编者按：瘫痪的港口，受创的企业，停摆的政府机构。这是关于一段代码如何让整个世界陷入瘫痪，让全球经济损失了亿美元的故事。这个故事说明，在网络空间里，距离不再是屏障，网络病毒的破坏力不亚于原子弹的量级，而在复杂到已经失控的网络里，如何对抗这种新型的战争已经成为一个世界难题。本文摘自《连线》记者AndyGreenberg的新书《Sandworm》。

那是哥本哈根的一个完美的阳光明媚的夏日下午，但是全球最大的运输集团开始失去理智。

A.P.穆勒-马士基总部坐落在哥本哈根港微风习习、铺满鹅卵石的滨海大道旁。建筑物东北角一旁立有一根悬挂丹麦国旗的桅杆，透过6层楼的蓝色玻璃可以看见同样蔚蓝的海水，以及停泊着丹麦皇室游艇的码头。在大楼的地下室，员工可光顾一家企业礼品店，里面摆满了马士基品牌的包包和领带，甚至还有一个罕见的马士基Triple-E巨型集装箱船的乐高模型。这玩意有多大？大到可以大概相当于帝国大厦平躺下来，能够将另一个相当于帝国大厦大小的负载堆在它上头。

这个礼品店还进驻了一个技术帮助中心，这是由IT排障人员运营的集中技术台，就在商店收银台的旁边。年6月27日下午，困惑的马士基员工开始三三两两地聚集到帮助台前，几乎每个人都携带了便携电脑。一些电脑上面写道“修复C盘的文件系统”：并且有一个明显的警告要求不能关闭电脑。有的信息则要更超现实，写着“哎呀，你的重要文件被加密了”并且要求支付价值美元的比特币才能解密。

穿过街道，一位名叫HenrikJensen的IT管理员正在马士基综合楼的另一部分工作，这是一栋镶嵌了白色石头的建筑，在几个世纪前是皇家海事地图档案馆。（HenrikJensen不是他的真名。就像我采访过的几乎所有马士基员工、客户或者合作伙伴一样，Jensen也害怕公开讨论本故事的后果。）当他的计算机突然重启时，Jensen正在忙着给马士基将近员工准备一项软件更新。

他在心里暗骂了几句。Jensen以为这此不在计划之内的重启是马士基IT中心常有的唐突之举。这个企业帝国它有8个业务部门，在全球多个国家有个分支机构，管理着从港口到物流以及石油探井等一切。而那个设在的IT部门几乎讨不到任何人的喜欢。

Jensen抬起头问问办公室内的其他IT同事有没有被如此粗鲁地打断过。当他伸长脖子的时候，他注意到屋子里的每一台计算机的屏幕很快都相继闪灭了。

“我看到一波屏幕都变成了黑屏。黑屏、黑屏、黑屏。黑屏黑屏黑屏黑屏黑屏，”他说。Jensen和他的邻座迅速发现，PC已经被永久锁定了。重启只能返回到同样的黑屏。

在整个马士基总部上上下下，全面危机开始变得清晰。在半个小时之内，马士基员工都在奔走相告，一边大喊着让同事赶紧关机或者断开跟马士基网络的连接以免被恶意软件感染，因为他们已经明白，每一分钟的延误都意味着数十乃至数百的PC被搞残。技术员工跑进会议室拔掉了还在开会当中的机器。很快员工设法越过了被仍然神秘的恶意软件致瘫的被锁上的门禁，将警告信息传给大楼的其他部门。

断开公司的全球网络让公司IT员工度过了超过2小时的恐慌时间。这个流程走完之时，每一位员工都被命令关掉计算机并且放在桌子上不许动。每张桌子上的数字电话在这次紧急网络关闭中也变成无用了。

大概下午3点左右，一位马士基的高管步入Jensen和十多位同事正在焦急等待消息的办公室然后告诉他们回家。马士基的网络已经被破坏得太严重了，以至于IT员工也束手无策。公司的一些资历较老的经历告诉他们的团队要坚守岗位。但是很多员工因为没有计算机、服务器、路由器或者桌面电话就相当于无所事事，唯有一走了事。

Jensen走出来大楼，被淹没到6月下午炙热的气流之中。就像马士基绝大多数员工一样，他也不知道什么时候可以重返工作。雇佣他的那个负责全球各地76个港口以及将近艘巨轮（其中包括承载上千万顿货物运输的集装箱货船）的运营，运力占到了全球货运量的1/5的海事巨头已经彻底瘫痪（deadinthewater）。

乌克兰首都基辅，在时尚的Podil街区角落，咖啡店和公园突然消失了，取而代之的是一幅糟糕的工业景观。在一条过街天桥下面，跨过一些垃圾满地的铁轨，在穿过一道混泥土门之后，矗立着4层楼的LinkgosGroup总部，这是一家小型的乌克兰软件家族企业。

爬过3层楼梯后有一间服务器室，披萨盒大小的计算机被一堆电缆连接着并用手写的数字标签做好了标记。在正常的日子里，这些服务器会推动定期的更新——修复的bug、安全补丁、性能等——给财务软件M.E.Doc，这玩意儿就相当于乌克兰的TurboTax或者Quicken。在乌克兰但凡要纳税或者做生意的人几乎都要用到这个软件。

不过年的时候，那些机器一度充当着自从互联网发明以来最致命的网络攻击之原爆点的角色——这起攻击至少在一开始是被当做一个国家对另一个国家的袭击而使用的。

在过去4年半的时间里，乌克兰都被陷入到俄罗斯的一场令人煎熬的不宣而战之中。这场冲突还让乌克兰成为俄罗斯网络焦土战政策的试验场。、年，当据称跟克里姆林宫有瓜葛的黑客FancyBear忙着入侵美国民主党全国委员会的服务器时，另一个叫做Sandworm的特工组织也正在入侵数十个乌克兰的政府组织和公司。他们渗透进各种网络，受害者从媒体组织到铁路公司不等，引爆的逻辑炸弹摧毁了数TB的数据。这种攻击遵循着一种施虐狂似的频率。在那两年的冬天里，破坏者疯狂的肆虐导致了大规模的电力中断——这是第一次确认的由黑客引发的大停电。

但那些攻击仍然不是Snadworm的压轴戏。年春，在LinkgosGroup无人知晓的情况下，软罗斯的军事黑客劫持了公司的升级服务器，让他们得以将一个隐秘的后门植入到乌克兰以及全世界成千上万台安装有M.E.Doc的PC里面。然后，到了年6月，这些破坏者再利用这一后门释放了一种叫做NotPetya的恶意软件，这是有史以来最恶毒的网络武器。

黑客推出的代码经过了精心设计，为的是让它能够自动、快速且不加选择地传播出去。思科的Talos部门是第一家对NotPetya进行逆向工程和分析的安全公司之一，其外联总监CraigWilliams说：“迄今为止，这是我们见过的传播速度最快的恶意软件。在你看到它的那一刻，你的数据中心就已经完了。”

NotPetya是两个黑客漏洞先后推动的结果：一个是所谓的EternalBlue渗透工具，这是由美国NSA开发的，但是在年初该机构的一次高度机密文件泄露事件中被盗走了。EternalBlue利用了一个特殊的Windows协议漏洞，使得黑客可以自由地控制，在任何未打补丁的机器上远程运行自己的代码。

NotPetya的架构再加上一项较老的叫做Mimikatz的数字万能钥匙发明，就创造出来了一个法国安全研究人员BenjaminDelpy在年提出来的概念验证。Delpy原先推出Mimikatz是为了证明Windows其实是把用户的密码保存在内存里的。一旦黑客获取了对计算机的初始访问，Mimikatz就能将那些密码从RAM中取出并且利用来破解用同样证书可访问的其他机器。在多用户计算机的网络上，这甚至还可以利用机器作为跳板对其他机器发动自动攻击。

在NotPetya推出前，微软已经发布了一个EternalBlue漏洞的补丁。但尽管如此，EternalBlue和Mimikatz仍然搭配出了一个致命组合。Deply说：“你可以感染那些没打补丁的机器，然后获取那些计算机的密码去感染其他打了补丁的计算机。”

NotPetya的名字灵感源自勒索软件Petya，这是年初浮出水面的一段犯罪代码，被感染的受害者必须交一笔钱才能拿到文件解锁的密钥但NotPetya的勒索只是个幌子：该恶意软件的目标纯粹是要搞破坏。它对计算机的主引导记录（MBA）进行了不可逆的加密，MBA是机器最底层的机制了，操作系统放在哪里完全要靠它来引导。因此受害者支付再多的赎金也是徒劳的。没有任何密钥能够对已经被加密噪音污染的内容进行还原。

武器的目标是乌克兰。但是其爆炸辐射范围是全世界。“这就好比是用原子弹来取得一次小型的战术胜利，”Bossert说。

NotPetya的释放是一种网络战争（无论按照哪一种定义方式）行为——其爆炸性之大甚至可能超出创建者的意图。在出现数小时之内，蠕虫就蔓延到了乌克兰以外感染到全世医院到塔斯阿尼亚岛的巧克力工厂的无数机器上，给包括马士基、制药巨头默克、联邦快递欧洲分布TTExpress、法国建筑公司Saint-Gobain、食品制造商Mondelēz以及制造商ReckittBenckiser等在内的跨国公司予以重创。给每一家都造成了9位数的损失。病毒甚至还传播回俄罗斯，给国营石油公司俄罗斯石油造成打击。

据美国白宫估计，其结果就是超过亿美元的总损失（这个是前美国国土安全部顾问TomBossert透露，攻击发生时他是特朗普总统最资深的网络安全官）。Bossert与美国的情报机构还确认今年2月时俄罗斯军方应该对发布该恶意代码负责。

要想感受一下NotPetya造成破坏的规模，不妨回顾一下今年3月瘫痪了亚特兰大市政当局的那种噩梦般但更典型的勒索病毒攻击：其损失为0万美元，仅占NotPetya造成损失的千分之一。甚至在NotPetya爆发之前的年5月传播的更恶意的蠕虫WannaCry，所造成损失据估计为40亿美元到80亿美元之间。此后再无病毒能望NotPetya的项背。Bossert说：“尽管这场战争并没有人员损失，但效果已经相当于为了实现一场小型战术胜利而投放的核弹。这种鲁莽程度是我们在世界舞台上所无法容忍的。”

在NotPetya震撼了世界之后，《连线》深入调查了被这个蠕虫重创的企业巨头之一马士基的遭遇，其惨痛经历独特地说明了网络战争的危险性现在已经威胁到全球现代基础设施。就像《连线》接触的所有非乌克兰受害者一样，马士基的高管也不愿以官方身份对本文发表任何评论。本文的许多马士基现员工和前员工也都选择保持匿名。

但是NotPetya的故事主角其实不是马士基，或者甚至也不是乌克兰。这个故事要讲的是一个国家的战争武器被释放到国界毫无意义的媒介时会发生什么，而且其附带损害会通过一种残酷的、意料之外的逻辑加以传播：本来目标是乌克兰的攻击连累到了马士基，而对马士基的攻击又连累到了所有人。

OleksiiYasinsky原先以为周二那天办公室应该是没什么事的。那是乌克兰法定假日宪法日的前一天，他的大部分同事不是计划度假就是已经在度假中了。但Yasinsky没有。过去一年，他一直是InformationSystemsSecurityPartners（ISSP，即将成为对乌克兰网络战的受害者求助对象）的网络实验室负责人。这个岗位职责是不允许有宕机时间的。实际上，自从年底俄罗斯发动第一波网络攻击以来，他休假的时间加起来才只有一周。

所以，那天早上当Yasinsky接到一个电话时他并没有慌张。电话是ISSP总监打过来的，说乌克兰第二大银行Oschadbank遭遇攻击。银行告诉ISSP说自己受到了勒索病毒的感染，这是一种日益常见的危机，发起者通常是以赚钱为目的的犯罪分子。不过当Yasinsky半小时后走进Oschadbank的IT部门时，他感觉到这次的袭击不一样。Yasinsky说：“员工们不知所措，完全处在震惊状态。”银行上万计算机当中约90%都被锁定，上面显示着NotPetya的“修复硬盘”消息以及勒索消息画面。

在对该银行幸存的日志进行快速检查之后，Yasinsky可以发现攻击是一种设法弄到了管理员证书的自动蠕虫。这使得它可以像偷走了看守钥匙的囚犯一样在银行的网络内横冲直撞。

当Yasinsky回到ISSP办公室分析银行这次遇到的袭击时，他开始陆续收到乌克兰各地打来的电话和短信，告诉他其他公司和政府机构也遇到了类似情况。一个人告诉他另一位受害者曾试图支付赎金。就像Yasinsky猜想一样，支付并没有效果。这不是普通的勒索软件。他说：“解决这个没有银弹，没有解药。”

NotPetya的代价年，恶意软件NotPetya从一家不知名的乌克兰软件公司的服务器传播到了一些全世界最大的企业，令其运营陷入瘫痪。下面这份清单列举了其中一些最大受害者的损失。,,美元制药巨头默克公司,,美元物流公司联邦快递（因为欧洲子公司TNTExpress而受累）,,美元法国建筑公司Saint-Gobain,,美元丹麦海运巨头马士基,,美元快餐公司Mondelēz（纳斯贝克与吉百利的母公司）,,美元英国制造商ReckittBenckiser（Lysol与杜蕾斯所有者）总计：亿美元

——据白宫估计的NotPetya造成的总损失

向南0英里，ISSPCEORomanSologub正试图在土耳其南海岸过个假期，准备着跟家人一起奔赴海滩。这时候他的手机也开始被ISSP那些要么眼睁睁看着NotPetya在自己的网络肆虐要么被网络攻击的新闻吓到正疯狂寻求建议的客户打爆。

Sologub只好撤回酒店，在那一天剩下的时间里他总共记录了超过50起客户电话，他们一个接一个地报告说自己的网络被感染了。实时监控客户网络的ISSP安全运营中心警告Sologub说NotPetya正以恐怖的速度渗透到受害者的网络：它只用了45秒钟就把一家乌克兰大型银行的网络搞瘫。ISSP曾经出于演示目的给乌克兰一个重要的交通枢纽部分安装了自己的设备，那些设备也在16秒钟之内就被完全感染了。能源公司Ukrenergo，ISSP曾在其年遭受严重网络攻击之后帮助重建了网络，这次还是被袭击了。“你还记得我们打算实施新的安全控制吗？”Sologub回忆起一位沮丧的UkrenergoIT部主任在电话里面问他的话。“完了，已经太迟了。”

很快，ISSP的创始人，连续创业者OlehDerevianko也中断了自己的休假。关于NotPetya的电话打来时，Derevianko正驱车北上度假，到乡下看望家人。接到消息后他马上开下高速公路，到路边的一个饭店就地开展工作。下午刚开始不久时，他就警告致电的每一位主管要透他们毫不犹豫地把网络断掉，哪怕这意味着关闭整个公司。在很多情况下，他们已经等待了太久了。Derevianko说：“等到你赶到他们那里时，基础设施已经被摧毁了。”

NotPetya正在吞噬着整个乌克兰的计算机的生命。光是基辅就有4家医院受到打击，此外还有6家电力公司、2个机场、超过22家乌克兰银行，零售商和交通运输业的ATM和卡支付系统，以及几乎每一家联邦机构均受波及。乌克兰基础设施部部长VolodymyrOmelyan一言蔽之：“政府已经死了。”据ISSP，至少有家公司被攻击，一位资深的乌克兰政府官员估计本国有10%的计算机被抹除了数据。攻击甚至还关闭了基辅以北60英里外的切尔诺贝利清理现场科学家所使用的计算机。Omelyan说：“这是对我们所有系统实施的大规模轰炸。”

傍晚当Derevianko从饭店出来时，他到加油站想给自己的车加油却发现那家加油站的信用卡系统也已经被NotPetya干掉了。兜里没钱的他盯着油表，担心还够不够油开回老家。整个乌克兰的人都在问类似的问题：有没有足够的钱去买百货和加油来撑过这场闪电战，自己能不能拿到薪水和养老金，能不能开出处方。到了那天晚上，当外面世界还在争论NotPetya究竟是犯罪性的勒索软件还是受国家支持的网络战争武器时，ISSP的员工已经开始把它形容为一种新现象：一场“大规模的协同作战的网络入侵。”

在这场瘟疫中，有一例感染对马士基来说将是决定性的：在位于乌克兰黑海边港口城市敖德萨，马士基乌克兰分部的一名财务主管要求IT管理员在一台计算机上安装会计软件M.E.Doc。这一举动让NotPetya得到了唯一需要的一个立足点。

新泽西伊丽莎白的海洋转运站是马士基的76个所谓的APMTerminals（港口运营部门）之一——它蔓延到了纽瓦克湾的一个方圆1平方英里的人造半岛上。成千上万堆叠的、模块化的集装箱布满了那里大面积的柏油地面，英尺高的蓝色吊机在港湾隐隐若现。从5英里之遥的下曼哈顿区摩天大楼顶楼望过去，它们就像是侏罗纪时代聚集在水坑周围的腕足类恐龙一样。

天气好的时候，每天大概有0辆卡车会来到转运站，每一辆都有分配好的任务，要装载或者卸载上万磅的东西，从纸尿布到牛油果或者拖拉机零件，不一而足。它们就像飞机乘客一样开始那道流程，看看转运站的出入口，在这里扫描议会自动读取集装箱的条码，一位马士基的门卫会通过音响系统跟卡车司机通话。司机会收到告诉停到哪里的打印好的放行条，然后一台大型场地起重机就会把集装箱从卡车底盘吊起，搬到货场堆起来，接着再装进集装箱船，漂洋过海，或者整个过程反过来。

6月27号的那个早上，PabloFernández预计会有相当于几十辆卡车装载量的货物要离开伊丽莎白港去到中东的一个港口。Fernández的身份是所谓的货运代理——货主为了确保自己的财产能够安全抵达半个地球只要的目的地而付费雇佣的中间人。（Fernández并非真名）

新泽西时间大概9点左右，Fernández的电话开始响起来自愤怒货主的一连串尖刻的呼叫声。他们都从卡车司机那里听说车被堵在马士基伊丽莎白转运站外面了。Fernández说：“大家都急得上蹿下跳。他们都无法让自己的集装箱进出。”

因为那道门是马士基在整个新泽西转运站的咽喉要道，但现在已经歇菜了。门卫悄悄溜走了。

很快，数百辆18轮的大拖车都只好依序倒车，长长的队伍在转运站外绵延数英里。同一个港口附近另一家公司转运站的一名员工目睹了那些卡车前后保险杠挤到一起排长队的情形，甚至长到他都看不到头。他还看到门禁系统在15到30分钟之内宕掉。但是几个小时后，马士基依然一声不吭，港口管理方发出警告称该公司在伊丽莎白的转运站次日可能将会关闭。附近转运站的那位员工记得：“那时候我们开始意识到，这是一次袭击。”警方开始接触那些司机，告诉他们带着庞大的载荷离开。

Fernández和无数其他抓狂的马士基客户面临着一个凄惨的选项：他们可以把自己的贵重货物以昂贵的最后成交价卸到其他船上。或者，如果他们的货物是紧凑的供应链的一部分，比如工厂的部件的话，马士基的中断将意味着采用费用高昂的空运手段，否则的话生产流程将有停滞的风险，一天的停工意味着几十万美元的损失。很多集装箱，也即是所谓的冰箱，那是要供电的，里面装满了容易腐烂需要冷冻的货物。这些集装箱得找地方插电以免东西坏掉。

Fernández必须仓促地在新泽西找一个仓库来存放客户的货物，一边等着马士基的消息。他说，在那整整的第一天里，他只收到了一封官方邮件，来自一位疲惫不堪的马士基员工的Gmail账号，内容听起来就像“胡言乱语”，对这场装卸危机并没有做出真正解释。公司的集中预订网站Maerskline.

转载请注明:http://www.aideyishus.com/lkzp/3556.html