第4章 专门针对工业互联网的木马病毒

21 什么是震网病毒（Stuxnet）？

谈到对工业控制系统的攻击，就不能不提到震网病毒。震网病毒是全球公认的，世界上第一款军用级网络攻击武器，世界上第一款针对工业控制系统的木马病毒，世界上第一款能够对现实世界产生破坏性影响的木马病毒。

震网病毒是Windows平台上的恶意代码，起源于2006年前后，于2010年6月被安全公司发现。因为恶意代码中包含“stux”字符，所以被命名为“震网病毒”。

从攻击的原理来看，Stuxnet攻击的终极目标是核设施中的离心机设备，这种设备用来制造核电站燃料“浓缩铀”。当病毒感染了控制离心机系统的计算机主机（装有SIMATIC WinCC系统，西门子视窗控制中心，一般简称WinCC）后，会首先记录离心机正常连转时的数据，如某个阀门的状态、操作温度或者转速，然后将这个数据不断地发送到监控设备，以使工作人员误认为离心机一直工作正常。与此同时，病毒就会控制WinCC系统，并向离心机设备发送虚假的输入控制信号，从而导致离心机改变速度，最终达到令离心机瘫痪乃至报废的目的。

作为世界上首个网络“超级破坏性武器”，Stuxnet已经感染了全球超过45000个网络。伊朗遭到的攻击最为严重，该国的布什尔核电站曾遭到Stuxnet的攻击。该病毒利用USB使用管理漏洞，渗透进入目标系统，从而修改控制器连接的变频器。攻击者通过检测变频器的工作状态，改变变频器的工作参数，欺骗控制中心，使得离心机无法正常工作。