Symantec：Stuxnet蠕蟲鎖定伊朗的五大組織

資安業者賽門鐵克（Symantec）上周更新有關Stuxnet蠕蟲的研究報告，指出在蒐集更多的感染樣本後，發現Stuxnet鎖定伊朗境內的五大組織，而且駭客集團在完成Stuxnet蠕蟲的12個小時後就已成功造成感染。

Stuxnet自去年就受到各家資安業的關注，其主要的攻擊目標為西門子的自動化生產與控制（SCADA）系統，最終目的是修改可程式化的邏輯控制器（PLC）以破壞相關設備。該系統多半被用在工廠中，Stuxnet除了具備竊取資料的能力外，還能掌控企業控制系統。研究發現駭客的首要目標是伊朗境內的組織，但該蠕蟲的自我複製特性讓它迅速蔓延到全球上百個國家。

為了要感染目標系統，Stuxnet必須先被引進特定的環境，推測主要媒介為USB裝置，隨後搜尋適合用來展開攻擊的目標裝置，並透過企業網路及程式或系統漏洞進行感染。賽門鐵克並未公布成為Stuxnet攻擊目標的組織，但表示該威脅是鎖定諸如天然氣或發電場等工業控制系統。去年9月，伊朗首座核能發電廠曾證實已受到Stuxnet感染。

在此一新的研究報告中，賽門鐵克彙整了由F-Secure、卡巴斯基實驗室、微軟、McAfee及趨勢科技等業者所蒐集的3280個不同的樣本，這些樣本約代表1.2萬個被感染的機器，分析發現，這些感染全發生在這五大伊朗組織，其中有3個僅遭受一次攻擊，有兩個遭受兩次攻擊，有一個遭受3次攻擊，攻擊時間點最早可追溯到2009年6月，最近的一次是去年5月。

賽門鐵克還發現，針對伊朗五大組織的攻擊最初只有感染10台機器，但Stuxnet的特性讓感染範圍很快就變成1.2萬台。

賽門鐵克已偵測到3個Stuxnet變種，相信有第四個的存在，但尚未被找到。駭客從編譯Stuxnet蠕蟲到成功感染的平均時間為19天，最長是28天，最短只有12個小時。

除了伊朗外，Stuxnet災情較為嚴重的國家還包括印尼、印度、亞塞拜然、巴基斯坦及馬來西亞等，不過，全球Stuxnet蠕蟲的感染數量光是伊朗就佔了60%。（編譯/陳曉莉）