作为网络攻击漩涡的中心之一,无论是作为攻击者还是自称受害者,俄罗斯是网络攻击事件的主角之一,与其他国家的纠纷也从未停歇,尤其是与近年来冲突不断的乌克兰。
今年7月NotPetya勒索病毒重创欧美国家,而乌克兰则是这场事件的重灾区,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行,甚至政府系统都遭到了攻击。普遍认为,黑客首先攻击了M.E.Doc,这是一家乌克兰的会计软件厂商。随后黑客通过M.E.Doc的更新服务器将一个恶意推送推给用户。用户更新软件时,便感染了病毒。
而乌克兰政府宣称其所受到的攻击规模“前所未见”,乌克兰国家安全局(SBU)指责俄罗斯就是攻击的“幕后黑手”。
路透社援引乌克兰国家安全局的话称:
“病毒的主要目的就是销毁重要文件,干扰乌克兰的公共事业以及私人企业,并且传播恐慌。”
从代码的角度分析,乌克兰国家安全局的观点有一定道理,即NotPetya的主要目的并非勒索,它的背后可能有其他的目的。
大家知道NotPetya之所以得名,是因为它使用了之前一款名为Petya的勒索病毒的模式——加密MBR进行勒索。
而原版的Petya勒索程序会保留加密的MBR副本,然后将其替换为恶意代码,并显示勒索信息——通过这样的方法让计算机无法启动。但这次的NotPetya根本就不会保留MBR副本,不管是作者有意为之还是不小心犯的错误,即便真的获取到解密密钥也无法启动被感染的计算机。
而且,用户想要恢复文件,就需要在支付赎金后提供感染ID,让攻击者能够计算出解密密钥从而帮忙恢复。而NotPetya生成的感染ID是随机的。对于像Petya这样没有C&C服务器进行进一步数据传输的勒索软件来说,通常这种ID会存储关于感染电脑的信息和解密密钥。但是根据卡巴斯基专家的研究,因为Petya随机生成了这个ID,因此攻击者根本无法恢复文件。
“之前真正的Petya是为了赚钱而制作的,而这个Petya变种完全不是为了钱,它被用来进行快速传播从而造成破坏。”
——威胁情报专家The Grugq
而这唯一的解释是这实际上是一场伪装的国家级网络攻击。
不过光是这样还不足以证明俄罗斯就是勒索事件的策划者。乌克兰国家安全局称,它“有理由相信本次的NotPetya事件与2016年12月使用TeleBots和BlackEnergy攻击了金融、交通和能源系统的是同一伙黑客。”
实际上,这样的指责实在是苍白无力,好在杀毒软件厂商ESET的分析在一定程度上佐证了乌克兰政府的观点:NotPetya与TeleBots和BlackEnergy的黑客有关联。
并且,ESET认为,这次的勒索软件主要就是针对乌克兰企业,但是攻击者低估了它的传播能力,才使得病毒变得失控。
实际上,这已经不是乌克兰政府第一次指责俄罗斯发动网络攻击了,刚刚提到的TeleBots和BlackEnergy也被指是俄罗斯黑客所为,而更被读者熟知的应该是BlackEnergy,因为这是工控安全中一个非常重要的事件:2015年圣诞节前两天,乌克兰电力网络受到黑客攻击导致停电,影响二十多万户居民。
那么是什么恩怨情仇让俄罗斯一直盯着乌克兰不放呢?
19世纪时,乌克兰大部归属于俄罗斯帝国,其余部分为奥匈帝国领土。在乌克兰内战后,乌克兰苏维埃社会主义共和国在1922年成为了苏联创始加盟共和国之一。随后直至第二次世界大战结束后,原为波兰统治的西乌克兰并入苏维埃乌克兰。1991年苏联解体后乌克兰获得独立。
除了与俄罗斯帝国和前苏联历史上的渊源,更受俄罗斯看重的则是乌克兰的地理位置,乌克兰东接俄罗斯,西接波兰等国,其所在的中东欧地区自冷战以来便是地缘政治冲突的重要地带。乌克兰已成为在俄罗斯和欧盟的博弈中的一颗棋子。
1991年独立后,乌克兰曾是独联体发起与创始国之一,但国内的政治立场并不统一,乌克兰东部更加亲俄,西部则亲欧盟。而在乌克兰爆发橙色革命,数次调换两派总统之后,这一立场的矛盾更加凸显。
2013年底,亲俄的乌克兰总统亚努科维奇政府中止和欧洲联盟签署政治和自由贸易协议,欲强化和俄罗斯的关系,导致乌克兰亲欧洲派在基辅展开反政府示威。
2014年2月,亚努科维奇因处理国内大规模示威失当,被亲西方势力控制的议会罢免其总统职务,并宣布提前于同年5月举行总统大选。
而新上任的政府实际上导致了更大的克里米亚危机:克里米亚属于亲俄区域,不认同反对派或乌临时政府,认为其不合法。遂有意彻底独立或并入俄罗斯,乌当局强烈反对,而俄罗斯以保护本国公民为由,进入克里米亚,引发克里米亚危机。克里米亚危机引来了西方国家对俄罗斯的制裁,甚至在八国集团(G8)中俄罗斯也被冻结会籍,变成了七国集团。
尽管遭受制裁,但在网络空间中,俄罗斯依然没有停止对乌克兰的攻击。事实上,观察这些政治事件的时间点与BlackEnergy、NotPetya攻击事件,我们也可以发现其中一些微妙的联系。
除了老对手乌克兰,俄罗斯还有一位死对头,那就是美国。
第二次世界大战之后,以美国为首的资本主义阵营、与以苏联为首的社会主义阵营之间长达半世纪的政治对抗。而到了新时期,这些政治对抗并没有消失,有一部分对抗转移到了网络空间。
我们先说说最近查明的俄罗斯针对雅虎的攻击事件。
去年雅虎接连曝出多个超大规模数据泄露事件,今年3月,雅虎5亿账户泄露的真相浮出了水面。美国司法部指控四名俄罗斯嫌疑犯,组织策划了2014雅虎数据泄露案,攻击者盗取了逾5亿的雅虎用户信息。这四名嫌犯分别是2名俄罗斯特工和2名黑客。
两名FSB(俄罗斯联邦安全局)特工命令黑客入侵雅虎的网络,与几乎所有攻击一样,这次的黑客入侵也始于钓鱼邮件。黑客从雅虎的网络中中窃取了姓名、找回密码邮箱、手机号码和其他必要的信息来伪造账户的浏览器cookie。此外,他还用了雅虎账户管理工具(AMT),攻击者和两名FSB特工利用此系统可以伪造必要的浏览器cookie,在没有明文密码的情况下,访问雅虎账户。
那为何俄罗斯黑客会选择攻击雅虎呢?据信,被黑的6500个用户包括俄罗斯记者,俄美高级政府官员,俄罗斯安全公司职员,几家网络供应商的许多员工。攻击这些目标明显是为了收集情报。雅虎公司在这几位具有国家背景的黑客面前显得不堪一击。
另外比较著名的则是俄罗斯黑客被指攻击了美国大选,导致特朗普“错误地”上台。而特朗普也被指责与俄罗斯勾结。
但事到如今美国政府并没能拿出确凿的证据,只有一些未经证实的流言蜚语。今年6月,CNN登出一条新闻,称特朗普总统的重要助手斯卡拉姆奇与俄罗斯“直接投资基金”的首席执行官德米特里耶夫关系密切,两人甚至在私下见面中讨论解除美对俄制裁问题。
随后CNN撤下了报道,采写这篇报道的记者、编辑及两人所属的CNN调查新闻部的主任之后也宣布辞职,基本可以认定这是一篇虚假新闻。
之后一位CNN资深制片人也引起了轩然大波,这位制片人是在CNN供职长达15年的约翰·博尼菲尔德,他坦诚“通俄门”报道大多没有真凭实据,只为迎合反特朗普观众的偷拍视频再次传遍互联网。
可以肯定的是,美国尚未掌握充分证据证明俄罗斯攻击了选举系统,而媒体目前也只能编造一些新闻。
不过,很多安全公司支持的说法是,与俄罗斯政府相关的黑客组织Pawn Storm开展了对美国民主党全国委员会(DNC)的攻击,窃取了委员会的邮件,之后维基解密又公布了这些机密文档,其中一些让美国民众看到委员会的黑幕和丑闻,比如提前钦定希拉里争夺党内提名,同时排挤其竞争对手桑德斯,而这可以说在某种程度上影响了选举的结果。
不过,俄罗斯影响的选举可不止美国一家。今年五月进行的法国大选中也有俄罗斯黑客的身影。
法国总统大选前夕,位于巴黎外部第15区的马克龙临时总部当时正紧张地筹备着选举,而远在俄罗斯的黑客也在指望通过钓鱼邮件入侵马克龙的竞选团队,获取有用的信息。早在12月,那时马克龙刚以前投资银行家和前经济部长的身份,以及最反对俄罗斯、最支持北约和欧盟的特点,一跃成为总统候选人时,团队就开始收到了网络钓鱼邮件。
与美国竞选类似的是,马克龙的对手勒庞坚决反对自由贸易和封闭经济,她倡导贸易保护主义,认为全球化会导致法国工业衰落产业外移和失业。这与美国总统特朗普的观点如出一辙。不同的是,这一次,马克龙的竞选团队对俄罗斯黑客的攻击准备充分,团队迅速制造了几十个虚假的邮箱账号及伪造文件,用以混淆攻击者。
黑客从马克龙团队中窃取的邮件及文件多达9G本来是用作丑闻素材的,结果却成为了混乱的竞选过程中团队成员乏味的普通生活的写照。泄露的邮件中一封详细记录了团队成员如何处理一辆抛锚的汽车的经历,另一份文件展示了员工因为忘记给咖啡开发票而遭到责备。
这场黑客攻击的结果就是,俄罗斯黑客无功而返,没能够获取到任何马克龙的丑闻。
风暴的另一个中心无疑就是美国,作为当今世界的霸主之一,美国在网络安全领域当然不甘落后。
2010年,伊朗纳坦兹核设施的技术人员正深陷离心机故障频发的烦恼中。尽管最近几个月已经换掉了上千台离心机,但工厂目前的运行效率却只有设计能力的45%~66%,六氟化铀气体原料的消耗量远低于预期。
他们不知道,此时核设施内的离心机已经感染了美国精心研制的震网病毒,这是已知的第一个以关键工业基础设施为目标的蠕虫。
震网病毒利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),能向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。
纳坦兹的级联保护系统是基于西门子S7-417的工业控制器的。控制器可以理解成直接连接到设备的嵌入式电脑系统。震网设计成可以感染这些控制器,通过某种方式获取控制权。
这个震网变种做的第一步是隐藏它的活动。震网记录了21秒级联保护系统的传感器正常情况下的数据。然后在攻击过程中不断循环重放这21秒的数据。控制室里的监控端看上去一切都很正常。然后震网就开始了它的活动。它关闭了前两级和最后两级浓缩步骤的阀门。阻止了受影响的离心机内的气体流出,反过来导致其余离心机的压力升高。压力的增加将导致更多的六氟化铀进入离心机,给转子更高的机械应力。最终,压力可能会导致气体六氟化铀固化,从而严重损害离心机。
最终,震网病毒感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。
2012年,美国官员也承认,震网病毒是由美国国家安全局在以色列协助下研发,以Olympic Games为计划代号,目的在于阻止伊朗发展核武。
正如前文所述,在网络世界中,俄罗斯与美国依然是剑拔弩张,自从2014年俄罗斯吞并克里米亚后,美俄关系就不断紧张,美国拉拢西方国家对俄罗斯实施经济制裁,而在之后的2016年总统大选中,美国情报部门指责俄罗斯实施了网络攻击,操纵了竞选结果,这使得两国关系急剧恶化。
卡巴斯基分布图
在这样的背景下,美国宣布禁止美国政府使用俄罗斯反病毒厂商卡巴斯基的产品,并且警告美国公民不要使用,因为“卡巴斯基与俄罗斯情报部门走得很近”。
在5月的美国国会上,美国情报部门官员首次表达对卡巴斯基产品能否信任的怀疑。今年6月,FBI特工还询问了卡巴斯基员工,问他们会不会汇报给俄罗斯的领导,以及有多少美国公民的数据能被俄罗斯员工看到。
涉及到地缘政治冲突等问题的时候,网络安全行业就变得复杂,卡巴斯基就成了本次事件的牺牲品。西方科技公司正在通过抵制进口俄罗斯科技产品来予以制裁。任何一家美国公司只要与俄罗斯联邦安全局(FSB)有任何的业务关系,就会被认作是一种犯罪行为。
显然,抵制卡巴斯基是一场政治行为,但卡巴斯基还是显得诚心诚意,卡巴斯基创始人否认与俄罗斯政府有牵连,表示愿意提供源代码供核查。
“卡巴斯基实验室与俄罗斯克林姆林宫方面没有任何关系,外界有言论认为我们的反病毒软件可以帮助俄罗斯政府入侵美国政府系统并实施间谍活动,但这样的说法纯属无稽之谈。如果有必要的话,我们愿意给美国政府提供卡巴斯基反病毒产品的源代码以证清白,因为我们没有什么好隐瞒的。”
树大招风,美国在全球树敌,其中的敌人不仅包括这些国家,甚至包括组织和个人。首当其冲的就是阿桑奇和斯诺登。
阿桑奇所属的维基解密组织,一直公开美国政府的相关文档,知名的文件包括2010年11月28日泄露的251287份美国国务院与美国驻外大使馆之间联系的文传电报。
而另一个敌人则是斯诺登,将美国国家安全局关于棱镜计划监听项目的秘密文档披露给了英国《卫报》和美国《华盛顿邮报》,遭到美国和英国的通缉。棱镜计划是由美国国家安全局自2007年开始实施的绝密级电子监听计划,监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。几年间斯诺登也在持续曝光美国的机密项目和文件。
无论是维基解密曝光的电报还是斯诺登曝光的项目,都泄露了美国大量的机密文件,电报门曝光的文件中包括美国官员对于其他国家领导人的一些私下评论;而棱镜门则包含了美国政府监听外国领导人的证据,这些文件使得美国在与其他国家的外交关系中出于不利的境地,也或多或少影响了政治格局。
网络攻击并非大国的游戏,即使是朝鲜也参与到了这场战斗中。朝鲜作为一个神秘的国度,其网络安全水平自然也是扑朔迷离。但朝鲜黑客也并非默默无闻,最为著名的时间就是2014年入侵索尼影业的事件。
黑客组织“和平卫士”(Guardians of Peace)公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影等内容。美国情报官员认为该网络攻击获得朝鲜政府资助,但追溯攻击来源实在是一件难度极高的事,好在黑客的动机帮助了我们的判断——行动与当时即将上映的电影《采访》有关,此片描绘了一起针对朝鲜最高领导人金正恩的暗杀行动,在该片发布预告片之时,朝鲜官方媒体称这部电影“肮脏且受到诅咒”。而在黑客攻击索尼影业后,朝鲜政府认为索尼影业是“罪有应得”,称此骇客攻击行为是“正义之举”。显然这场黑客事件中包含着政治因素。
除此之外,今年的另一场网络攻击也被怀疑与朝鲜黑客有关,就是今年5月的WannaCry勒索事件,
赛门铁克(Symantec)报告称,有“强有力的证据”显示WannaCry勒索软件与朝鲜黑客组织Lazarus有关联。赛门铁克的依据是黑客之前在攻击索尼影业、孟加拉国央行所用的工具、代码和基础架构有相近之处。
但是如果你对朝鲜神秘的网络安全有一点认识,就不会太过惊讶。
朝鲜拥有一支网络部队,即朝鲜121局,编制大约1800人,隶属于军方精锐情报机构“侦察总局”。该部队内部全是训练有素的黑客精英,同时他们只专注于网络间谍活动和网络犯罪。
美国Vincent Brooks将军曾告知参议院警惕来自朝鲜方面的网络攻击,并称:「虽然我不会把他们描述为世界上最好的黑客组织,但他们确实是世界上组织性以及能力最强的黑客团队之一」。
金正恩甚至也说过:
“随着核武器和导弹的发展,网络战将会是一把全能的剑,保障我们的军事实力,狠狠打击敌人。”
不过,韩国金融安全研究所(Financial Security Institute)称,过去几年里,朝鲜黑客对盗取资金的兴趣似乎增加了。该研究所称,和朝鲜有关联的黑客是不久前通过数字手段从孟加拉国央行盗走8100万美元(约合5.5亿元人民币)一事的幕后黑手。朝鲜黑客还试图侵入波兰的银行。
之所以将目标从他国机密文件转移到经济利益,或许是由于实验核武器带来的经济制裁使得朝鲜国内经济状况陷入低谷。
尽管我们处在和平年代,但各种地区冲突从未停歇,各国在网络空间中的角力也没有停止,网络战争隐蔽的特性无疑是大家移向网络战场的原因之一。尽管笔者一直认为,发展网络武器和发展那些常规军事武器一样,可以看作是国家发展军事力量的需求,但从BlackEnergy、Stuxnet这类精细并且影响巨大的攻击中我们也应该意识到,网络战争的威力不容小觑,如同发展军事防御设施一样,我们同样要发展网络战争的防御力量。