代码即导弹:复盘 2010 伊朗纳坦兹核设施的“数字电子战”

  大家好,我是老杨。

伊朗已经消失在国际互联网中差不多一周了.

这是朗哥防守姿态的起手式.

因为朗哥吃过亏,朗哥的几千台离心机就是因为被平头哥种了病毒才没的.

今天咱们不聊虚的，就聊聊真实发生的、足以载入史册的黑客事件,通过软件病毒远程干掉,物理隔离的战略级军事核设施硬件设备。

故事得从伊朗纳坦兹（Natanz）核设施的监控室说起。

那是 2010 年的一个下午，监控屏上的一切都美得不真实：数千台离心机正以每分钟 63,000 转的超音速稳定旋转，压力曲线平滑得像刚熨过的床单。

可就在玻璃幕墙的另一侧，物理世界正在崩塌。

离心机开始发出凄厉的尖叫，那种金属在极限边缘摩擦的刺耳声，即便隔着隔音墙也能让人感到牙酸。一台接一台，这些价值连城的精密设备像着了魔一样，要么因转速过快而炸裂，要么因剧烈抖动断成两截。

诡异的是，报警器没响，数据没跳，红灯一个都没闪。

工程师们拼命刷新屏幕，屏幕却温柔地回应：“一切正常，老兄。” 这种感觉就像你亲眼看着车在往悬崖下掉，但仪表盘却告诉你时速只有 20 迈。这种“数字鬼打墙”，就是震网（Stuxnet）送给世界的开场白。

国家级战略资产的数千台离心机全部报废.

纳坦兹核设施是物理隔离的“孤岛”，就像建造者宣称的那样,这个基地除了这片土地,其他没有任何跟外界接触的媒介.

有没有?那是有还是没有呢?

有!~必须有!~那就是人!

摩萨德玩了一手极其高级的“电子战”。

2007 年到 2010 年间，摩萨德或相关情报机构并没有去硬敲核电站的大门，他们把目光投向了那些为核设施提供维护的外部承包商。

维护工程师的 U 盘。

利用一个当时价值连城的 LNK 快捷方式漏洞（MS10-046），windows的锅,他的0day漏洞.病毒做到了“见光即发”：只要你把 U 盘插进内网电脑，打开资源管理器的瞬间，连点都不用点，病毒就已经通过特制的图标解析代码，顺着主板爬进了系统。

为了不引起杀毒软件的怀疑，它还披着两件从 Realtek 和 JMicron 偷来的合法数字签名。在电脑看来，这哪是病毒啊，这就是家势显赫的“贵宾”。

病毒进场后，目标非常毒辣：西门子 S7-315 和 S7-417 控制器。这是工厂的“大脑”。

震网最天才的技术细节在于，它在 PLC（可编程逻辑控制器）里玩了一场“偷天换日”。

它替换了一个名为 s7otbxdx.dll 的文件。每当工程师想要读取 PLC 里的程序查错时，这个 DLL 就会拦截请求，吐出一份预先准备好的、看起来完美无缺的伪造代码。

老杨旁白： 这就是历史上第一个工业级 Rootkit。哪怕你此时怀疑系统有毒，去查代码，你看到的也全是“合法指令”。