網(wǎng)絡(luò)戰(zhàn)完全指南 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-11-01 瀏覽次數(shù): |
信息來源:安全牛 網(wǎng)絡(luò)戰(zhàn)威脅籠罩未來:新型沖突可跨越國界,令距前線千里之外的平民瞬間陷入混亂。
就在不久之前,網(wǎng)絡(luò)戰(zhàn)場(chǎng)景隨令人驚懼的假定而起:如果黑客國家隊(duì)發(fā)動(dòng)大規(guī)模攻擊搞崩整個(gè)城市的電網(wǎng)會(huì)怎么樣?整個(gè)國家的銀行停業(yè),ATM 變磚?貨運(yùn)公司、煉油廠、工廠關(guān)閉?機(jī)場(chǎng)和醫(yī)院癱瘓? 如今,這些場(chǎng)景不再是假想和推測(cè):上述每一個(gè)事件都已真實(shí)發(fā)生。安全事件、災(zāi)難性事件接二連三,網(wǎng)絡(luò)戰(zhàn)已躍出熱銷科幻小說紙面,脫出五角大樓推演沙盤,環(huán)繞在我們身旁。如今,事實(shí)比以往更為明晰,黑客威脅已超越簡單的破壞公物、犯罪牟利,甚至間諜活動(dòng),涵蓋曾經(jīng)只能通過軍事打擊和恐怖主義襲擊才能造成的現(xiàn)實(shí)世界破壞。 截止目前,直接造成人員傷亡的網(wǎng)絡(luò)戰(zhàn)攻擊案例尚無明確記錄。但造成100 億美元經(jīng)濟(jì)損失的網(wǎng)絡(luò)戰(zhàn)攻擊已切實(shí)發(fā)生。網(wǎng)絡(luò)戰(zhàn)被用于恐嚇公司企業(yè)和暫時(shí)致癱整個(gè)政府。短時(shí)切斷居民供電供暖等基本服務(wù),長期剝奪交通運(yùn)輸和貨幣供給能力等,也在網(wǎng)絡(luò)戰(zhàn)的 “成效” 列表中。最令人擔(dān)憂的是,隨著伊朗、朝鮮和俄羅斯等國家持續(xù)開發(fā)新的破壞性網(wǎng)絡(luò)攻擊技術(shù),網(wǎng)絡(luò)戰(zhàn)似乎在這些國家的手中不斷發(fā)展進(jìn)化。美國和同講英語的五眼聯(lián)盟中的其他國家同樣擁有世界上最先進(jìn)的網(wǎng)絡(luò)戰(zhàn)能力,但最近幾年相比其他網(wǎng)絡(luò)戰(zhàn)參與國還是稍微克制一些。 所有這些都意味著網(wǎng)絡(luò)戰(zhàn)威脅已陰云壓境:新型沖突可跨越國界,將混亂瞬移至距前線千里之外的平民。 網(wǎng)絡(luò)戰(zhàn)的歷史和含義 要理解網(wǎng)絡(luò)戰(zhàn)對(duì)人類文明造成的獨(dú)特威脅,就要先了解這個(gè)詞到底是怎么產(chǎn)生的。畢竟,網(wǎng)絡(luò)戰(zhàn)一詞也歷經(jīng)了幾十年發(fā)展演變。托馬斯·里德 (Thomas Rid) 的網(wǎng)絡(luò)萬物史《機(jī)器崛起》(Rise of the Machines) 詳細(xì)記錄了其演變歷程。但長期的變化發(fā)展也攪渾了其含義:網(wǎng)絡(luò)戰(zhàn)這個(gè)詞最開始出現(xiàn)在 1987 年美國老牌科普/科幻雜志《Omni》登載的一篇文章中,那篇文章描述了以巨型機(jī)器人、自治飛行器和自治武器系統(tǒng)作戰(zhàn)的未來戰(zhàn)爭場(chǎng)面。但到了 1990 年代,計(jì)算機(jī)和互聯(lián)網(wǎng)日益改變?nèi)祟惿?,這種終結(jié)者風(fēng)格的機(jī)器人網(wǎng)絡(luò)戰(zhàn)意象也就讓位于更關(guān)注這兩種技術(shù)的網(wǎng)絡(luò)戰(zhàn)概念了:美國智庫蘭德公司 (RAND) 的兩位分析師在 1993 年發(fā)表文章《網(wǎng)絡(luò)戰(zhàn)來了!》,講述軍隊(duì)黑客將很快不止對(duì)敵方系統(tǒng)執(zhí)行偵察和監(jiān)視任務(wù),還會(huì)攻擊和破壞敵人用于指揮和控制的計(jì)算機(jī)。 然而幾年之后,蘭德公司的分析師就會(huì)開始認(rèn)識(shí)到,軍方黑客的破壞性攻擊可未必局限于軍用計(jì)算機(jī)。他們也能很容易地攻擊敵方關(guān)鍵基礎(chǔ)設(shè)施的計(jì)算機(jī)化和自動(dòng)化部分,可能對(duì)平民造成災(zāi)難性后果:在越來越依賴計(jì)算機(jī)的世界中,這種攻擊可能意味著破壞鐵路、股票交易所、航空系統(tǒng),甚至毀壞支撐諸多此類關(guān)鍵系統(tǒng)的電網(wǎng)。 黑客攻擊無需局限在戰(zhàn)爭外圍的一些戰(zhàn)術(shù)上:網(wǎng)絡(luò)攻擊本身就能成為戰(zhàn)爭武器。美國前總統(tǒng)克林頓在 2001 年的一次講話中警告稱:今天,我們的關(guān)鍵系統(tǒng),從電網(wǎng)到空中交通管制,都由計(jì)算機(jī)連接并運(yùn)行,有人可以同樣坐在計(jì)算機(jī)前,黑進(jìn)計(jì)算機(jī)系統(tǒng),搞垮一家公司、一座城市,或者一個(gè)政府。他在發(fā)表此番講話時(shí)腦子里想的網(wǎng)絡(luò)戰(zhàn)定義,恐怕就是將網(wǎng)絡(luò)攻擊本身作為武器的戰(zhàn)爭。 自那以后,網(wǎng)絡(luò)戰(zhàn)的定義逐漸歸攏,直到 2010 年出版的《網(wǎng)絡(luò)戰(zhàn)》一書將之清晰表述出來。該書由老布什、克林頓和小布什三位美國總統(tǒng)的御用國家安全顧問理查德·克拉克 (Ricchard Clarke) 和后來擔(dān)任奧巴馬總統(tǒng)網(wǎng)絡(luò)安全顧問的羅伯特·科奈克 (Robert Knake) 合著??死撕涂颇慰藢⒕W(wǎng)絡(luò)戰(zhàn)定義為 “民族國家滲透另一國家計(jì)算機(jī)或網(wǎng)絡(luò)以造成破壞的行為”。簡單講,該定義大致包含了業(yè)內(nèi)通常理解的 “戰(zhàn)爭行為”,只不過是通過數(shù)字化方式進(jìn)行的戰(zhàn)爭行為。但隨時(shí)光流逝,克拉克和科奈克的定義已攏不住世界前進(jìn)的腳步,數(shù)字攻擊完全有潛力超出計(jì)算機(jī)的范疇而對(duì)現(xiàn)實(shí)世界造成實(shí)際后果。 早期網(wǎng)絡(luò)戰(zhàn) 切實(shí)符合克拉克和科奈克網(wǎng)絡(luò)戰(zhàn)定義的首個(gè)歷史性事件出現(xiàn)在十幾年前,有些人也稱之為第一次 Web 大戰(zhàn) (Web War I)。襲擊目標(biāo)是世界上網(wǎng)絡(luò)化程度相當(dāng)高的愛沙尼亞。 2007 年春,前所未見的拒絕服務(wù)攻擊 (DDoS) 浪潮席卷愛沙尼亞一百多個(gè)網(wǎng)站,造成該國網(wǎng)上銀行、數(shù)字新聞媒體、政務(wù)網(wǎng)站等宕機(jī)掉線,幾乎任何有 Web 界面的服務(wù)皆不可用。攻擊緣起愛沙尼亞政府移除首都塔林中心區(qū)一座蘇聯(lián)時(shí)期雕像的決定,此決定激怒了該國說俄語的少數(shù)族裔,引發(fā)塔林各處街道的抗議游行和網(wǎng)上抗議活動(dòng)。 然而,網(wǎng)絡(luò)攻擊持續(xù)數(shù)周后,情況漸漸明朗,這不僅僅是一場(chǎng)網(wǎng)上騷亂:攻擊來自遭惡意軟件劫持的 PC 集結(jié)而成的僵尸網(wǎng)絡(luò),可能的操控者是俄羅斯有組織網(wǎng)絡(luò)犯罪團(tuán)伙。某些攻擊源甚至與早前有著明確政治意圖的 DDoS 攻擊相重合,包括曾襲擊俄羅斯棋王兼反對(duì)黨政治領(lǐng)袖加里·卡斯帕羅夫 (Gary Kasparov) 的那些攻擊。如今,安全分析師普遍認(rèn)為,即便沒有主動(dòng)組織,俄羅斯政府也可能縱容了這些攻擊。 到了第二年,俄羅斯政府與政治性網(wǎng)絡(luò)攻擊的聯(lián)系愈加明顯。另一場(chǎng)非常相似的 DDoS 攻擊涌向又一個(gè)俄羅斯鄰邦——格魯吉亞。這次,數(shù)字攻擊伴隨著實(shí)體入侵:為“保護(hù)”格魯吉亞境內(nèi)親俄羅斯的分裂分子,俄羅斯大軍壓境,坦克開入格魯吉亞首都,艦隊(duì)在封鎖格魯吉亞黑海海岸線。一些案例中,數(shù)字攻擊會(huì)作為軍事打擊的先導(dǎo),預(yù)先襲擊軍隊(duì)即將進(jìn)入的特定城市相關(guān)網(wǎng)站,展現(xiàn)出二者間的協(xié)同性。 2008 格魯吉亞戰(zhàn)爭或許是第一場(chǎng)結(jié)合了常規(guī)軍事力量與黑客攻擊力量的真實(shí)混合戰(zhàn)爭。但鑒于格魯吉亞的低互聯(lián)網(wǎng)普及率(當(dāng)時(shí)僅約 7% 的格魯吉亞人用互聯(lián)網(wǎng)),以及俄羅斯相對(duì)簡單粗暴的網(wǎng)絡(luò)攻擊(僅僅是搞垮和丑化網(wǎng)站),此役更像是網(wǎng)絡(luò)戰(zhàn)的歷史性先兆而非真正意義上的網(wǎng)絡(luò)戰(zhàn)。 網(wǎng)絡(luò)戰(zhàn)不是…… 1、網(wǎng)絡(luò)諜報(bào) 網(wǎng)絡(luò)戰(zhàn)不是簡單的信息盜竊,既不是各國相互監(jiān)視對(duì)方政府的大動(dòng)作,也不是美國長期構(gòu)陷中國的那類更富爭議的私營產(chǎn)業(yè)經(jīng)濟(jì)間諜行為。 2、網(wǎng)絡(luò)犯罪 網(wǎng)絡(luò)戰(zhàn)不是追求金錢收益的黑客活動(dòng),銀行欺詐或勒索軟件攻擊那種動(dòng)輒攫取受害者數(shù)百萬美元的黑客活動(dòng)式網(wǎng)絡(luò)犯罪,無論其效果有時(shí)顯得多么殘酷無情和損失慘重。 3、信息戰(zhàn) 盡管可能頗受爭議,但網(wǎng)絡(luò)戰(zhàn)不是旨在散布虛假信息和政治宣傳,或泄露對(duì)手負(fù)面信息試圖傷害對(duì)手的 “影響力行動(dòng)”。沒錯(cuò),“影響力行動(dòng)” 包括 2016 年可能是俄羅斯政府黑客針對(duì)民主黨目標(biāo)發(fā)起的一系列入侵和泄露行動(dòng),最終歸結(jié)為政治腐敗和黑料,而不是真正網(wǎng)絡(luò)戰(zhàn)的直接強(qiáng)勢(shì)致癱性破壞。 第一槍 2010 年,人類社會(huì)對(duì)網(wǎng)絡(luò)戰(zhàn)有了全新認(rèn)知。認(rèn)知顛覆的序幕由白俄羅斯安全公司 VirusBlokAda 拉開。該公司先是發(fā)現(xiàn)一款神秘的惡意軟件搞崩了運(yùn)行自家殺毒軟件的計(jì)算機(jī)。到了 2010 年 9 月,安全研究社區(qū)得出令人震驚的結(jié)論:該名為 “震網(wǎng)” (Stuxnet) 的惡意軟件樣本實(shí)際上是迄今為止專為網(wǎng)絡(luò)攻擊設(shè)計(jì)的最為復(fù)雜的代碼,專門用于破壞伊朗核濃縮設(shè)施里用的離心機(jī)。近兩年之后,《紐約時(shí)報(bào)》才證實(shí) “震網(wǎng)” 是美國國家安全局 (NSA) 和以色列情報(bào)機(jī)構(gòu)打造的,目的在于妨礙伊朗嘗試制造原子彈。 2009 至 2010 年間,“震網(wǎng)” 摧毀了伊朗納坦茲 (Natanz) 地下核濃縮工廠中安裝的一千多臺(tái)兩米高的鋁制離心機(jī),令該設(shè)施陷入混亂和迷惑。在伊朗人的網(wǎng)絡(luò)上廣泛散布后,“震網(wǎng)” 將指令注入了管理離心機(jī)的可編程邏輯控制器 (PLC),令離心機(jī)加速或調(diào)亂其內(nèi)部壓力,造成離心機(jī)自毀?!罢鹁W(wǎng)” 可被認(rèn)為是史上首個(gè)直接毀壞實(shí)體設(shè)備的網(wǎng)絡(luò)攻擊,也是摧毀性破壞效果至今無可超越的網(wǎng)絡(luò)戰(zhàn)行為。也可以說,“震網(wǎng)” 擊發(fā)了全球網(wǎng)絡(luò)軍備競(jìng)賽的第一槍,拉開了網(wǎng)絡(luò)軍備競(jìng)賽的大幕。 伊朗迅速跟進(jìn),從網(wǎng)絡(luò)戰(zhàn)受害者角色變身攻擊者。2012 年 8 月,沙特阿拉伯沙特阿美公司——全球最大的石油生產(chǎn)商,遭遇 Shamoon 惡意軟件襲擊,占公司計(jì)算機(jī)總數(shù)約 3/4 的 3.5 萬臺(tái)計(jì)算機(jī)被清理,石油生產(chǎn)運(yùn)營基本癱瘓。在受襲計(jì)算機(jī)的屏幕上,惡意軟件留下了一張美國國旗被點(diǎn)燃的圖片。事后一個(gè)自稱 “正義利劍” 的激進(jìn)組織宣布為此事負(fù)責(zé),但網(wǎng)絡(luò)安全分析師很快就懷疑,伊朗才是最終背后主謀,將沙特作為報(bào)復(fù) “震網(wǎng)” 的代理目標(biāo)。 接下來的一個(gè)月里,自稱 “燕子行動(dòng)” (Operation Ababil) 的伊朗黑客襲擊了美國各大銀行,用一波接一波的 DDoS 攻擊搞癱銀行網(wǎng)站。這些攻擊可謂俄羅斯在愛沙尼亞和格魯吉亞所用技戰(zhàn)術(shù)的針對(duì)性攻擊升級(jí)版。同樣地,雖然披著 “黑客激進(jìn)主義者” 的外衣,但網(wǎng)絡(luò)安全分析師從攻擊的復(fù)雜性中檢測(cè)到了伊朗政府的影子,或許,伊朗黑客國家隊(duì)釋放出了更為直接的信息——會(huì)對(duì)未來美國的任何網(wǎng)絡(luò)攻擊加以反擊/報(bào)復(fù)。一年多后,2014 年 2 月,伊朗黑客對(duì)美國本土發(fā)起了又一波更有針對(duì)性的攻擊:猶太復(fù)國主義者,億萬富翁 Sheldon Adelson 公開建議美國對(duì)伊朗動(dòng)用核武后,高端黑客襲擊了 Adelson 位于拉斯維加斯的金沙賭場(chǎng),用破壞性惡意軟件清空了數(shù)千臺(tái)計(jì)算機(jī),就像沙特阿美案例中那樣。 到了 2014 年,伊朗不再是僅有的利用網(wǎng)絡(luò)攻擊跨越國界,給全球民事目標(biāo)帶來傷害的流氓國家。朝鮮也開始秀出它的網(wǎng)絡(luò)戰(zhàn)肌肉了。多年持之以恒對(duì)其宿敵韓國傾瀉 DDoS 攻擊后,朝鮮黑客發(fā)起了更為大膽的行動(dòng):2014 年 12 月,講述朝鮮領(lǐng)導(dǎo)人金正恩刺殺陰謀的低俗喜劇電影《刺殺金正恩》上映前,黑客宣稱已深度滲透其發(fā)行方索尼影業(yè)的網(wǎng)絡(luò)。黑客自稱 “和平衛(wèi)士” (Guardians of Peace),盜取并泄露了索尼影業(yè)內(nèi)部大量電子郵件和幾部未發(fā)行的電影。他們以清空數(shù)千臺(tái)計(jì)算機(jī)的方式突襲成功。(盡管數(shù)據(jù)泄露或許稱得上是純粹的影響力行動(dòng),但破壞性數(shù)據(jù)刪除操作就將該事件推入了網(wǎng)絡(luò)戰(zhàn)的范疇。)黑客在被搞癱的計(jì)算機(jī)上留下了恐嚇性骷髏圖片,并附上了勒索信息;既要錢,也要求取消《刺殺金正恩》上映。雖說打著網(wǎng)絡(luò)犯罪的幌子,但美國聯(lián)邦調(diào)查局 (FBI) 根據(jù)黑客的一個(gè)疏漏——留下了已知為朝鮮黑客使用的中國 IP 地址,公開宣稱此攻擊是朝鮮政府所為。加入網(wǎng)絡(luò)戰(zhàn)競(jìng)爭圈的國際勢(shì)力名單越來越長了。 焦土 即便有朝鮮和伊朗黑客在金沙賭場(chǎng)和索尼影業(yè)攻擊中肆虐,2014 年前后的網(wǎng)絡(luò)戰(zhàn)仍局限于單獨(dú)的事件和階段性的破壞活動(dòng)。但就在差不多同一時(shí)間,烏克蘭正在經(jīng)歷顏色革命,可能招致俄羅斯入侵并布局[全球首場(chǎng)真正全面網(wǎng)絡(luò)戰(zhàn)。 2015 年秋,俄羅斯軍隊(duì)吞并烏克蘭克里米亞半島,穿越烏克蘭東部邊境,在頓巴斯地區(qū)支持親俄羅斯的分裂分子運(yùn)動(dòng),俄羅斯情報(bào)機(jī)構(gòu)黑客開始發(fā)動(dòng)一系列清除性惡意軟件攻擊。他們針對(duì)烏克蘭媒體和基礎(chǔ)設(shè)施,包括其國有鐵路和首都基輔的機(jī)場(chǎng),破壞了這些受害者網(wǎng)絡(luò)中數(shù)百臺(tái)計(jì)算機(jī)。然后,圣誕節(jié)前夜,同一批黑客執(zhí)行了前所未見的更加令人震驚的破壞活動(dòng):他們攻擊了三家烏克蘭地區(qū)性能源設(shè)施,讓約 22.5 萬戶居民陷入黑暗,終成史上首次由網(wǎng)絡(luò)攻擊引發(fā)的大斷電事件。斷電僅持續(xù)了六小時(shí),但向?yàn)蹩颂m人民明確傳達(dá)了其面對(duì)遠(yuǎn)程攻擊的脆弱性,也向世界表明了俄羅斯黑客不斷精進(jìn)的高超技藝。 隨著烏克蘭戰(zhàn)爭的持續(xù),俄羅斯黑客在 2016 年底又發(fā)起了一系列比上一年更大規(guī)模、更具破壞性的攻擊。他們襲擊了該國養(yǎng)老基金、國庫、港口城市政府和基礎(chǔ)設(shè)施、國防及財(cái)政部,刪除了包含下一年預(yù)算在內(nèi)的數(shù) TB 數(shù)據(jù)。烏克蘭鐵道公司也遭襲,在線訂票系統(tǒng)在假日旅游季掉線數(shù)天。 此后,圣誕節(jié)前一周,黑客觸發(fā)了另一場(chǎng)斷電事件,這次是在烏克蘭首都基輔。攻擊僅使該市部分地區(qū)斷電一小時(shí),但與一年前通過攻擊配變電站造成斷電不同,這次黑客攻擊的是輸變電站,可能導(dǎo)致更大規(guī)模的停電。第二次斷電攻擊還使用了新型預(yù)兆性工具,安全研究人員稱之為 Industroyer 或 Cras Override。該定制惡意軟件旨在向受害設(shè)施中的斷路器直接發(fā)送接二連三的指令,自動(dòng)化、規(guī)?;摂嚯娺^程,以便在未來能針對(duì)多個(gè)電力設(shè)施同時(shí)使用。 該俄羅斯惡意軟件是自震網(wǎng)之后發(fā)現(xiàn)的首個(gè)針對(duì)實(shí)體設(shè)備的代碼樣本。此工具展現(xiàn)出模塊化結(jié)構(gòu),可方便改造適用于西歐或美國的電網(wǎng)目標(biāo),表明俄羅斯黑客不僅想要對(duì)烏克蘭施以更大破壞和恐怖,還在驗(yàn)證可能輕易用在其他地方的破壞技術(shù)。 事實(shí)上,所有這些攻擊都只是網(wǎng)絡(luò)戰(zhàn)大戲的序曲。2017 年6 月底,俄羅斯黑客利用烏克蘭會(huì)計(jì)公司 Lindos Group 的被黑服務(wù)器,推送了日后被安全研究員稱為 NotPetya 的惡意代碼。NotPetya 結(jié)合了 NSA 被泄黑客程序 “永恒之藍(lán)” (EternalBlue) 與密碼盜竊工具 Mimikatz,是一款自動(dòng)化蠕蟲,幾乎立即就感染了烏克蘭近乎 10% 的計(jì)算機(jī),用偽裝成勒索軟件的破壞性攻擊載荷加密了電腦上的內(nèi)容,但并沒有在受害者支付贖金后解密文件的機(jī)制。(該惡意軟件初看像是網(wǎng)絡(luò)罪犯之前使用的老版 Petya 勒索軟件,但其實(shí)并不是,這也是其得名 NotPetya 的原因。)NotPetya 關(guān)停了烏克蘭的銀行、ATM 和銷售終端系統(tǒng),幾乎癱瘓了烏克蘭全境的政府機(jī)構(gòu),中斷了機(jī)場(chǎng)和鐵路等基礎(chǔ)設(shè)施,擾亂了醫(yī)院、國家郵政,甚至切爾諾貝利核電站廢墟的放射性水平監(jiān)測(cè)工作。 而且,NotPetya 的致病力不受國境線約束。全球最大航運(yùn)公司馬士基航運(yùn)集團(tuán)、美國制藥公司默克、聯(lián)邦快遞歐洲子公司天遞集團(tuán) (TNT Express)、法國建筑公司圣戈班 (Saint-Gobain)、食品生產(chǎn)商億滋國際和國際家化巨頭利潔時(shí),均是 NotPetya 的受害者。上述受害案例中,NotPetya 滲透了網(wǎng)絡(luò),讓數(shù)千臺(tái)計(jì)算機(jī)變磚,造成數(shù)億美元的業(yè)務(wù)損失和清理成本。該惡意軟件襲擊了至少兩家美國醫(yī)院,關(guān)停了語音轉(zhuǎn)文字軟件公司 Nuance——該公司為 100 多家醫(yī)院和診所提供醫(yī)療記錄轉(zhuǎn)錄服務(wù)。NotPetya 甚至傳回了俄羅斯,給俄羅斯國家石油公司 Rosneft、鋼鐵生產(chǎn)商耶弗拉茲 (Evraz)、醫(yī)療技術(shù)公司 Invitro 和俄羅斯聯(lián)邦儲(chǔ)蓄銀行 (Sberbank) 等受害者帶來了更深遠(yuǎn)的連帶傷害。白宮后來估計(jì),NotPetya 造成的總損失至少是 100 億美元,但其整個(gè)破壞程度永遠(yuǎn)也無法確知。 網(wǎng)絡(luò)戰(zhàn)的未來 別懷疑,網(wǎng)絡(luò)戰(zhàn)只會(huì)愈演愈烈。沒有哪個(gè)網(wǎng)絡(luò)安全分析師會(huì)賭 NotPetya 只是絕無僅有的一過性災(zāi)難。畢竟,僅僅一個(gè)月之前,朝鮮黑客就放出了他們自己的 WannaCry 勒索軟件,破壞力幾乎與 NotPetya 相當(dāng)。WannaCry 搞癱的網(wǎng)絡(luò)延伸至中國的大學(xué)、印度的警局,甚至英國國民健康服務(wù) (NHS),造成英國數(shù)千就診預(yù)約被取消,最終導(dǎo)致 40 億到 80 億美元的損失。(雖然 WannaCry 顯露出其他民族國家發(fā)起此類大型蠕蟲攻擊的可能性,但其本身未必能算作明確的網(wǎng)絡(luò)戰(zhàn),因?yàn)?WannaCry 看起來確實(shí)想要從受害者身上拿到贖金。全球網(wǎng)絡(luò)力量中朝鮮政府尤為獨(dú)特,將網(wǎng)絡(luò)犯罪盈利與政治性攻擊同等看待,政治利益與經(jīng)濟(jì)收益兩手都抓。) 已有跡象表明,未來的網(wǎng)絡(luò)攻擊可能會(huì)造成更大傷害,甚至實(shí)體破壞。2017 年 8 月,名為 Triton 或 Trisis 的惡意軟件關(guān)停了沙特阿拉伯 Petro Rabigh 公司所屬的一家煉油廠。幾個(gè)月的逆向工程后,安全研究人員確定,該惡意代碼其實(shí)無意造成停機(jī),而是旨在悄悄禁用工廠中所謂的安全儀表系統(tǒng)——防止溫度或壓力升高等不安全情況的最后一道防線。秘密禁用這些系統(tǒng)可能導(dǎo)致爆炸或燃?xì)庑孤┑戎旅馔狻? 至今仍不清楚該超危險(xiǎn)的惡意軟件背后是哪些黑客,也不知道他們?cè)跒槟膫€(gè)國家服務(wù)。盡管伊朗是安全行業(yè)猜測(cè)的主要目標(biāo)——鑒于伊朗和沙特阿拉伯之間的緊張關(guān)系和代理戰(zhàn)爭,但 2018 年末安全公司火眼發(fā)現(xiàn)的跡象顯露出于俄羅斯中央化學(xué)力學(xué)科學(xué)研究院的關(guān)聯(lián)。這有兩種解釋,要么是俄羅斯直接攻擊,要么僅僅是俄羅斯惡意軟件開發(fā)者在為伊朗或其他國家黑客干活。同時(shí),伊朗在過去三年來一直持續(xù)修改其攻擊沙特阿美公司時(shí)所用的 Shamoon 數(shù)據(jù)清除惡意軟件,針對(duì)沙特阿拉伯、卡塔爾和阿聯(lián)酋境內(nèi)的目標(biāo),階段性地發(fā)動(dòng)一波又一波數(shù)據(jù)破壞活動(dòng)。 除了安全系統(tǒng)攻擊的預(yù)期和另一場(chǎng) NotPetya 類蠕蟲可能性的陰云,還有許多其他噩夢(mèng)般的假設(shè)讓網(wǎng)絡(luò)戰(zhàn)專家夜不能寐。他們擔(dān)心對(duì)供水系統(tǒng)、金融系統(tǒng)、油氣管道、醫(yī)院的網(wǎng)絡(luò)攻擊,或許這些網(wǎng)絡(luò)攻擊還會(huì)伴隨有大規(guī)模傷亡的實(shí)體攻擊。而在烏克蘭兩次圣誕斷電之后,網(wǎng)絡(luò)戰(zhàn)專家警告稱,更嚴(yán)重的電網(wǎng)攻擊也是有可能的。比如說,早在 2007 年,美國愛達(dá)荷國家實(shí)驗(yàn)室的研究人員就演示過,僅靠惡意代碼就能破壞坦克大小的柴油發(fā)電機(jī)組。網(wǎng)絡(luò)攻擊不僅可以禁用電網(wǎng)設(shè)備,還能物理破壞其組件,這樣的觀念一直讓專注電網(wǎng)網(wǎng)絡(luò)安全的分析師憂慮不已。他們警告稱,這種戰(zhàn)術(shù),尤其是同時(shí)對(duì)多個(gè)目標(biāo)展開時(shí),可能引發(fā)遠(yuǎn)超烏克蘭黑客拉閘那種僅持續(xù)幾小時(shí)的超級(jí)大斷電——持續(xù)幾天乃至數(shù)周那種。 雖然美國很大程度上幸免于正對(duì)性網(wǎng)絡(luò)戰(zhàn)攻擊——NotPetya 的連帶傷害除外,美國情報(bào)機(jī)構(gòu)警告:俄羅斯等國家已滲透美國基礎(chǔ)設(shè)施,為未來的網(wǎng)絡(luò)沖突 “準(zhǔn)備好了戰(zhàn)場(chǎng)”。今年早些時(shí)候,美國國家情報(bào)總監(jiān)辦公室的一份報(bào)告指出:中國有能力對(duì)美國關(guān)鍵基礎(chǔ)設(shè)施發(fā)起網(wǎng)絡(luò)攻擊,造成地區(qū)性暫時(shí)中斷效果,比如天然氣管道輸氣中斷數(shù)天到數(shù)周。莫斯科正繪制美國的關(guān)鍵基礎(chǔ)設(shè)施地圖,其長期目標(biāo)是能夠造成實(shí)質(zhì)性破壞。 此類報(bào)告中未宣之于口的是:美國自己的黑客也正在往外國網(wǎng)絡(luò)中植入同樣的邏輯炸彈,這一點(diǎn)近乎確定。 網(wǎng)絡(luò)空間? 網(wǎng)絡(luò)戰(zhàn)破壞性的激增似乎不可避免,人類如何面對(duì)大規(guī)模網(wǎng)絡(luò)沖突無窮無盡的混亂未來?最明顯的答案自然是網(wǎng)絡(luò)安全:政府和私營產(chǎn)業(yè)的關(guān)鍵基礎(chǔ)設(shè)施擁有者無疑可以在網(wǎng)絡(luò)防護(hù)上投入更多,盡可能地將重要系統(tǒng)與互聯(lián)網(wǎng)隔離開來。但在網(wǎng)絡(luò)戰(zhàn)領(lǐng)域,正如廣義上的網(wǎng)絡(luò)安全領(lǐng)域,攻擊者占據(jù)明顯優(yōu)勢(shì)地位:別指望有什么安全技術(shù)可以阻止所有未來網(wǎng)絡(luò)攻擊?;蛟S最重要的是,關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商、政府機(jī)構(gòu)和公司企業(yè)需要關(guān)注構(gòu)建彈性系統(tǒng)——擁有能夠從網(wǎng)絡(luò)攻擊中快速恢復(fù)的備份和冗余的那種系統(tǒng)。 但網(wǎng)絡(luò)戰(zhàn)專家也指出,老式的威懾仍需發(fā)揮作用??山邮芎筒豢山邮艿暮诳托袆?dòng)都有國際慣例,有些不可觸碰的紅線,發(fā)起突破這些紅線的網(wǎng)絡(luò)攻擊,就得面對(duì)所引發(fā)的一系列嚴(yán)重后果。奧巴馬和特朗普政府已邁出了此類威懾政策的步伐:奧巴馬政府對(duì)攻擊美國銀行業(yè)的七名伊朗黑客提起了訴訟。奧巴馬自己在一次講話中指出朝鮮應(yīng)為索尼影業(yè)網(wǎng)絡(luò)攻擊負(fù)責(zé),并對(duì)朝鮮施加了新一輪制裁。特朗普政府雖傳言善待俄羅斯黑客,最終也確實(shí)對(duì)俄羅斯情報(bào)官員再加制裁,以回應(yīng) NotPetya 大混亂和滲透美國電網(wǎng)的攻擊行動(dòng)。 但這些動(dòng)作仍不足夠,因?yàn)樗麄儗で髮?shí)施的紅線仍處于構(gòu)建過程中。近十年來,網(wǎng)絡(luò)政策鴿派一直在呼吁簽署某種形式的全球協(xié)議或公約,建立網(wǎng)絡(luò)戰(zhàn)規(guī)范,但他們的努力大多無果。2010 年出版的《網(wǎng)絡(luò)戰(zhàn)》一書中,克拉克和科奈克提出了《網(wǎng)絡(luò)戰(zhàn)限制條約》,旨在禁止對(duì)他國關(guān)鍵基礎(chǔ)設(shè)施首先使用網(wǎng)絡(luò)攻擊。最近,微軟總裁布拉德·史密斯 (Brad Smith) 呼吁簽署《數(shù)字日內(nèi)瓦公約》,阻止對(duì)非軍事目標(biāo)的網(wǎng)絡(luò)攻擊。美國智庫大西洋理事會(huì)網(wǎng)絡(luò)治國倡議前主席喬什·科曼 (Josh Corman) 曾建議簽署更限制性的協(xié)議,設(shè)立圍繞醫(yī)院的 “網(wǎng)絡(luò)禁飛區(qū)”——實(shí)際上就是通過將針對(duì)醫(yī)療設(shè)施的任意致命性攻擊定義為戰(zhàn)爭罪,而切實(shí)開啟限制網(wǎng)絡(luò)戰(zhàn)的進(jìn)程。 但隨著網(wǎng)絡(luò)戰(zhàn)軍備競(jìng)賽的不斷升級(jí),所有這些網(wǎng)絡(luò)空間倡議幾乎都被無視了。批評(píng)家指出,網(wǎng)絡(luò)攻擊的動(dòng)機(jī)難以定義——網(wǎng)絡(luò)間諜或網(wǎng)絡(luò)偵察入侵常??雌饋硐袷钦谶M(jìn)行中的網(wǎng)絡(luò)戰(zhàn)攻擊,而確定黑客的身份更是難上加難。所謂的歸因溯源問題未能阻擋美國政府言之鑿鑿地點(diǎn)名某些政府,指責(zé)他們?cè)摓檫^去十年間影響西方目標(biāo)的重大攻擊負(fù)責(zé)。美國情報(bào)機(jī)構(gòu)可以使用人力情報(bào)來源和他們自己非常強(qiáng)大的黑客能力,找出(或者捏造出)網(wǎng)絡(luò)攻擊背后的主謀,甚至在安全社區(qū)都無法確定的時(shí)候。 更重要的是,各國政府一直無意簽署網(wǎng)絡(luò)戰(zhàn)限制條約,因?yàn)樗麄儾幌胂拗谱约簩?duì)敵人發(fā)起網(wǎng)絡(luò)攻擊的自由。美國或許在面對(duì)敵人的重大網(wǎng)絡(luò)攻擊時(shí)并非無懈可擊,但美國領(lǐng)導(dǎo)人仍然無意妨礙美國自己的 NSA 和網(wǎng)絡(luò)司令部——全球最具才華、資源最充足的黑客群體。特朗普政府則繼續(xù)給網(wǎng)絡(luò)司令部松綁,提升其權(quán)限,徹底放開網(wǎng)絡(luò)司令部對(duì)敵方基礎(chǔ)設(shè)施發(fā)起先發(fā)制人攻擊的自由。就在今年,據(jù)稱網(wǎng)絡(luò)司令部動(dòng)用這些新權(quán)限摧毀了俄羅斯互聯(lián)網(wǎng)研究機(jī)構(gòu) (Internet Research Agency) 的服務(wù)器,對(duì)伊朗網(wǎng)絡(luò)間諜實(shí)施破壞性攻擊,并在俄羅斯電網(wǎng)中深植潛在破壞性惡意軟件。 換句話說,美國和其他大國仍未意識(shí)到互扔焦土式網(wǎng)絡(luò)攻擊只會(huì)得不償失。除非他們轉(zhuǎn)變認(rèn)知,否則網(wǎng)絡(luò)戰(zhàn)機(jī)器仍將前行,一步步碾壓現(xiàn)代文明基礎(chǔ)設(shè)施。 網(wǎng)絡(luò)戰(zhàn)攻擊簡史
愛沙尼亞,2007:愛沙尼亞政府決定于 2007 年 4 月移除首都塔林中心區(qū)一座蘇聯(lián)士兵雕像,此決定激怒了該國說俄語的少數(shù)族裔,引發(fā)大規(guī)??棺h。暴亂伴隨著一波分布式拒絕服務(wù)攻擊,造成數(shù)百個(gè)愛沙尼亞網(wǎng)站掉線。該攻擊可能有俄羅斯政府背后支持。
格魯吉亞,2008:到了第二年,俄格戰(zhàn)爭中再現(xiàn)非常相似的網(wǎng)絡(luò)攻擊,俄羅斯坦克開向格魯吉亞首都,軍艦封鎖其海岸線的同時(shí),一系列拒絕服務(wù)攻擊轟向該國網(wǎng)站。雖說這些在線攻擊看起來相對(duì)粗糙,但或許是史上首次伴隨著實(shí)體入侵的大規(guī)模數(shù)字攻擊。
震網(wǎng),2009:2009 年開始,名為震網(wǎng) (Stuxnet) 的獨(dú)創(chuàng)性惡意軟件開始滲透伊朗納坦茲核濃縮設(shè)施的網(wǎng)絡(luò),悄悄篡改其脆弱的離心機(jī)設(shè)置,造成離心機(jī)自毀,嚴(yán)重挫傷伊朗的核武意圖。僅在2010 年該蠕蟲意外擴(kuò)散到世界其他地方時(shí),該行動(dòng)才暴露,而兩年之后,被證實(shí)是美國國家安全局 (NSA) 和以色列情報(bào)機(jī)構(gòu)的杰作。
沙特阿美,2012:震網(wǎng)被證實(shí)是美國和以色列主導(dǎo)的攻擊行動(dòng)后僅僅兩個(gè)月,Shamoon 惡意軟件襲擊了石油巨頭沙特阿美公司,摧毀 3.5 萬臺(tái)計(jì)算機(jī)。該攻擊是當(dāng)時(shí)現(xiàn)世的此類攻擊中最大型的,被迅速鎖定為伊朗黑客所為,并被認(rèn)為是報(bào)復(fù)美國震網(wǎng)破壞行為的代理攻擊。
索尼,2014:2014 年底,自稱 “和平衛(wèi)士” (Guardians of Peace) 的黑客團(tuán)伙撕開索尼影業(yè)網(wǎng)絡(luò),盜取并泄露包括未發(fā)行影片在內(nèi)的大量數(shù)據(jù),破壞了數(shù)千臺(tái)電腦,要求索尼取消上映其喜劇電影《刺殺金正恩》。盡管黑客最初表現(xiàn)得像是要求贖金的網(wǎng)絡(luò)罪犯,但 FBI 很快便宣布他們實(shí)際上是朝鮮黑客國家隊(duì)。
烏克蘭,2015:2015 年圣誕節(jié)前兩天,俄羅斯黑客觸發(fā)了史上首起由網(wǎng)絡(luò)攻擊引起的大斷電,切斷了數(shù)萬烏克蘭家庭的電力供應(yīng)。該攻擊發(fā)生在俄羅斯實(shí)體入侵該國東部和克里米亞半島的中途,前后均伴隨有一系列嚴(yán)重的數(shù)據(jù)清除攻擊,以 2016 年末烏克蘭首都基輔的另一場(chǎng)大斷電為高潮結(jié)束。
NotPetya,2017 年 6 月:俄羅斯對(duì)烏克蘭的網(wǎng)絡(luò)戰(zhàn)在 2016 年 6 月到達(dá)了高峰,當(dāng)時(shí)俄羅斯放出了 NotPetya 惡意軟件,通過劫持烏克蘭會(huì)計(jì)軟件 M.E.Doc 的軟件更新,將該數(shù)據(jù)摧毀型蠕蟲植入了數(shù)千臺(tái)計(jì)算機(jī)中。但 NotPetya 不僅摧毀了烏克蘭的網(wǎng)絡(luò),還擴(kuò)散到了馬士基航運(yùn)、默克公司、聯(lián)邦快遞等跨國公司,導(dǎo)致破紀(jì)錄的 100 億美元損失。 Triton/Trisis,2017 年 8 月:NotPetya 之后僅僅數(shù)月,沙特阿拉伯煉油廠 Petro Rabigh 遭名為 Triton 或 Trisis 的高級(jí)惡意軟件關(guān)停。這還不是最糟的:分析師發(fā)現(xiàn),這一顯露出俄羅斯科學(xué)研究院蹤跡的神秘惡意軟件,原本是要關(guān)停該廠安全系統(tǒng)的——可能引發(fā)人身傷亡事件。
|