传统战争更容易、更省钱,风险更小,但有一个问题, 人们以为某一政府在背后操纵攻击,在没有确凿证据的情况下就进行反击。”
