网络战争时代：解密中美伊以新型国家网战

2014年11月，以索尼影像公司遭到黑客攻击为导火索，美国、朝鲜两国在网络上交相攻伐（详见钛媒体文章：《“黑客攻击”也能当借口，奥巴马签署行政命令追加对朝鲜制裁》），引发某些媒体惊呼道：“下一场战争，将是网络战争？”钛媒体科技作者“灯下黑客”告诉我们，不仅仅是下一场战争，实际上，上一场战争已经是网络战争，国家间的网络战早已拉开帷幕。

网络战争时代开始于2006年，主角正是震网病毒。它在什么背景下被研发出来的？执行了怎样的命令？达到了怎样的效果？对今天的我们有怎样的启示？有意思的是，作为第一件经过实战检验的病毒武器，震网病毒正式开启了网络战争时代的大门。而因为网战的隐蔽性，大众往往都是看不见的，唯一产生的看得见的成果，却是艺术界受此影响和传导作用产生的一系列艺术作品，例如2015年1月16日，北美开始上映一部新片：《骇客交锋》（Blackhat）。钛媒体作者灯下黑客将这场大战的背后故事一一解答：

2014年11月，索尼影像公司遭到黑客攻击，电脑网络全部瘫痪，职工一度只能靠纸笔办公，仿佛回到三十年前。黑客泄露了大批公司机密，并且要求取消上映《刺杀金正恩》(TheInterview)一片，否则将发动更多袭击。

此举被美国政府定性为恐怖威胁，认为它意在破坏美国的言论自由。根据网络攻击的痕迹，美国还揭露出此番攻击的幕后主使，正是金正恩领导下的朝鲜政府。12月底，朝鲜也受到网络攻击，全国范围内的网络也都无法使用，怀疑是遭到了美国的报复。

美朝两国在网络上交相攻伐，引发某些媒体惊呼道：“下一场战争，将是网络战争？“

答案是明显的：不仅仅是下一场战争，实际上，上一场战争已经是网络战争。

震网病毒是什么？

2006至2010年，著名的震网病毒曾经入侵伊朗核工厂长达五年之久，严重破坏了伊朗核计划。那次入侵的战场只在网络之间，武器也只是软件程序，但它却完全符合最严格的战争定义：它发生于国家之间，它针对军事设施和人员，它企图达到某种政治目。因此，震网病毒被认为是人类第一场网络战争，我们早在2006年就已进入网络战争的时代。

这场战争发端于2006年。这一年，伊朗违背先前签订的协议，重启核计划，在纳坦兹核工厂安装大批离心机，进行浓缩铀的生产，为进一步制造核武器准备原料。

应该说，伊朗人选择的时机很不错。国际社会想要迫使一个国家放弃核计划，无非两种方法：经济制裁，或军事打击。制裁对于伊朗这种孤立国家而言，产生的边界效应非常有限，伊朗人早已习惯了制裁。军事打击则几乎不可能，当时美国深陷阿富汗和伊拉克两大泥潭，无力再发动第三场战争。

形势发展果然不出伊朗所料，美国发出了战争威胁，联合国也通过了决议，加强经济制裁。但都是雷声大，雨点小，最终仗也没打起来，制裁措施也没什么大不了，伊朗完全应付得了。最终，伊朗没付出多大代价，就成功重启了核计划。

但大大出乎伊朗意料的是，核工厂的运行极不稳定，离心机的故障率居高不下，核武器所急需的浓缩铀迟迟生产不出来。技术人员反复检查，却找不出任何故障原因。离心机出厂时明明是质量合格，一旦投入运行，却马上就会磨损破坏。

伊朗的核技术是从巴基斯坦买来的，而巴基斯坦的核技术是从法国偷来的，但不管是法国还是巴基斯坦，都没发生过那么高的离心机故障率。伊朗人实在弄不清出了什么问题。

上图为伊朗总统网站（www.president.ir）所发布的图片，2008年4月8日，内贾德总统视察纳坦兹核工厂。这张图不经意地泄露了核工厂的问题，左下方的屏幕所显示的那群绿点，每一个点都代表一台离心机，绿色代表运行正常，绿色丛中的两个灰色小点，则说明有两台离心机出了故障。

当伊朗核工厂在跌跌撞撞中挣扎的同时，信息安全界发现了另一件看似不相关的事件。2010年6月，白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统，调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”，新病毒被命名为“震网病毒（stuxnet）”，并加入到公共病毒库，公布给业界人士研究。

起初，研究人员以为，这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生，大部分都是青少年的恶作剧，少部分则是犯罪分子用来盗取个人信息的工具，震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌：震网的复杂度远远出乎人们的意料，它是当时所发现的最精妙、最复杂的病毒，没有之一。

首先，它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率，具有巨大的经济价值，在黑市上，一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客，也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点，就可以看出该病毒的开发者不是一般黑客，它具备强大的经济实力。并且，开发者对于攻击目标怀有志在必得的决心，因此才会同时用上多个零日漏洞，确保一击得手。

其次，它具备超强的USB传播能力。传统病毒主要是通过网络传播，而震网病毒大大增强了通过USB接口传播的能力，它会自动感染任何接入的U盘。在病毒开发者眼中，似乎病毒的传播环境不是真正的互联网，而是一个网络连接受到限制的地方，因此需要靠USB口来扩充传播途径。

最奇怪的是，病毒中居然还含有两个针对西门子工控软件漏洞的攻击，这在当时的病毒中是绝无仅有的。从互联网的角度来看，工业控制是一种恐龙式的技术，古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革，这些都让工控系统看上去跟互联网截然不同。此前从没人想过，在互联网上泛滥的病毒，也可以应用到工业系统中去。

因为震网病毒，伊朗核计划至少推迟了两年多

震网病毒引起了信息安全界的极大兴趣，随着更多专家投入到对它的分析，它的面纱渐渐揭开——它跟以往流行的病毒完全不一样，这是世界上第一例针对工控系统的病毒！

说得再精准一点，它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器。

举个例子。研究人员在病毒代码中发现一个数组，用以描述离心机的级联方式，数组的最后几位是：20，24，20，16，12，8，4。

把上面那张总统视察图的左下角放大，可以看到在图片最下方，红色箭头所指的位置有一排灰色小柱子。这些小柱子把上面的绿色小点分为若干块，从右往左数，每块含有的列数分别是1，2，3，4，5，6，5。每列包含有4个离心机，因此，从这张图可以看出，纳坦兹核工厂的离心机级联方式，从左往右正是20，24，20，16，12，8，4，与震网病毒的描述完全相同！

由此可见，震网是有备而来。其开发团队里不仅有软件和网络专家，还有工业控制和核武器的专家，并且通过某种秘密途径，他们还事先掌握了纳坦兹的设计图纸。它背后的力量绝不是一般网络犯罪组织可以比拟的。

震网病毒的攻击方式也非常狡猾。当它渗透进入核工厂，它本可以制造一起轻易的工业灾难，一举摧毁整个工厂。但它却没有马上发作，而是悄悄地潜伏下来，每隔一个月才攻击一次。攻击期间，它会首先修改西门子工控系统的数据，让离心机看上去运转正常。但背地里，它却大幅提高离心机的转速，迫使其在临界速度以上运转，从而迅速毁坏一台离心机。

这时候，如果走到那台遭受攻击的离心机旁边，会听到机器转动声的明显异常，它的声音频率比正常状态要高得多。但工厂内有几百台离心机在同时运行，巨大的背景噪声往往会掩盖单台离心机的问题，不仔细听根本注意不到。更何况由于背景噪声太大，工程师都是带着耳罩进入车间，根本无法辨别那点细小的差别。他们一般还是从控制系统的屏幕上监控工厂状态，而震网病毒早已控制了监控系统，呈现给操作人员的，是一切正常的运行状态。

这是一种更加高明的战术，它使得伊朗人疲于奔命。崭新的离心机装进工厂，没用多久便告损坏，日常的生产工作变成了不停地更换离心机，纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力。伊朗人更换了数批工程师，却一直找不到问题原因，震网病毒的隐蔽性太强（即使是今天，震网病毒已经暴露了数年之后，最新的Windows仍然会把它当作合法程序），他们从没发现工厂早已被病毒入侵，仍然一味地认定是离心机的质量问题，白白损失了几年时光。

研究人员认为，由于震网病毒，伊朗核计划至少推迟了两年多。

这种新型战争方式的诞生过程

伊朗到底是什么时候才发现中毒的，外界不得而知。2010年，震网病毒公布后，引起了信息安全界的轰动，经过许多专家的深入研究，它针对纳坦兹核工厂的攻击意图已经被揭露成了司马昭之心。但即便如此，伊朗仍然矢口否认核工厂遭到了攻击。当然，伊朗到底是真的认为自己的工厂固若汤金，还是出于某种宣传策略而拒不承认，外界同样也不得而知了。

受害一方不肯承认，作案一方同样也没人出来领功。开发像震网这样一款高度复杂的病毒，对资金、人才、情报、组织等各方面都有极高的要求，再加上其独特的攻击目标设定，世界上有这种能力和动机的，只有美国或以色列政府。但美国和以色列并不承认自己与此有关，从病毒代码中也找不出什么证据能牵涉到美以两国，外界也只能停留在猜测而已。震网病毒如同一件孤独的凶器，不知道谁制造了它，也不知道它杀害过谁，外界只能从那锋利的刀刃推测它可怕的战斗力。

直到2012年，伊朗核问题波澜已定，一些美国退休官员才向《纽约时报》透露，针对伊朗核工厂的攻击，是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的网络战争。

（震网病毒版本，它跨越两位总统任期，经过了七年的持续开发和改进）

2006年伊朗重启核计划时，形势正如伊朗所料，美国的选择并不多。美军已经占领了伊拉克，却迟迟找不到传说中的大规模杀伤性武器，布什总统在国内国际政治上都处于被动局面，没有足够的政治能量再次以消灭核武器之名发动一场伊朗战争。但如果不解决伊朗核问题，又无法对以色列交待，因为伊朗一旦拥有核武器，首当其冲的使用目标必定是以色列，以色列感受到极大的威胁。以色列一再表态，要像1981年空袭伊拉克核反应堆一样，也对纳坦兹核工厂来一场外科手术式的打击，将伊朗核计划消灭在萌芽状态。如果任由以色列空袭伊朗，这无疑又将搅乱中东局势，使地区纷争进一步升级，当地的反美情绪也会更加狂热化。因此，当时的美国夹在以色列和伊朗之间左右为难。

万般无奈之下，布什总统接受了中央情报局的一个建议，向纳坦兹核工厂传播一点病毒。其初始目的，不过是给伊朗人制造一点麻烦，迟滞其核武器的制造进程，争取多一点时间，等到形势变得有利时再着手解决伊朗核问题。

为了安抚以色列，中央情报局拉上以色列情报部门一块儿干，以期把他们的注意力从空袭转向病毒。没想到，以色列态度很积极，还通过自己的间谍组织献上一份厚礼：他们偷到了纳坦兹核工厂的图纸！美国人喜出望外，立即决定升级原计划，搞一场大的。

病毒的目标从搞点小破坏，升级为感染全部设备，控制整个工厂。为了确保计划万无一失，美国人还按照图纸，造了一座模拟的核工厂。美国和以色列招募了一批顶级的黑客和核工程专家，在这片模拟战场上对症下药，针对其薄弱环节设计病毒，并且在实际运行中反复测试，反复改进。

布什总统任期快要结束的时候，病毒武器开发完成，测试结果非常成功。美国政府和中央情报局的首脑一起开会，讨论将其部署到实战中去。那场会开得并不轻松，与会者明白，病毒攻击势在必行，但同时他们也明白，这即将开启一个网络战争的时代。从前的病毒，其破坏不过是窃取一点数据，或者让电脑死机，总之都是电脑中来，电脑中去，限制在互联网中。这个病毒将第一次闯出潘多拉魔盒，杀进我们的现实世界，控制和破坏传统的机器设备。

这种攻击方式一旦传播开来，各国必将争相效仿，一场网络攻击的军备竞赛即将拉开帷幕。

当时的中央情报局局长迈克尔·海登形容会议气氛说：“我们是在跨越卢比孔河。”

关于震网病毒是怎样传播进纳坦兹核工厂的，广为流传的一个说法是，美国情报部门调查了核工厂工程师的背景，发现其中一个工程师特别喜欢钓鱼。于是他们派出一个特工，伪装成钓鱼爱好者，跟那位工程师交上了朋友。两人熟悉以后，特工给工程师发送一份邮件，邮件的内容是一张被震网病毒感染的钓鱼图片，工程师一打开图片，他的私人电脑就被感染了，并且随后感染到他的U盘。后来的某一天，那个工程师在工厂内使用了一次被感染的U盘，病毒就此传进了核工厂内，一步步地感染到所有设备，并且控制了离心机的运行。

这种说法未经证实，其中有一些显然是附会上去的。例如钓鱼，其实“钓鱼”在信息安全界是一个专有名词，是指架设一个假的银行或社交媒体的网站，引诱用户输入其信用卡或个人账户的帐号和密码，从而窃取个人信息。在这个故事里，“钓鱼”从喻体转回本体，变成了一种真实的活动，显然是以讹传讹了。

但有一点是研究者所公认的：病毒必定是通过U盘传进工厂的。核工厂跟大部分工程设施一样，内部的控制网络跟外部互联网是完全隔离的，彻底断绝从互联网上发动的攻击。病毒根本无法从网络连接传进去，唯一可能的途径就是内部设备上的USB接口。这一结论，从震网病毒特意加强的USB传播能力也能得到证实。病毒开发者拥有一座模拟工厂，在实际测试中，他们必定也早已发现，USB口才是唯一的突破口。

至于具体的传播者，美国人自然不肯透露。但据研究者推测，不大可能是无意中掉入圈套的工程师，倒更有可能是被收买的内部人员。因为病毒版本更新比较频繁，而U盘的使用是偶尔的、不定期的，靠无意中的USB感染，不能保证新的病毒版本及时传入工厂。

病毒的频繁更新非常重要，它使得每隔一段时期，故障的发作形式就会变化。在美国的模拟工厂中，病毒开发者一直试验着各种破坏方式。相应地，在伊朗的真实工厂，离心机也不停变换着报废原因，时而是转子磨损，时而是压力阀损坏，繁复多变，不一而足。伊朗人只能看到故障频发，却因为故障类型变化无常，始终无法积累足够的经验，搞不清到底是出了什么毛病。核工厂频频停工检修，生产计划被彻底打乱了。

一种新型的战争方式诞生了！

艺术，成为第一次网络战争看得见的战果

通过网络攻击，美以两国成功地破坏了伊朗核计划。而且，这场战争的战果比他们预期的还要大。

首先，网络战争是一种持续性的破坏。传统的空袭轰炸，或派遣特工小分队炸毁核工厂，这些战斗轰轰烈烈，很具有戏剧性，而网络攻击悄无声息，也不怎么吸引眼球。但相对而言，它却具有更好的破坏效果。当今时代，工业生产效率大大提高，机器设备的生产速度极快，伊朗为了制造浓缩铀，准备了五万台离心机，炸掉一座工厂，他们马上就能再造一座。反倒是高科技的暗中破坏，像震网病毒的缓慢“绞杀”，更令敌人无所适从。虽然伊朗人拥有足够的离心机，但在找出纳坦兹的故障原因之前，他们也不敢贸然上马新的工厂。

技术上的压制比火力上的压制更加彻底，敌人更加没有还手之力。

网络战争的另一大优点，是其隐蔽性。虽然研究者一致公认，震网病毒的开发者非美国、以色列莫属。但美以两国始终不予承认，伊朗如同吃了哑巴亏，没办法提出任何抗议，更不能像遭到空袭那样，发动舆论声讨、群众游行、乃至军事报复等反击措施。伊朗官方的反应，反而是否认核工厂遭到任何病毒攻击。就这样，美国既达到了军事目标，又没有付出政治、舆论上的代价，可谓面子、里子二者兼得。

作为第一件经过实战检验的病毒武器，震网病毒正式开启了网络战争时代的大门。

下一场战争会怎么打？没人能做预料。但可以肯定的是，双方会围绕国防、工业等关键设施的控制权，展开激烈的的网络争夺战。战争将不仅仅局限于遥远的前线，也不仅仅打击军用设施，从停水、停电、红绿灯失灵、电话打不通之类的生活混乱，到火车出轨、大坝决堤、核电站泄漏之类的大规模灾难，一切都有可能发生。科技与网络已经深深渗入我们的生活，我们越是依赖它们，就越容易受到它们的伤害。当网络受到敌方攻击，设施遭到敌人劫持，它们就会变成一把刺向我们自身的尖刀。

时至今日，震网病毒的影响早已远远超出了纳坦兹核工厂。自从它被公开以来，一些病毒制造者在它基础上又衍生出了许多变种，广泛传播到互联网的每一个角落。有报道称，光在中国就有六百万台电脑遭到感染。无论是国家间的病毒武器，还是黑客组织的病毒工具，今天许多病毒的开发都深深受到震网的启发。

震网的影响力也传染到了文艺界。有的艺术家从震网中获取灵感，还举办了画展。

曼说，这部电影的创意，灵感正是来自于震网病毒。他在电影中进行了一些探索，尝试如何用画面来表现网络世界中发生的一切，如程序编码、数据流动、电子的跳跃、键盘的动作等等，拓展了不少电影的表现力。2015年1月16日，北美开始上映一部新片：《骇客交锋》（Blackhat）。这部电影由汤唯和“雷神”克里斯·海姆斯沃斯主演，讲的是黑客控制了中国核反应堆的故事。导演是曾经四次获得奥斯卡奖提名、执导过《最后的莫西干人》、《迈阿密风云》等名作的迈克尔·曼。

我们还是期盼震网带来的战争更少，艺术品更多吧。