NotPetya網路戰製造焦土，幸虧這家停電

更多全球網路安全資訊盡在E安全官網www.easyaq.com

題記：今天9月14日周五，開心的周末節點，今天是一篇長文，夠長管飽。丹麥航運巨頭馬士基集團，小編看一篇文章說他家貨運費用挺貴，航運界的順豐？如果經常跑京津老高速，那條雙向四車道的，在接近天津地界，會常見貨車拉著馬士基集裝箱，集裝箱側面有個醒目的7角藍星logo，7角代表七大洲，藍色代表大海，它的征程確實是星辰和大海。馬士基可能怎麼也沒想到，它會成為疑似俄烏網路戰的躺槍者，也許，它也是目標之一。但是它也因此知恥而後勇，事後，但凡安全提議均會得到上級的爽快批複，從不重視網路安全，到視網路安全為掌中寶，雲泥之別，還不是因為傷害。而同樣，此次既是無知受害方又是敵方橋頭堡的，是烏克蘭一家開發會計軟體的集團公司，雖然是受害方，卻在去年因為此事件面臨刑事指控，據稱忽視員工和反病毒公司多次的安全警告，馬士基安裝的就是它家的會計軟體M.E.Doc，軟體被植入了後門。前者是因為痛過才知道珍惜，後者是受害者也可能是幫凶。NotPetya並非真正意義上的勒索軟體，勒索錢財只是它的幌子，清理硬碟數據才是它的真心。

這是一個陽光明媚的夏日午後，在哥本哈根，世界上最大的航運集團開始失去理智。

丹麥航運巨頭 Maersk 的總部坐落在哥本哈根海港邊。在公司的禮品店設有一個技術支持中心，在收銀台旁邊有 IT 故障排除人員。2017年6月27日下午，困惑的 Maersk 員工三三兩兩開始聚集在服務台，所有人都攜帶著筆記本電腦。在電腦的屏幕上顯示著紅色和黑色的字母信息：

• 一些電腦上顯示著「修復 C 盤文件系統」，並警告用戶不要關閉電腦；

• 另一些屏幕顯示著「噢，你的重要文件已被加密」，要解鎖的話先支付300美元的比特幣吧。

在街對面，一位名叫 Henrik Jensen（化名）的 IT 管理員正忙著為 Maersk 近80000名員工進行軟體更新。他以為這次意外重啟是 Maersk 中央 IT 部門的一次粗暴干預操作。（Maersk 中央信息技術部是一家在英國不太受歡迎的實體，負責監管該公司帝國的大部分業務。）

很快，Jensen 看到辦公室其他同事的電腦屏幕開始快速連續閃爍，屏幕一個個變黑。周圍的電腦全被迅速鎖死，重啟也無濟於事。

半小時內，Maersk 航運總部癱瘓

整個 Maersk 總部全面陷入危機。不到半小時，Maersk 的員工就開始奔到走廊，向還未中招的同事大喊關閉電腦或斷開網路鏈接。因為他們意識到每一分鐘都可能意味著數十台甚至數百台電腦被感染。技術部也急忙跑去會議室，拔掉會議中正使用的機器。不久，工作人員就越過鎖死的門禁把消息傳遞給大樓里的其他部門。

在花費兩個小時之後，公司的 IT 技術人員才切斷 Maersk 的所有網路。在這過程中，每個員工都被要求關閉電腦，把它放在辦公桌。而在斷網的緊急時刻，每個辦公隔間的數字電話也變得毫無用處。

下午3點，一名 Maersk 高管走進房間，告知 Jensen 和十幾名正焦急等待消息的同事，可以回家了。Maersk 集團的網路遭到嚴重的破壞，以至於 IT 技術人員都束手無策。除了一些富有經驗的經理讓自己的團隊在辦公室待命，其他許多員工都「放假」回家，畢竟待在辦公室也愛莫能助。

Jensen 和大多數員工一樣，不知道何時可以返工。僱傭他的這家海運巨頭，運營著全球76個港口和近800艘海運船隻，包括載有數千萬噸貨物的集裝箱運輸船，其運輸能力佔全球近五分之一，而現在似一潭死水。

烏克蘭，一個國家的滄桑

在烏克蘭首都基輔的 Podil 街區旁邊，咖啡館和公園意外消失，取而代之的是一派工業景觀。在一個高速立交橋下，一家家族經營的烏克蘭軟體公司 Linkos 總部大樓便坐落於此。

在這棟四層樓的總部，有三層樓放著伺服器，一排排披薩盒大小的計算機纏著電線連接在一起，上面標註著編號。正常情況下，這些伺服器會定期向一個 M.E.Doc 的會計軟體推送更新——包括修復漏洞，安全補丁，新功能。這款軟體在烏克蘭相當於 TurboTax 或 Quicken。幾乎所有在該國報稅或經商的人都會使用此軟體。

但是在2017年的那一刻，這些計算器成為互聯網發明以來最具破壞性的攻擊武器。

在過去的四年半時間裡，烏克蘭與俄羅斯陷入異常殘酷的、未經宣戰的戰爭。戰爭造成一萬多名烏克蘭人喪生，數百萬人流離失所。這場衝突或使烏克蘭成為俄羅斯網路戰的試驗場。

2015至2016年間，被指與克里姆林宮有關聯的黑客 Fancy Bear 忙於入侵美國民主黨全國委員會的伺服器，而另一組被稱作 Sandworm 的情報人員則入侵了烏克蘭數十個政府組織和公司。他們侵入了媒體到鐵路公司等各種實體的網路，引爆摧毀了萬億位元組數據的邏輯炸彈。在後續兩年的冬天，破壞者通過網路入侵造成大規模停電——這是首次被證實的因黑客入侵導致的大面積停電。

但這些攻擊還不是 Sandworm 的壓軸戲。據美國科技新聞網站 wired 報道稱，Linkos 集團的人並不知道，在2017年春季，嫌疑最大的俄羅斯被指責稱其軍事黑客劫持了該公司的更新伺服器，在該公司全球安裝了 M.E.Doc 的數千台電腦中隱藏了後門。2017年6月，黑客再通過後門釋放名為 NotPetya 的惡意軟體——這是他們迄今為止最惡毒的網路武器。

黑客釋放的代碼可以自動快速傳播。思科 Talos 部門推廣主任 Craig Williams 稱，該惡意軟體是目前為止他們見過傳播最迅速的惡意軟體。

NotPetya 由兩個強大的黑客工具協力推動：一個是美國國家安全局創造的滲透工具「永恆之藍」，該工具於2017年泄露。永恆之藍利用 Windows 協議中的一個漏洞，允許黑客在未打補丁的電腦上自動遠程運行自己的代碼。

NotPetya = 永恆之藍 + Mimikatz

NotPetya 的架構師把永恆之藍和另一個法國安全研究員 Benjamin Delpy 2011年創建的工具 Mimikatz 結合起來使用。Delpy 發布 Mimikatz 的初衷是表明 Windows 把用戶密碼保留在了電腦緩存中。一旦黑客獲得電腦初始許可權，Mimikatz 就可以從 RAM 中獲取密碼，用他們攻擊其他使用相同證書的計算機。在多用戶計算機網路中，它甚至可以允許自動攻擊周圍電腦。

在 NotPetya 發布之前，微軟就針對永恆之藍的漏洞發布了補丁。但是永恆之藍和 Mimikatz 組合在一起形成了一個致命組合。

NoePetya 的取名來源於它與勒索軟體 Petya 很相似，Petya 是2016年出現的一段惡意代碼，主要靠勒索用戶解密文件來獲利。

不同的是 NotPetya 的勒索信息只是一個詭計：惡意軟體的目的純粹就是搞破壞。它不可逆地加密了電腦主引導記錄，這是電腦的深層部分，它會告知在何處找到自己的操作系統。受害者試圖支付贖金的行為都是徒勞。因為可能根本無解。

這個武器的目標就是烏克蘭。但卻波及到了全世界。

NotPetya 被定義為網路戰的一部分

NotPetya 被定義為網路戰的一部分，其效果遠超於創建者的設想。在它首次出現的幾個小時內，就侵害了烏克蘭和全球的許多電腦。受害者從賓夕法尼亞的醫院到塔斯馬尼亞的巧克力工廠，橫掃了多家跨國公司，包括航運巨頭Maersk，醫藥巨頭 Merck，聯邦快遞歐洲子公司 TNT 速運，法國建築公司 Saint-Gobain，食品製造商 Mondelēz 以及製造商 Reckitt Benckiser。在每個案例中，造成的損失都高達9位數，它甚至還波及到了俄羅斯，攻擊了該國的石油公司 Rosneft。

白宮前國土安全顧問 Tom Bossert（時任特朗普最高網路安全官）在一份評估報告中透露，其造成的損失超過百億美金。Bossert 及美國情報機構也於2018年二月證實，俄羅斯軍方為發動這場網路攻擊的主要嫌疑人，但俄方拒絕予以置評。

從 NotPetya 肆虐的這一年開始，WIRED 深入研究了受害公司 Maersk，該公司的經歷深刻證明了網路戰對現代社會的危害。像其他非烏克蘭受害公司一樣，該公司的高管也拒絕公開談論此次事件。

「烏克蘭」網路戰的邊界，沒有邊界

NotPetya 攻擊事件並不是真正關乎 Maersk，甚至烏克蘭的事件。這是一起體現國家戰爭武器在無國界媒介中釋放出來的事件，其中的附帶損害通過殘酷而意想不到的邏輯蔓延開來：即針對烏克蘭的攻擊讓 Maersk 遭殃，且 Maersk 遭遇的攻擊讓其它地方遭了殃。

Oleksii Yasinsky 曾是信息系統安全合作夥伴（ISSP）網路實驗室的負責人，該公司很快成為烏克蘭網路戰受害者的首選公司。烏克蘭憲法日到來前，很多人都在籌備假期，而他卻不敢休假，他的工作不允許。事實上，自2015年底攻擊者第一次對烏克蘭實施網路攻擊以來，他總共才休息過一周。

因此，當天上午，當 ISSP 實驗室主任電話告知他烏克蘭第二大銀行 Oschad 銀行遭遇攻擊時，他很快就進入了工作狀態。銀行透露，自己感染了勒索軟體——銀行恰好是網路罪犯求財的重點對象。半小時後，Yasinsky 就走進了該銀行的IT部門。他一看就知道，這次面對的是一種新的攻擊，當時的工作人員都處於一臉茫然的狀態。大約90%的銀行電腦都被鎖死，屏幕上顯示著 NotPetya 的「修復磁碟」信息和贖金。

在對銀行的倖存日誌進行快速檢後，Yasinsky 發現，攻擊是一種自動化蠕蟲，它以某種方式獲得了管理員憑證，從而像竊賊一樣橫掃銀行網路。

Yasinsky 在 ISSP 辦公室分析了銀行被入侵的過程，與此同時，開始不斷收到其他人的電話和信息，告知其他公司和政府機構也出現了類似攻擊。其中還有一名受害者試圖支付贖金。正如 Yasinsky 懷疑的那樣，支付贖金並沒有用。這不是普通的勒索軟體，這次並不是為了錢。

遠在南方千里之外，ISSP 首席執行官 Roman Sologub 正準備前往海灘度假。他的手機也被尋求幫助的客戶轟炸。

Sologub 只得返回酒店，接聽了50多個電話。ISSP 安全運營中心的實時監控警告，NotPetya 正以驚人的速度傳播：只用了45秒讓一個大型烏克蘭銀行的網路癱瘓。而烏克蘭一個主要的交通樞紐竟在16秒內被完全感染。曾遭遇停電攻擊的能源公司 Ukrenergo 也再次中招。

中午時分，ISSP 創始人，一位名叫 Oleh Derevianko 的企業家，也在度假。他正開車北上迎接他的家人。在接到 NotPetya 的電話後，他趕緊從高速公路下來，在路邊的餐館開始工作。到下午，他警告每一位給他打電話的高管，要他們立刻斷網，即使這意味著整個公司停工。但這種情況下，都為時已晚了。

在全國範圍內，NotPetya 在生吞烏克蘭的電腦。單單基輔就至少有四家醫院，六所電力公司，兩座機場，超22家烏克蘭銀行，零售商和 ATM 機陷入癱瘓。烏克蘭基礎設施部長 Volodymyr Omelyan 總結稱「政府已死」。據 ISSP 透露，至少300家公司遇襲，一位烏克蘭政府官員估計全國有10%的電腦中招。這次攻擊甚至關停了基輔以北60英里處切爾諾貝利清理場的科學家們的電腦。Omelyan認為，這是對烏克蘭系統的大規模轟炸。

當 Derevianko 傍晚從餐館出來給車加油時，發現加油站的信用卡支付系統也癱瘓了。口袋裡沒有現金，他都不知道車裡的油夠不夠堅持到度假的村屋。放眼全國，烏克蘭人都面臨著類似問題：是否有足夠的現金買食品和汽油，是否能領到薪水和退休金，醫生的處方開不開得出來。那一夜，外界仍然在爭論 NotPetya 到底是犯罪分子的勒索軟體還是國家支持型網路戰武器，而 ISSP 的工作人員已經開始將之概括為一種新的現象：「大規模、協作型網路入侵。」

在這場網路瘟疫中，一次單獨的感染對 Maersk 顯得尤其致命：在烏克蘭黑海沿岸港口城市 Odessa，Maersk 負責烏克蘭業務的一位財務主管要 IT 管理員在一台電腦上安裝了會計軟體 M.E.Doc。而這就為 NotPetya 創造了立足之地。

位於新澤西的伊麗莎白港是 Maersk 76個航運碼頭之一，日往來運貨的卡車可達三千輛。往常，貨車司機就像航空公司的乘客一樣，在碼頭辦理進入手續，然後由掃描人員自動讀取集裝箱條形碼，驗證後，司機會收到一張通行證告知其將貨車停至何處。6月27日上午9點左右，貨運代理 Pablo Fernández 的電話開始響不停，憤怒的貨主在電話里大聲抱怨稱，他們的集裝箱無法進出大門。

作為 Maersk 在新澤西州終端運營的要塞，那扇大門當時就那樣癱瘓了。

很快，數百輛18輪車在這個碼頭外排起幾英里的長隊。幾小時後，港務局開始關閉碼頭。這時，附近的工作人員才意識到遭遇了網路攻擊，而警察也開始疏散貨車司機。

Fernández 和無數 Maersk 客戶一樣開始面臨一系列令人沮喪的選擇：把貨物以高價轉運到其他船上；或者如果他們承運的是工廠的緊俏組件，Maersk 的停運就意味著他們要支付高昂的空運運費；還有許多帶電的集裝箱，裡面裝滿了需要冷藏的容易腐敗的物品，所以這些集裝箱還得一直插著電，防止貨物腐敗變質。

Fernández 不得不就近在新澤西找個倉庫放貨，等待 Maersk 的消息。但等了一整天也沒人給出真正的解釋。Maersk 的網上預訂頁面已經關閉，也沒人接聽電話。在接下來的三個月里，他在 Maersk 輪船上派出的集裝箱陸續丟失。「Maersk就似一個而黑洞」，Fernández 嘆息著回憶。

事實上，同樣的場景在 Maersk 的76個碼頭上演，數以萬計的貨車被迫轉移。

由於無法進行新的訂單，Maersk 的核心基本被切斷了。Maersk 船上的電腦未被感染。但這些用來接受船舶電子數據交換文件的終端軟體已被全部清除。這是自航運利用 IT 技術以來，遭遇的最大危機。

在 Maersk 辦公室屏幕黑下來的幾天後，Jensen 在辦公室接到了一個電話會議，要求他立刻前往 Maersk 位於英國 Maidenhead 的一處辦公室——Maersk集團基礎設施服務的基地。

兩小時後，Jensen 坐上飛往倫敦的飛機。當他到達 Maidenhead 中心的一棟八層樓高的建築時，發現第四和第五層已變成一個7天24小時全天候的緊急行動中心。該中心的目的是：重建 Maersk 全球網路。

Jensen 得知，一些員工從周二遭遇攻擊那天就開始在這個恢復中心工作。有些人還在這裡打地鋪。而且陸陸續續有其他員工從全球其他分部趕來。方圓數十英里內的酒店房間都被 Maersk 訂滿。

這個恢復中心由諮詢公司德勤管理。Maersk 基本上是給了這個諮詢公司一張空頭支票來解決 NotPetya 帶來的麻煩。200多名德勤員工和近400 Maersk 員工一起駐紮在這個緊急中心。Maersk在NotPetya爆發前使用的所有電腦都被沒收，以免這些設備會感染新系統，而且對違規使用者會實施紀律處分。而工作人員則掃空了 Maidenhead 所有的電子商店，購買了新的筆記本電腦和預付費 WIFI熱點。Jensen 也獲得了一台新電腦，並被安排了相應的工作。

在重建初期，重建 Maersk 網路的 IT 員工們忙到要吐血。他們找了幾乎所有 Maersk 的獨立伺服器里備份，時間從 NoePetya 爆發前的三到七天不等。但是沒人能為最關鍵的域控制器找到備份，這些伺服器就像是 Maersk 網路的詳細地圖，而且設置了基礎規則來確定哪些用戶可以訪問哪些系統。

Maersk 約150個域控制器都會彼此同步數據，理論上任何一個都可作為其他控制器的備份。但是這種去中心化的備份策略沒有考慮到一種情況：所有控制器被同時清除時，恢復不了域控制器就無法恢復其他任何東西。

在一通瘋狂搜尋之後，絕望的管理員最終在迦納一個遠程辦公室發現了一個倖存的域控制器。NotPetya 襲擊那一刻，停電導致迦納的機器離線。當時，辦公室里一陣歡呼。

然而，當 Maidenhead 的工程師與迦納辦事處聯繫時，他們發現帶寬不夠，數百 Gb 的域控制器備份傳回英國需要數天時間。於是，他們準備派遣一名迦納職員坐最近一班到倫敦的飛機直接送回數據。但是，這個西非辦事處的員工無一人有英國簽證。

因此，Maidenhead 緊急中心安排了一場接力：派一名迦納職員飛往奈及利亞，在機場把硬碟交給另一名 Maersk 員工。然後由這名員工帶著硬碟飛往倫敦。隨著救援行動的結束，Maersk 的核心業務也重新上線。幾天後，Maersk 運營的港口恢復了讀取船舶存貨清單的能力，承運商們也能跟蹤貨物運輸情況了。但是，要完全恢復，估計至少還需要一周的時間。

與此同時，Maersk 的員工則利用手邊可用的工具工作。他們對集裝箱的紙質文件進行錄入，通過個人 Gmail 賬戶，WhatsApp 和 Excel 表格接單。

襲擊發生兩周後，Maersk 的網路最終恢復到公司可以重新向員工發放個人電腦的程度。而哥本哈根總部大樓地下室的自助餐廳也變成了重新安裝的流水線。

從 Maidenhead 回來後，Jensen 就發現自己的電腦硬碟被清除乾淨後重新裝了一個 Windows。而以前存儲的所有東西全消失了。

Maersk 恢復正常經歷了五個月

五個月後，Maersk 從 NotPetya 攻擊中恢復過來，集團主席 Jim Hagemann Snabe 坐在達沃斯世界經濟論壇的舞台上，對公司IT救援隊的英勇行為給予了讚賞。他說，公司僅用十天就重建了整個網路，包括4000台伺服器和45000台PC，用韌勁克服了這一難題。

從那時起，Maersk 就不僅是致力於提高自身的網路安全，還致力於使其成為「競爭優勢」。事實上，自 NotPetya 後，IT 工作人員表示，他們提出的每一個安全性能幾乎都得到了立刻批准。多重身份驗證已在公司全面推出，同時對 Windows 10 進行了長時間的升級。

Snabe 未對該公司在 NotPetya 之前的安全態勢說太多。Maersk 安全人員透露，該公司的一些伺服器直到攻擊前仍在運行 windows 2000。2016年，一群 IT 主管們力推重新設計 Maersk 的全球網路。他們呼籲關注公司並不完善的軟體補丁，過時的操作系統以及網路分區的不足。他們曾警告稱，這些不足會讓惡意軟體進入肆虐狀態。而這一切在一年後的 NotPetya 身上應驗。

這些安全改造是經過批准的，也給予了預算支持的。但之前這些從來不是資深IT監管人員的績效考核指標，因此實施它不會與其獎金掛鉤。所以，他們從未推進過安全改造。

Snabe 在達沃斯論壇上談到，很少有公司會為安全付出更多代價。由於採取了行之有效的方案，Maersk 在網路癱瘓期間，總運輸量僅減少了20%。但除了重建的成本，公司還為重新安排運輸和貨物存放支付了額外費用。

論總損失，無法估計

總而言之，Snabe 在達沃斯論壇上透露，NotPetya 大概令 Maersk 損失了2.5-3億美元，但員工們認為絕不止這個數。

這個數字大概沒包括間接損失，比如依賴 Maersk 碼頭為生的物流公司。總部位於 Newark 港的貨車運輸集團總裁 Jeffrey Bader 估計，僅貨車運輸公司和司機們未支付的成本就達到數千萬美元。

Maersk 對全球供應鏈帶來的損失更大——這取決於產品和生產組件的及時交付程度，且難以衡量。當然 Maersk 也只是一個受害者。

• Merck 製藥廠則是在遭遇攻擊後，暫時失去了製造某些藥物的能力。Merck股東們被告知損失約為8.7億美金。

• 聯邦快遞的歐洲子公司 TNT 速運也在襲擊中癱瘓，需數月才能恢復部分數據，遭受了4億美元的損失。

• 法國建築巨頭 Saint-Gobain 的損失與 Maersk 大致相同。

• 英國杜蕾斯安全套製造商 Reckitt Benckiser 損失了1.29億美元。

• 巧克力製造商吉百利的所有者 Mondelez 則損失1.88億美金。

另外，一些小公司就只能偷偷計算自己的損失了。

網路戰像物理戰爭的焦土政策，寸草不生，數據不留

當「Maersk 類事件」成倍出現時，俄羅斯網路戰的真實規模才開始成為焦點。

在 NotPetya 爆發一周後，烏克蘭警察全副武裝並配備突擊步槍進駐 Linkos 集團的總部，就像海豹突擊六隊入侵本拉登大院一樣。

按照公司創始人 Olesya Linnyk 的說法，這些警察用步槍指向一臉困惑的員工，並將他們排列在走廊上。在她辦公室旁邊的二樓，裝甲警察甚至用金屬棍砸開了一間屋子的門。這些警察終於找到了自己要的東西：在 NotPetya 瘟疫中扮演「零號病人」的伺服器機架。他們沒收了違規的機器。

即便是現在，襲擊事件已經過去一年，網路專家們對 NotPetya 仍是爭論不休。黑客的真實意圖到底是什麼？ISSP 實驗室的員工 Oleh Derevianko 和 Oleksii Yasinsky 堅持認為，這次襲擊的目的不僅僅是為了破壞，而是了清理。畢竟，最先啟動該蠕蟲的黑客幾個月來一直不受限制地訪問受害者的網路。而除了它造成的恐慌和破壞外，NotPetya 也可能抹去了間諜行為和偵察的證據。就在今年五月，美國司法部和烏克蘭安全部門宣布，他們挫敗了俄羅斯的一項行動，該行動已經通過新形式的破壞軟體感染了50萬台路由（主要在烏克蘭境內）。

雖然安全圈的人仍將 NotPetya 的國際受害者視為附帶傷害，但是思科公司的Craig William 認為，俄羅斯完全清楚這一蠕蟲對國際社會造成的破壞程度。他認為，這是為了明確懲罰那些任何敢在俄羅斯境內設立辦公室的敵人。這是在傳遞一種政治信息：如果你敢在烏克蘭做生意，那麼你的公司就不會有好日子過。

然而，每個研究過 NotPetya 的人都同意一點：它可能捲土重來，甚至以更大規模出現。全球企業之間的聯繫太過緊密，而信息安全又太複雜，攻擊面太廣，難以抵禦受過國家訓練的黑客攻擊。與此同時，俄羅斯幾乎沒有受到美國政府對 NotPetya 的制裁和懲罰。美國的回應來得如此之慢，整整在蠕蟲襲擊八個月後才有所動作，還得藉由其他理由，包括俄干擾2016年美國大選，攻擊美國電網等。

NotPetya 提醒著我們，距離起不到防禦作用。僅僅幾個小時，小小蠕蟲就能讓龐大的網路體系就能陷入停滯狀態。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！