特別企劃 | 網路空間「列國志」：安全領域的政治風雲

地圖上這一條條線代表的是一場場網路攻擊，更是各國利益的爭奪。作為一種成本較低，效果好的攻擊方式，網路攻擊已經成為政治鬥爭的新戰場。

糾紛不斷的俄羅斯

作為網路攻擊漩渦的中心之一，無論是作為攻擊者還是自稱受害者，俄羅斯是網路攻擊事件的主角之一，與其他國家的糾紛也從未停歇，尤其是與近年來衝突不斷的烏克蘭。

與烏克蘭的恩怨情仇

今年7月NotPetya勒索病毒重創歐美國家，而烏克蘭則是這場事件的重災區，包括烏克蘭首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行，甚至政府系統都遭到了攻擊。普遍認為，黑客首先攻擊了M.E.Doc，這是一家烏克蘭的會計軟體廠商。隨後黑客通過M.E.Doc的更新伺服器將一個惡意推送推給用戶。用戶更新軟體時，便感染了病毒。

而烏克蘭政府宣稱其所受到的攻擊規模「前所未見」，烏克蘭國家安全局(SBU)指責俄羅斯就是攻擊的「幕後黑手」。

路透社援引烏克蘭國家安全局的話稱：

「病毒的主要目的就是銷毀重要文件，干擾烏克蘭的公共事業以及私人企業，並且傳播恐慌。」

從代碼的角度分析，烏克蘭國家安全局的觀點有一定道理，即NotPetya的主要目的並非勒索，它的背後可能有其他的目的。

大家知道NotPetya之所以得名，是因為它使用了之前一款名為Petya的勒索病毒的模式——加密MBR進行勒索。

而原版的Petya勒索程序會保留加密的MBR副本，然後將其替換為惡意代碼，並顯示勒索信息——通過這樣的方法讓計算機無法啟動。但這次的NotPetya根本就不會保留MBR副本，不管是作者有意為之還是不小心犯的錯誤，即便真的獲取到解密密鑰也無法啟動被感染的計算機。

而且，用戶想要恢復文件，就需要在支付贖金後提供感染ID，讓攻擊者能夠計算出解密密鑰從而幫忙恢復。而NotPetya生成的感染ID是隨機的。對於像Petya這樣沒有C&C伺服器進行進一步數據傳輸的勒索軟體來說，通常這種ID會存儲關於感染電腦的信息和解密密鑰。但是根據卡巴斯基專家的研究，因為Petya隨機生成了這個ID，因此攻擊者根本無法恢復文件。

「之前真正的Petya是為了賺錢而製作的，而這個Petya變種完全不是為了錢，它被用來進行快速傳播從而造成破壞。」

——威脅情報專家The Grugq

而這唯一的解釋是這實際上是一場偽裝的國家級網路攻擊。

不過光是這樣還不足以證明俄羅斯就是勒索事件的策劃者。烏克蘭國家安全局稱，它「有理由相信本次的NotPetya事件與2016年12月使用TeleBots和BlackEnergy攻擊了金融、交通和能源系統的是同一夥黑客。」

實際上，這樣的指責實在是蒼白無力，好在殺毒軟體廠商ESET的分析在一定程度上佐證了烏克蘭政府的觀點：

NotPetya與TeleBots和BlackEnergy的黑客有關聯。

並且，ESET認為，這次的勒索軟體主要就是針對烏克蘭企業，但是攻擊者低估了它的傳播能力，才使得病毒變得失控。

實際上，這已經不是烏克蘭政府第一次指責俄羅斯發動網路攻擊了，剛剛提到的TeleBots和BlackEnergy也被指是俄羅斯黑客所為，而更被讀者熟知的應該是BlackEnergy，因為這是工控安全中一個非常重要的事件：2015年聖誕節前兩天，烏克蘭電力網路受到黑客攻擊導致停電，影響二十多萬戶居民。

那麼是什麼恩怨情仇讓俄羅斯一直盯著烏克蘭不放呢？

19世紀時，烏克蘭大部歸屬於俄羅斯帝國，其餘部分為奧匈帝國領土。在烏克蘭內戰後，烏克蘭蘇維埃社會主義共和國在1922年成為了蘇聯創始加盟共和國之一。隨後直至第二次世界大戰結束後，原為波蘭統治的西烏克蘭併入蘇維埃烏克蘭。1991年蘇聯解體後烏克蘭獲得獨立。

除了與俄羅斯帝國和前蘇聯歷史上的淵源，更受俄羅斯看重的則是烏克蘭的地理位置，烏克蘭東接俄羅斯，西接波蘭等國，其所在的中東歐地區自冷戰以來便是地緣政治衝突的重要地帶。烏克蘭已成為在俄羅斯和歐盟的博弈中的一顆棋子。

1991年獨立後，烏克蘭曾是獨聯體發起與創始國之一，但國內的政治立場並不統一，烏克蘭東部更加親俄，西部則親歐盟。而在烏克蘭爆發橙色革命，數次調換兩派總統之後，這一立場的矛盾更加凸顯。

2013年底，親俄的烏克蘭總統亞努科維奇政府中止和歐洲聯盟簽署政治和自由貿易協議，欲強化和俄羅斯的關係，導致烏克蘭親歐洲派在基輔展開反政府示威。

2014年2月，亞努科維奇因處理國內大規模示威失當，被親西方勢力控制的議會罷免其總統職務，並宣布提前於同年5月舉行總統大選。

而新上任的政府實際上導致了更大的克里米亞危機：克里米亞屬於親俄區域，不認同反對派或烏臨時政府，認為其不合法。遂有意徹底獨立或併入俄羅斯，烏當局強烈反對，而俄羅斯以保護本國公民為由，進入克里米亞，引發克里米亞危機。克里米亞危機引來了西方國家對俄羅斯的制裁，甚至在八國集團(G8)中俄羅斯也被凍結會籍，變成了七國集團。

儘管遭受制裁，但在網路空間中，俄羅斯依然沒有停止對烏克蘭的攻擊。事實上，觀察這些政治事件的時間點與BlackEnergy、NotPetya攻擊事件，我們也可以發現其中一些微妙的聯繫。

俄羅斯的死對頭

除了老對手烏克蘭，俄羅斯還有一位死對頭，那就是美國。

第二次世界大戰之後，以美國為首的資本主義陣營、與以蘇聯為首的社會主義陣營之間長達半世紀的政治對抗。而到了新時期，這些政治對抗並沒有消失，有一部分對抗轉移到了網路空間。

我們先說說最近查明的俄羅斯針對雅虎的攻擊事件。

去年雅虎接連曝出多個超大規模數據泄露事件，今年3月，雅虎5億賬戶泄露的真相浮出了水面。美國司法部指控四名俄羅斯嫌疑犯，組織策划了2014雅虎數據泄露案，攻擊者盜取了逾5億的雅虎用戶信息。這四名嫌犯分別是2名俄羅斯特工和2名黑客。

兩名FSB（俄羅斯聯邦安全局）特工命令黑客入侵雅虎的網路，與幾乎所有攻擊一樣，這次的黑客入侵也始於釣魚郵件。黑客從雅虎的網路中中竊取了姓名、找回密碼郵箱、手機號碼和其他必要的信息來偽造賬戶的瀏覽器cookie。此外，他還用了雅虎賬戶管理工具（AMT），攻擊者和兩名FSB特工利用此系統可以偽造必要的瀏覽器cookie，在沒有明文密碼的情況下，訪問雅虎賬戶。

那為何俄羅斯黑客會選擇攻擊雅虎呢？據信，被黑的6500個用戶包括俄羅斯記者，俄美高級政府官員，俄羅斯安全公司職員，幾家網路供應商的許多員工。攻擊這些目標明顯是為了收集情報。雅虎公司在這幾位具有國家背景的黑客面前顯得不堪一擊。

另外比較著名的則是俄羅斯黑客被指攻擊了美國大選，導致特朗普「錯誤地」上台。而特朗普也被指責與俄羅斯勾結。

但事到如今美國政府並沒能拿出確鑿的證據，只有一些未經證實的流言蜚語。今年6月，CNN登出一條新聞，稱特朗普總統的重要助手斯卡拉姆奇與俄羅斯「直接投資基金」的首席執行官德米特里耶夫關係密切，兩人甚至在私下見面中討論解除美對俄制裁問題。

隨後CNN撤下了報道，采寫這篇報道的記者、編輯及兩人所屬的CNN調查新聞部的主任之後也宣布辭職，基本可以認定這是一篇虛假新聞。

之後一位CNN資深製片人也引起了軒然大波，這位製片人是在CNN供職長達15年的約翰·博尼菲爾德，他坦誠「通俄門」報道大多沒有真憑實據，只為迎合反特朗普觀眾的偷拍視頻再次傳遍互聯網。

可以肯定的是，美國尚未掌握充分證據證明俄羅斯攻擊了選舉系統，而媒體目前也只能編造一些新聞。

不過，很多安全公司支持的說法是，與俄羅斯政府相關的黑客組織Pawn Storm開展了對美國民主黨全國委員會（DNC）的攻擊，竊取了委員會的郵件，之後維基解密又公布了這些機密文檔，其中一些讓美國民眾看到委員會的黑幕和醜聞，比如提前欽定希拉里爭奪黨內提名，同時排擠其競爭對手桑德斯，而這可以說在某種程度上影響了選舉的結果。

法國，俄羅斯的新目標？

不過，俄羅斯影響的選舉可不止美國一家。今年五月進行的法國大選中也有俄羅斯黑客的身影。

法國總統大選前夕，位於巴黎外部第15區的馬克龍臨時總部當時正緊張地籌備著選舉，而遠在俄羅斯的黑客也在指望通過釣魚郵件入侵馬克龍的競選團隊，獲取有用的信息。早在12月，那時馬克龍剛以前投資銀行家和前經濟部長的身份，以及最反對俄羅斯、最支持北約和歐盟的特點，一躍成為總統候選人時，團隊就開始收到了網路釣魚郵件。

與美國競選類似的是，馬克龍的對手勒龐堅決反對自由貿易和封閉經濟，她倡導貿易保護主義，認為全球化會導致法國工業衰落產業外移和失業。這與美國總統特朗普的觀點如出一轍。不同的是，這一次，馬克龍的競選團隊對俄羅斯黑客的攻擊準備充分，團隊迅速製造了幾十個虛假的郵箱賬號及偽造文件，用以混淆攻擊者。

黑客從馬克龍團隊中竊取的郵件及文件多達9G本來是用作醜聞素材的，結果卻成為了混亂的競選過程中團隊成員乏味的普通生活的寫照。泄露的郵件中一封詳細記錄了團隊成員如何處理一輛拋錨的汽車的經歷，另一份文件展示了員工因為忘記給咖啡開發票而遭到責備。

這場黑客攻擊的結果就是，俄羅斯黑客無功而返，沒能夠獲取到任何馬克龍的醜聞。

網路空間四處樹敵的美國

風暴的另一個中心無疑就是美國，作為當今世界的霸主之一，美國在網路安全領域當然不甘落後。

Stuxnet與伊朗核問題

2010年，伊朗納坦茲核設施的技術人員正深陷離心機故障頻發的煩惱中。儘管最近幾個月已經換掉了上千台離心機，但工廠目前的運行效率卻只有設計能力的45%~66%，六氟化鈾氣體原料的消耗量遠低於預期。

他們不知道，此時核設施內的離心機已經感染了美國精心研製的震網病毒，這是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。

震網病毒利用西門子公司控制系統（SIMATIC WinCC/Step7）存在的漏洞感染數據採集與監控系統（SCADA），能向可編程邏輯控制器（PLCs）寫入代碼並將代碼隱藏。

納坦茲的級聯保護系統是基於西門子S7-417的工業控制器的。控制器可以理解成直接連接到設備的嵌入式電腦系統。震網設計成可以感染這些控制器，通過某種方式獲取控制權。

這個震網變種做的第一步是隱藏它的活動。震網記錄了21秒級聯保護系統的感測器正常情況下的數據。然後在攻擊過程中不斷循環重放這21秒的數據。控制室里的監控端看上去一切都很正常。然後震網就開始了它的活動。它關閉了前兩級和最後兩級濃縮步驟的閥門。阻止了受影響的離心機內的氣體流出，反過來導致其餘離心機的壓力升高。壓力的增加將導致更多的六氟化鈾進入離心機,給轉子更高的機械應力。最終,壓力可能會導致氣體六氟化鈾固化,從而嚴重損害離心機。

最終，震網病毒感染並破壞了伊朗納坦茲的核設施，並最終使伊朗的布希爾核電站推遲啟動。

2012年，美國官員也承認，震網病毒是由美國國家安全局在以色列協助下研發，以Olympic Games為計劃代號，目的在於阻止伊朗發展核武。

卡巴斯基——美俄爭鬥中的犧牲品

正如前文所述，在網路世界中，俄羅斯與美國依然是劍拔弩張，自從2014年俄羅斯吞併克里米亞後，美俄關係就不斷緊張，美國拉攏西方國家對俄羅斯實施經濟制裁，而在之後的2016年總統大選中，美國情報部門指責俄羅斯實施了網路攻擊，操縱了競選結果，這使得兩國關係急劇惡化。

卡巴斯基分布圖

在這樣的背景下，美國宣布禁止美國政府使用俄羅斯反病毒廠商卡巴斯基的產品，並且警告美國公民不要使用，因為「卡巴斯基與俄羅斯情報部門走得很近」。

在5月的美國國會上，美國情報部門官員首次表達對卡巴斯基產品能否信任的懷疑。今年6月，FBI特工還詢問了卡巴斯基員工，問他們會不會彙報給俄羅斯的領導，以及有多少美國公民的數據能被俄羅斯員工看到。

涉及到地緣政治衝突等問題的時候，網路安全行業就變得複雜，卡巴斯基就成了本次事件的犧牲品。西方科技公司正在通過抵制進口俄羅斯科技產品來予以制裁。任何一家美國公司只要與俄羅斯聯邦安全局（FSB）有任何的業務關係，就會被認作是一種犯罪行為。

顯然，抵制卡巴斯基是一場政治行為，但卡巴斯基還是顯得誠心誠意，卡巴斯基創始人否認與俄羅斯政府有牽連，表示願意提供源代碼供核查。

「卡巴斯基實驗室與俄羅斯克林姆林宮方面沒有任何關係，外界有言論認為我們的反病毒軟體可以幫助俄羅斯政府入侵美國政府系統並實施間諜活動，但這樣的說法純屬無稽之談。如果有必要的話，我們願意給美國政府提供卡巴斯基反病毒產品的源代碼以證清白，因為我們沒有什麼好隱瞞的。」

令美國陷入政治漩渦的告密者們

樹大招風，美國在全球樹敵，其中的敵人不僅包括這些國家，甚至包括組織和個人。首當其衝的就是阿桑奇和斯諾登。

阿桑奇所屬的維基解密組織，一直公開美國政府的相關文檔，知名的文件包括2010年11月28日泄露的251287份美國國務院與美國駐外大使館之間聯繫的文傳電報。

而另一個敵人則是斯諾登，將美國國家安全局關於稜鏡計劃監聽項目的秘密文檔披露給了英國《衛報》和美國《華盛頓郵報》，遭到美國和英國的通緝。稜鏡計劃是由美國國家安全局自2007年開始實施的絕密級電子監聽計劃，監聽對象包括任何在美國以外地區使用參與計劃公司服務的客戶，或是任何與國外人士通信的美國公民。幾年間斯諾登也在持續曝光美國的機密項目和文件。

無論是維基解密曝光的電報還是斯諾登曝光的項目，都泄露了美國大量的機密文件，電報門曝光的文件中包括美國官員對於其他國家領導人的一些私下評論；而稜鏡門則包含了美國政府監聽外國領導人的證據，這些文件使得美國在與其他國家的外交關係中出於不利的境地，也或多或少影響了政治格局。

來自東方的神秘力量：朝鮮

網路攻擊並非大國的遊戲，即使是朝鮮也參與到了這場戰鬥中。朝鮮作為一個神秘的國度，其網路安全水平自然也是撲朔迷離。但朝鮮黑客也並非默默無聞，最為著名的時間就是2014年入侵索尼影業的事件。

黑客組織「和平衛士」（Guardians of Peace）公布索尼影業員工電郵，涉及公司高管薪酬和索尼非發行電影等內容。美國情報官員認為該網路攻擊獲得朝鮮政府資助，但追溯攻擊來源實在是一件難度極高的事，好在黑客的動機幫助了我們的判斷——行動與當時即將上映的電影《採訪》有關，此片描繪了一起針對朝鮮最高領導人金正恩的暗殺行動，在該片發布預告片之時，朝鮮官方媒體稱這部電影「骯髒且受到詛咒」。而在黑客攻擊索尼影業後，朝鮮政府認為索尼影業是「罪有應得」，稱此駭客攻擊行為是「正義之舉」。顯然這場黑客事件中包含著政治因素。

除此之外，今年的另一場網路攻擊也被懷疑與朝鮮黑客有關，就是今年5月的WannaCry勒索事件，

賽門鐵克(Symantec)報告稱，有「強有力的證據」顯示WannaCry勒索軟體與朝鮮黑客組織Lazarus有關聯。賽門鐵克的依據是黑客之前在攻擊索尼影業、孟加拉國央行所用的工具、代碼和基礎架構有相近之處。

但是如果你對朝鮮神秘的網路安全有一點認識，就不會太過驚訝。

朝鮮擁有一支網路部隊，即朝鮮121局，編製大約1800人，隸屬於軍方精銳情報機構「偵察總局」。該部隊內部全是訓練有素的黑客精英，同時他們只專註於網路間諜活動和網路犯罪。

美國Vincent Brooks將軍曾告知參議院警惕來自朝鮮方面的網路攻擊，並稱：「雖然我不會把他們描述為世界上最好的黑客組織，但他們確實是世界上組織性以及能力最強的黑客團隊之一」。

金正恩甚至也說過：

「隨著核武器和導彈的發展，網路戰將會是一把全能的劍，保障我們的軍事實力，狠狠打擊敵人。」

不過，韓國金融安全研究所(Financial Security Institute)稱，過去幾年裡，朝鮮黑客對盜取資金的興趣似乎增加了。該研究所稱，和朝鮮有關聯的黑客是不久前通過數字手段從孟加拉國央行盜走8100萬美元（約合5.5億元人民幣）一事的幕後黑手。朝鮮黑客還試圖侵入波蘭的銀行。

之所以將目標從他國機密文件轉移到經濟利益，或許是由於實驗核武器帶來的經濟制裁使得朝鮮國內經濟狀況陷入低谷。

寫在最後

儘管我們處在和平年代，但各種地區衝突從未停歇，各國在網路空間中的角力也沒有停止，網路戰爭隱蔽的特性無疑是大家移向網路戰場的原因之一。儘管筆者一直認為，發展網路武器和發展那些常規軍事武器一樣，可以看作是國家發展軍事力量的需求，但從BlackEnergy、Stuxnet這類精細並且影響巨大的攻擊中我們也應該意識到，網路戰爭的威力不容小覷，如同發展軍事防禦設施一樣，我們同樣要發展網路戰爭的防禦力量。

*本文作者：Sphinx，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！