“震网”行动，和平时期首个国家级的破坏性网络战

俄乌冲突中的网络战，算是现实大战中第一次大规模的网络战，对于整场战争的走势有着举足轻重的影响。普通大众也可由此了解到，网络威胁攻击的不只是虚拟的软件、系统或者数据，对于现实世界中的事物也能造成或直接或间接的重大影响，网络安全事关国家安全。

《福布斯》杂志曾在2019年12月发布过一个榜单，评选出了2009—2019年这十年最有影响力的12款武器。其中我国也有3款武器上榜，都是大国重器。但是占据榜单首位的并不是广大军迷津津乐道的那些“热门”武器，而是“震网”（Stuxnet）病毒。该病毒用精准隐秘的“网络攻击”去颠覆现实世界的“核”。可以说“震网”行动的启动，再一次改变了世界，它开启了“网络战”的先河，并将网络世界与现实世界的边界打破。

时至今日，“网络战”以不损一兵一卒之力就能攻击一个国家，甚至产生世界“巨无霸”级的优势，逐步成为国与国对抗的首选。

那么这个“震网”病毒到底是何方神圣呢？我们还需要从2006年开始讲起。

2006年，伊朗重启了核计划，在纳坦兹核工厂安装大批离心机，生产浓缩铀，为进一步制造核武器准备原料。虽然伊朗人雄心勃勃，但是计划进展得却不是很顺利，核工厂设施运行得非常不稳定，离心机的故障率居高不下，核武器所急需的浓缩铀迟迟生产不出来。难言的麻烦令伊朗的实验员们无法安心：“明明离心机质量合格，为什么一投入生产运行，就马上会产生磨损或破坏？”

2008年，伊朗的国家领导人再次视察纳塔兹核工厂，以期解决这一难题，一台又一台崭新的离心机运往工厂，可结果却是一次又一次的失败，而且根本查不出原因。直到2013年，伊朗迫于无奈，不得不在这一年的日内瓦会议上宣布停止生产浓缩铀。

现在我们都知道了，伊朗的核设施之所以会出问题，是因为以某大国为首的西方集团联合另外几个国家实施了“震网”行动。作为全球第一个已知的国家级网络武器，它绝对算得上一鸣惊人。

“震网”病毒是一种非常典型的蠕虫病毒，是由某大国针对伊朗核计划特别研制出来的。作为全球首个投入实战舞台的“网络武器”，“震网”病毒不会通过窃取个人隐私信息牟利，它专为攻击伊朗核设施的工业控制系统而来。可以说，它是专门针对工业控制系统编写的恶意病毒，本质上利用Windows系统和西门子SIMATIC WinCC系统的多个“零日漏洞”进行攻击。

2007年，在伊朗人向坦兹安运送、安装离心机的同时，“震网”行动的间谍也随之而动，成功潜入了核工厂。

2007年9月24日，“震网”病毒的第一批攻击代码研发完成，它能够关闭随机数量离心机上的出口阀门，致使铀能进不能出，这样就会提升离心机内部压力，损坏离心机，导致铀浪费。

由于纳坦兹的离心机网络是隔离的，离心机工程师只能用U盘把代码拷贝进离心机网络。因此，我们可以合理地推测，间谍要么是直接把带病毒的U盘插到了离心机网络，要么是感染了工程师使用的U盘，间接地感染离心机网络。

2008年，“震网”病毒成功影响了离心机。间谍再也没有回去过纳坦兹，恶意软件也被删除了。

2009年，某大国为了进一步扩大战果，决定在当年6月以及在2010年的三四月更新“震网”病毒，提升破坏能力。

2010年7月，“震网”病毒利用微软操作系统中至少4个漏洞，其中有3个在当时是全新的零日漏洞，其伪造驱动程序的数字签名，通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制，利用WinCC系统的2个漏洞，对其开展破坏性攻击。

这一次可能由于他们失去了潜伏到纳坦兹的路径，选择了一个更容易被曝光的激进方案：散播无差别攻击传播的感染版本到五家纳坦兹的合作公司。这一次行动失控了，攻击迅速蔓延到这五家公司的合作伙伴、客户，安全公司最终发现了这一网络武器。如此一来，不仅伊朗境内的纳坦兹核工厂发生大规模爆炸，2000多台离心机当场被炸飞，全球45000个网络也受到牵连，60%的个人计算机也受到影响。

随后“震网”病毒首次被安全专家检测出来，成为世界史上首个超级网络破坏性武器。

2011年2月，伊朗纳坦兹铀浓缩基地至少有五分之一的离心机因感染该病毒而被迫关闭。

2013年3月，某大国再次利用“震网”病毒攻击伊朗的铀浓缩设备，致使伊朗核电站推迟发电。这一年的日内瓦会议上，伊朗迫不得已宣布停止生产浓缩铀。

基于“震网”病毒的一系列表现，其也获得了很多个全球公认的“第一”——世界上第一款军用级网络攻击武器，世界上第一款针对工业控制系统的木马病毒，世界上第一款能够对现实世界产生破坏性影响的木马病毒。

从攻击角度而言，“震网”行动改变了人们对武器的认知。如果能不损一兵一卒，就能于悄无声息间摧毁一国的电力、工业、能源等系统，那军事家们都将对其趋之若鹜。而这种非军事化手段的战争就是网络战，“武器”就是那些漏洞与病毒。

此外，人，是安全的尺度，是最重要也是最脆弱的操作资源，是网络安全组织中最强大也是最薄弱的环节。我们发现“间谍行动”通过打入敌方内部方式，获取重要情报信息，成为开启实施“震网”行动的“关键闸门”。此次间谍行动与古希腊“特洛伊木马”典故异曲同工，它们都指向一个道理：最坚固的堡垒往往是从内部攻破的。FBI和犯罪现场调查（CSI）等机构联合做的一项安全调查报告显示，超过85%的网络安全威胁来自内部，危害程度远远超过黑客攻击和病毒造成的损失。

应对当今的网络战，需注重两大挑战，一个是技术上的漏洞，一个是人的漏洞。技术上的漏洞不可避免，这时我们需要“看得见”“守得住”的能力；而人的漏洞，我们则需要牢牢筑就管理好“身边人”防线，这里的人可能是内部人，还可能是伪装后的敌人。