网络战完全指南

2010 年，人类社会对网络战有了全新认知。认知颠覆的序幕由白俄罗斯安全公司 VirusBlokAda 拉开。该公司先是发现一款神秘的恶意软件搞崩了运行自家杀毒软件的计算机。到了 2010 年 9 月，安全研究社区得出令人震惊的结论：该名为 “震网” (Stuxnet) 的恶意软件样本实际上是迄今为止专为网络攻击设计的最为复杂的代码，专门用于破坏伊朗核浓缩设施里用的离心机。近两年之后，《纽约时报》才证实 “震网” 是美国国家安全局 (NSA) 和以色列情报机构打造的，目的在于妨碍伊朗尝试制造原子弹。

2009 至 2010 年间，“震网” 摧毁了伊朗纳坦兹 (Natanz) 地下核浓缩工厂中安装的一千多台两米高的铝制离心机，令该设施陷入混乱和迷惑。在伊朗人的网络上广泛散布后，“震网” 将指令注入了管理离心机的可编程逻辑控制器 (PLC)，令离心机加速或调乱其内部压力，造成离心机自毁。“震网” 可被认为是史上首个直接毁坏实体设备的网络攻击，也是摧毁性破坏效果至今无可超越的网络战行为。也可以说，“震网” 击发了全球网络军备竞赛的第一枪，拉开了网络军备竞赛的大幕。

伊朗迅速跟进，从网络战受害者角色变身攻击者。2012 年 8 月，沙特阿拉伯沙特阿美公司——全球最大的石油生产商，遭遇 Shamoon 恶意软件袭击，占公司计算机总数约 3/4 的 3.5 万台计算机被清理，石油生产运营基本瘫痪。在受袭计算机的屏幕上，恶意软件留下了一张美国国旗被点燃的图片。事后一个自称 “正义利剑” 的激进组织宣布为此事负责，但网络安全分析师很快就怀疑，伊朗才是最终背后主谋，将沙特作为报复 “震网” 的代理目标。

接下来的一个月里，自称 “燕子行动” (Operation Ababil) 的伊朗黑客袭击了美国各大银行，用一波接一波的 DDoS 攻击搞瘫银行网站。这些攻击可谓俄罗斯在爱沙尼亚和格鲁吉亚所用技战术的针对性攻击升级版。同样地，虽然披着 “黑客激进主义者” 的外衣，但网络安全分析师从攻击的复杂性中检测到了伊朗政府的影子，或许，伊朗黑客国家队释放出了更为直接的信息——会对未来美国的任何网络攻击加以反击/报复。一年多后，2014 年 2 月，伊朗黑客对美国本土发起了又一波更有针对性的攻击：犹太复国主义者，亿万富翁 Sheldon Adelson 公开建议美国对伊朗动用核武后，高端黑客袭击了 Adelson 位于拉斯维加斯的金沙赌场，用破坏性恶意软件清空了数千台计算机，就像沙特阿美案例中那样。

到了 2014 年，伊朗不再是仅有的利用网络攻击跨越国界，给全球民事目标带来伤害的流氓国家。朝鲜也开始秀出它的网络战肌肉了。多年持之以恒对其宿敌韩国倾泻 DDoS 攻击后，朝鲜黑客发起了更为大胆的行动：2014 年 12 月，讲述朝鲜领导人金正恩刺杀阴谋的低俗喜剧电影《刺杀金正恩》上映前，黑客宣称已深度渗透其发行方索尼影业的网络。黑客自称 “和平卫士” (Guardians of Peace)，盗取并泄露了索尼影业内部大量电子邮件和几部未发行的电影。他们以清空数千台计算机的方式突袭成功。(尽管数据泄露或许称得上是纯粹的影响力行动，但破坏性数据删除操作就将该事件推入了网络战的范畴。)黑客在被搞瘫的计算机上留下了恐吓性骷髅图片，并附上了勒索信息;既要钱，也要求取消《刺杀金正恩》上映。虽说打着网络犯罪的幌子，但美国联邦调查局 (FBI) 根据黑客的一个疏漏——留下了已知为朝鲜黑客使用的中国 IP 地址，公开宣称此攻击是朝鲜政府所为。加入网络战竞争圈的国际势力名单越来越长了。

焦土

即便有朝鲜和伊朗黑客在金沙赌场和索尼影业攻击中肆虐，2014 年前后的网络战仍局限于单独的事件和阶段性的破坏活动。但就在差不多同一时间，乌克兰正在经历颜色革命，可能招致俄罗斯入侵并布局[全球首场真正全面网络战。

2015 年秋，俄罗斯军队吞并乌克兰克里米亚半岛，穿越乌克兰东部边境，在顿巴斯地区支持亲俄罗斯的分裂分子运动，俄罗斯情报机构黑客开始发动一系列清除性恶意软件攻击。他们针对乌克兰媒体和基础设施，包括其国有铁路和首都基辅的机场，破坏了这些受害者网络中数百台计算机。然后，圣诞节前夜，同一批黑客执行了前所未见的更加令人震惊的破坏活动：他们攻击了三家乌克兰地区性能源设施，让约 22.5 万户居民陷入黑暗，终成史上首次由网络攻击引发的大断电事件。断电仅持续了六小时，但向乌克兰人民明确传达了其面对远程攻击的脆弱性，也向世界表明了俄罗斯黑客不断精进的高超技艺。

随着乌克兰战争的持续，俄罗斯黑客在 2016 年底又发起了一系列比上一年更大规模、更具破坏性的攻击。他们袭击了该国养老基金、国库、港口城市政府和基础设施、国防及财政部，删除了包含下一年预算在内的数 TB 数据。乌克兰铁道公司也遭袭，在线订票系统在假日旅游季掉线数天。

此后，圣诞节前一周，黑客触发了另一场断电事件，这次是在乌克兰首都基辅。攻击仅使该市部分地区断电一小时，但与一年前通过攻击配变电站造成断电不同，这次黑客攻击的是输变电站，可能导致更大规模的停电。第二次断电攻击还使用了新型预兆性工具，安全研究人员称之为 Industroyer 或 Cras Override。该定制恶意软件旨在向受害设施中的断路器直接发送接二连三的指令，自动化、规模化该断电过程，以便在未来能针对多个电力设施同时使用。

该俄罗斯恶意软件是自震网之后发现的首个针对实体设备的代码样本。此工具展现出模块化结构，可方便改造适用于西欧或美国的电网目标，表明俄罗斯黑客不仅想要对乌克兰施以更大破坏和恐怖，还在验证可能轻易用在其他地方的破坏技术。

事实上，所有这些攻击都只是网络战大戏的序曲。2017 年6 月底，俄罗斯黑客利用乌克兰会计公司 Lindos Group 的被黑服务器，推送了日后被安全研究员称为 NotPetya 的恶意代码。NotPetya 结合了 NSA 被泄黑客程序 “永恒之蓝” (EternalBlue) 与密码盗窃工具 Mimikatz，是一款自动化蠕虫，几乎立即就感染了乌克兰近乎 10% 的计算机，用伪装成勒索软件的破坏性攻击载荷加密了电脑上的内容，但并没有在受害者支付赎金后解密文件的机制。(该恶意软件初看像是网络罪犯之前使用的老版 Petya 勒索软件，但其实并不是，这也是其得名 NotPetya 的原因。)NotPetya 关停了乌克兰的银行、ATM 和销售终端系统，几乎瘫痪了乌克兰全境的政府机构，中断了机场和铁路等基础设施，扰乱了医院、国家邮政，甚至切尔诺贝利核电站废墟的放射性水平监测工作。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!