德国知名工业控制系统安全专家 Ralph Langner发表了Stuxnet蠕虫的最新研究报告(PDF),在《外交政策》上发表了一篇概述介绍了Stuxnet秘密的双胞胎兄弟。
Langner指出,Stuxnet有两个攻击程序,外界熟知的能改变伊朗Natanz核工厂铀浓缩离心机转子速度的Stuxnet蠕虫其实是一个简化的版本,还有一个更复杂更隐秘的版本,后者才是原始版的Stuxnet。第一个版本的Stuxnet样本早在2007年就被人递交给安全公司,但当时并没有引起关注。相比后来外界熟知的版本,原版本采用了不同的攻击策略,它不是通过改变转子的速度破坏离心机,而是试图破坏保护系统过压离心机。伊朗使用的铀浓缩离心机IR-1过时且不可靠,因此它安装了一个独特的级联保护系统,没有这个保护系统IR-1将会变得无用。IR-1是在1960年代后期由欧洲设计,1970年代初被巴基斯坦的A.Q.Khan窃取和少许改进。由于伊朗缺乏精密的制造工艺和高质量的关键零部件,它制造的IR-1不很可靠,为此不得不降低运行压力减轻机械应力,减少转子磨损。原版的Stuxnet就是设计破坏这个级联保护系统,它巧妙伪装,其策略堪比好莱坞电影:先以21秒的周期记录保护系统压力传感器的数值,然后在执行攻击期间循环转发记录的21秒数据。因此在控制室,一切仿佛无比正常,人类操作员和软件警告系统都不会注意到异状。离心机过压攻击的效果并不明朗,攻击者因而在2009年发布一个新版本,采用了不同的攻击方法,更容易传播,更容易被发现。根据后来被曝光的奥林匹克计划,第一个版本可能是NSA开发的,而第二个版本可能是以色列开发的。
