一直沒有停止的“網(wǎng)絡戰(zhàn)爭”

萬鳴宇

中國一家海事機構的辦公室里，工作人員發(fā)現(xiàn)一臺電腦忽然出現(xiàn)異常情況：運行緩慢，CPU、內(nèi)存占用率極高。

這引起安全人員的警惕。360公司為該單位提供安全服務，相關負責人汪列軍第一時間參與調(diào)查。這是來自海外的一場網(wǎng)絡攻擊。技術人員當即展開有效防御，但后續(xù)攻擊沿著網(wǎng)線持續(xù)涌來。

對方顯然不僅想竊取電腦里的機密文件。他們大量發(fā)送與工作人員看似相關的郵件——比如工資報告單。一旦該部門員工將附件打開，可以控制服務器的木馬就會運行，到時候，千萬里之外，這些黑客也能控制該機構的所有計算機。

“從它資源的可得程度來看，這個黑客組織肯定是有國家支持，專門進行類似間諜活動的網(wǎng)絡攻擊?！蓖袅熊娬f。360和這個黑客組織已經(jīng)交手多次，他們還給對方起了個名字：“海蓮花”。截至2015年，“海蓮花”的襲擊遍布全世界范圍內(nèi)的36個國家，中國感染者占到92.3%，遍布國內(nèi)29個省級行政區(qū)。

中國是受全球網(wǎng)絡攻擊最多的國家，但并非唯一受害者。去年，韓國和澳大利亞軍方接連遭遇黑客攻擊，機密信息泄漏。最近披露的消息顯示，黑客從澳大利亞國防計劃承包商那里，竊取了新型戰(zhàn)機、軍艦的大量細節(jié)。韓國方面，包括暗殺金正恩在內(nèi)的“5015作戰(zhàn)計劃”遭到泄露。

美國網(wǎng)絡司令部司令曾預言：“下一次戰(zhàn)爭，將在網(wǎng)絡空間打響?！边@個斷言，現(xiàn)在看來并不遙遠。針對政府和敏感部門的攻擊，正越來越頻繁。大國的網(wǎng)絡部隊，也已現(xiàn)身，蠢蠢欲動。這時候，中國代表在聯(lián)合國提出了新的應對之策。

前不久，中國某對外涉密單位內(nèi)網(wǎng)發(fā)現(xiàn)了一起攻擊行動。同“海蓮花”事件類似，黑客試圖通過木馬入侵系統(tǒng)。安全部門截獲這起攻擊后，迅速開始分析病毒構成，尋找攻擊來源。

植入木馬的方式，并不復雜。漁叉攻擊和水坑攻擊是常見的攻擊方式之一。前者是黑客通常將木馬程序包裝成郵件附件，并給附件取一個極具誘惑力的文件名——如“公務員工資收入改革方案”——誘使使用者點擊，進而感染木馬。水坑攻擊則是黑客通過分析目標的上網(wǎng)習慣，找到其經(jīng)常訪問的網(wǎng)站，通過該網(wǎng)站漏洞，植入攻擊代碼，一旦攻擊目標訪問該網(wǎng)站，就會像掉進水坑陷阱一樣中招。

還有利用U盤擺渡。網(wǎng)絡安全公司中睿天下CTO魏海宇說，他們曾遇到過一個案例，有黑客在某政府部門丟了U盤，有個不懂技術的文職員工恰好撿到，她好奇U盤中的內(nèi)容，插到電腦，結果U盤中植入的木馬病毒開始竊取內(nèi)網(wǎng)里的機密信息。

“其實光盤也可以”，魏海宇說，有的U盤里甚至可能會植入一種小芯片，“本身可以發(fā)網(wǎng)絡信號，所以它不需要借助互聯(lián)網(wǎng)，只要插入電腦，我離你可能幾公里，或者是幾百米之內(nèi)，利用專門的設備可以接收到這個信號”。

與現(xiàn)實中的戰(zhàn)爭不同，網(wǎng)絡攻擊來源藏匿于陰影之中，對方可能通過分散在數(shù)個國家的服務器展開攻擊，要想追溯到明確源頭，非常困難。但技術人員仍然可以通過對攻擊習慣、病毒代碼的分析，找到一些蛛絲馬跡。

截獲針對上述涉密單位攻擊的病毒后，與安全部門有合作的中睿天下，開始分析這次攻擊的木馬病毒。在進行木馬分析時，他們發(fā)現(xiàn)，這個病毒語言庫里，有一個隱藏的地方，默認語言是英文，只有一個地方，用了另一種特殊地區(qū)使用的文字。分析出這個線索，再結合IP地址真實定位技術，基本就可以斷定攻擊者是來自使用該種文字的地區(qū)。

“當一個攻擊者對我們進行攻擊的時候，他有很多攻擊手段，還可能利用很多攻擊工具。”魏海宇接受本刊采訪時解釋道，他們搜集了大量黑客攻擊指紋，遇到攻擊時，就可以通過樣本對比，進行溯源追蹤，“比如我們收集到一個美國論壇里面的一個黑客工具，這個工具只有美國的一個組織用過，如果我們發(fā)現(xiàn)攻擊者使用的是這個工具時，哪怕他們的IP來自日本或者韓國，但我們也會初步斷定攻擊是來自美國?！?/p>

此前，愛沙尼亞與格魯吉亞曾遭到網(wǎng)絡攻擊，黑客使用的是俄羅斯黑客常用的網(wǎng)絡武器BlackEnergy。之后，這個網(wǎng)絡武器不斷升級，2014年，俄羅斯與烏克蘭發(fā)生沖突，安全機構很快監(jiān)測到為烏克蘭政府量身打造的BlackEnergy新變種“BlackEnergy3”。隨即，黑客組織開始利用這個武器對北約、烏克蘭和波蘭政府、歐洲各重要工業(yè)系統(tǒng)進行了攻擊。

2015年11月，烏克蘭大選期間，多家新聞媒體公司遭到攻擊，許多視頻和文檔資料被毀。一個月后，烏克蘭電力網(wǎng)絡受到黑客攻擊，整個國家出現(xiàn)大面積停電事故。在此期間，烏克蘭黑客也曾對俄羅斯展開反擊，攻擊其國家杜馬運輸委員會網(wǎng)站，并以運輸委員會名義在官網(wǎng)發(fā)布譴責普京的聲明。

但這種溯源也帶有很多推斷成分，很難有足夠精確的證據(jù)?！艾F(xiàn)在的做法，一般是通過代碼里的指紋、攻擊手段的指紋來溯源。”清華大學網(wǎng)絡科學與網(wǎng)絡空間研究院副教授張超解釋道，如果黑客可以偽造一些關鍵信息，就很難追蹤了?！昂诳涂梢允褂酶鞣N匿名IP，不斷地跳”，經(jīng)常追蹤到某個節(jié)點，可能就會中斷了。

“當隸屬關系不清的個人也能實施極具野心和侵入性的行動時，國家行動這個概念可能也變得模糊了……”美國政治家基辛格談到這個問題時說，“更加危險的是，實施這些行為的嫌疑人可以合理推諉，而且也沒有相關國際協(xié)議?！?/p>

5月12日上午，23歲的李中文正在搬家，突然接到公司領導的電話，要他趕緊來公司指揮中心，“當時感覺控制不住局面了”。

再過兩天，“一帶一路”國際合作高峰論壇就要開幕了。恰恰這個時候，勒索病毒（WannaCry）開始在全球泛濫，中國也未能幸免，不斷有銀行、加油站等基礎設施的電腦罷工。

李中文瘦高，戴一副黑框眼鏡，供職于360公司。接到公司安排后，他先去一些公安部門協(xié)助解決問題，等這邊工作告一段落，他又接到電話，“連夜去了‘一帶一路’會場那邊”。

晚上十點多，他趕到國家會議中心。剛進辦公區(qū)域，就發(fā)現(xiàn)一臺電腦中招了。他當即斷網(wǎng)檢查，好在服務器并未受到感染。之后的一天，他一直待在會議中心，隨時防備可能出現(xiàn)的問題。

勒索病毒的消息爆出時，上海電視臺一個紀錄片團隊正在拍攝一部網(wǎng)絡安全專題片。這部后來名為《第五空間》的專題片是受上海市網(wǎng)信辦委托拍攝的。紀錄片團隊得到這個消息后，迅速趕到國家互聯(lián)網(wǎng)應急中心與360公司，了解相關情況。據(jù)互聯(lián)網(wǎng)應急中心提供的數(shù)據(jù)，2017年5月13日中午，中心檢測的全網(wǎng)攻擊總數(shù)已經(jīng)超過一百萬次，被感染的機器接近一萬臺。

因為使用的一些系統(tǒng)版本老舊，中國政府部門、高校、公安局等單位成了此次病毒的重災區(qū)。而國外的銀行、醫(yī)院系統(tǒng)，也受到很大沖擊，一些手術不得不取消。據(jù)安全公司卡巴斯基發(fā)布的報告，全球74個國家和地區(qū)遭受了攻擊，實際范圍可能更廣。在受攻擊最多的20個國家和地區(qū)中，俄羅斯遠超過其他受害者，中國大陸排在第五。

勒索病毒的爆發(fā)，不但讓外界看到網(wǎng)絡攻擊對基礎設施產(chǎn)生的威力，也曝光了美國的網(wǎng)絡武器庫。據(jù)報道，勒索病毒是利用Windows操作系統(tǒng)445端口存在的漏洞進行傳播。今年4月，黑客組織“影子經(jīng)紀人”打算在網(wǎng)上拍賣一些網(wǎng)絡武器，其中就包括這個漏洞工具。當時“影子經(jīng)紀人”聲稱這些武器來自美國國安局，但并未引起外界太大響應。

在此之前，維基揭秘網(wǎng)站也曾披露過美國中情局的網(wǎng)絡武器庫，并認為他們對武器庫已經(jīng)失去控制，很多工具“似乎正在前美國政府的黑客與承包商中未被授權地傳播”，存在“極大的擴散風險”。

與現(xiàn)實中的軍火武器相比，網(wǎng)絡武器的制造要更隱蔽，也更容易?！耙慌_筆記本電腦就能造成全球性后果，”基辛格說，“一個人只要有足夠的計算能力，就能進入網(wǎng)絡領域，在一個無人知曉的角落，讓重要基礎設施陷入癱瘓或徹底毀壞?！?/p>

正因為如此便利，規(guī)則尚不明晰，除了國家行為外，一些民間網(wǎng)絡軍火商也正在崛起。據(jù)360發(fā)布的《2016年中國高級持續(xù)性威脅（APT）研究報告》，目前全球最知名的三家網(wǎng)絡軍火商是：

意大利的 HackingTeam——2003年就已涉足網(wǎng)絡軍火市場，是一家以協(xié)助政府監(jiān)視公民而聞名的公司;

英國老牌網(wǎng)絡軍火商 Gamma集團——軍火商也反過來會遭到攻擊，2013年和2014年，Gamma兩度遭到黑客入侵，大量內(nèi)部資料外泄;

以色列數(shù)字間諜工具開發(fā)公司 NSO公司——以色列被公認擁有全世界最先進的監(jiān)控技術。英國非政府組織隱私國際（Privacy International）曾發(fā)布報告稱，總部設在以色列的監(jiān)控公司總數(shù)多達27家，按人均計算，以色列每10萬人就有0.33家監(jiān)控公司。

這些網(wǎng)絡軍火商已經(jīng)成為一群特殊的利益團體和組織，他們往往掌握著網(wǎng)絡世界最前沿、最先進的技術，與本國政府或區(qū)域性政治團體之間有著緊密的聯(lián)系。他們會出售計算機程序、軟件或設備給政府，甚至，一些政府還會和他們簽署協(xié)議，將情報搜集項目如監(jiān)控監(jiān)聽外包給各網(wǎng)絡軍火商。

網(wǎng)絡戰(zhàn)

2016年中期的某一天，時任美國總統(tǒng)奧巴馬終于決定，對俄羅斯展開網(wǎng)絡攻擊。美國中情局接到來自高層的命令：篩選襲擊目標、開啟網(wǎng)絡端口、提交作戰(zhàn)方案，做好對俄發(fā)動網(wǎng)絡戰(zhàn)的萬全準備。

這個命令遭到媒體曝光后，時任美國副總統(tǒng)拜登說，美國會在合適的時間，并且認為可能產(chǎn)生最大效果的條件下，向俄羅斯“傳遞一個信息”。而美國退役海軍上將、北約前最高軍事長官斯塔夫里迪斯則認為，這次擬議的網(wǎng)絡戰(zhàn)應攻擊俄羅斯的互聯(lián)網(wǎng)監(jiān)控和曝光普京及其手下的“金融交易”，這會令他們“非常尷尬”。

為了應對這樣的戰(zhàn)爭，美國已經(jīng)準備多年。2009年，美軍就公開建立了世界上第一個“網(wǎng)絡戰(zhàn)爭司令部”。等到特朗普上臺，這個機構的實力還會再次加強。特朗普下令，網(wǎng)絡司令部升級為美軍第十個聯(lián)合作戰(zhàn)司令部，地位與美國中央司令部等主要作戰(zhàn)司令部持平。美國國防部此前還對外宣布，網(wǎng)絡司令部下屬133支部隊，已經(jīng)具備初始作戰(zhàn)能力。

如此高調(diào)宣戰(zhàn)，是因為美國認定俄羅斯通過網(wǎng)絡攻擊，干預了美國大選。美國中情局、國土安全部出臺的報告認定：俄羅斯黑客不但攻擊了民主黨候選人希拉里，而且還“黑入”兩黨競選總部，竊取數(shù)千份文件，再化名向維基揭秘網(wǎng)站爆料。美國情報機構分析認為，“從黑客攻擊的規(guī)模和敏感度判斷，只有俄羅斯最高層才能立項批準”;當時奧巴馬的國土安全和反恐顧問表示，黑客事件的嚴重性已跨越“新門檻”——不可接受的“侵略性騷擾”。

俄羅斯否認了指控，且強硬回擊。俄羅斯杜馬負責國際事務的官員公開聲稱，俄羅斯會加強保護信息技術領域的國家利益，同時動用國家資源反擊敵對行動。

在網(wǎng)絡攻防領域，俄羅斯是一位并不弱于美國的對手。2007年4月，愛沙尼亞曾與俄羅斯交惡，27日深夜，愛沙尼亞開始遭到網(wǎng)絡攻擊。最初，影響只在小范圍傳播。三天后，黑客開始利用病毒劫持愛沙尼亞國內(nèi)的計算機，組成僵尸網(wǎng)絡，對更多網(wǎng)站進行攻擊。高峰時刻，愛沙尼亞有58家網(wǎng)站癱瘓，最大銀行漢莎銀行的線上服務中斷90分鐘，第二天又中斷兩小時。

“集結僵尸網(wǎng)絡，就像集結軍隊一樣”，愛沙尼亞國防部一名官員曾回憶。這場網(wǎng)絡攻擊也震動了北約，這個組織因此建立了一個永久性的機構——合作網(wǎng)絡防御示范中心。

一年后，俄羅斯與格魯吉亞發(fā)生武裝沖突。格魯吉亞國內(nèi)很快遭受到網(wǎng)絡攻擊，8月8日這天，網(wǎng)絡攻擊變得異常強烈。攻擊的方式基本與愛沙尼亞的遭遇一致，如前所述，使用的都是BlackEnergy。除了格魯吉亞的政府網(wǎng)站暫不能訪問、國家銀行下令所有分支機構停止提供電子服務十天外，此次攻擊的最大影響在于限制了格魯吉亞政府的國際通信能力，使他們在發(fā)生武裝沖突的關鍵時刻無法發(fā)聲。

雖然俄羅斯并不承認這些網(wǎng)絡攻擊行為，但安全專家從網(wǎng)絡武器中發(fā)現(xiàn)蛛絲馬跡，均指向俄方。

這一系列事件，使得其他國家意識到風險的存在，紛紛成立了網(wǎng)絡部隊。日本近期正打算再讓網(wǎng)軍增員900人左右，以應對網(wǎng)絡攻擊，增加收集、分析威脅情報的能力。德國也在今年年初成立了網(wǎng)絡司令部，人數(shù)為1.35萬人。2015年，英國聯(lián)合部隊司令部要求政府在未來五年投入20億英鎊，聘請300名網(wǎng)絡專家或黑客，同時開發(fā)更多網(wǎng)絡武器。9月6日，以色列進行了20年來最大規(guī)模的軍事演習，網(wǎng)絡部隊首次參加。

據(jù)統(tǒng)計，現(xiàn)在有46個國家已經(jīng)成立了網(wǎng)絡部隊。與此同時，每年針對政府、敏感機構的網(wǎng)絡攻擊，也持續(xù)增加。尤其是在中國周邊國家和地區(qū)，韓國、日本、印度都建立了龐大的網(wǎng)絡部隊，中國臺灣也開始籌建，計劃在2019年全面形成戰(zhàn)斗力。圍繞這些網(wǎng)絡部隊展開的攻防，也愈演愈烈。

（摘自《看天下》）