起底平昌冬奧的黑客攻擊:“塔”在基洛夫大街22號
作者|代倩
時針指向2018年2月9日晚7點50分,韓國東北部江原道羣山之間,寒風呼嘯,從平昌奧林匹克體育場射出的燈光將夜色肢解。還有10分鐘,冬奧會即將拉開大幕,寒風中,人們似乎可以聽到所謂的奧林匹克東亞時刻滴答作響。
素樸至極的體育場內,沒有人會在意端坐在看台塑料座椅上的吳尚真(Sang-jinOh),裹在紅灰兩色組委會棉服裏的他,對於平昌寒冷天氣早已適應,望着眼前的媒體工作區,感受着逐漸暗下來燈光,他與現場35000名觀眾一道開始浸入到一場奧林匹克盛典的序篇之中。47歲的吳尚真已經為平昌冬奧會工作三年,開幕一刻內心的激越不斷被一絲絲的緊張沖淡,作為組委會IT運行的負責人,他要確保一萬台電腦、兩萬部手機、6000個WI-FI路由器,以及在首爾網絡中心的300台服務器穩定高效運轉,這是當今奧運會的神經和血脈。
任何一個技術上的故障都會第一時刻報告給吳尚真,半小時前的那次故障報告被他認定為波濤萬頃大海中的一個小漩渦而已,運維公司可以搞定的。19點59分50秒,全場倒計時開始了,黑暗中英語和韓語交雜在一起,喊出一個個數字。
就在這個韓國人苦等多年的瞬間行至不過半程,吳尚真的手機顫抖了一下,閃亮的屏幕上蹦出一條信息——
一個不明的力量正在關閉首爾控制中心的域控制器。
支撐冬奧會網絡運行的大本營正在遭受攻擊,半小時前的那個小漩渦如今已是驚濤駭浪,此時第一波煙花已然升騰,表演者正在潮水般入場。
吳尚真從椅子上蹦跳起來,他要飛奔回技術中心,那是他的戰場。衝出體育場的路上,他聽到記者們在抱怨WI-FI信號沒有了,場內數千台互聯網電視機黑屏了,安檢門失效了,另外12個冬奧會設施開始癱瘓,冬奧會官方客户端以及購票系統徹底打不開了。
文字記錄顯示,從2015年開始,平昌冬奧會組委會網絡安全部門曾召開20多次會議,專門商討如何防範網絡攻擊,如何在火災、地震和戰爭等極端情況下確保網絡神經依舊正常運行。
令人不寒而慄的的一幕還是來了,就在開幕的一瞬間。趕往技術中心的途中,吳尚真啓動了應急預案,安檢門絕不能失效,開幕式運行的網絡支撐勉力支撐。到達網絡中心,最壞的消息終於來了,遠在首爾的九部域控制器全部癱瘓,一個個預案被啓動,至少要確保開幕式平穩。控制器一次次接近修復的邊緣,但植入其間的控制病毒頑固至極。
襲擊並未能傷及開幕式,到凌晨5點,韓國國家網絡安全部門採取措施,總算抵禦住了這一波不知源頭的攻擊,數千台電腦、服務器和控制器被病毒俘獲,致命的文件叫winlogon.exe。天亮之後,冬奧會第一天比賽如期舉行,人們並不知道前一天夜裏的那場生死戰。
國際奧委會僅是用簡短的文字描述了開幕日網絡運行的不正常,此後接連兩天,還有攻擊襲來,組委會保持緘默,
誰是罕見針對奧運會進行網絡攻擊的背後力量?黑客世界中並沒有統一的答案。到底是誰悍然發起了這場網絡戰爭?是個人還是國家?
開幕式後三天,思科公司聲稱針對韓國方面上傳的相關惡意病毒軟件進行了分析,將其命名為“奧林匹克破壞者”,並高度懷疑攻擊者為NotPetya和BadRabbit兩個著名黑客。在偵破網絡戰爭源頭中,有一個不成文的約定,儘可能僅是提及攻擊方的名字,而避免與國家關聯,但是看到這兩個名字,內行人都知道,他們來自俄羅斯。
另一家網絡安全機構CrowdStrike也發現,攻擊者使用了具有俄羅斯技術特徵的勒索軟件,導致電腦惡意關閉後無法順利開機。更進一步深入研究者則指出,攻擊者使用的代碼刪除技術看起來非常像朝鮮的網絡部隊Lazarus所為,而盜取密碼的工具又詭異地將攻擊者來源指向另一大國。到底誰是“奧林匹克破壞者”?
2014年,朝鮮網絡攻擊者成功侵入索尼公司,為了一部“不適於上映的電影”;2016年,俄羅斯網絡力量被指控盜取美國民主黨大量郵件和文件,惡意操控了美國大選走向;針對烏克蘭的網絡戰爭,俄羅斯是贏家,世人皆知。
平昌冬奧組委很久之後才披露,遠在法國的國際奧委會IT服務贊助商源訊公司的技術系統也同步遭受了攻擊,無疑那裏是冬奧會網絡信息運行的另外一條命脈支撐。
未見硝煙的襲擊戰處處留痕,執着者不願輕信眼前的種種猜測。
平昌冬奧會,中國代表團入場。
總部設在莫斯科的一家中國人並不陌生的網絡安全公司中,有一位名叫索門剋夫的年輕人孤獨地在辦公室裏探尋着,他的結論是,攻擊者使用了技術障眼法,在諸多痕跡上標註了“錯誤的旗幟”,也就是使用或模仿其他國家的網絡技術,意圖栽贓。這家公司堅持網絡世界法則,不論國家,只提個體,索門剋夫不願再做探尋,
“破壞者的歸屬是一個棘手的遊戲。”
28歲的邁克爾·馬託尼斯與索門剋夫一樣,都有些孤獨,他隱居在華盛頓國會山咫尺之遙的一所地下室中,雖然早已不是當年恣肆飛揚的無政府主義朋克樂隊主唱了,但身心始終不願絲毫受束縛,供職於網絡安全公司,卻不願守在那三尺辦公桌前,隱於鬧市,靜悄悄地開始與“奧林匹克破壞者”為敵了。細細梳理手中資料,查尋破壞者留下的“網絡指紋”,馬託尼斯發現早在2017年11月,冬奧會開幕前兩個月,破壞者就已經向大量奧林匹克大家庭成員發送電子郵件,文件偽裝得毫無危險性,可是一旦打開那些文件,可怕的惡意軟件便會隨即入侵系統,找尋關鍵密碼,進而打入奧運會網絡操作系統。
路徑找到了,隨後就是要找出誰是破壞者。初期,馬託尼斯非常失望,在病毒和惡意軟件庫中,並不能馬上比對出過往存留的惡意行為痕跡,偵破似乎走到了死路之上。沉住氣,馬託尼斯終於從一個細小的技術細節找到了突破口,破壞者的技術手法與當年俄羅斯黑客攻擊烏克蘭LGBT權益組織時幾乎完全一致,這便是“網絡指紋”。
俄羅斯針對烏克蘭的網絡戰據説造成對方至少100億美元的損失,手法兇狠。在地下室中,29頁的報告產生了,馬託尼斯將破壞者的目標鎖定為俄羅斯軍方支持的網絡機構GRU,7445部隊負責實施,指揮者名叫科瓦列夫。
這個神秘的機構位於莫斯科郊外一座小城,門牌號是基列夫大街22號,一座20層的普通建築,別稱“塔”,戒備森嚴。
很快,馬託尼斯的成果引起了FBI的高度重視,探員不斷到訪地下室。去年,追尋破壞者的故事有些見諸於《連線》雜誌,但未曾引發太大波瀾。10月20日,美國大選臨近之時,FBI突然發聲,通緝六位GRU所屬的網絡攻擊者,罪名之一便是通過網絡戰爭蓄意破壞平昌冬奧會。
同時,英國情報部門宣佈,他們已經掌握了俄羅斯方面計劃網絡襲擊東京奧運會的證據。至於俄羅斯方面的動機,普遍認為是俄羅斯連續因為興奮劑事件被剝奪以國家名義參加世界大賽,蓄意進行報復。俄羅斯政府方面予以否認,克林姆林宮發言人則指責這是“恐俄症”的病態表現。
延展閲讀:
聲明:文中觀點僅代表作者本人觀點,不代表懶熊體育。