不為人知的幕後故事:NotPetya,史上破壞力最強的一次網絡攻擊
編者按:癱瘓的港口,受創的企業,停擺的政府機構。這是關於一段代碼如何讓整個世界陷入癱瘓,讓全球經濟損失了100億美元的故事。這個故事説明,在網絡空間裏,距離不再是屏障,網絡病毒的破壞力不亞於原子彈的量級,而在複雜到已經失控的網絡裏,如何對抗這種新型的戰爭已經成為一個世界難題。本文摘自《連線》記者Andy Greenberg的新書《Sandworm》。
那是哥本哈根的一個完美的陽光明媚的夏日下午,但是全球最大的運輸集團開始神經錯亂。
A. P. 穆勒-馬士基總部坐落在哥本哈根港微風習習、鋪滿鵝卵石的濱海大道旁。建築物東北角一旁立有一根懸掛丹麥國旗的桅杆,透過6層樓的藍色玻璃可以看見同樣蔚藍的海水,以及停泊着丹麥皇室遊艇的碼頭。在大樓的地下室,員工可光顧一家企業禮品店,裏面擺滿了馬士基品牌的包包和領帶,甚至還有一個罕見的馬士基Triple-E巨型集裝箱船的樂高模型。這玩意有多大?大到可以大概相當於帝國大廈平躺下來,能夠將另一個相當於帝國大廈大小的負載堆在它上頭。
這個禮品店還進駐了一個技術幫助中心,這是由IT排障人員運營的集中技術台,就在商店收銀台的旁邊。2017年6月27日下午,困惑的馬士基員工開始三三兩兩地聚集到幫助台前,幾乎每個人都攜帶了便攜電腦。一些電腦上面寫着“修復C盤的文件系統”:並且有一個明顯的警告要求不能關閉電腦。有的信息則要更超現實,寫着“哎呀,你的重要文件被加密了”並且要求支付價值300美元的比特幣才能解密。
穿過街道,一位名叫Henrik Jensen的IT管理員正在馬士基綜合樓的另一部分工作,這是一棟鑲嵌了白色石頭的建築,在幾個世紀前是皇家海事地圖檔案館。(Henrik Jensen不是他的真名。就像我採訪過的幾乎所有馬士基員工、客户或者合作伙伴一樣,Jensen也害怕公開討論本故事的後果。)當他的計算機突然重啟時,Jensen正在忙着給馬士基將近80000員工準備一項軟件更新。
他在心裏暗罵了幾句。Jensen以為這次不在計劃之內的重啟是馬士基IT中心常有的唐突之舉。這個企業帝國有8個業務部門,在全球130多個國家有574個分支機構,管理着從港口到物流以及石油探井等一切。而那個設在的IT部門幾乎討不到任何人的喜歡。
Jensen抬起頭問問辦公室內的其他IT同事有沒有被如此粗魯地打斷過。當他伸長脖子的時候,他注意到屋子裏的每一台計算機的屏幕很快都相繼閃滅了。
“我看到一波屏幕都變成了黑屏。黑屏、黑屏、黑屏。黑屏黑屏黑屏黑屏黑屏,”他説。Jensen和他的鄰座迅速發現,PC已經被永久鎖定了。重啟只能返回到同樣的黑屏。
在整個馬士基總部上上下下,全面危機開始變得清晰。在半個小時之內,馬士基員工都在奔走相告,一邊大喊着讓同事趕緊關機或者斷開跟馬士基網絡的連接以免被惡意軟件感染,因為他們已經明白,每一分鐘的延誤都意味着數十乃至數百的PC被搞殘。技術員工跑進會議室拔掉了還在開會當中的機器。很快員工設法越過了被仍然神祕的惡意軟件致癱的被鎖上的門禁,將警告信息傳給大樓的其他部門。
斷開公司的全球網絡讓公司IT員工度過了超過2小時的恐慌時間。這個流程走完之時,每一位員工都被命令關掉計算機並且放在桌子上不許動。每張桌子上的數字電話在這次緊急網絡關閉中也變成無用了。
大概下午3點左右,一位馬士基的高管步入Jensen和十多位同事正在焦急等待消息的辦公室然後告訴他們回家。馬士基的網絡已經被破壞得太嚴重了,以至於IT員工也束手無策。公司的一些資歷較老的經歷告訴他們的團隊要堅守崗位。但是很多員工因為沒有計算機、服務器、路由器或者桌面電話就相當於無所事事,唯有一走了事。
Jensen走出來大樓,被淹沒到6月下午炙熱的氣流之中。就像馬士基絕大多數員工一樣,他也不知道什麼時候可以重返工作。僱傭他的那個負責全球各地76個港口以及將近800艘巨輪(其中包括承載上千萬頓貨物運輸的集裝箱貨船)的運營,運力佔到了全球貨運量的1/5的海事巨頭已經徹底癱瘓(dead in the water)。
烏克蘭首都基輔,在時尚的Podil街區角落,咖啡店和公園突然消失了,取而代之的是一幅糟糕的工業景觀。在一條過街天橋下面,跨過一些垃圾滿地的鐵軌,在穿過一道混凝土門之後,矗立着4層樓的Linkgos Group總部,這是一家小型的烏克蘭軟件家族企業。
爬過3層樓梯後有一間服務器室,披薩盒大小的計算機被一堆電纜連接着並用手寫的數字標籤做好了標記。在正常的日子裏,這些服務器會推動定期的更新——修復的bug、安全補丁、性能等——給財務軟件M.E.Doc,這玩意兒就相當於烏克蘭的TurboTax或者Quicken。在烏克蘭但凡要納税或者做生意的人幾乎都要用到這個軟件。
不過2017年的時候,那些機器一度充當着自從互聯網發明以來最致命的網絡攻擊之原爆點的角色——這起攻擊至少在一開始是被當做一個國家對另一個國家的襲擊而使用的。
在過去4年半的時間裏,烏克蘭都被陷入到俄羅斯的一場令人煎熬的不宣而戰之中。這場衝突還讓烏克蘭成為俄羅斯網絡焦土戰政策的試驗場。2015、2016年,當據稱跟克里姆林宮有瓜葛的黑客Fancy Bear忙着入侵美國民主黨全國委員會的服務器時,另一個叫做Sandworm的特工組織也正在入侵數十個烏克蘭的政府組織和公司。他們滲透進各種網絡,受害者從媒體組織到鐵路公司不等,引爆的邏輯炸彈摧毀了數TB的數據。這種攻擊遵循着一種施虐狂似的節奏。在那兩年的冬天裏,破壞者瘋狂的肆虐導致了大規模的電力中斷——這是第一次確認的由黑客引發的大停電。
但那些攻擊仍然不是Snadworm的壓軸戲。2017年春,在Linkgos Group無人知曉的情況下,軟羅斯的軍事黑客劫持了公司的升級服務器,讓他們得以將一個隱祕的後門植入到烏克蘭以及全世界成千上萬枱安裝有M.E.Doc的PC裏面。然後,到了2017年6月,這些破壞者再利用這一後門釋放了一種叫做NotPetya的惡意軟件,這是有史以來最惡毒的網絡武器。
黑客推出的代碼經過了精心設計,為的是讓它能夠自動、快速且不加選擇地傳播出去。思科的Talos部門是第一家對NotPetya進行逆向工程和分析的安全公司之一,其外聯總監Craig Williams説:“迄今為止,這是我們見過的傳播速度最快的惡意軟件。在你看到它的那一刻,你的數據中心就已經完了。”
NotPetya是兩個黑客漏洞先後推動的結果:一個是所謂的EternalBlue滲透工具,這是由美國NSA開發的,但是在2017年初該機構的一次高度機密文件泄露事件中被盜走了。EternalBlue利用了一個特殊的Windows協議漏洞,使得黑客可以自由地控制,在任何未打補丁的機器上遠程運行自己的代碼。
NotPetya的架構再加上一項較老的叫做Mimikatz的數字萬能鑰匙發明,就創造出來了一個法國安全研究人員Benjamin Delpy在2011年提出來的概念驗證。Delpy原先推出Mimikatz是為了證明Windows其實是把用户的密碼保存在內存裏的。一旦黑客獲取了對計算機的初始訪問,Mimikatz就能將那些密碼從RAM中取出並且利用來破解用同樣證書可訪問的其他機器。在多用户計算機的網絡上,這甚至還可以利用機器作為跳板對其他機器發動自動攻擊。
在NotPetya推出前,微軟已經發布了一個EternalBlue漏洞的補丁。但儘管如此,EternalBlue和Mimikatz仍然搭配出了一個致命組合。Deply説:“你可以感染那些沒打補丁的機器,然後獲取那些計算機的密碼去感染其他打了補丁的計算機。”
NotPetya的名字靈感源自勒索軟件Petya,這是2016年初浮出水面的一段犯罪代碼,被感染的受害者必須交一筆錢才能拿到文件解鎖的密鑰但NotPetya的勒索只是個幌子:該惡意軟件的目標純粹是要搞破壞。它對計算機的主引導記錄(MBA)進行了不可逆的加密,MBA是機器最底層的機制了,操作系統放在哪裏完全要靠它來引導。因此受害者支付再多的贖金也是徒勞的。沒有任何密鑰能夠對已經被加密噪音污染的內容進行還原。
NotPetya的釋放是一種網絡戰爭(無論按照哪一種定義方式)行為——其爆炸性之大甚至可能超出創建者的意圖。在出現數小時之內,蠕蟲就蔓延到了烏克蘭以外感染到全世界從賓夕法尼亞的醫院到塔斯阿尼亞島的巧克力工廠的無數機器上,給包括馬士基、製藥巨頭默克、聯邦快遞歐洲分佈TT Express、法國建築公司Saint-Gobain、食品製造商Mondelēz以及製造商Reckitt Benckiser等在內的跨國公司予以重創。給每一家都造成了9位數的損失。病毒甚至還傳播回俄羅斯,給國營石油公司俄羅斯石油造成打擊。
據美國白宮估計,其結果就是超過100億美元的總損失(這個是前美國國土安全部顧問Tom Bossert透露,攻擊發生時他是特朗普總統最資深的網絡安全官)。Bossert與美國的情報機構還確認今年2月時俄羅斯軍方應該對發佈該惡意代碼負責。
要想感受一下NotPetya造成破壞的規模,不妨回顧一下今年3月癱瘓了亞特蘭大市政當局的那種噩夢般但更典型的勒索病毒攻擊:其損失為1000萬美元,僅佔NotPetya造成損失的千分之一。甚至在NotPetya爆發之前的2017年5月傳播的更惡意的蠕蟲WannaCry,所造成損失據估計為40億美元到80億美元之間。此後再無病毒能望NotPetya的項背。Bossert説:“儘管這場戰爭並沒有人員損失,但效果已經相當於為了實現一場小型戰術勝利而投放的核彈。這種魯莽程度是我們在世界舞台上所無法容忍的。”
在NotPetya震撼了世界之後,《連線》深入調查了被這個蠕蟲重創的企業巨頭之一馬士基的遭遇,其慘痛經歷獨特地説明了網絡戰爭的危險性現在已經威脅到全球現代基礎設施。就像《連線》接觸的所有非烏克蘭受害者一樣,馬士基的高管也不願以官方身份對本文發表任何評論。本文的許多馬士基現員工和前員工也都選擇保持匿名。
但是NotPetya的故事主角其實不是馬士基,或者甚至也不是烏克蘭。這個故事要講的是一個國家的戰爭武器被釋放到國界毫無意義的媒介時會發生什麼,而且其附帶損害會通過一種殘酷的、意料之外的邏輯加以傳播:本來目標是烏克蘭的攻擊連累到了馬士基,而對馬士基的攻擊又連累到了所有人。
Oleksii Yasinsky原先以為週二那天辦公室應該是沒什麼事的。那是烏克蘭法定假日憲法日的前一天,他的大部分同事不是計劃度假就是已經在度假中了。但Yasinsky沒有。過去一年,他一直是Information Systems Security Partners(ISSP,即將成為對烏克蘭網絡戰的受害者求助對象)的網絡實驗室負責人。這個崗位職責是不允許有宕機時間的。實際上,自從2015年底俄羅斯發動第一波網絡攻擊以來,他休假的時間加起來才只有一週。
所以,那天早上當Yasinsky接到一個電話時他並沒有慌張。電話是ISSP總監打過來的,説烏克蘭第二大銀行Oschadbank遭遇攻擊。銀行告訴ISSP説自己受到了勒索病毒的感染,這是一種日益常見的危機,發起者通常是以賺錢為目的的犯罪分子。不過當Yasinsky半小時後走進Oschadbank的IT部門時,他感覺到這次的襲擊不一樣。Yasinsky説:“員工們不知所措,完全處在震驚狀態。”銀行上萬計算機當中約90%都被鎖定,上面顯示着NotPetya的“修復硬盤”消息以及勒索消息畫面。
在對該銀行幸存的日誌進行快速檢查之後,Yasinsky可以發現攻擊是一種設法弄到了管理員證書的自動蠕蟲。這使得它可以像偷走了看守鑰匙的囚犯一樣在銀行的網絡內橫衝直撞。
當Yasinsky回到ISSP辦公室分析銀行這次遇到的襲擊時,他開始陸續收到烏克蘭各地打來的電話和短信,告訴他其他公司和政府機構也遇到了類似情況。一個人告訴他另一位受害者曾試圖支付贖金。就像Yasinsky猜想一樣,支付並沒有效果。這不是普通的勒索軟件。他説:“解決這個沒有銀彈,沒有解藥。”
——據白宮估計的NotPetya造成的總損失
向南1000英里,ISSP CEO Roman Sologub正試圖在土耳其南海岸過個假期,準備着跟家人一起奔赴海灘。這時候他的手機也開始被ISSP那些要麼眼睜睜看着NotPetya在自己的網絡肆虐要麼被網絡攻擊的新聞嚇到正瘋狂尋求建議的客户打爆。
Sologub只好撤回酒店,在那一天剩下的時間裏他總共記錄了超過50起客户電話,他們一個接一個地報告説自己的網絡被感染了。實時監控客户網絡的ISSP安全運營中心警告Sologub説NotPetya正以恐怖的速度滲透到受害者的網絡:它只用了45秒鐘就把一家烏克蘭大型銀行的網絡搞癱。ISSP曾經出於演示目的給烏克蘭一個重要的交通樞紐部分安裝了自己的設備,那些設備也在16秒鐘之內就被完全感染了。能源公司Ukrenergo,ISSP曾在其2016年遭受嚴重網絡攻擊之後幫助重建了網絡,這次還是被襲擊了。“你還記得我們打算實施新的安全控制嗎?” Sologub回憶起一位沮喪的Ukrenergo IT部主任在電話裏面問他的話。“完了,已經太遲了。”
很快,ISSP的創始人,連續創業者Oleh Derevianko也中斷了自己的休假。關於NotPetya的電話打來時,Derevianko正驅車北上度假,到鄉下看望家人。接到消息後他馬上開下高速公路,到路邊的一個飯店就地開展工作。下午剛開始不久時,他就警告致電的每一位主管要透他們毫不猶豫地把網絡斷掉,哪怕這意味着關閉整個公司。在很多情況下,他們已經等待了太久了。Derevianko説:“等到你趕到他們那裏時,基礎設施已經被摧毀了。”
NotPetya正在吞噬着整個烏克蘭的計算機的生命。光是基輔就有4家醫院受到打擊,此外還有6家電力公司、2個機場、超過22家烏克蘭銀行,零售商和交通運輸業的ATM和卡支付系統,以及幾乎每一家聯邦機構均受波及。烏克蘭基礎設施部部長Volodymyr Omelyan一言蔽之:“政府已經死了。”據ISSP,至少有300家公司被攻擊,一位資深的烏克蘭政府官員估計本國有10%的計算機被抹除了數據。攻擊甚至還關閉了基輔以北60英里外的切爾諾貝利清理現場科學家所使用的計算機。Omelyan説:“這是對我們所有系統實施的大規模轟炸。”
傍晚當Derevianko從飯店出來時,他到加油站想給自己的車加油卻發現那家加油站的信用卡系統也已經被NotPetya幹掉了。兜裏沒錢的他盯着油表,擔心還夠不夠油開回老家。整個烏克蘭的人都在問類似的問題:有沒有足夠的錢去買百貨和加油來撐過這場閃電戰,自己能不能拿到薪水和養老金,能不能開出處方。到了那天晚上,當外面世界還在爭論NotPetya究竟是犯罪性的勒索軟件還是受國家支持的網絡戰爭武器時,ISSP的員工已經開始把它形容為一種新現象:一場“大規模的協同作戰的網絡入侵。”
在這場瘟疫中,有一例感染對馬士基來説將是決定性的:在位於烏克蘭黑海邊港口城市敖德薩,馬士基烏克蘭分部的一名財務主管要求IT管理員在一台計算機上安裝會計軟件M.E.Doc。這一舉動讓NotPetya得到了唯一需要的一個立足點。
新澤西伊麗莎白的海洋轉運站是馬士基的76個所謂的APM Terminals(港口運營部門)之一——它蔓延到了紐瓦克灣的一個方圓1平方英里的人造半島上。成千上萬堆疊的、模塊化的集裝箱佈滿了那裏大面積的柏油地面,200英尺高的藍色吊機在港灣隱隱若現。從5英里之遙的下曼哈頓區摩天大樓頂樓望過去,它們就像是侏羅紀時代聚集在水坑周圍的腕足類恐龍一樣。
天氣好的時候,每天大概有3000輛卡車會來到轉運站,每一輛都有分配好的任務,要裝載或者卸載上萬磅的東西,從紙尿布到牛油果或者拖拉機零件,不一而足。它們就像飛機乘客一樣開始那道流程,看看轉運站的出入口,在這裏掃描議會自動讀取集裝箱的條碼,一位馬士基的門衞會通過音響系統跟卡車司機通話。司機會收到告訴停到哪裏的打印好的放行條,然後一台大型場地起重機就會把集裝箱從卡車底盤吊起,搬到貨場堆起來,接着再裝進集裝箱船,漂洋過海,或者整個過程反過來。
6月27號的那個早上,Pablo Fernández預計會有相當於幾十輛卡車裝載量的貨物要離開伊麗莎白港去到中東的一個港口。Fernández的身份是所謂的貨運代理——貨主為了確保自己的財產能夠安全抵達半個地球只要的目的地而付費僱傭的中間人。(Fernández並非真名)
新澤西時間大概9點左右,Fernández的電話開始響起來自憤怒貨主的一連串尖刻的呼叫聲。他們都從卡車司機那裏聽説車被堵在馬士基伊麗莎白轉運站外面了。Fernández説:“大家都急得上躥下跳。他們都無法讓自己的集裝箱進出。”
因為那道門是馬士基在整個新澤西轉運站的咽喉要道,但現在已經歇菜了。門衞悄悄溜走了。
很快,數百輛18輪的大拖車都只好依序倒車,長長的隊伍在轉運站外綿延數英里。同一個港口附近另一家公司轉運站的一名員工目睹了那些卡車前後保險槓擠到一起排長隊的情形,甚至長到他都看不到頭。他還看到門禁系統在15到30分鐘之內宕掉。但是幾個小時後,馬士基依然一聲不吭,港口管理方發出警告稱該公司在伊麗莎白的轉運站次日可能將會關閉。附近轉運站的那位員工記得:“那時候我們開始意識到,這是一次襲擊。”警方開始接觸那些司機,告訴他們帶着龐大的載荷離開。
Fernández和無數其他抓狂的馬士基客户面臨着一個悽慘的選項:他們可以把自己的貴重貨物以昂貴的最後成交價卸到其他船上。或者,如果他們的貨物是緊湊的供應鏈的一部分,比如工廠的部件的話,馬士基的中斷將意味着採用費用高昂的空運手段,否則的話生產流程將有停滯的風險,一天的停工意味着幾十萬美元的損失。很多集裝箱,也即是所謂的冰箱,那是要供電的,裏面裝滿了容易腐爛需要冷凍的貨物。這些集裝箱得找地方插電以免東西壞掉。
Fernández必須倉促地在新澤西找一個倉庫來存放客户的貨物,一邊等着馬士基的消息。他説,在那整整的第一天裏,他只收到了一封官方郵件,來自一位疲憊不堪的馬士基員工的Gmail賬號,內容聽起來就像“胡言亂語”,對這場裝卸危機並沒有做出真正解釋。公司的集中預訂網站Maerskline.com也宕了,馬士基員工沒有一個人接電話。實際上,那天他要裝上馬士基貨船的貨物將會被落在堆場以及全球各地的港口達3個月之久。Fernández回憶起這件事時一聲歎息:“馬士基就像個黑洞,這就是一場大杯具。”
實際上,這是大杯具中的大杯具。從洛杉磯到西班牙阿爾赫西拉斯再到荷蘭阿姆斯特丹乃至孟買,相同的一幕在馬士基76個轉運站當中的17個上演。門禁壞了。起重機被凍結了。全球範圍內成千上萬的卡車都在掉頭撤離陷入昏睡中的轉運站。
新訂單沒法下了,這基本上相當於斷絕了馬士基核心的運輸收入來源。馬士基貨船的計算機沒有受到感染。但轉運站的軟件由於需要接收那些船發送的電子數據交換(EDI)文件,通過這些文件轉運站運營方才能知道貨艙裝的是什麼,但現在這些信息已經被完全抹去了。這使得馬士基的港口變成了無頭蒼蠅,不知道如何去指導完成這項龐大的裝卸集裝箱的堆積木遊戲。
在接下來的幾天裏,全世界最複雜、互聯性最強的分佈式機器之一,本身也是全球經濟循環系統基礎的馬士基仍將無法運轉。一位馬士基的客户回憶道:“顯然這個問題的量級在全球交通業是前所未有的。在整個運輸IT史都沒人曾經歷過影響如此深遠的危機。”
在自己位於馬士基辦公室角落的屏幕黑屏了幾天之後,Henrik Jensen正在根本哈根自己的公寓家中,享受着荷包蛋、吐司加果醬組成的早午餐。自從週二他走出辦公室以來,他都沒有收到任何上司的消息。然後他的手機突然響了。
接了電話後他才知道這是一次電話會議,另一頭還有3個人。他們説他們需要他。他們是馬士基梅登黑德辦事處的員工。梅登黑德是位於倫敦西部的一個小鎮,是這個企業集團IT統領Maersk Group Infrastructure Services(馬士基集團基礎設施服務)所在地。他們告訴他放下一切去到那裏。馬上。
兩小時後,Jensen已經在一架飛往倫敦的飛機上,然後上了一輛車來到梅登黑德中心移動8層樓高的玻璃磚混建築。當他抵達那裏時,他發現4、5層樓已經被改造為24/7 應急指揮中心。該中心的目的只有一個:在NotPetya災難之後重建馬士基全球網絡。
Jensen了解到,一些馬士基員工自從週二NotPetya的第一波攻擊以來就椅子呆在恢復中心。一些人就睡在辦公室,在桌下或者會議室角落。似乎每分鐘都有其他人從世界各地手裏提着行李趕來。馬士基幾乎將方圓10英里之內的所有酒店客棧的客房都預訂一空。員工則靠某人從附近Sainsbury的日雜百貨店買回來堆在茶水間的小吃填肚子。
梅登黑德應急中心由德勤管理。馬士基讓德勤來負責處理NotPetya問題,這基本上是給了這家英國機構一張空頭支票,任何時候都有多達200名德勤員工駐紮在梅登黑德辦事處,另外還有400名馬士基的人。因為害怕會感染新系統,在NotPetya爆發前馬士基使用的所有計算機設備均被收繳,而且還貼出了告示,任何人要是違反規定使用的話將會被紀律處分。所以員工們紛紛跑到梅登黑德的每一家電子商店買了一堆的新筆記本並且預付了Wi-Fi熱點。就像數百名其他的馬士基IT員工一樣,Jensen也被分配了一台新的筆記本用來幹活。他説:“當時的情況很像是‘找個地方,開始幹活,做一切需要完成的工作。’”
一開始開始重建馬士基網絡工作的時候,IT員工意識到了一件十分令人厭惡的事情。他們本來已經找到了幾乎所有馬士基服務器的備份,日期從NotPetya爆發前的3到7天不等。但是公司網絡的關鍵一層的備份卻沒有一個人能找到:這一層就是域控制器,這些服務器的作用相當於馬士基網絡的詳細地圖,還負責設定確定哪些用户可以訪問哪些系統的基本規則。
馬士基 150個左右的域控制器事先已經編程好要相互同步各自的數據,所以在理論上其中任意一個都可以充當所有其他域控制器的備份。但這種去中心化的備份策略在一個場景下不適用:每一個域控制器都被同時抹掉數據時。一位馬士基的IT員工記得當時是這麼想的:“如果我們不能恢復域控制器的話,那就任何東西都恢復不了了。”
在瘋狂地將世界各地的數百位IT管理員都召集過來之後,馬士基絕望的管理員終於在一個遠程辦事處——遙遠的加納找到了了唯一一台存活的域控制器。那是因為在NotPetya攻擊發動前,斷電導致加納的那台機器離線了,使得那台計算機仍然沒有連上網絡。因此在那台機器上保留了唯一一份已知的未被惡意軟件感染的域控制器數據——這一切都要感謝斷電事件。一位馬士基的管理員説:“當我們找到它時,辦公室到處是歡呼雀躍。”
不過,當梅登黑德緊張的工程師設置好到加納的連接時,他們發現它的帶寬太小了,要想把幾百GB的域控制器數據備份回英國的話得要好幾天。他們的下一個想法是:讓加納員工趕最早的班機到倫敦。但是問題是西非辦事處的員工沒有一個人有英國護照。
於是梅登黑德中心又設法安排了一次接力賽:加納辦事處的一位員工先飛到尼日利亞在機場跟另一位馬士基員工對接,轉交那塊極其珍貴的硬盤。那位員工然後攜帶着馬士基整個恢復過程的基石,再坐6個半小時的飛機降落到希斯羅機場。
當拯救工作結束時,梅登黑德辦事處就可以將馬士基的核心服務恢復上線了。在第一天之後,馬士基的港口運營恢復了讀取貨船存貨文件的能力,這樣操作員對抵達其港口的巨型集裝箱船裏面裝的是什麼就不再一無所知了。但是馬士基要想從Maerskline.com接受新訂單還需要幾天的時間,而全球各地的轉運站要想恢復任何程度的正常運營還需要一週多的時間。
與此同時,馬士基的員工還在利用手頭一切現有的工具。他們發紙質文檔給停留在APM港口的集裝箱船,通過個人Gmail賬號、Whatsapp以及Excel電子表格接受訂單。一位馬士基客户説:“我可以告訴你,通過WhatsApp訂500個海運集裝箱是一次相當離奇的體驗,但這就是我們乾的事情。”
在發生那場襲擊2周之後,馬士基的網絡終於恢復到公司可以重新下發個人計算機給絕大部分員工的程度。回到哥本哈根總部,大樓負層的自助餐廳被挪用為重新安裝的裝配線。每次都有20台計算機排成一排,幫助台的員工會按順序走下來,插入USB他們已經拷貝了幾十個的USB,按照提示不斷點擊數小時。
從梅登黑德返回幾天後,Henrik Jensen在按字母排列的幾百枱筆記本電腦當中找到了自己的,硬盤裏面的東西都已經被抹掉了,並且安裝了一個乾淨的Windows鏡像。從筆記到家庭照片,他和其他馬士基員工在機器本地存儲的一切都已經消失了。
在馬士基從NotPetya攻擊中恢復過來5個月後,馬士基主席Jim Hagemann Snabe坐到了瑞士達沃斯世界經濟論壇大會的舞台上,對公司IT部門在這次拯救行動中付出的“英雄般的努力”表示稱讚。他説,從6月27日凌晨4點他在加州(本來他是要在斯坦福出席一次會議的)被一通電話吵醒開始,公司只用了10天的時間就重建了由4000台服務器和45000台PC組成的整個網絡。(完全恢復需要花更長的時間:梅登黑德一些員工還得夜以繼日地工作將近2個月來重建馬士基的軟件安裝。)Snabe對觀眾説:“我們用人的韌勁克服了問題。”
從那以後,Snabe繼續道,馬士基不僅致力於改進自身的網絡安全,而且還把它發展成了一項“競爭優勢”。的確,在NotPetya的喚醒下,IT員工幾乎他們提出的每一項安全功能都馬上被批准了。多因子驗證在全公司得以鋪開,一直被擱置的Windows 10升級工作也獲批了。
不過Snabe對於公司在NotPetya之前的安全態勢卻説得不多。馬士基安全員工告訴《連線》説公司的一些服務器在受到攻擊前仍然跑的是Windows 2000——這個操作系統已經老到微軟都不再支持了。2016年時,一羣IT主管曾經推動過對馬士基整個全球網絡進行前瞻性的安全再設計。他們呼籲要對馬士基不夠完美的軟件補丁、過時的操作系統以及最主要的,網絡分段的低效這些問題賦予關注。他們警告説,尤其是最後這個漏洞會使得能訪問網絡一小部分的惡意軟件瘋狂擴散到當初的立足點以外的地方,這正是一年後NotPetya導致的情形。
這些安全改造提案獲得了批准以及相應預算。但是它的成功從來都不在馬士基大多數資深IT監管者所謂的KPI範疇之內,所以實現這些對他們的獎金並沒有貢獻。他們從來都沒有用心去推進安全的改造工作。
很少有機構願意願意多花錢去趟安全這趟渾水。在達沃斯演講中,Snabe稱由於應對迅速以及手工的變通方式,公司因NotPetya中斷導致的訂單損失僅佔總量的20%。但除了業務損失、下線時間以及重建整個網絡的成本以外,馬士基還賠償了許多客户變更航線或者存放其無路可去的貨物的開支。一位馬士基客户談起了自己收到過該公司7位數的支票以彌補改航空貨運的損失。他説:“在不到2分鐘的討論之後他們就給了我很酷的100萬。”
Snabe在達沃斯上説,NotPetya給馬士基造成的損失總計在2.5億美元到3億美元之間。不過《連線》私下對話過的大多數員工懷疑公司的會計壓低了數字。
不管怎樣,那些數字只是説明這次破壞力的量級的開端。比方説,生計要靠馬士基的轉運站的物流公司在這次業務中斷中並沒有像馬士基的客户那樣都得到那麼好的對待。據紐瓦克市一家卡車組織Association of Bi-State Motor Carriers的總裁Jeffrey Bader估計,光是卡車公司未獲償還的損失就達到了千萬美元。Bader説:“這是一場噩夢,我們虧了很多錢,我們非常生氣。”
馬斯基的業務中斷給需要依賴於產品與生產部件的按時交付全球供應鏈造成的更廣泛損失其實要難衡量得多。當然,馬士基只是其中一個受害者。部分生產能力因為NotPetya而臨時關閉的製藥巨頭默克公司告訴股東説自己因此該惡意軟件而損失了令人錯愕的8.7億美元。聯邦快遞的歐洲子公司TNT Express也受到重創,需要數月時間才能恢復部分數據,損失達到了4億美元。法國建築巨頭Saint-Gobain損失的金額也達到了同樣規模。杜蕾斯的製造商,英國的Reckitt Benckiser損失了1.29億美元,巧克力製造商吉百利的所有者Mondelēz遭到了1.88億美元的打擊。沒有公共股東的數字不明的受害者私下了統計了他們的損失。
只有當你把馬士基的故事倍乘——想象同樣的癱瘓、同樣的一系列危機、同樣折磨人的恢復在數十個NotPetya的受害者以及無數行業上演時,你才能真正意識到俄羅斯的這場網絡戰的規模究竟有多大。
Snabe在達沃斯上表示:“這是一次非常到位的叫醒服務。”然後再用一種斯堪的納維亞人特有的輕描淡寫補充道:“你還可以説,這是非常貴的一次。”
NotPetya爆發一週之後,烏克蘭警方一身迷彩服帶着衝鋒槍湧出運輸車衝進了Linkos Group那棟寒酸的總部大樓,那架勢就像海豹六隊闖入本拉登的藏匿處一樣。
按照公司創始人Olesya Linnyk的説法,他們拿槍指着不知所措的員工,讓他們到走廊排成一隊。在二樓她辦公室的隔壁,荷槍實彈的警察甚至用金屬警棍砸碎了一間房門,儘管Linnyk已經給了他們開門的鑰匙。Linnyk深吸了一口氣惱火地説到:“這實在是太荒唐了。”
荷槍實彈的警察小組終於找到了他們要找的東西:在這場NotPetya瘟疫中扮演了第一感染源角色的那個機架的服務器。他們沒收了這些攻擊機器並且用塑料袋包裹好。
即便現在,在這場災難性的攻擊過去了1年多之後,網絡安全專家仍然為NotPetya的神祕爭論不休。黑客的真正意圖是什麼?包括Oleh Derevianko和Oleksii Yasinsky在內,安全公司ISSP的基輔員工,主張這次攻擊不只是破壞而且還是一次清除行動。畢竟,一開始推出它的黑客曾經有數個月的時間可以毫無拘束地訪問受害者的網絡。除了造成恐慌和破壞以外,NotPetya也許還抹除了間諜活動的證據或者甚至為將來的破壞活動進行的勘測。僅在今年5月,美國司法部和烏克蘭安全服務就宣佈他們搗毀了俄羅斯一次感染了一百萬互聯網路由器(大部分在烏克蘭)的行動,並且發現這是一種新型的破壞性惡意軟件。
儘管安全界很多人仍然把NotPetya的國際受害者看成是附帶傷害,但思科的Craig Williams認為俄羅斯完全意識到該蠕蟲給國際造成的傷害到底有多大。他提出,其輻射旨在明目張膽地懲罰任何膽敢在俄羅斯的敵人境內設立辦事處的人。Williams説:“任何人要是認為這是一次意外的想法只是一廂情願。這是一個旨在傳遞政治信息的惡意軟件:如果你在烏克蘭做生意的話,就會有不好的事情發生。”
不過,幾乎每個研究過NotPetya的人都同意一點:那就是這還會發生或者甚至以更大規模出現。全球企業的連接實在是太盤根錯節了,信息安全太錯綜複雜,攻擊面太廣了,所以難以抵擋國家訓練的黑客打算要釋放的下一個動搖世界的蠕蟲。與此同時,在整整8個月後才姍姍來遲的美國政府制裁似乎對俄羅斯毫無影響。這種懲罰還夾雜着懲罰俄羅斯從提供2016美國大選的虛假信息到對美國電網的黑客偵查等其他信息。約翰霍普金斯大學高級國際研究學院政治學教授Thomas Rid説:“缺乏合適的迴應幾乎是對升級事態的一次邀請。”
但是NotPetya給人帶來最持久的實際教訓也許是奇怪的、異次元的網絡戰爭戰場。這是網絡戰令人困惑的形態:這種形態仍然有違人類直覺——偏居基輔一隅M.E.Doc的服務器內的幽靈把混亂引向了這座首都聯邦機構鍍金的會議室,散落到全球星星點點的港口,潛入馬士基位於哥本哈根碼頭的宏偉總部,並且席捲全球經濟。大西洋理事會網絡安全專家Joshua Corman問道:“烏克蘭會計軟件的漏洞是怎麼影響到美國疫苗的安全供應和全球貨運的呢?”彷彿對導致這一因果關係的蟲洞形態仍然困惑不解。“網絡空間的規律完全不同於任何其他的戰爭領域。”
NotPetya提醒我們,在那些領域裏,距離並不是屏障。野蠻人已經來到每一道門前。而那個以太的複雜網絡,在經過了25年的統一和提升之後,可以在某個夏日的數小時之內讓它陷入徹底崩潰。
原文鏈接:https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
編譯組出品。編輯:郝鵬程。
資料來源:36Kr
那是哥本哈根的一個完美的陽光明媚的夏日下午,但是全球最大的運輸集團開始神經錯亂。
A. P. 穆勒-馬士基總部坐落在哥本哈根港微風習習、鋪滿鵝卵石的濱海大道旁。建築物東北角一旁立有一根懸掛丹麥國旗的桅杆,透過6層樓的藍色玻璃可以看見同樣蔚藍的海水,以及停泊着丹麥皇室遊艇的碼頭。在大樓的地下室,員工可光顧一家企業禮品店,裏面擺滿了馬士基品牌的包包和領帶,甚至還有一個罕見的馬士基Triple-E巨型集裝箱船的樂高模型。這玩意有多大?大到可以大概相當於帝國大廈平躺下來,能夠將另一個相當於帝國大廈大小的負載堆在它上頭。
這個禮品店還進駐了一個技術幫助中心,這是由IT排障人員運營的集中技術台,就在商店收銀台的旁邊。2017年6月27日下午,困惑的馬士基員工開始三三兩兩地聚集到幫助台前,幾乎每個人都攜帶了便攜電腦。一些電腦上面寫着“修復C盤的文件系統”:並且有一個明顯的警告要求不能關閉電腦。有的信息則要更超現實,寫着“哎呀,你的重要文件被加密了”並且要求支付價值300美元的比特幣才能解密。
穿過街道,一位名叫Henrik Jensen的IT管理員正在馬士基綜合樓的另一部分工作,這是一棟鑲嵌了白色石頭的建築,在幾個世紀前是皇家海事地圖檔案館。(Henrik Jensen不是他的真名。就像我採訪過的幾乎所有馬士基員工、客户或者合作伙伴一樣,Jensen也害怕公開討論本故事的後果。)當他的計算機突然重啟時,Jensen正在忙着給馬士基將近80000員工準備一項軟件更新。
他在心裏暗罵了幾句。Jensen以為這次不在計劃之內的重啟是馬士基IT中心常有的唐突之舉。這個企業帝國有8個業務部門,在全球130多個國家有574個分支機構,管理着從港口到物流以及石油探井等一切。而那個設在的IT部門幾乎討不到任何人的喜歡。
Jensen抬起頭問問辦公室內的其他IT同事有沒有被如此粗魯地打斷過。當他伸長脖子的時候,他注意到屋子裏的每一台計算機的屏幕很快都相繼閃滅了。
“我看到一波屏幕都變成了黑屏。黑屏、黑屏、黑屏。黑屏黑屏黑屏黑屏黑屏,”他説。Jensen和他的鄰座迅速發現,PC已經被永久鎖定了。重啟只能返回到同樣的黑屏。
在整個馬士基總部上上下下,全面危機開始變得清晰。在半個小時之內,馬士基員工都在奔走相告,一邊大喊着讓同事趕緊關機或者斷開跟馬士基網絡的連接以免被惡意軟件感染,因為他們已經明白,每一分鐘的延誤都意味着數十乃至數百的PC被搞殘。技術員工跑進會議室拔掉了還在開會當中的機器。很快員工設法越過了被仍然神祕的惡意軟件致癱的被鎖上的門禁,將警告信息傳給大樓的其他部門。
斷開公司的全球網絡讓公司IT員工度過了超過2小時的恐慌時間。這個流程走完之時,每一位員工都被命令關掉計算機並且放在桌子上不許動。每張桌子上的數字電話在這次緊急網絡關閉中也變成無用了。
大概下午3點左右,一位馬士基的高管步入Jensen和十多位同事正在焦急等待消息的辦公室然後告訴他們回家。馬士基的網絡已經被破壞得太嚴重了,以至於IT員工也束手無策。公司的一些資歷較老的經歷告訴他們的團隊要堅守崗位。但是很多員工因為沒有計算機、服務器、路由器或者桌面電話就相當於無所事事,唯有一走了事。
Jensen走出來大樓,被淹沒到6月下午炙熱的氣流之中。就像馬士基絕大多數員工一樣,他也不知道什麼時候可以重返工作。僱傭他的那個負責全球各地76個港口以及將近800艘巨輪(其中包括承載上千萬頓貨物運輸的集裝箱貨船)的運營,運力佔到了全球貨運量的1/5的海事巨頭已經徹底癱瘓(dead in the water)。
烏克蘭首都基輔,在時尚的Podil街區角落,咖啡店和公園突然消失了,取而代之的是一幅糟糕的工業景觀。在一條過街天橋下面,跨過一些垃圾滿地的鐵軌,在穿過一道混凝土門之後,矗立着4層樓的Linkgos Group總部,這是一家小型的烏克蘭軟件家族企業。
爬過3層樓梯後有一間服務器室,披薩盒大小的計算機被一堆電纜連接着並用手寫的數字標籤做好了標記。在正常的日子裏,這些服務器會推動定期的更新——修復的bug、安全補丁、性能等——給財務軟件M.E.Doc,這玩意兒就相當於烏克蘭的TurboTax或者Quicken。在烏克蘭但凡要納税或者做生意的人幾乎都要用到這個軟件。
不過2017年的時候,那些機器一度充當着自從互聯網發明以來最致命的網絡攻擊之原爆點的角色——這起攻擊至少在一開始是被當做一個國家對另一個國家的襲擊而使用的。
在過去4年半的時間裏,烏克蘭都被陷入到俄羅斯的一場令人煎熬的不宣而戰之中。這場衝突還讓烏克蘭成為俄羅斯網絡焦土戰政策的試驗場。2015、2016年,當據稱跟克里姆林宮有瓜葛的黑客Fancy Bear忙着入侵美國民主黨全國委員會的服務器時,另一個叫做Sandworm的特工組織也正在入侵數十個烏克蘭的政府組織和公司。他們滲透進各種網絡,受害者從媒體組織到鐵路公司不等,引爆的邏輯炸彈摧毀了數TB的數據。這種攻擊遵循着一種施虐狂似的節奏。在那兩年的冬天裏,破壞者瘋狂的肆虐導致了大規模的電力中斷——這是第一次確認的由黑客引發的大停電。
但那些攻擊仍然不是Snadworm的壓軸戲。2017年春,在Linkgos Group無人知曉的情況下,軟羅斯的軍事黑客劫持了公司的升級服務器,讓他們得以將一個隱祕的後門植入到烏克蘭以及全世界成千上萬枱安裝有M.E.Doc的PC裏面。然後,到了2017年6月,這些破壞者再利用這一後門釋放了一種叫做NotPetya的惡意軟件,這是有史以來最惡毒的網絡武器。
黑客推出的代碼經過了精心設計,為的是讓它能夠自動、快速且不加選擇地傳播出去。思科的Talos部門是第一家對NotPetya進行逆向工程和分析的安全公司之一,其外聯總監Craig Williams説:“迄今為止,這是我們見過的傳播速度最快的惡意軟件。在你看到它的那一刻,你的數據中心就已經完了。”
NotPetya是兩個黑客漏洞先後推動的結果:一個是所謂的EternalBlue滲透工具,這是由美國NSA開發的,但是在2017年初該機構的一次高度機密文件泄露事件中被盜走了。EternalBlue利用了一個特殊的Windows協議漏洞,使得黑客可以自由地控制,在任何未打補丁的機器上遠程運行自己的代碼。
NotPetya的架構再加上一項較老的叫做Mimikatz的數字萬能鑰匙發明,就創造出來了一個法國安全研究人員Benjamin Delpy在2011年提出來的概念驗證。Delpy原先推出Mimikatz是為了證明Windows其實是把用户的密碼保存在內存裏的。一旦黑客獲取了對計算機的初始訪問,Mimikatz就能將那些密碼從RAM中取出並且利用來破解用同樣證書可訪問的其他機器。在多用户計算機的網絡上,這甚至還可以利用機器作為跳板對其他機器發動自動攻擊。
在NotPetya推出前,微軟已經發布了一個EternalBlue漏洞的補丁。但儘管如此,EternalBlue和Mimikatz仍然搭配出了一個致命組合。Deply説:“你可以感染那些沒打補丁的機器,然後獲取那些計算機的密碼去感染其他打了補丁的計算機。”
NotPetya的名字靈感源自勒索軟件Petya,這是2016年初浮出水面的一段犯罪代碼,被感染的受害者必須交一筆錢才能拿到文件解鎖的密鑰但NotPetya的勒索只是個幌子:該惡意軟件的目標純粹是要搞破壞。它對計算機的主引導記錄(MBA)進行了不可逆的加密,MBA是機器最底層的機制了,操作系統放在哪裏完全要靠它來引導。因此受害者支付再多的贖金也是徒勞的。沒有任何密鑰能夠對已經被加密噪音污染的內容進行還原。
引用武器的目標是烏克蘭。但是其爆炸輻射範圍是全世界。“這就好比是用原子彈來取得一次小型的戰術勝利,”Bossert説。
NotPetya的釋放是一種網絡戰爭(無論按照哪一種定義方式)行為——其爆炸性之大甚至可能超出創建者的意圖。在出現數小時之內,蠕蟲就蔓延到了烏克蘭以外感染到全世界從賓夕法尼亞的醫院到塔斯阿尼亞島的巧克力工廠的無數機器上,給包括馬士基、製藥巨頭默克、聯邦快遞歐洲分佈TT Express、法國建築公司Saint-Gobain、食品製造商Mondelēz以及製造商Reckitt Benckiser等在內的跨國公司予以重創。給每一家都造成了9位數的損失。病毒甚至還傳播回俄羅斯,給國營石油公司俄羅斯石油造成打擊。
據美國白宮估計,其結果就是超過100億美元的總損失(這個是前美國國土安全部顧問Tom Bossert透露,攻擊發生時他是特朗普總統最資深的網絡安全官)。Bossert與美國的情報機構還確認今年2月時俄羅斯軍方應該對發佈該惡意代碼負責。
要想感受一下NotPetya造成破壞的規模,不妨回顧一下今年3月癱瘓了亞特蘭大市政當局的那種噩夢般但更典型的勒索病毒攻擊:其損失為1000萬美元,僅佔NotPetya造成損失的千分之一。甚至在NotPetya爆發之前的2017年5月傳播的更惡意的蠕蟲WannaCry,所造成損失據估計為40億美元到80億美元之間。此後再無病毒能望NotPetya的項背。Bossert説:“儘管這場戰爭並沒有人員損失,但效果已經相當於為了實現一場小型戰術勝利而投放的核彈。這種魯莽程度是我們在世界舞台上所無法容忍的。”
在NotPetya震撼了世界之後,《連線》深入調查了被這個蠕蟲重創的企業巨頭之一馬士基的遭遇,其慘痛經歷獨特地説明了網絡戰爭的危險性現在已經威脅到全球現代基礎設施。就像《連線》接觸的所有非烏克蘭受害者一樣,馬士基的高管也不願以官方身份對本文發表任何評論。本文的許多馬士基現員工和前員工也都選擇保持匿名。
但是NotPetya的故事主角其實不是馬士基,或者甚至也不是烏克蘭。這個故事要講的是一個國家的戰爭武器被釋放到國界毫無意義的媒介時會發生什麼,而且其附帶損害會通過一種殘酷的、意料之外的邏輯加以傳播:本來目標是烏克蘭的攻擊連累到了馬士基,而對馬士基的攻擊又連累到了所有人。
Oleksii Yasinsky原先以為週二那天辦公室應該是沒什麼事的。那是烏克蘭法定假日憲法日的前一天,他的大部分同事不是計劃度假就是已經在度假中了。但Yasinsky沒有。過去一年,他一直是Information Systems Security Partners(ISSP,即將成為對烏克蘭網絡戰的受害者求助對象)的網絡實驗室負責人。這個崗位職責是不允許有宕機時間的。實際上,自從2015年底俄羅斯發動第一波網絡攻擊以來,他休假的時間加起來才只有一週。
所以,那天早上當Yasinsky接到一個電話時他並沒有慌張。電話是ISSP總監打過來的,説烏克蘭第二大銀行Oschadbank遭遇攻擊。銀行告訴ISSP説自己受到了勒索病毒的感染,這是一種日益常見的危機,發起者通常是以賺錢為目的的犯罪分子。不過當Yasinsky半小時後走進Oschadbank的IT部門時,他感覺到這次的襲擊不一樣。Yasinsky説:“員工們不知所措,完全處在震驚狀態。”銀行上萬計算機當中約90%都被鎖定,上面顯示着NotPetya的“修復硬盤”消息以及勒索消息畫面。
在對該銀行幸存的日誌進行快速檢查之後,Yasinsky可以發現攻擊是一種設法弄到了管理員證書的自動蠕蟲。這使得它可以像偷走了看守鑰匙的囚犯一樣在銀行的網絡內橫衝直撞。
當Yasinsky回到ISSP辦公室分析銀行這次遇到的襲擊時,他開始陸續收到烏克蘭各地打來的電話和短信,告訴他其他公司和政府機構也遇到了類似情況。一個人告訴他另一位受害者曾試圖支付贖金。就像Yasinsky猜想一樣,支付並沒有效果。這不是普通的勒索軟件。他説:“解決這個沒有銀彈,沒有解藥。”
引用NotPetya的代價
2017年,惡意軟件NotPetya從一家不知名的烏克蘭軟件公司的服務器傳播到了一些全世界最大的企業,令其運營陷入癱瘓。下面這份清單列舉了其中一些最大受害者的損失。
$870,000,000美元
製藥巨頭默克公司
$400,000,000美元
物流公司聯邦快遞(因為歐洲子公司TNT Express而受累)
$384,000,000美元
法國建築公司Saint-Gobain
$300,000,000美元
丹麥海運巨頭馬士基
$188,000,000美元
快餐公司Mondelēz(納斯貝克與吉百利的母公司)
$129,000,000美元
英國製造商Reckitt Benckiser(Lysol與杜蕾斯所有者)
總計:100億美元
——據白宮估計的NotPetya造成的總損失
向南1000英里,ISSP CEO Roman Sologub正試圖在土耳其南海岸過個假期,準備着跟家人一起奔赴海灘。這時候他的手機也開始被ISSP那些要麼眼睜睜看着NotPetya在自己的網絡肆虐要麼被網絡攻擊的新聞嚇到正瘋狂尋求建議的客户打爆。
Sologub只好撤回酒店,在那一天剩下的時間裏他總共記錄了超過50起客户電話,他們一個接一個地報告説自己的網絡被感染了。實時監控客户網絡的ISSP安全運營中心警告Sologub説NotPetya正以恐怖的速度滲透到受害者的網絡:它只用了45秒鐘就把一家烏克蘭大型銀行的網絡搞癱。ISSP曾經出於演示目的給烏克蘭一個重要的交通樞紐部分安裝了自己的設備,那些設備也在16秒鐘之內就被完全感染了。能源公司Ukrenergo,ISSP曾在其2016年遭受嚴重網絡攻擊之後幫助重建了網絡,這次還是被襲擊了。“你還記得我們打算實施新的安全控制嗎?” Sologub回憶起一位沮喪的Ukrenergo IT部主任在電話裏面問他的話。“完了,已經太遲了。”
很快,ISSP的創始人,連續創業者Oleh Derevianko也中斷了自己的休假。關於NotPetya的電話打來時,Derevianko正驅車北上度假,到鄉下看望家人。接到消息後他馬上開下高速公路,到路邊的一個飯店就地開展工作。下午剛開始不久時,他就警告致電的每一位主管要透他們毫不猶豫地把網絡斷掉,哪怕這意味着關閉整個公司。在很多情況下,他們已經等待了太久了。Derevianko説:“等到你趕到他們那裏時,基礎設施已經被摧毀了。”
NotPetya正在吞噬着整個烏克蘭的計算機的生命。光是基輔就有4家醫院受到打擊,此外還有6家電力公司、2個機場、超過22家烏克蘭銀行,零售商和交通運輸業的ATM和卡支付系統,以及幾乎每一家聯邦機構均受波及。烏克蘭基礎設施部部長Volodymyr Omelyan一言蔽之:“政府已經死了。”據ISSP,至少有300家公司被攻擊,一位資深的烏克蘭政府官員估計本國有10%的計算機被抹除了數據。攻擊甚至還關閉了基輔以北60英里外的切爾諾貝利清理現場科學家所使用的計算機。Omelyan説:“這是對我們所有系統實施的大規模轟炸。”
傍晚當Derevianko從飯店出來時,他到加油站想給自己的車加油卻發現那家加油站的信用卡系統也已經被NotPetya幹掉了。兜裏沒錢的他盯着油表,擔心還夠不夠油開回老家。整個烏克蘭的人都在問類似的問題:有沒有足夠的錢去買百貨和加油來撐過這場閃電戰,自己能不能拿到薪水和養老金,能不能開出處方。到了那天晚上,當外面世界還在爭論NotPetya究竟是犯罪性的勒索軟件還是受國家支持的網絡戰爭武器時,ISSP的員工已經開始把它形容為一種新現象:一場“大規模的協同作戰的網絡入侵。”
在這場瘟疫中,有一例感染對馬士基來説將是決定性的:在位於烏克蘭黑海邊港口城市敖德薩,馬士基烏克蘭分部的一名財務主管要求IT管理員在一台計算機上安裝會計軟件M.E.Doc。這一舉動讓NotPetya得到了唯一需要的一個立足點。
新澤西伊麗莎白的海洋轉運站是馬士基的76個所謂的APM Terminals(港口運營部門)之一——它蔓延到了紐瓦克灣的一個方圓1平方英里的人造半島上。成千上萬堆疊的、模塊化的集裝箱佈滿了那裏大面積的柏油地面,200英尺高的藍色吊機在港灣隱隱若現。從5英里之遙的下曼哈頓區摩天大樓頂樓望過去,它們就像是侏羅紀時代聚集在水坑周圍的腕足類恐龍一樣。
天氣好的時候,每天大概有3000輛卡車會來到轉運站,每一輛都有分配好的任務,要裝載或者卸載上萬磅的東西,從紙尿布到牛油果或者拖拉機零件,不一而足。它們就像飛機乘客一樣開始那道流程,看看轉運站的出入口,在這裏掃描議會自動讀取集裝箱的條碼,一位馬士基的門衞會通過音響系統跟卡車司機通話。司機會收到告訴停到哪裏的打印好的放行條,然後一台大型場地起重機就會把集裝箱從卡車底盤吊起,搬到貨場堆起來,接着再裝進集裝箱船,漂洋過海,或者整個過程反過來。
6月27號的那個早上,Pablo Fernández預計會有相當於幾十輛卡車裝載量的貨物要離開伊麗莎白港去到中東的一個港口。Fernández的身份是所謂的貨運代理——貨主為了確保自己的財產能夠安全抵達半個地球只要的目的地而付費僱傭的中間人。(Fernández並非真名)
新澤西時間大概9點左右,Fernández的電話開始響起來自憤怒貨主的一連串尖刻的呼叫聲。他們都從卡車司機那裏聽説車被堵在馬士基伊麗莎白轉運站外面了。Fernández説:“大家都急得上躥下跳。他們都無法讓自己的集裝箱進出。”
因為那道門是馬士基在整個新澤西轉運站的咽喉要道,但現在已經歇菜了。門衞悄悄溜走了。
很快,數百輛18輪的大拖車都只好依序倒車,長長的隊伍在轉運站外綿延數英里。同一個港口附近另一家公司轉運站的一名員工目睹了那些卡車前後保險槓擠到一起排長隊的情形,甚至長到他都看不到頭。他還看到門禁系統在15到30分鐘之內宕掉。但是幾個小時後,馬士基依然一聲不吭,港口管理方發出警告稱該公司在伊麗莎白的轉運站次日可能將會關閉。附近轉運站的那位員工記得:“那時候我們開始意識到,這是一次襲擊。”警方開始接觸那些司機,告訴他們帶着龐大的載荷離開。
Fernández和無數其他抓狂的馬士基客户面臨着一個悽慘的選項:他們可以把自己的貴重貨物以昂貴的最後成交價卸到其他船上。或者,如果他們的貨物是緊湊的供應鏈的一部分,比如工廠的部件的話,馬士基的中斷將意味着採用費用高昂的空運手段,否則的話生產流程將有停滯的風險,一天的停工意味着幾十萬美元的損失。很多集裝箱,也即是所謂的冰箱,那是要供電的,裏面裝滿了容易腐爛需要冷凍的貨物。這些集裝箱得找地方插電以免東西壞掉。
Fernández必須倉促地在新澤西找一個倉庫來存放客户的貨物,一邊等着馬士基的消息。他説,在那整整的第一天裏,他只收到了一封官方郵件,來自一位疲憊不堪的馬士基員工的Gmail賬號,內容聽起來就像“胡言亂語”,對這場裝卸危機並沒有做出真正解釋。公司的集中預訂網站Maerskline.com也宕了,馬士基員工沒有一個人接電話。實際上,那天他要裝上馬士基貨船的貨物將會被落在堆場以及全球各地的港口達3個月之久。Fernández回憶起這件事時一聲歎息:“馬士基就像個黑洞,這就是一場大杯具。”
實際上,這是大杯具中的大杯具。從洛杉磯到西班牙阿爾赫西拉斯再到荷蘭阿姆斯特丹乃至孟買,相同的一幕在馬士基76個轉運站當中的17個上演。門禁壞了。起重機被凍結了。全球範圍內成千上萬的卡車都在掉頭撤離陷入昏睡中的轉運站。
新訂單沒法下了,這基本上相當於斷絕了馬士基核心的運輸收入來源。馬士基貨船的計算機沒有受到感染。但轉運站的軟件由於需要接收那些船發送的電子數據交換(EDI)文件,通過這些文件轉運站運營方才能知道貨艙裝的是什麼,但現在這些信息已經被完全抹去了。這使得馬士基的港口變成了無頭蒼蠅,不知道如何去指導完成這項龐大的裝卸集裝箱的堆積木遊戲。
在接下來的幾天裏,全世界最複雜、互聯性最強的分佈式機器之一,本身也是全球經濟循環系統基礎的馬士基仍將無法運轉。一位馬士基的客户回憶道:“顯然這個問題的量級在全球交通業是前所未有的。在整個運輸IT史都沒人曾經歷過影響如此深遠的危機。”
在自己位於馬士基辦公室角落的屏幕黑屏了幾天之後,Henrik Jensen正在根本哈根自己的公寓家中,享受着荷包蛋、吐司加果醬組成的早午餐。自從週二他走出辦公室以來,他都沒有收到任何上司的消息。然後他的手機突然響了。
接了電話後他才知道這是一次電話會議,另一頭還有3個人。他們説他們需要他。他們是馬士基梅登黑德辦事處的員工。梅登黑德是位於倫敦西部的一個小鎮,是這個企業集團IT統領Maersk Group Infrastructure Services(馬士基集團基礎設施服務)所在地。他們告訴他放下一切去到那裏。馬上。
兩小時後,Jensen已經在一架飛往倫敦的飛機上,然後上了一輛車來到梅登黑德中心移動8層樓高的玻璃磚混建築。當他抵達那裏時,他發現4、5層樓已經被改造為24/7 應急指揮中心。該中心的目的只有一個:在NotPetya災難之後重建馬士基全球網絡。
Jensen了解到,一些馬士基員工自從週二NotPetya的第一波攻擊以來就椅子呆在恢復中心。一些人就睡在辦公室,在桌下或者會議室角落。似乎每分鐘都有其他人從世界各地手裏提着行李趕來。馬士基幾乎將方圓10英里之內的所有酒店客棧的客房都預訂一空。員工則靠某人從附近Sainsbury的日雜百貨店買回來堆在茶水間的小吃填肚子。
梅登黑德應急中心由德勤管理。馬士基讓德勤來負責處理NotPetya問題,這基本上是給了這家英國機構一張空頭支票,任何時候都有多達200名德勤員工駐紮在梅登黑德辦事處,另外還有400名馬士基的人。因為害怕會感染新系統,在NotPetya爆發前馬士基使用的所有計算機設備均被收繳,而且還貼出了告示,任何人要是違反規定使用的話將會被紀律處分。所以員工們紛紛跑到梅登黑德的每一家電子商店買了一堆的新筆記本並且預付了Wi-Fi熱點。就像數百名其他的馬士基IT員工一樣,Jensen也被分配了一台新的筆記本用來幹活。他説:“當時的情況很像是‘找個地方,開始幹活,做一切需要完成的工作。’”
一開始開始重建馬士基網絡工作的時候,IT員工意識到了一件十分令人厭惡的事情。他們本來已經找到了幾乎所有馬士基服務器的備份,日期從NotPetya爆發前的3到7天不等。但是公司網絡的關鍵一層的備份卻沒有一個人能找到:這一層就是域控制器,這些服務器的作用相當於馬士基網絡的詳細地圖,還負責設定確定哪些用户可以訪問哪些系統的基本規則。
馬士基 150個左右的域控制器事先已經編程好要相互同步各自的數據,所以在理論上其中任意一個都可以充當所有其他域控制器的備份。但這種去中心化的備份策略在一個場景下不適用:每一個域控制器都被同時抹掉數據時。一位馬士基的IT員工記得當時是這麼想的:“如果我們不能恢復域控制器的話,那就任何東西都恢復不了了。”
引用在瘋狂地將世界各地的數百位IT管理員都召集過來之後,馬士基絕望的管理員終於在一個遠程辦事處——遙遠的加納找到了了唯一一台存活的域控制器。
在瘋狂地將世界各地的數百位IT管理員都召集過來之後,馬士基絕望的管理員終於在一個遠程辦事處——遙遠的加納找到了了唯一一台存活的域控制器。那是因為在NotPetya攻擊發動前,斷電導致加納的那台機器離線了,使得那台計算機仍然沒有連上網絡。因此在那台機器上保留了唯一一份已知的未被惡意軟件感染的域控制器數據——這一切都要感謝斷電事件。一位馬士基的管理員説:“當我們找到它時,辦公室到處是歡呼雀躍。”
不過,當梅登黑德緊張的工程師設置好到加納的連接時,他們發現它的帶寬太小了,要想把幾百GB的域控制器數據備份回英國的話得要好幾天。他們的下一個想法是:讓加納員工趕最早的班機到倫敦。但是問題是西非辦事處的員工沒有一個人有英國護照。
於是梅登黑德中心又設法安排了一次接力賽:加納辦事處的一位員工先飛到尼日利亞在機場跟另一位馬士基員工對接,轉交那塊極其珍貴的硬盤。那位員工然後攜帶着馬士基整個恢復過程的基石,再坐6個半小時的飛機降落到希斯羅機場。
當拯救工作結束時,梅登黑德辦事處就可以將馬士基的核心服務恢復上線了。在第一天之後,馬士基的港口運營恢復了讀取貨船存貨文件的能力,這樣操作員對抵達其港口的巨型集裝箱船裏面裝的是什麼就不再一無所知了。但是馬士基要想從Maerskline.com接受新訂單還需要幾天的時間,而全球各地的轉運站要想恢復任何程度的正常運營還需要一週多的時間。
與此同時,馬士基的員工還在利用手頭一切現有的工具。他們發紙質文檔給停留在APM港口的集裝箱船,通過個人Gmail賬號、Whatsapp以及Excel電子表格接受訂單。一位馬士基客户説:“我可以告訴你,通過WhatsApp訂500個海運集裝箱是一次相當離奇的體驗,但這就是我們乾的事情。”
在發生那場襲擊2周之後,馬士基的網絡終於恢復到公司可以重新下發個人計算機給絕大部分員工的程度。回到哥本哈根總部,大樓負層的自助餐廳被挪用為重新安裝的裝配線。每次都有20台計算機排成一排,幫助台的員工會按順序走下來,插入USB他們已經拷貝了幾十個的USB,按照提示不斷點擊數小時。
從梅登黑德返回幾天後,Henrik Jensen在按字母排列的幾百枱筆記本電腦當中找到了自己的,硬盤裏面的東西都已經被抹掉了,並且安裝了一個乾淨的Windows鏡像。從筆記到家庭照片,他和其他馬士基員工在機器本地存儲的一切都已經消失了。
在馬士基從NotPetya攻擊中恢復過來5個月後,馬士基主席Jim Hagemann Snabe坐到了瑞士達沃斯世界經濟論壇大會的舞台上,對公司IT部門在這次拯救行動中付出的“英雄般的努力”表示稱讚。他説,從6月27日凌晨4點他在加州(本來他是要在斯坦福出席一次會議的)被一通電話吵醒開始,公司只用了10天的時間就重建了由4000台服務器和45000台PC組成的整個網絡。(完全恢復需要花更長的時間:梅登黑德一些員工還得夜以繼日地工作將近2個月來重建馬士基的軟件安裝。)Snabe對觀眾説:“我們用人的韌勁克服了問題。”
從那以後,Snabe繼續道,馬士基不僅致力於改進自身的網絡安全,而且還把它發展成了一項“競爭優勢”。的確,在NotPetya的喚醒下,IT員工幾乎他們提出的每一項安全功能都馬上被批准了。多因子驗證在全公司得以鋪開,一直被擱置的Windows 10升級工作也獲批了。
不過Snabe對於公司在NotPetya之前的安全態勢卻説得不多。馬士基安全員工告訴《連線》説公司的一些服務器在受到攻擊前仍然跑的是Windows 2000——這個操作系統已經老到微軟都不再支持了。2016年時,一羣IT主管曾經推動過對馬士基整個全球網絡進行前瞻性的安全再設計。他們呼籲要對馬士基不夠完美的軟件補丁、過時的操作系統以及最主要的,網絡分段的低效這些問題賦予關注。他們警告説,尤其是最後這個漏洞會使得能訪問網絡一小部分的惡意軟件瘋狂擴散到當初的立足點以外的地方,這正是一年後NotPetya導致的情形。
這些安全改造提案獲得了批准以及相應預算。但是它的成功從來都不在馬士基大多數資深IT監管者所謂的KPI範疇之內,所以實現這些對他們的獎金並沒有貢獻。他們從來都沒有用心去推進安全的改造工作。
很少有機構願意願意多花錢去趟安全這趟渾水。在達沃斯演講中,Snabe稱由於應對迅速以及手工的變通方式,公司因NotPetya中斷導致的訂單損失僅佔總量的20%。但除了業務損失、下線時間以及重建整個網絡的成本以外,馬士基還賠償了許多客户變更航線或者存放其無路可去的貨物的開支。一位馬士基客户談起了自己收到過該公司7位數的支票以彌補改航空貨運的損失。他説:“在不到2分鐘的討論之後他們就給了我很酷的100萬。”
Snabe在達沃斯上説,NotPetya給馬士基造成的損失總計在2.5億美元到3億美元之間。不過《連線》私下對話過的大多數員工懷疑公司的會計壓低了數字。
引用除了造成恐慌和破壞以外,NotPetya也許還抹除了間諜活動的證據或者甚至為將來的破壞活動進行的勘測。
不管怎樣,那些數字只是説明這次破壞力的量級的開端。比方説,生計要靠馬士基的轉運站的物流公司在這次業務中斷中並沒有像馬士基的客户那樣都得到那麼好的對待。據紐瓦克市一家卡車組織Association of Bi-State Motor Carriers的總裁Jeffrey Bader估計,光是卡車公司未獲償還的損失就達到了千萬美元。Bader説:“這是一場噩夢,我們虧了很多錢,我們非常生氣。”
馬斯基的業務中斷給需要依賴於產品與生產部件的按時交付全球供應鏈造成的更廣泛損失其實要難衡量得多。當然,馬士基只是其中一個受害者。部分生產能力因為NotPetya而臨時關閉的製藥巨頭默克公司告訴股東説自己因此該惡意軟件而損失了令人錯愕的8.7億美元。聯邦快遞的歐洲子公司TNT Express也受到重創,需要數月時間才能恢復部分數據,損失達到了4億美元。法國建築巨頭Saint-Gobain損失的金額也達到了同樣規模。杜蕾斯的製造商,英國的Reckitt Benckiser損失了1.29億美元,巧克力製造商吉百利的所有者Mondelēz遭到了1.88億美元的打擊。沒有公共股東的數字不明的受害者私下了統計了他們的損失。
只有當你把馬士基的故事倍乘——想象同樣的癱瘓、同樣的一系列危機、同樣折磨人的恢復在數十個NotPetya的受害者以及無數行業上演時,你才能真正意識到俄羅斯的這場網絡戰的規模究竟有多大。
Snabe在達沃斯上表示:“這是一次非常到位的叫醒服務。”然後再用一種斯堪的納維亞人特有的輕描淡寫補充道:“你還可以説,這是非常貴的一次。”
NotPetya爆發一週之後,烏克蘭警方一身迷彩服帶着衝鋒槍湧出運輸車衝進了Linkos Group那棟寒酸的總部大樓,那架勢就像海豹六隊闖入本拉登的藏匿處一樣。
按照公司創始人Olesya Linnyk的説法,他們拿槍指着不知所措的員工,讓他們到走廊排成一隊。在二樓她辦公室的隔壁,荷槍實彈的警察甚至用金屬警棍砸碎了一間房門,儘管Linnyk已經給了他們開門的鑰匙。Linnyk深吸了一口氣惱火地説到:“這實在是太荒唐了。”
荷槍實彈的警察小組終於找到了他們要找的東西:在這場NotPetya瘟疫中扮演了第一感染源角色的那個機架的服務器。他們沒收了這些攻擊機器並且用塑料袋包裹好。
即便現在,在這場災難性的攻擊過去了1年多之後,網絡安全專家仍然為NotPetya的神祕爭論不休。黑客的真正意圖是什麼?包括Oleh Derevianko和Oleksii Yasinsky在內,安全公司ISSP的基輔員工,主張這次攻擊不只是破壞而且還是一次清除行動。畢竟,一開始推出它的黑客曾經有數個月的時間可以毫無拘束地訪問受害者的網絡。除了造成恐慌和破壞以外,NotPetya也許還抹除了間諜活動的證據或者甚至為將來的破壞活動進行的勘測。僅在今年5月,美國司法部和烏克蘭安全服務就宣佈他們搗毀了俄羅斯一次感染了一百萬互聯網路由器(大部分在烏克蘭)的行動,並且發現這是一種新型的破壞性惡意軟件。
儘管安全界很多人仍然把NotPetya的國際受害者看成是附帶傷害,但思科的Craig Williams認為俄羅斯完全意識到該蠕蟲給國際造成的傷害到底有多大。他提出,其輻射旨在明目張膽地懲罰任何膽敢在俄羅斯的敵人境內設立辦事處的人。Williams説:“任何人要是認為這是一次意外的想法只是一廂情願。這是一個旨在傳遞政治信息的惡意軟件:如果你在烏克蘭做生意的話,就會有不好的事情發生。”
不過,幾乎每個研究過NotPetya的人都同意一點:那就是這還會發生或者甚至以更大規模出現。全球企業的連接實在是太盤根錯節了,信息安全太錯綜複雜,攻擊面太廣了,所以難以抵擋國家訓練的黑客打算要釋放的下一個動搖世界的蠕蟲。與此同時,在整整8個月後才姍姍來遲的美國政府制裁似乎對俄羅斯毫無影響。這種懲罰還夾雜着懲罰俄羅斯從提供2016美國大選的虛假信息到對美國電網的黑客偵查等其他信息。約翰霍普金斯大學高級國際研究學院政治學教授Thomas Rid説:“缺乏合適的迴應幾乎是對升級事態的一次邀請。”
但是NotPetya給人帶來最持久的實際教訓也許是奇怪的、異次元的網絡戰爭戰場。這是網絡戰令人困惑的形態:這種形態仍然有違人類直覺——偏居基輔一隅M.E.Doc的服務器內的幽靈把混亂引向了這座首都聯邦機構鍍金的會議室,散落到全球星星點點的港口,潛入馬士基位於哥本哈根碼頭的宏偉總部,並且席捲全球經濟。大西洋理事會網絡安全專家Joshua Corman問道:“烏克蘭會計軟件的漏洞是怎麼影響到美國疫苗的安全供應和全球貨運的呢?”彷彿對導致這一因果關係的蟲洞形態仍然困惑不解。“網絡空間的規律完全不同於任何其他的戰爭領域。”
NotPetya提醒我們,在那些領域裏,距離並不是屏障。野蠻人已經來到每一道門前。而那個以太的複雜網絡,在經過了25年的統一和提升之後,可以在某個夏日的數小時之內讓它陷入徹底崩潰。
原文鏈接:https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
編譯組出品。編輯:郝鵬程。
資料來源:36Kr