本文翻译自:https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

这是一个阳光明媚的夏日午后,在哥本哈根,世界上最大的航运集团开始失去理智。

丹麦航运巨头 Maersk 的总部坐落在哥本哈根海港边。在公司的礼品店设有一个技术支持中心,在收银台旁边有 IT 故障排除人员。2017年6月27日下午,困惑的 Maersk 员工三三两两开始聚集在服务台,所有人都携带着笔记本电脑。在电脑的屏幕上显示着红色和黑色的字母信息:

  • 一些电脑上显示着“修复 C 盘文件系统”,并警告用户不要关闭电脑;

  • 另一些屏幕显示着“噢,你的重要文件已被加密”,要解锁的话先支付300美元的比特币吧。

在街对面,一位名叫 Henrik Jensen(化名)的 IT 管理员正忙着为 Maersk 近80000名员工进行软件更新。他以为这次意外重启是 Maersk 中央 IT 部门的一次粗暴干预操作。(Maersk 中央信息技术部是一家在英国不太受欢迎的实体,负责监管该公司帝国的大部分业务。)

很快,Jensen 看到办公室其他同事的电脑屏幕开始快速连续闪烁,屏幕一个个变黑。周围的电脑全被迅速锁死,重启也无济于事。

半小时内,Maersk 航运总部瘫痪

整个 Maersk 总部全面陷入危机。不到半小时,Maersk 的员工就开始奔到走廊,向还未中招的同事大喊关闭电脑或断开网络链接。因为他们意识到每一分钟都可能意味着数十台甚至数百台电脑被感染。技术部也急忙跑去会议室,拔掉会议中正使用的机器。不久,工作人员就越过锁死的门禁把消息传递给大楼里的其他部门。

在花费两个小时之后,公司的 IT 技术人员才切断 Maersk 的所有网络。在这过程中,每个员工都被要求关闭电脑,把它放在办公桌。而在断网的紧急时刻,每个办公隔间的数字电话也变得毫无用处。

下午3点,一名 Maersk 高管走进房间,告知 Jensen 和十几名正焦急等待消息的同事,可以回家了。Maersk 集团的网络遭到严重的破坏,以至于 IT 技术人员都束手无策。除了一些富有经验的经理让自己的团队在办公室待命,其他许多员工都“放假”回家,毕竟待在办公室也爱莫能助。

Jensen 和大多数员工一样,不知道何时可以返工。雇佣他的这家海运巨头,运营着全球76个港口和近800艘海运船只,包括载有数千万吨货物的集装箱运输船,其运输能力占全球近五分之一,而现在似一潭死水。

乌克兰,一个国家的沧桑

在乌克兰首都基辅的 Podil 街区旁边,咖啡馆和公园意外消失,取而代之的是一派工业景观。在一个高速立交桥下,一家家族经营的乌克兰软件公司 Linkos 总部大楼便坐落于此。

在这栋四层楼的总部,有三层楼放着服务器,一排排披萨盒大小的计算机缠着电线连接在一起,上面标注着编号。正常情况下,这些服务器会定期向一个 M.E.Doc 的会计软件推送更新——包括修复漏洞,安全补丁,新功能。这款软件在乌克兰相当于 TurboTax 或 Quicken。几乎所有在该国报税或经商的人都会使用此软件。

但是在2017年的那一刻,这些计算器成为互联网发明以来最具破坏性的攻击武器。

在过去的四年半时间里,乌克兰与俄罗斯陷入异常残酷的、未经宣战的战争。战争造成一万多名乌克兰人丧生,数百万人流离失所。这场冲突或使乌克兰成为俄罗斯网络战的试验场。

2015至2016年间,被指与克里姆林宫有关联的黑客 Fancy Bear 忙于入侵美国民主党全国委员会的服务器,而另一组被称作 Sandworm 的情报人员则入侵了乌克兰数十个政府组织和公司。他们侵入了媒体到铁路公司等各种实体的网络,引爆摧毁了万亿字节数据的逻辑炸弹。在后续两年的冬天,破坏者通过网络入侵造成大规模停电——这是首次被证实的因黑客入侵导致的大面积停电。

但这些攻击还不是 Sandworm 的压轴戏。据美国科技新闻网站 wired 报道称,Linkos 集团的人并不知道,在2017年春季,嫌疑最大的俄罗斯被指责称其军事黑客劫持了该公司的更新服务器,在该公司全球安装了 M.E.Doc 的数千台电脑中隐藏了后门。2017年6月,黑客再通过后门释放名为 NotPetya 的恶意软件——这是他们迄今为止最恶毒的网络武器。

NotPetya致命武器,暴虐全球

黑客释放的代码可以自动快速传播。思科 Talos 部门推广主任 Craig Williams 称,该恶意软件是目前为止他们见过传播最迅速的恶意软件。

NotPetya 由两个强大的黑客工具协力推动:一个是美国国家安全局创造的渗透工具“永恒之蓝”,该工具于2017年泄露。永恒之蓝利用 Windows 协议中的一个漏洞,允许黑客在未打补丁的电脑上自动远程运行自己的代码。

NotPetya = 永恒之蓝 + Mimikatz

NotPetya 的架构师把永恒之蓝和另一个法国安全研究员 Benjamin Delpy 2011年创建的工具 Mimikatz 结合起来使用。Delpy 发布 Mimikatz 的初衷是表明 Windows 把用户密码保留在了电脑缓存中。一旦黑客获得电脑初始权限,Mimikatz 就可以从 RAM 中获取密码,用他们攻击其他使用相同证书的计算机。在多用户计算机网络中,它甚至可以允许自动攻击周围电脑。

在 NotPetya 发布之前,微软就针对永恒之蓝的漏洞发布了补丁。但是永恒之蓝和 Mimikatz 组合在一起形成了一个致命组合。

NoePetya 的取名来源于它与勒索软件 Petya 很相似,Petya 是2016年出现的一段恶意代码,主要靠勒索用户解密文件来获利。

不同的是 NotPetya 的勒索信息只是一个诡计:恶意软件的目的纯粹就是搞破坏。它不可逆地加密了电脑主引导记录,这是电脑的深层部分,它会告知在何处找到自己的操作系统。受害者试图支付赎金的行为都是徒劳。因为可能根本无解。

这个武器的目标就是乌克兰。但却波及到了全世界。

NotPetya 被定义为网络战的一部分

NotPetya 被定义为网络战的一部分,其效果远超于创建者的设想。在它首次出现的几个小时内,就侵害了乌克兰和全球的许多电脑。受害者从宾夕法尼亚的医院到塔斯马尼亚的巧克力工厂,横扫了多家跨国公司,包括航运巨头Maersk,医药巨头 Merck,联邦快递欧洲子公司 TNT 速运,法国建筑公司 Saint-Gobain,食品制造商 Mondelēz 以及制造商 Reckitt Benckiser。在每个案例中,造成的损失都高达9位数,它甚至还波及到了俄罗斯,攻击了该国的石油公司 Rosneft。

白宫前国土安全顾问 Tom Bossert(时任特朗普最高网络安全官)在一份评估报告中透露,其造成的损失超过百亿美金。Bossert 及美国情报机构也于2018年二月证实,俄罗斯军方为发动这场网络攻击的主要嫌疑人,但俄方拒绝予以置评。

从 NotPetya 肆虐的这一年开始,WIRED 深入研究了受害公司 Maersk,该公司的经历深刻证明了网络战对现代社会的危害。像其他非乌克兰受害公司一样,该公司的高管也拒绝公开谈论此次事件。

乌克兰”网络战的边界,没有边界

NotPetya 攻击事件并不是真正关乎 Maersk,甚至乌克兰的事件。这是一起体现国家战争武器在无国界媒介中释放出来的事件,其中的附带损害通过残酷而意想不到的逻辑蔓延开来:即针对乌克兰的攻击让 Maersk 遭殃,且 Maersk 遭遇的攻击让其它地方遭了殃。

Oleksii Yasinsky 曾是信息系统安全合作伙伴(ISSP)网络实验室的负责人,该公司很快成为乌克兰网络战受害者的首选公司。乌克兰宪法日到来前,很多人都在筹备假期,而他却不敢休假,他的工作不允许。事实上,自2015年底攻击者第一次对乌克兰实施网络攻击以来,他总共才休息过一周。

因此,当天上午,当 ISSP 实验室主任电话告知他乌克兰第二大银行 Oschad 银行遭遇攻击时,他很快就进入了工作状态。银行透露,自己感染了勒索软件——银行恰好是网络罪犯求财的重点对象。半小时后,Yasinsky 就走进了该银行的IT部门。他一看就知道,这次面对的是一种新的攻击,当时的工作人员都处于一脸茫然的状态。大约90%的银行电脑都被锁死,屏幕上显示着 NotPetya 的“修复磁盘”信息和赎金。

在对银行的幸存日志进行快速检后,Yasinsky 发现,攻击是一种自动化蠕虫,它以某种方式获得了管理员凭证,从而像窃贼一样横扫银行网络。

Yasinsky 在 ISSP 办公室分析了银行被入侵的过程,与此同时,开始不断收到其他人的电话和信息,告知其他公司和政府机构也出现了类似攻击。其中还有一名受害者试图支付赎金。正如 Yasinsky 怀疑的那样,支付赎金并没有用。这不是普通的勒索软件,这次并不是为了钱。

远在南方千里之外,ISSP 首席执行官 Roman Sologub 正准备前往海滩度假。他的手机也被寻求帮助的客户轰炸。

Sologub 只得返回酒店,接听了50多个电话。ISSP 安全运营中心的实时监控警告,NotPetya 正以惊人的速度传播:只用了45秒让一个大型乌克兰银行的网络瘫痪。而乌克兰一个主要的交通枢纽竟在16秒内被完全感染。曾遭遇停电攻击的能源公司 Ukrenergo 也再次中招。

中午时分,ISSP 创始人,一位名叫 Oleh Derevianko 的企业家,也在度假。他正开车北上迎接他的家人。在接到 NotPetya 的电话后,他赶紧从高速公路下来,在路边的餐馆开始工作。到下午,他警告每一位给他打电话的高管,要他们立刻断网,即使这意味着整个公司停工。但这种情况下,都为时已晚了。

在全国范围内,NotPetya 在生吞乌克兰的电脑。单单基辅就至少有四家医院,六所电力公司,两座机场,超22家乌克兰银行,零售商和 ATM 机陷入瘫痪。乌克兰基础设施部长 Volodymyr Omelyan 总结称“政府已死”。据 ISSP 透露,至少300家公司遇袭,一位乌克兰政府官员估计全国有10%的电脑中招。这次攻击甚至关停了基辅以北60英里处切尔诺贝利清理场的科学家们的电脑。Omelyan认为,这是对乌克兰系统的大规模轰炸。

当 Derevianko 傍晚从餐馆出来给车加油时,发现加油站的信用卡支付系统也瘫痪了。口袋里没有现金,他都不知道车里的油够不够坚持到度假的村屋。放眼全国,乌克兰人都面临着类似问题:是否有足够的现金买食品和汽油,是否能领到薪水和退休金,医生的处方开不开得出来。那一夜,外界仍然在争论 NotPetya 到底是犯罪分子的勒索软件还是国家支持型网络战武器,而 ISSP 的工作人员已经开始将之概括为一种新的现象:“大规模、协作型网络入侵。”

NotPetya对Maersk航运的进一步影响

在这场网络瘟疫中,一次单独的感染对 Maersk 显得尤其致命:在乌克兰黑海沿岸港口城市 Odessa,Maersk 负责乌克兰业务的一位财务主管要 IT 管理员在一台电脑上安装了会计软件 M.E.Doc。而这就为 NotPetya 创造了立足之地。

位于新泽西的伊丽莎白港是 Maersk 76个航运码头之一,日往来运货的卡车可达三千辆。往常,货车司机就像航空公司的乘客一样,在码头办理进入手续,然后由扫描人员自动读取集装箱条形码,验证后,司机会收到一张通行证告知其将货车停至何处。6月27日上午9点左右,货运代理 Pablo Fernández 的电话开始响不停,愤怒的货主在电话里大声抱怨称,他们的集装箱无法进出大门。

作为 Maersk 在新泽西州终端运营的要塞,那扇大门当时就那样瘫痪了。

很快,数百辆18轮车在这个码头外排起几英里的长队。几小时后,港务局开始关闭码头。这时,附近的工作人员才意识到遭遇了网络攻击,而警察也开始疏散货车司机。

Fernández 和无数 Maersk 客户一样开始面临一系列令人沮丧的选择:把货物以高价转运到其他船上;或者如果他们承运的是工厂的紧俏组件,Maersk 的停运就意味着他们要支付高昂的空运运费;还有许多带电的集装箱,里面装满了需要冷藏的容易腐败的物品,所以这些集装箱还得一直插着电,防止货物腐败变质。

Fernández 不得不就近在新泽西找个仓库放货,等待 Maersk 的消息。但等了一整天也没人给出真正的解释。Maersk 的网上预订页面已经关闭,也没人接听电话。在接下来的三个月里,他在 Maersk 轮船上派出的集装箱陆续丢失。“Maersk就似一个而黑洞”,Fernández 叹息着回忆。

事实上,同样的场景在 Maersk 的76个码头上演,数以万计的货车被迫转移。

由于无法进行新的订单,Maersk 的核心基本被切断了。Maersk 船上的电脑未被感染。但这些用来接受船舶电子数据交换文件的终端软件已被全部清除。这是自航运利用 IT 技术以来,遭遇的最大危机。

停电焉知非福,离线得以幸存

在 Maersk 办公室屏幕黑下来的几天后,Jensen 在办公室接到了一个电话会议,要求他立刻前往 Maersk 位于英国 Maidenhead 的一处办公室——Maersk集团基础设施服务的基地。

两小时后,Jensen 坐上飞往伦敦的飞机。当他到达 Maidenhead 中心的一栋八层楼高的建筑时,发现第四和第五层已变成一个7天24小时全天候的紧急行动中心。该中心的目的是:重建 Maersk 全球网络。

Jensen 得知,一些员工从周二遭遇攻击那天就开始在这个恢复中心工作。有些人还在这里打地铺。而且陆陆续续有其他员工从全球其他分部赶来。方圆数十英里内的酒店房间都被 Maersk 订满。

这个恢复中心由咨询公司德勤管理。Maersk 基本上是给了这个咨询公司一张空头支票来解决 NotPetya 带来的麻烦。200多名德勤员工和近400 Maersk 员工一起驻扎在这个紧急中心。Maersk在NotPetya爆发前使用的所有电脑都被没收,以免这些设备会感染新系统,而且对违规使用者会实施纪律处分。而工作人员则扫空了 Maidenhead 所有的电子商店,购买了新的笔记本电脑和预付费 WIFI热点。Jensen 也获得了一台新电脑,并被安排了相应的工作。

在重建初期,重建 Maersk 网络的 IT 员工们忙到要吐血。他们找了几乎所有 Maersk 的独立服务器里备份,时间从 NoePetya 爆发前的三到七天不等。但是没人能为最关键的域控制器找到备份,这些服务器就像是 Maersk 网络的详细地图,而且设置了基础规则来确定哪些用户可以访问哪些系统。

Maersk 约150个域控制器都会彼此同步数据,理论上任何一个都可作为其他控制器的备份。但是这种去中心化的备份策略没有考虑到一种情况:所有控制器被同时清除时,恢复不了域控制器就无法恢复其他任何东西。

在一通疯狂搜寻之后,绝望的管理员最终在加纳一个远程办公室发现了一个幸存的域控制器。NotPetya 袭击那一刻,停电导致加纳的机器离线。当时,办公室里一阵欢呼。

然而,当 Maidenhead 的工程师与加纳办事处联系时,他们发现带宽不够,数百 Gb 的域控制器备份传回英国需要数天时间。于是,他们准备派遣一名加纳职员坐最近一班到伦敦的飞机直接送回数据。但是,这个西非办事处的员工无一人有英国签证。

因此,Maidenhead 紧急中心安排了一场接力:派一名加纳职员飞往尼日利亚,在机场把硬盘交给另一名 Maersk 员工。然后由这名员工带着硬盘飞往伦敦。

随着救援行动的结束,Maersk 的核心业务也重新上线。几天后,Maersk 运营的港口恢复了读取船舶存货清单的能力,承运商们也能跟踪货物运输情况了。但是,要完全恢复,估计至少还需要一周的时间。

与此同时,Maersk 的员工则利用手边可用的工具工作。他们对集装箱的纸质文件进行录入,通过个人 Gmail 账户,WhatsApp 和 Excel 表格接单。

袭击发生两周后,Maersk 的网络最终恢复到公司可以重新向员工发放个人电脑的程度。而哥本哈根总部大楼地下室的自助餐厅也变成了重新安装的流水线。

从 Maidenhead 回来后,Jensen 就发现自己的电脑硬盘被清除干净后重新装了一个 Windows。而以前存储的所有东西全消失了。

Maersk 恢复正常经历了五个月

五个月后,Maersk 从 NotPetya 攻击中恢复过来,集团主席 Jim Hagemann Snabe 坐在达沃斯世界经济论坛的舞台上,对公司IT救援队的英勇行为给予了赞赏。他说,公司仅用十天就重建了整个网络,包括4000台服务器和45000台PC,用韧劲克服了这一难题。

从那时起,Maersk 就不仅是致力于提高自身的网络安全,还致力于使其成为“竞争优势”。事实上,自 NotPetya 后,IT 工作人员表示,他们提出的每一个安全性能几乎都得到了立刻批准。多重身份验证已在公司全面推出,同时对 Windows 10 进行了长时间的升级。

Snabe 未对该公司在 NotPetya 之前的安全态势说太多。Maersk 安全人员透露,该公司的一些服务器直到攻击前仍在运行 windows 2000。2016年,一群 IT 主管们力推重新设计 Maersk 的全球网络。他们呼吁关注公司并不完善的软件补丁,过时的操作系统以及网络分区的不足。他们曾警告称,这些不足会让恶意软件进入肆虐状态。而这一切在一年后的 NotPetya 身上应验。

这些安全改造是经过批准的,也给予了预算支持的。但之前这些从来不是资深IT监管人员的绩效考核指标,因此实施它不会与其奖金挂钩。所以,他们从未推进过安全改造。

Snabe 在达沃斯论坛上谈到,很少有公司会为安全付出更多代价。由于采取了行之有效的方案,Maersk 在网络瘫痪期间,总运输量仅减少了20%。但除了重建的成本,公司还为重新安排运输和货物存放支付了额外费用。

论总损失,无法估计

总而言之,Snabe 在达沃斯论坛上透露,NotPetya 大概令 Maersk 损失了2.5-3亿美元,但员工们认为绝不止这个数。

这个数字大概没包括间接损失,比如依赖 Maersk 码头为生的物流公司。总部位于 Newark 港的货车运输集团总裁 Jeffrey Bader 估计,仅货车运输公司和司机们未支付的成本就达到数千万美元。

Maersk 对全球供应链带来的损失更大——这取决于产品和生产组件的及时交付程度,且难以衡量。当然 Maersk 也只是一个受害者。

  • Merck 制药厂则是在遭遇攻击后,暂时失去了制造某些药物的能力。Merck股东们被告知损失约为8.7亿美金。

  • 联邦快递的欧洲子公司 TNT 速运也在袭击中瘫痪,需数月才能恢复部分数据,遭受了4亿美元的损失。

  • 法国建筑巨头 Saint-Gobain 的损失与 Maersk 大致相同。

  • 英国杜蕾斯安全套制造商 Reckitt Benckiser 损失了1.29亿美元。

  • 巧克力制造商吉百利的所有者 Mondelez 则损失1.88亿美金。

另外,一些小公司就只能偷偷计算自己的损失了。 

网络战像物理战争的焦土政策,寸草不生,数据不留

当“Maersk 类事件”成倍出现时,俄罗斯网络战的真实规模才开始成为焦点。

在 NotPetya 爆发一周后,乌克兰警察全副武装并配备突击步枪进驻 Linkos 集团的总部,就像海豹突击六队入侵本拉登大院一样。

按照公司创始人 Olesya Linnyk 的说法,这些警察用步枪指向一脸困惑的员工,并将他们排列在走廊上。在她办公室旁边的二楼,装甲警察甚至用金属棍砸开了一间屋子的门。这些警察终于找到了自己要的东西:在 NotPetya 瘟疫中扮演“零号病人”的服务器机架。他们没收了违规的机器。

即便是现在,袭击事件已经过去一年,网络专家们对 NotPetya 仍是争论不休。黑客的真实意图到底是什么?ISSP 实验室的员工 Oleh Derevianko 和 Oleksii Yasinsky 坚持认为,这次袭击的目的不仅仅是为了破坏,而是了清理。毕竟,最先启动该蠕虫的黑客几个月来一直不受限制地访问受害者的网络。而除了它造成的恐慌和破坏外,NotPetya 也可能抹去了间谍行为和侦察的证据。就在今年五月,美国司法部和乌克兰安全部门宣布,他们挫败了俄罗斯的一项行动,该行动已经通过新形式的破坏软件感染了50万台路由(主要在乌克兰境内)。

虽然安全圈的人仍将 NotPetya 的国际受害者视为附带伤害,但是思科公司的Craig William 认为,俄罗斯完全清楚这一蠕虫对国际社会造成的破坏程度。他认为,这是为了明确惩罚那些任何敢在俄罗斯境内设立办公室的敌人。这是在传递一种政治信息:如果你敢在乌克兰做生意,那么你的公司就不会有好日子过。

然而,每个研究过 NotPetya 的人都同意一点:它可能卷土重来,甚至以更大规模出现。全球企业之间的联系太过紧密,而信息安全又太复杂,攻击面太广,难以抵御受过国家训练的黑客攻击。与此同时,俄罗斯几乎没有受到美国政府对 NotPetya 的制裁和惩罚。美国的回应来得如此之慢,整整在蠕虫袭击八个月后才有所动作,还得借由其他理由,包括俄干扰2016年美国大选,攻击美国电网等。

NotPetya 提醒着我们,距离起不到防御作用。仅仅几个小时,小小蠕虫就能让庞大的网络体系就能陷入停滞状态。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。