六年前，美國和以色列聯合研制的名為“震網”的電腦蠕蟲病毒成功襲擊了伊朗的納坦茲鈾濃縮工廠等核設施，使得大約900臺離心機停止運轉。

目前安全公司“火眼”（FireEye）的研究人員稱，發現了一款十分復雜的惡意軟件，雖然該軟件在復雜性、傳播能力和地緣政治影響發面和震網無法比較，但他利用了和震網相同的技術和特點。這款軟件將目標鎖定在了西門子工業控制系統上。

重顧震網

震網病毒又名Stuxnet病毒，是一個席卷全球工業界的病毒。震網（Stuxnet）病毒于2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。

作為世界上首個網絡“超級破壞性武器”，Stuxnet的計算機病毒已經感染了全球超過 45000個網絡，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。計算機安防專家認為，該病毒是有史以來最高端的“蠕蟲”病毒。

IRONGATE鐵門

Josh Homan, Sean McBride, 和Rob Caldwell把這款惡意軟件命名為“鐵門”（Irongate）。研究人員稱工業控制系統的惡意軟件是很復雜的，因為對其開發需要的常常是生僻、陳舊并且專業性非常強的系統知識。

Irongate有哪些特點？

正是因為工業系統的復雜性使得這款軟件變得很有趣。它采用中間人攻擊來獲取正常人機接口的流量，并通過傳回數據來掩蓋攻擊時產生的異常。中間人攻擊（MITM））是一種“間接”的入侵攻擊，這種攻擊模式通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間。

Irongate用惡意DLL替換正常的DLL，惡意DLL充當可編程序邏輯控制器（PLC）與合法監控系統之間的中間人。該惡意DLL從PLC到用戶界面記錄“正常”的流量并進行替換，同時將不同的數據再發回PLC。這就允許攻擊者在操作者不知情的情況下改動受控過程。

由此可見，Irongate和Stuxnet的相似之處：

均利用尋找和替代專用的DLL文件，來實現中間人攻擊。

二者不同點：

1.Stuxnet查找殺毒軟件，Irongate檢測惡意軟件并“引爆”/觀察環境。

2.Stuxnet沒有試圖去隱藏過程操作，但Irongate記錄并回放過程數據隱藏操作。

有趣的是，這款惡意軟件是FireEye的和美國麥迪安網絡安全公司研究小組在VirusTotal上發現的，他們表示這有可能是作者自己上傳的，目的是想測試自己的木馬殺毒軟件。目前該惡意軟件還沒有發現任何不良記錄。