一段代碼癱瘓一個國家！還原史上破壞力最大的網路攻擊事件

2017 年 6 月 27 日，勒索軟體捲土重來，全球再次陷入無望的困境。

白宮國土安全部的發言人更稱，這款勒索軟體已經造成美國近 100 億美元的經濟損失。

與之前出現的 Petya 不同，新型勒索軟體 Notpetya 脫胎換骨，讓丹麥航運巨頭馬士基、英國廣告公司 WPP、俄羅斯石油公司 Rosneft、美國醫藥公司默克等紛紛中槍，烏克蘭更是成為了「重災區」，其國家銀行及電力公司等關乎國計民生的大型基建行業無一倖免。

NotPetya 濫用了遠程控制工具在電腦上執行惡意代碼進行傳染。一旦一台受感染的計算機擁有網路管理員權限，那麼這個網路中的所有電腦都會以意想不到的速度被感染。

它摧毀了全球最大的航運巨頭馬士基的全球物聯網路，只用了不到一個下午的時間！而造成像烏克蘭這樣一整個國家的淪陷，卻是全球網路歷史上的頭一遭！

NetPetya 所為何物？

也許對於大多數人來說，NotPetya 這個名字還是生平第一次聽說。然而，對於那些深受其害的人而言，即便時隔一年，仍然談其色變。

這不得不由一家小型烏克蘭軟體企業 Linkos 集團說起。

期初，其只是幫助會計軟體 MEDoc 進行日常系統更新與修復，幾乎所有在該國提交稅收或經營業務的人都使用它。

直到 2017 年 6 月的某一天，駭客潛伏在這家公司的電腦系統中，並有目的的選擇在 2017 年 6 月 27 日（即烏克蘭憲法日前一天）給客戶的軟體更新程序中肆意傳播 NotPetya 病毒。

這款無聲的大規模殺傷性武器也在隨後半天內，讓烏克蘭從電力系統到交運系統先後崩塌，直至整個國家陷入無盡的深淵。

值得注意的是，在有著高度專業化犯罪背景的 Petya 勒索軟體家族中，NotPetya 是其新一代「衍生品」。其不僅包含着此前一代 Petya 擁有的「永恆之藍」作為滲透工具，還包含着名為「MINIKATZ」的工具作為突破訪問權限的快捷鍵。

這樣的「混搭組合拳」幫助 NotPetya 實現了突然爆發與極速傳播，即便對於包括 Windows 10 在內打過補丁的設備而言，在當時來看都是無濟於事。

NotPetya 只在暗網裡出售，並明確指出會收取勒索收入的 15% 返還給軟體原作者。正是這種「勒索軟體即服務」（RAAS）的新型犯罪方式讓眾多心懷不軌的人有了可乘之機。

然而，對於當時受感染者而言，即便他們支付「贖金」試圖換回自己的文件，都只是徒勞，因為這只是勒索軟體套人上鈎的伎倆。相對於先前的 Petya 已經妥妥淪為犯罪組織的賺錢工具，新款 NotPetya 更像是被設計成勒索軟體的表象，踐行着深度傳播傷害的實質，試圖在全球引起更大恐慌。

如此一來，如果沒有對文件進行過任何備份的人，可能永遠「見不到」那些文件了。

好在，NotPetya 的「免疫方式」已經被 Positive Technologies 安全公司的研究人員成功解密。研究人員希望他們能夠簡化過多技術性操作的解決方案，以幫助用戶恢復他們在 NotPetya 中被加密鎖死的文件。

從傳統海陸空升級成現代「網路戰」

一個很奇怪的現象是，NotPetya 的目標非常單純，一開始就是想置烏克蘭於死地。

這不得不讓人對其背後錯綜複雜的政治問題產生聯想。

在過去四年半的時間裡，烏克蘭一直陷入與俄羅斯的一場激戰中，這場戰爭造成 1 萬多烏克蘭人死亡，數百萬人流離失所。似乎所有的行為背後都更具指向性。

而另一個值得關注的是，早在 2015-2016 年間，「慣犯」駭客就兵分兩路，一路名為 Fancy Bear 的駭客忙着打入美國民主黨全國委員會的服務器，另一路名為 Sandworm 的代理商全力攻擊烏克蘭政府組織和大企業。

終於，在 2017 年的春天，他們黑入烏克蘭 Linkos 集團的服務器，並以此為據點，特意選在烏克蘭憲法日的前一天，以 Notpetya 的首度亮相和造成的毀滅性破壞結束了他們這場預謀已久的盛大狂歡。

位於烏克蘭首都基輔的網路安全公司 ISSP 董事長 Oleg Derevianko 稱：「在所有被感染企業中，並非所有的計算機都被感染。為什麼要留下一部分呢？很可能是為了安裝新的惡意軟體，造成更大面積的網路破壞。」

美國前國土安全部顧問 Tom BossertBossert 和美國情報機構也在今年 2 月份證實了俄羅斯軍方為此次針對烏克蘭網路戰攻擊的主要嫌疑人。

今年 5 月，在襲擊事件發生一年多之後，美國司法部和烏克蘭安全部門宣布他們已經成功瓦解了俄羅斯的一項行動，稱該行動已經感染了 50 萬台網路路由器。更重要的是，他們已經使用了一種全新的惡意破壞軟體。

當然，他們的主要目標，依舊是烏克蘭。

思科的克雷格威廉姆斯認為，俄羅斯完全清楚 Notpetya 將在國際上造成的毀滅性打擊，並聲稱：「這是一個旨在發出政治資訊的惡意軟體，只要你在烏克蘭做生意，那麼壞事就會發生在你身上。」

夜幕下的烏克蘭 滿目瘡痍

在烏克蘭憲法日的前一天，舉國上下都沉浸在愉快的節日氛圍中。按計劃，很多人都已經懷着輕鬆的心情踏上了度假的旅途。而他們不知道的是，噩夢正悄然降臨！

它先是用 45 秒搞垮了該國第二大銀行 Oschadbank 的處理系統，致使數千台計算機中約有 90％被鎖定，並顯示出 NotPetya 的「修復磁盤」消息和贖金屏幕。

隨後在全國範圍內，NotPetya 用令人驚悚的速度吞噬了烏克蘭幾乎所有可用的電腦。而致使其一個重要交通樞紐陷入癱瘓，只用了 16 秒！

僅在基輔就有至少 4 家醫院，6 家電力公司，2 家機場，超過 22 家烏克蘭銀行的網路系統被勒索和摧毀，零售商、ATM 等支付系統以及近乎所有的聯邦機構也在一瞬間徹底奔潰。

「政府已經死了。」烏克蘭基建部長 Volodymyr Omelyan 總結道。那一刻，烏克蘭人民甚至在思考自己有沒有錢買明天的麵包。

而據 ISSP 稱，至少有 300 家公司受到重創。一位烏克蘭政府高級官員保守估計，該國所有計算機中約有 10％的數據已經被徹底清除。是的，他們引爆了按照 TB 體量計算的數據炸彈！

在 NotPetya 爆發一周後，烏克蘭警方全副武裝，衝進了駭客的網路潛伏地，位於基輔的 Linkos 集團總部大樓，找到了那個製造這場噩夢的根源——NotPetya 服務器機架。

到此，上帝終於在烏克蘭的這場夢魘開關上，按下了暫停鍵。

肉疼！這是數以百億計的經濟損失啊

令人驚嘆的是，在首次亮相後的幾個小時內， NotPetya 病毒就勢如破竹地穿過了烏克蘭，吞噬了世界各地無數的計算機，似乎，任何人，任何公司，都無法遁藏。

丹麥航運業巨頭馬士基，製藥巨頭默克，聯邦快遞歐洲子公司 TNT Express，法國建築公司 Saint-Gobain，食品生產商 Mondelēz，無一倖免，通通躺槍。甚至於，NotPetya 病毒對上述每個公司造成的經濟損失，都超過 9 位數。

根據 Tom Bossert 證實的白宮對此次網路災難的評估顯示，其造成的總損失超過 100 億美元。「儘管沒有生命損失，但它相當於使用核彈來取得小型戰術勝利」，Bossert 如是說。

尤其是災難發生的早上，馬士基航運公司在整個美國新澤西州碼頭終端營運點的網路指揮系統瞬間失靈，3000 輛滿載遠洋貨物的卡車像是被瞬間施了凍結法術進退無能，原本井然有序的車隊漸漸在一頓嘈雜的鳴笛聲中炸開了鍋。沒有了電子數據交換文件，馬士基公司連一個指令都無法發出。

這個擁有支撐全球經濟循環系統的世界上最複雜最緊密關聯的分布式機器就這樣在頃刻間倒塌了。

即便在不到 2 周的時間裡，馬士基公司就宣布基本完成了「災後重建」工作，但無法忽視的是，該公司在 NotPetya 停運期間的總運輸量減少了 20％。根據馬士基主席 Snable 稱，NotPetya 大概讓公司花費了 2.5 億美元到 3 億美元被迫「買」了這條帶血的教訓。

此外，默克公司分身乏術，被迫暫停了製造某些藥物的計劃，因為惡意軟體的攻擊致使它一下失去了 8.7 億美元。聯邦快遞的歐洲子公司 TNT Express 在 NotPetya 攻擊下直接癱瘓，並稱需要數月才能收回部分數據，其遭受的損失高達 4 億美元。法國建築巨頭 Saint-Gobain 的損失大致相同。而英國杜蕾斯安全套製造商 Reckitt Benckiser 也為此付出了 1.29 億美元的慘痛代價。

距離並不是堅不可摧的防禦！也許，這就是 NotPetya 要深刻提醒我們的。

很顯然，野蠻人已經走到了門口。

在過去 25 年的網路發展歷程中，可以看到，某個人在某一個電腦背後動動手指敲擊鍵盤，整個世界就會陷入無望深淵，這，可能就只在一瞬間而已。