黑客攻击:乌克兰如何沦为俄罗斯的网络战实验室

华盟学院山东省第二期线下学习计划

1

利维坦按:这几周,黑客攻击HBO盗取信息(包括《权力的游戏》等美剧在内的剧情内容)正成为一个热点新闻,不过,和本文的黑客相比,可谓小巫见大巫了。本文为今年6月20日发布于《连线》杂志官网的报道文章,其实仅仅在10天之后(7月1日),乌克兰便再次声称遭到了俄罗斯安全部门针对乌克兰的网络攻击,其目的是摧毁重要电脑数据和散播恐慌。

俄罗斯与乌克兰的矛盾是典型的历史性问题。两个民族均为东斯拉夫人,源于基辅罗斯,彼得大帝执政时期对乌克兰用大量武力进行干涉,防止其独立,埋下了深深的民族仇恨。苏联时期,俄罗斯占据了大量乌克兰农民的生产结果,在一定程度上导致了30年代的乌克兰大饥荒(所谓饥荒目前公认并非自然灾害,而在于苏联当局在推行农业集体化期间,大量苏共党员被派往农村,动员农户加入集体农庄,他们在乌克兰遇到了消极的和积极的抵抗,最终导致对乌克兰“富农”阶层的集体逮捕和流放。大量擅长耕作、富于农业经验的乌克兰农户被划为“富农”,全家流放至西伯利亚和中亚地区,导致乌克兰本土农业生产技术和生产率下降。免于被流放的农户,因为担心被划成富农,因此不愿耕作,其直接结果就是1932年乌克兰粮食产量暴跌),饿死300多万人(这个数字至今仍存争议,由于缺乏官方统计数字,死于乌克兰大饥荒的人数只能进行估算,死亡人数应在240万到480万),这个仇可谓越结越深。

时过境迁,但历史的仇恨并未消泯。黑客攻击似乎离我们普通人的日常很遥远,但如果你仔细阅读本文就会发现,如果一个黑客团队针对某个国家的电力系统发动有计划的全面攻击,你完全可以想见其可怕的后果(电力系统如果长久陷入瘫痪,一个国家将进入黑暗中的暴乱失序状态)。化身为代码的撒旦,并不比核武器造成的杀伤力低。而这一切,正在乌克兰上演。

1

时钟指向零点,灯光突然熄灭。

奥勒克斯·亚辛斯基(Oleksii Yasinsky)是一位40岁的乌克兰网络安全研究员。2016年12月一个周六的晚上,在基辅(乌克兰首都)的某个公寓里,亚辛斯基和他的妻子及未成年的儿子正坐在客厅沙发上,看奥利弗·斯通执导的电影《斯诺登》。电影才看了一个小时,公寓突然断电。

“黑客们不希望我们看完这部电影,” 亚辛斯基的妻子开玩笑道。她还提到一年前发生的事情,那是2015年圣诞节前夕,当时的一次网络攻击让近25万乌克兰人整整两天陷入断电的事故之中。亚辛斯基是基辅一家数字安全公司的首席分析师,听到这席话后他并没有笑。他看了眼桌上的便携钟:时间是0点整。正好是午夜。

亚辛斯基家的电视连接了有备用电池的电涌保护器,所以现在只有屏幕上闪烁的图像照亮了房间。电源板开始发出哀怨的哔哔声。亚辛斯基站起身来,关了电视以节省电量,然后突然默默地离开了房间。

他走进厨房,拿出几支蜡烛并点亮。然后踱至厨房的窗边。这个金发瘦削的工程师向窗外看去,就如他以前从未见过这座城市一般:公寓周围的整个天际都是黑暗的。只有远处被乌云密布的天空反射的灰色灯光,勾勒出现代公寓和苏联时期高层建筑的黝黑轮廓。

亚辛斯基注意到,现在的确切时间和日期差不多正好是2015年12月那次网络攻击过去一年后,他确信这次绝不是简简单单的断电。他的思绪飘至屋外气温接近华氏零度(摄氏温度为零下18度,译者注)的冰天雪地,成千上万的家庭室内温度渐渐变低,直到停用的水泵开始结冰。

1

震网(Stuxnet)是首个针对工业控制系统的蠕虫病毒,而伊朗成为了真实网络战的第一个目标。图源:null-byte

而另一种猜测开始在亚辛斯基的脑海中生根发芽:过去的14个月中,一场危机正在乌克兰蔓延,而他发现自己身处这危机的中心。越来越多的乌克兰公司和政府机构找到他,请他分析一连串快速无情的网络攻击。幕后操纵者好像是某一黑客团队。现在,亚辛斯基无法抑制这样的感觉:那些幻影,那些他追踪了一年多的指纹,已经通过互联网电缆回到了他的家中。

网络预言家早就预见了这一幕的发生。几十年来他们一直在发出警告:黑客很快就会从对纯粹的网络世界带来混乱,上升到对现实世界造成真正的物理损害。2009年,美国国家安全局泄漏的震网病毒(Stuxnet)暗中加速几百台伊朗核离心机直到全部报废,这一事件似乎已经成为这个新时代的预告片。美国国家安全局和中央情报局前任局长迈克尔·海登(Michael Hayden)在一次演讲中表示,震网病毒事件有点像发生在1945年8月的那件大事(译者注:第二次世界大战中,日本广岛和长崎被原子弹摧毁)。“新型武器一经使用,就再也放不回盒子里了。”

在现今的乌克兰,这个典型的网络战争场景已经成形。而且是两次。在不同的地方,无形的破坏者切断了对数十万人的供电。每次停电都持续了好几个小时,得靠工程师尝试手动恢复供电。这些网络攻击开创了一个新的先例,证实了网络预言家的想法:几十年前黑客会阻挠现代社会进步的齿轮仅仅只是一个预言,而如今在处于俄罗斯阴影之下的乌克兰已经成为了现实。

停电不仅仅是源于单方面的网络攻击,而是过去三年来一直打击乌克兰的数字闪电战的一部分——这是一场世界上前所未有的持久型网络攻击。黑客军团对乌克兰几乎所有部门进行了系统的破坏:媒体,金融,交通运输,军事,政治,能源。一波又一波的网络入侵删除了数据,破坏了计算机,在某些情况下连组织内部最基本的功能都瘫痪了。关注网络安全的北约大使肯尼斯·杰尔斯(Kenneth Geers)认为,“你没法真正在乌克兰找到一个没有遭受网络攻击的空间。”

1

赛门铁克公司(Symantec)的里阿姆·奥·莫楚(Liam O'Murchu)是第一个注意到震网病毒比之前想象的更为复杂和精巧的人。图源:Jon Snyder/WIRED

十二月,乌克兰总统佩特罗·波罗申科(Petro Poroshenko)发表了公开声明,在刚刚过去的两个月内,黑客针对36个乌克兰目标,发起了6500次网络攻击。 国际网络安全分析师不再将这些网络攻击归因于俄罗斯,但波洛申科态度很坚定,他认为乌克兰的调查表明,“俄罗斯直接或间接地参与了秘密任务,引发了针对乌克兰的网络战。”(俄罗斯外交部没有回应各方提问)

了解俄罗斯与其西方最大邻国之间独特的相爱相杀关系,能帮助我们明白两国之间巨大的地缘政治冲突,进而理解这些袭击的严重性。长时间以来,俄罗斯认为乌克兰既是俄罗斯帝国的合法部分,也是其重要的领地资产——它是俄罗斯与北约成员国之间的战略缓冲,是通往欧洲有利可图的通道,也坐拥俄罗斯少数几处温水港之一。出于这些原因,俄罗斯多年来一直努力让乌克兰甘于顺从小弟的位置。

但在过去十五年间,俄罗斯已经放松对乌克兰的控制,同时乌克兰的民心也已经向北约和欧盟靠拢。2004年,一大群戴着橙色围巾的乌克兰人涌上街头,抗议莫斯科对乌克兰选举的控制;据说,当年俄罗斯特工甚至对呼声很高却亲西方的总统候选人维克托·尤先科(Viktor Yushchenko)下毒。十年后,2014年的乌克兰革命终于推翻了俄罗斯支持的总统维克托·亚努科维奇(Viktor Yanukovych)——他长期以来的政治顾问保罗·马纳福特(Paul Manafort)在唐纳德·特朗普的美国总统竞选中也有所助力。俄罗斯军队迅速吞并了南部的克里米亚半岛,入侵了东部名叫顿巴斯(Donbass)的俄语地区。此后,乌克兰与俄罗斯不宣而战,近200万国内难民流离失所,近1万乌克兰人失去生命。

“俄方永远无法接受一个主权独立的乌克兰。苏联解体二十五年来,俄罗斯仍治不好这种帝国主义综合症。”

从一开始,这场战争的主要战线之一就是网络战。有一个自称是CyberBerkut的亲俄黑客团队,他们与来自克里姆林宫的黑客们有着藕断丝连的联系,而后者在美国2016年总统选举中严重影响了民主党的竞选。2014年乌克兰革命后,总统选举之前,CyberBerkut的后台操纵乌克兰中央选举委员会网站,宣布极右派总统候选人徳米特罗·雅罗斯(Dmytro Yarosh)获胜。管理人员在选举结果宣布前不到一个小时发现其已被篡改。而这次袭击只是预告了俄罗斯在数字化战争中最雄心勃勃的实验。网络攻击的枪林弹雨从2015年秋天开始加剧,且一直没有停止。

2005年至2010年间担任乌克兰总统的尤先科认为,俄罗斯线上和线下的战术有一个共同目标:“破坏乌克兰的局势,使其政府看起来无能且脆弱。”他将乌克兰的断电,其他网络攻击,俄罗斯的虚假信息涌入乌克兰媒体,乌克兰东部的恐怖主义运动,以及他自己多年前的中毒事件看作一个整体,所有这些都是将乌克兰塑造为分崩离析景象的手段。尤先科的脸上仍有二恶英毒性留下的伤痕,他表示,“俄罗斯永远无法接受乌克兰是一个主权独立的国家。苏联解体已经二十五年了,俄罗斯的这种帝国主义综合症依然没好。”

但是,对于乌克兰黑客疫情的最终结果,许多全球网络安全分析师有一个更大的设想:他们认为俄罗斯正在将乌克兰作为网络战的测试场——一个旨在完善全球网络斗争新形式的实验室。俄罗斯在乌克兰多次释放的数字“炸弹”,在美国民用基础设施中至少埋植过一次。

2015年10月,一个星期天早上,一年多以前的亚辛斯基还不会望着厨房窗外黑色的天际线沉思。他坐在同一个窗口前,饮茶,吃玉米片。作为乌克兰最大的电视广播集团星光媒体(StarLight Media)时任信息安全主管的他,突然接到了公司打来的电话。前天晚上星光媒体两台服务器莫名掉线了。在电话里IT管理员向他保证,服务器的备份已恢复。

但亚辛斯基感到很不安。这两台机器几乎在同一分钟内宕机了。他说:“一台服务器宕机时有发生。但两台服务器同时宕机?十分可疑。”

这个周末注定充满了迷茫。亚辛斯基离开了他的公寓,乘坐40分钟地铁到了星光媒体的办公室。亚辛斯基和公司的IT管理员检查了从其中一个宕机服务器上保存下来的图片。主引导记录是计算机硬盘的深层核心部分,它可以指引计算机找到自己的操作系统,而它现在已经完全被零覆盖。情况变得尤为棘手,因为两台瘫痪的服务器是有着强大权限的域控制器,可以用来连接公司网络上的数百台其他机器。

亚辛斯基打印出代码,将纸张放在厨房的桌子和地板上。他在信息安全部门工作了20年,但他从来没有分析过如此精细的数字武器。

亚辛斯基很快就发现,这次攻击确实比看起来更糟糕:两台瘫痪的服务器已经在13位公司员工的笔记本电脑上装上了恶意软件。此时电视台员工正准备乌克兰地方选举前夕的早晨电视新闻公报,而电脑病毒感染以相同的引导记录覆盖技术令多台机器瘫痪。

尽管如此,亚辛斯基觉得自己还算幸运。调出公司的网络日志后,他发现域控制器(Domain Controller,编者注:指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫)已经提前“自杀”了。不然的话,公司还将有200台电脑会惨遭感染和摧毁。很快,亚辛斯基从一家名为TRK的竞争媒体公司那里听说,他们就没有这么幸运了:该公司在同样的网络攻击中损失了100多台计算机。

亚辛斯基设法从公司网络中提取了破坏性程序的副本。回到家里,他仔细研究这个副本的代码。他惊讶于该代码狡猾的层层伪装——恶意软件已经逃避了所有的防病毒扫描,甚至假扮成一个微软的防病毒扫描程序Windows Defender。家人睡觉之后,雅辛斯基打印出代码,将纸张放在厨房的桌子和地板上,透过一条条伪装字符和突出的指令,看到了它的真面目。亚辛斯基在信息安全部门工作了20年; 他曾经管理过庞大的网络系统,并且与黑客老手进行过斗争。但他从未分析过这样精细的数字武器。

“每前进一步,心里就越清楚我们的泰坦尼克号撞上了黑客设下的冰山。越往下挖掘,就越会发现这只是冰山一角。”

亚辛斯基推测,在所有伪装和误导之下,隐藏的是一种名叫KillDisk的恶意软件,这是一种具有数据破坏性的寄生虫,已经在黑客中流传了十余年。为了了解它是如何进入他们的系统,亚辛斯基和公司另两位同事执着地研究公司的网络日志,下班后和周末时间梳理了一遍又一遍。通过跟踪黑客留下的蛛丝马迹——一些受损的YouTube企业帐户,一个管理员的网络登录状态仍然保持活跃,即使他已经请了病假——他们揪心地意识到,入侵者在他们的系统内已经潜伏了超过6个月。最终,亚辛斯基锁定了作为黑客最初立足点的恶意软件:一种名叫BlackEnergy的多用途木马程序。

亚辛斯基很快开始听其他公司和政府部门的同事们表示他们也被黑客入侵,攻击方式几乎完全一样。乌克兰最大的铁路公司Ukrzaliznytsia也遭受了网络攻击。其他黑客要求亚辛斯基保守秘密。黑客一再使用木马程序BlackEnergy进行访问和侦察,然后用恶意软件KillDisk进行破坏。他们的动机仍然是一个谜,但他们的入侵痕迹无处不在。

亚辛斯基说,“每前进一步,心里就越清楚我们的泰坦尼克号撞上了黑客设下的冰山。越往下挖掘,就会发现这只是冰山一角。”

即使如此,亚辛斯基并不算真正了解这个威胁。例如,他并不知道,到了2015年12月,BlackEnergy和KillDisk已经在至少三家主要的乌克兰电力公司的电脑系统中寄生并暗中潜伏着。

1

一开始,罗伯特·李认为是松鼠搞的鬼。

那是2015年的圣诞节前夕,而且是在李结婚的前一天,身在家乡阿拉巴马州库尔曼的他即将迈入婚姻的殿堂。李是一个身材壮实,长着胡子的红头发男子,他刚刚离开了一家缩写为三个字母的美国情报机构,离职前他主要负责重要基础设施的网络安全。现在,他正在准备创立自己的安全公司,并迎娶驻外期间遇到的荷兰女友。

就在李忙于筹备婚礼时,他看到新闻头条写着,黑客刚刚了破坏乌克兰西部的电网。这个国家的一大片土地显然已经在黑暗中度过了6个小时。李对这个报道一笑置之,以前他听到过很多次黑客攻击电网的虚假报道,其原因通常是啮齿动物或鸟类。松鼠对电网构成的威胁比黑客更大,这已成为业内的一个笑话。

然而第二天,就在婚礼进行之前,麦克·阿桑特(Mike Assante)发了一段文本给李,内容和乌克兰电网遭到网络攻击有关。阿桑特是SANS研究所(SysAdmin、Audit、Network、Security的简称,是美国一家以信息安全与网络安全训练为主体的组织,译者注)的安全研究员,这是一个高级网络安全培训中心。这引起了李的注意:当涉及对电网的数字威胁时,阿桑特可是世界上的顶尖专家之一。他告诉李,黑客造成乌克兰停电这一说法,看来是真的。

黑客散播的病毒通过电力公司内网传播,最终破坏了一个用作远程访问的VPN(Virtual Private Network,虚拟专用网络)。

就在李说了誓言和亲吻新娘之后,一个乌克兰熟人也给他发了消息:黑客导致断电的事是真的,他正需要李的帮助。李的职业生涯都在为反击基础设施网络攻击而奋斗,他期待多年的那一刻终于到来了。所以他缺席了新人招待会,穿着婚礼礼服,打算找一个安静的地方给阿桑特发送消息。

最后,李在附近父母家里找到母亲的台式电脑。此时远在爱达荷州的阿桑特正在朋友举行的圣诞派对上,他们在网上并肩作战,对乌克兰地图和电网图表展开了分析。三家受攻击的电力公司的变电站分布在全国不同地区,相距数百英里,没有连接。“这并不是松鼠搞的鬼,”李得出了结论,暗自激动。

那天晚上,李忙于研究他的乌克兰熟人从被黑的电力公司发送来的KillDisk恶意软件,就像几个月前亚辛斯基在星光媒体被黑客入侵后所做的那样(李说,“幸好我有一个非常耐心的妻子。”)。几天内,他收到了木马程序BlackEnergy的代码样本和网络攻击的犯罪数据。李明白了,黑客入侵是从一个钓鱼电子邮件开始,邮件伪装成来自乌克兰议会的消息。恶意Word附件在受害者的机器上悄悄运行了一个脚本,从而埋下了BlackEnergy病毒。有了这个立足点,黑客散播的病毒通过电力公司内网传播,最终破坏了公司用于远程访问公司内网的VPN,其中包括高度专业的工业控制软件,该软件可以便于操作员远程控制设备,如断路器(Circuit Breaker)。

刚刚让近25万乌克兰人处于黑暗中的黑客团队用同样的恶意软件感染了美国电力公司的电脑。

1

通过分析黑客的攻击手法,李渐渐明白他的对手是谁了。他惊讶地发现,断电黑客的手法与最近在网络安全世界中某个臭名昭著的黑客团队相似,这个团队被叫做Sandworm(沙虫)。2014年,网络安全公司FireEye(火眼)发布了针对Sandworm的警告,该黑客团队对波兰能源公司和乌克兰政府机构等目标埋下了BlackEnergy恶意软件; 他们似乎正在开发针对专用计算机结构的方法,这些计算机结构被用于远程管理物理工业设备。该黑客团队的名字Sandworm取自小说《沙丘》【美国作家弗兰克·赫伯特(Frank Herbert)的原创科幻小说《沙丘》,共六部,他们的代码中隐藏着源自这本小说的术语,例如Harkonnen(哈科南家族,《沙丘》一书中的名望家族,译者注)】和Arrakis(沙漠行星阿拉基斯,译者注),在这个干旱的星球上无数沙虫爬满了沙漠。

没人知道这个黑客团队的真实意图。但所有的迹象表明这些黑客是俄罗斯人:火眼安全公司在一个俄罗斯黑客会议的ppt演示中追踪到“沙虫”黑客团队独特的入侵技术。火眼公司的工程师设法访问“沙虫”未加密的命令控制服务器时,他们发现了木马程序BlackEnergy的俄语说明书,以及其他俄语文件。

最令美国分析师不安的是,“沙虫”的目标已越过大西洋。2014年初,美国政府报告说,黑客已经在美国电力和水利设施网络上埋植了木马程序BlackEnergy。 结合政府的调查结果来看,火眼公司已经能够推定“沙虫”也是这些网络入侵的幕后黑手。

对于李来说,这些碎片相互关联:在他看来,刚刚让近25五万乌克兰人处于黑暗中的黑客团队不久之前用同样的恶意软件感染了美国电力公司的电脑。

圣诞节停电事件才过去了几天了,阿桑特认为让特定黑客小组来背锅还为时尚早——更不用说让某个政府背锅。但在李的脑海里,警报已经响起。乌克兰黑客袭击事件不仅仅是一个遥远的外国案例研究。李说:“对手已经瞄准美国能源公司,他们已经越界并破坏了一次电网。这对美国来说是迫在眉睫的威胁。”

几个星期后,那天寒气逼人,天色明亮,一群美国人抵达基辅。他们聚集在离金色的圣索非亚大教堂一街之隔的凯悦酒店。这行人分别来自美国联邦调查局、能源部、国土安全部和北美电力可靠性公司(负责美国电网稳定性的机构),他们的任务是对乌克兰停电事件追查到底。

联邦政府还从怀俄明州派来了阿桑特。李比他的朋友更耿直,他反对美国机构的遮遮掩掩,并坚持认为网络攻击的细节应该被立即公布。所此行他没有被邀请。

第一天,西装革履的政府官员聚集在酒店的无菌会议室,出席会议的还有Kyivoblenergo公司的工作人员,这是基辅的区域配电公司,也是电网遭到攻击的三家电力公司之一。在接下来的几个小时中,这家乌克兰电力公司的高层管理人员和工程师们详细描述了此次无所不在、近乎折磨的网络袭击。

“他们留给我们的讯息是,‘我要让你感觉我的无所不在、如影随形。’黑客们看起来就像是上帝。”

李和阿桑特注意到,感染能源公司的恶意软件不包含任何能够真正控制断路器的指令。12月23日下午,Kyivoblenergo电力公司的员工无助地看着有马萨诸塞州那么大的区域里,数十个变电站的断路器被打开,而且貌似是由他们内网上看不见的电脑所控制。事实上,Kyivoblenergo的工程师断定,网络攻击者在一个偏远的变电站的电脑上设置了他们完美配置的控制软件副本,然后使用这个流氓副本来发送切断电源的命令。

一旦断路器被打开,成千上万的乌克兰人供电中断,黑客们就发动了另一轮攻击。 他们重写了联系变电站串行和以太网转换器之间的固件——站点服务器机柜中的小盒子,它可以转化互联网协议,与旧设备进行通信。通过重写这些硬件的隐秘代码——这是一个可能需要几周时间设计的伎俩——黑客永久地破坏了设备,使得正当操作员无法进一步对断路器进行数字化控制。坐在会议室桌旁的阿桑特惊叹于此次黑客行动的彻底性。

黑客也留下了一张他们常用的电话卡,用来运行KillDisk,继而摧毁该公司另外几台电脑。但是这次网络攻击最恶毒的部分是切断控制站的备用电池。当控制站所在地区的电力也被切断时,控制站也停电了,只能在这场电力危机之中被黑暗笼罩。通过极为精确的控制,黑客们在一场停电中策划了一场更大范围的停电。

阿桑特说,“他们留给我们的讯息是,‘我要让你感觉我的无所不在、如影随形。’砰砰砰砰砰,从被吓傻的电网操作员角度来看,黑客们看起来就像是上帝。”

那天晚上,访问团飞抵乌克兰西部的伊万诺-弗兰科夫斯克市,该市坐落在喀尔巴阡山脉的山脚下,飞机降落在苏维埃时期的小型机场。第二天早上,他们访问了Prykarpattyaoblenergo的总部,这家电力公司在圣诞前夕首当其冲。

电力公司的高管们礼貌地欢迎这些美国人进入他们现代化的大楼,隐约可见原来同一地方废弃煤电厂的大烟囱。然后高管们邀请访问团进入会议室,请他们围绕一个长木桌就座,桌子上方挂着一幅描绘了中世纪战争结束景象的油画。

他们眼睁睁的看着,幽灵般的手伸向了数十个断路器——每一个断路器都掌控着不同地区的电力调控——一个接着一个,将电路冷酷地关闭。

他们所描述的网络攻击几乎与Kyivoblenergo电力公司遭受的攻击相同:BlackEnergy,损坏的固件,破坏备份电源系统,KillDisk。但在这次停电行动中,这些袭击者还用了另一招,给公司的呼叫中心疯狂打虚假电话,这样可能延迟客户打来的任何和停电相关的投诉电话,或者只是为了给电力公司再添一层混乱和羞辱。

还有另一点不同。当美国访问团询问Prykarpattyaoblenergo公司是否和基辅的电力公司一样,由克隆的控制软件发送了关闭电源的命令,工程师摇摇头,因为他们的断路器是通过另一种方法打开的。此时该公司的技术总监,一个身材高大,黑发碧眼的男子插入了对话。他没有试图通过翻译解释黑客的攻击手法,而是用他老旧的iPhone 5s录下的视频来展示。他按下了视频的播放键:

(建议wifi环境下浏览)

这个视频片段显示,公司控制室的某个电脑屏幕上有一个光标在移动。光标移动到其中一个断路器的图标,然后单击命令键将其打开。镜头从计算机的三星显示器转移到鼠标,可鼠标并没有动。然后视频显示光标再次移动,它似乎有自我意志一般,徘徊在另一个断路器上,再次试图切断电流,此时控制室里的工程师询问彼此谁在控制它。

这些黑客没有像他们对Kyivoblenergo公司所做的那样,从自动恶意软件,或者甚至是从克隆的机器发出停电命令。相反地,入侵者利用公司的IT帮助台工具,直接控制变电站操作员的光标移动。 他们将操作员锁定在自己的用户界面之外。 然后当着操作员的面,用无形的手点击了几十个断路器的图标,每个断路器都服务于该地区不同的地带,它们一个接一个地被打开,断开了电路。

2016年8月,第一次圣诞节停电过去八个月之后,亚辛斯基离开了星光媒体。他认为,乌克兰社会各阶层已经受到冲击,而单单捍卫一家公司是不够的。为了跟上黑客的步伐,他需要对他们的操作有更全面的了解。“沙虫”黑客团体已经变成了厚颜无耻无所不在的组织。对此乌克兰需要一个更加有条理的回应。“光明的一面依然存在分歧,”亚辛斯基指的是人们对黑客的态度各不相同。“但黑暗的一面是统一的。”

因此,在基辅一家叫做“信息系统安全合作伙伴”(Information Systems Security Partners)的公司,亚辛斯基担任研究和取证负责人。这家公司名声并不大。但面对乌克兰网络围困战的受害者,亚辛斯基将这家公司变成了事实上的第一发声者。

亚辛斯基就职之后不久,几乎是同时,乌克兰陷入另一场更广泛的攻击浪潮。亚辛斯基列出受攻击的名单:乌克兰退休金基金会,国家财政部,海港管理局,基础设施部,国防部和财务部。黑客又一次攻击了乌克兰铁路公司,当时正值假期旅游季,其在线车票预订系统崩溃了好几天。2015年,大多数攻击最终导致了目标硬盘上KillDisk病毒的爆发。例如在财政部的电脑上,网络“炸弹”删除了数太字节(TB,数据量为1024GB,译者注)的数据,而当时财政部正在准备下一年的预算。总而言之,黑客新一年冬季的冲击达到甚至超过了上一年的“盛况”。

2016年12月16日,亚辛斯基和他的家人正坐在沙发上观看电影《斯诺登》,一名年轻的工程师奥列格·泽琴科(Oleg Zaychenko)在基辅北部的Ukrenergo变电站,12个小时的夜班才过去了4小时。他坐在一个苏联时代古老的控制室里,室内墙壁覆盖着米色和红色相间的落地模拟控制面板。变电站的虎斑猫阿扎(Aza)出去找食物了;陪伴泽琴科的只有角落里一台播放流行音乐视频的电视。

他正在用在纸上用铅笔记录日志,又是一个平静的星期六晚上。这时的闹钟突然响起时,震耳欲聋的铃声接连不断。泽琴科看到他的右手边,指示传输系统电路状态的两个指示灯已经从红色切换到绿色,用电气工程师的通用语言来说,这代表输电系统关闭了。

泽琴科把黑色座机拿到左手边,打电话给Ukrenergo总部的一名操作员,提醒他发生了日常故障。就在他打电话的时候,另一只灯也变绿。泽琴科的肾上腺素开始飙升了,当他匆匆向电话那头的操作员解释情况时,所有灯都在变色:红色变绿色,红色变绿色。八盏,十盏,十二盏。

随着危机升级,操作员命令泽琴科跑到室外,检查设备是否有物理伤害。就在那一刻,第二十个电路,也就是最后一个电路关闭了,控制室内所有灯灭了,电脑和电视也不例外。泽琴科已经在他蓝黄相间的制服外套了一件大衣,然后冲向了大门。

变电站一般是由一大群发出嗡嗡声的电气设备组成,占地20余英亩(约8万平方米),超过12个足球场。但泽琴科走出变电站,进入寒冷的夜空里,感觉周围的气氛比以往任何时候都更为可怕:三座坦克大小变压器在变电站旁一字排开,它们承担着基辅五分之一的电力,而现在已悄然无声。那个时候,泽琴科机械般地在心里一一紧急核对。当他跑过这些瘫痪的机器时,第一次有这样的念头浮现在他的脑海里:黑客卷土重来了。

这次袭击使得乌克兰电网的循环系统发生了变化。破坏者打击的是一条动脉,而不是把电力分配到其他毛细血管的配电所。一个基辅变电站负载200兆瓦,总电力负荷超过了2015年50多个被攻击的配电站的电力总和。幸运的是,系统只是停电一小时——这段时间还不足以让管道开始冻结或让本地人开始恐慌——在这之前,Ukrenergo电力公司的工程师手动关闭电路并将所有回归原状。

但实际上,短暂性是2016年停电唯一威胁较小的方面。分析过电网攻击的网络安全公司表示,2016年这次攻击比2015年更加复杂:它是由一个复杂度高,适应性强的恶意软件执行的,现在被叫作“CrashOverride”,这个程序的编码专门为自动攻击电网而设计。

李所在的重要基础设施网络安全初创公司Dragos,是仔细研究了恶意软件代码的两家公司之一。Dragos从一个叫ESET的斯洛伐克网络安全组织获得了这份代码。两队发现,在电网攻击期间,CrashOverride会“讲”电网隐秘控制系统协议的语言,然后直接发送命令给电网设备。与2015年黑客用无形的手费力操纵鼠标和克隆PC技术相比,这种新软件的编程可以扫描攻击对象的网络来绘制目标,然后在预设时间启动,同时打开断流器,甚至不用通过互联网连接上黑客。换句话说,这是自震网病毒Stuxnet以来独立破坏物理基础设施的第一个恶意软件。

 “2015年,他们就像一群残忍的街头混混。2016年,他们是忍者。”

而CrashOverride并不只是一个仅适用于Ukrenergo电网的一次性工具。研究人员表示,这是让电力设施中断的可重复使用和具备高度适应性的武器。在恶意软件的模块化结构中,Ukrenergo的控制系统协议可以很容易地用欧洲或美国的控制协议替代。

霍尼韦尔(Honeywell)的工业控制系统安全研究员玛丽娜·科罗托非尔(Marina Krotofil)也分析了Ukrenergo电网攻击,她认为黑客的手法成比2015年的攻击更简单,效率更高。“2015年的他们就像一群残忍的街头混混,” 科罗托非尔说。 “2016年,他们变成了忍者。”但黑客可能还是那一帮;Dragos公司的研究人员认为CrashOverride的构建确定是“沙虫”所为,具体证据Dragos尚未透露。

在李看来,这些都是“沙虫”令人不安的进步迹象。我与李在他空旷的公司办公室见了面。他的公司是重要基础设施网络安全公司,坐落在巴尔的摩市。在他办公室窗外隐约看到几个撑起输电线的架线塔。李告诉我,这些输电线将电力输送到18英里外的南方,直至华盛顿特区中心。

李先生指出,一群黑客首次证明了,他们想要并能够攻击重要基础设施。他们已经在多次不断演变的攻击中完善了他们的技术。而且他们以前在美国电网上也埋植过BlackEnergy恶意软件。“这些人对美国电网了如指掌,网络攻击也可能发生在这儿,”李说。

李认为,对于“沙虫”黑客来说,如果他们想要攻击美国电网的话,美国有许多更为方便攻击的目标。美国电力公司网络安全性更高,但是它们也比乌克兰电网更自动化且更现代化,这意味着它们可以呈现更多的数字“攻击面”。而且美国工程师对在频繁停电时手动恢复的经验较少。

没有人知道“沙虫”的下一次攻击将如何实现。未来的攻击对象可能就不是配电所或变电站了,而是真正的发电厂。或者它可以被设计成不仅仅关闭设备,而是将其破坏。 2007年,爱达荷国家实验室的一组研究人员,其中包括麦克·阿桑特发现,黑客行径可以彻底摧毁电气基础设施:一个名为极光实验的项目,仅仅使用数字命令,永久性破坏了一台功率为2.25兆瓦的柴油发电机。在该实验视频中,一台客厅大小的机器在“濒死”之时咳出滚滚黑烟和白烟。这样的发电机和向美国消费者输送数百兆瓦的设备并没有什么不同。只要方法对了,有人可能永久毁坏发电设备或是摧毁作为我们输电系统主干中巨大且难以替代的变压器。“华盛顿特区?两个月攻下一个国家的电网并无多大问题,” 李说。

事实上,在对网络病毒CrashOverride的分析中,斯洛伐克网络安全组织ESET发现,该恶意软件可能已经包含了这种彻底性破坏攻击的成分。ESET的研究人员指出,CrashOverride包含的代码旨在针对发电站中特定的西门子设备——这种设备有一个关乎生死的开关,用于阻止电线和变压器中的危险电涌。如果CrashOverride破坏该保护措施,则可能对电网硬件造成永久性损坏。

单单物理破坏可能甚至不是黑客入侵后最糟糕的事情。美国的网络安全界经常谈及“先进而持续的威胁”——经验老道的入侵者,他们不会只为了一次攻击而渗进一个系统,而是留在那里,默默把目标握在手心里。李最坏的设想是,美国基础设施遭到这种持久性的侵入:运输网络,管道或电网被潜伏在深处的敌手一再攻击。他说:“如果他们在多个地方做到这一点,那么整个地区可能停电一个月。”“当美国一半的重点城市一个月没有电时,一切都会天翻地覆。”

不过,考虑俄罗斯这个戏精会对美国电网做些什么,是一回事。考虑为什么俄罗斯会这样做又是另一回事。对美国公共设施的电网攻击几乎肯定会立即导致美国严重的报复。一些网络安全分析师认为,俄罗斯的目标只是包围美国的网络战争策略:通过将基辅的灯熄灭,并证明他能够渗透进美国电网,莫斯科的讯息是警告美国不要尝试对俄罗斯或俄方同盟如叙利亚独裁者巴沙尔·阿萨德(Bashar al-Assad)进行“震网”病毒式的攻击。按这种观点来说,这就是一场威慑力的游戏。

“很难说我们一点都不脆弱。任何与其他事物有关的事物都有弱点。”

但李在情报部门参与过军事演习。他认为,如果俄方被美国逼到墙角,比如美国威胁要干涉莫斯科的军事利益,如针对乌克兰或叙利亚采取行动,俄罗斯可能真的会采取报复性措施,攻击美国公用设施。“如果你否认一个国家运用权力的能力,它就被惹恼了,”李说。

当然,像李一样的网络安全工作人员在过去十多年里一直演习如何应对这些噩梦。万幸的是,灯光回来了;即使乌克兰电网攻击没有真的构成灾难,它还是展现了网络攻击的复杂性。北美电力可靠性公司(NERC)首席安全官马库斯·萨克斯(Marcus Sachs)表示,美国电力公司已经从乌克兰的受害情况中学习了经验。萨克斯说,2015年电网攻击之后,NERC进行了一次全面检查,与电力公司会面,督促他们加强基本的网络安全实践,经常关闭关键系统的远程访问端口。萨克斯表示,“很难说我们一点都不脆弱。任何与其他事物相关联的事物都有弱点,”“认为我们在技术上遥遥领先并且我们的电网永远不会崩溃,这是不负责任的。 ”

但是对于那些注意“沙虫”近三年的人来说,对美国网络发动攻击的可能性提高警惕并不是危言耸听。“火眼”研究团队的负责人约翰·霍特奎斯特(John Hultquist)最先发现并命名了“沙虫”(Sandworm)黑客团队,在他看来,“狼”离美国人不远了。霍特奎斯特说,“我们已经看出这个‘演员’表现出了一种能够改变灯光和隐藏对美国电力系统的兴趣的能力。”在2016年基辅电网攻击三周之后,他在Twitter上写下了他的预测,并把它放进了个人简介中:“我发誓,‘沙虫’团队最终把魔掌伸向西方国家的重要基础设施之时,就是那些‘演员’摘下面具之日。”

1

 

亚辛斯基所在的信息系统安全合作伙伴公司(ISSP)的总部,位于基辅工业区的一个低洼建筑里,周围环绕着泥泞的运动场和外墙剥落的灰色高层——苏联时期留下的纪念品。大楼里面,亚辛斯基坐在一个昏暗的房间里,面前的圆桌上覆盖着6英尺长的网络地图,展示出博尔赫斯(Jorge Luis Borges,阿根廷诗人、小说家、散文家兼翻译家,被誉为作家中的考古学家,译者注)般复杂的的节点和连接。每个地图都代表了“沙虫”入侵的时间轴。到目前为止,这个黑客团队是他近两年的工作焦点,回到了第一次星光媒体遭受网络攻击的日子。

亚辛斯基说,他曾试图对正在洗劫乌克兰的入侵者保持冷静的视角。但4个月前,此次停电波及到他家,那就是“像抢劫一样”,他告诉我。“这是一种违法行为,那一刻你意识到自己的私人空间只是一种错觉。”

亚辛斯基表示,无从知晓有多少乌克兰机构在不断升级的网络攻击中受到打击; 任何计数都可能小于实际总数。所有公认受攻击的目标中,肯定还有机构未表示被黑客入侵,还有其他目标仍没有发现他们系统中的入侵者。

当我们在信息系统安全合作伙伴公司的办公室见面时,实际上下一波数码入侵已经在酝酿中。在亚辛斯基身后,两名长着胡子,较为年轻的员工趴在键盘和屏幕前,分析前一天刚从新一轮钓鱼邮件中获取的恶意软件。亚辛斯基注意到,这些网络袭击事件已经进入了一个季节性的循环:一年中的头几个月,黑客打下基础,默默渗透目标,扩大立足点。年底,他们释放了病毒。亚辛斯基现在才知道,即使他正在分析去年的电网攻击时,黑客已经埋下了今年(2017年)12月的种子。

亚辛斯基表示,为下一轮攻击做准备,就像是面对“即将到来的期末考试”。但在这个宏伟蓝图中,他认为乌克兰过去三年遭受的网络攻击,可能只是一系列测验。

观察到现在的他总结了攻击者的意图,用一个俄语单词来说就是:poligon,训练场。亚辛斯基认为,即使是最具破坏性的攻击,黑客也没有使出全力。他们不仅本可以销毁财政部的全部存储数据,而且也可以摧毁其备份。他们本可以让Ukrenergo变电站的停电时间更长或永久停电,还可以对电网造成的物理损害。他说,美国分析师如阿桑特和李也注意到这种破坏力的有所保留。“他们还在逗弄我们,”亚辛斯基说。每次黑客在达到最大可能性的破坏之前就收手了,好像为他们的未来行动保存真正的能力。

许多全球网络安全分析师也得出了同样的结论。在克里姆林宫的影响下,趁着无拘无束的热战氛围,训练一支俄罗斯黑客队伍上进行数字化战斗,岂不是最合适的?北约大使吉尔说,“没有任何拘束。这是一个你无论做什么都不会遭到报复或起诉的地方。”“乌克兰不是法国或德国。很多美国人甚至在地图上找不到它,所以你可以在那里演习信息战。”【在4月的外交官会议上,美国国务卿雷克斯·蒂尔森(Rex Tillerson)甚至发问:“为什么美国的纳税人要对乌克兰感兴趣?”】

伦敦国王学院战争研究系教授托马斯·里德(Thomas Rid)说,潜伏在这种被忽视的阴影下,俄罗斯不仅仅推动了技术能力的极限。俄方也在感受国际社会的容忍极限。克里姆林宫干扰了乌克兰选举,收到的抗议却没有想象中的强烈;试试对德国、法国和美国尝试类似的策略。而俄罗斯黑客在乌克兰削弱权力却不受惩罚,其实这个三段论不难完成。“他们正在测试行动的底线,”里德表示。“你推推看自己是否被推回去。如果没有阻力,则大胆尝试下一步。”

下一步会是什么样子?在基辅ISSP实验室的昏暗密室里,亚辛斯基承认他也不知道。或许另一次停电。或许是对水设施的针对性攻击。“开动你的想象力,”他冷冷地说道。

在他身后,余晖透过百叶窗,刻画出他面部的侧影。“网络空间本身不是一个目标,”亚辛斯基说。“而是一种媒介。”这种媒介和文明本身的体系紧密相连。

www.idc126.com

文章出处:利维坦

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论