2010 年 10 月,美國聯邦調查局監控美國互聯網流量的一部系統收到報警,信號來自納斯達克。看起來惡意軟件已經浸入了納斯達克的中央服務器。跡象顯示入侵者并非是某個地方的小孩子,而是某國的情報機構。更糟糕的在后面:當美國計算機專家仔細查看了入侵的軟件之后,他們意識到這是一個攻擊程序,目的就是要造成破壞。
目標:納斯達克
雖然黑客行動已經成為每天都有的煩心事,但是大部分都是在公眾不知情的情況下發生的。中國、法國、以色列—還有許多其他不知名的對手—都會以這樣或那樣的方式黑客入侵。他們竊取導彈計劃、化學方程式、電力管道結構圖還有經濟數據。這是一種間諜行為;攻擊程序是一種軍事打擊。有報道的行動部署很少,最著名的要數 Stuxnet 蠕蟲,被廣泛認為是美國和以色列的合作項目。2010 年,Stuxnet 曾經導致伊朗位于納坦茲鎮鈾濃縮設施的臨時癱瘓。Stuxnet 關閉了該設施的安全機制,導致位于精煉廠核心的分離機失去了控制。兩年后,伊朗摧毀了沙特阿美石油公司(Saudi Aramco)三分之二的計算機網絡,使用的是一種相對簡單但是傳播極快的“擦拭者”(wiper)病毒。美方某資深官員表示,在美國關鍵電腦系統內植入的數字武器,他只見過一例—在納斯達克的系統里。
十月份的這次警報讓國家安全局(NSA)也牽扯了進來,2011 年初,NSA 調查結論認為存在巨大的危險。華盛頓郊外一棟 11 層高的辦公樓里,緊急行動小隊通過安全線路進行了視頻會議。這棟樓正是美國國家數字按群和通訊整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的總部,該機構的任務是聚焦并協調美國政府針對數字攻擊的應對措施。他們評估了 FBI 的數據以及來自 NSA 的補充資料,迅速決定需要擴大行動規模。
于是,一場長達五個月的調查開始了,嚴苛程度讓美國的數字反應能力都經受了挑戰,直接將美國總統牽入其中。情報和執法機構承受著解碼復雜黑客入侵的壓力,即便是向立法機構提供一份稍顯清晰的報告都有些力不從心。在幾個月的努力之后,政府不同部門對于誰是幕后主使這一問題仍舊存在基本分歧。“我們觀察到某個國家獲取了進入至少一家美國股票交易所的權限,這么說吧,目前仍不清楚他們的最終目的到底是什么,”眾議院情報委員會(House Intelligence Committee)主席、密歇根州民主黨議員麥克羅杰斯(Mike Rogers)這樣說道,他在采訪時僅同意發表一般觀點,因為細節部分仍舊處于保密狀態。“這種情況糟糕的地方在于,直到最后一刻來臨否則我無法確認真的弄清楚了。而你又永遠不希望這一刻的來臨。”
彭博商業周刊花費幾個月的時間,就納斯達克入侵及其后續事件采訪了超過二十位相關人士。其中有九個人直接參與了調查和國家安全審核;所有人都沒有獲得接受采訪的授權。“納斯達克入侵事件的調查仍舊在進行中,”FBI 紐約助理行動首長(Assistant Director in Charge)喬治維尼澤羅斯(George Venizelos)表示,“和所有的數字犯罪案情一樣,情況是復雜的,證據和事實會隨著時間發生變化。”
雖然黑客入侵被成功中斷了,但卻揭示出金融交易所—還有銀行、化學精煉廠、水處理廠以及電力系統—在數字攻擊面前的不堪一擊。親身體驗了這次事件的某官員認為,這次攻擊將會改變一切,迫使美國認真對待,準備好迎接計算機沖突的新時代。不過這一點他說錯了。
危險升級:白宮介入
NCCIC 電話會議的成員都是來自國防部、財政部、國土安全部、NSA 還有 FBI 的專家。最初的評估結果給緊急行動小隊提供的只是一些關于黑客身份的粗略資料,但是幾分鐘之后他們就一致同意,入侵情況非常嚴重,必須通知白宮。
第二天,電話會議成員又在白宮集結,參加會議的還有來自司法部和中央情報局的官員。小組羅列了幾個方案,要匯報給來自白宮、司法部、五角大樓以及其他部門的高級國家安全人員。這些官員來判斷哪些問題是調查人員不得不回答的:黑客們是否能操縱或者破壞交易平臺?這次入侵是否只是大規模攻擊美國金融基礎設施計劃的一部分?
美國特勤局(The U.S. Secret Service)被推選來領導此次調查。特勤局代表指出,他們已經在幾個月之前去過納斯達克,并攜帶了幾個俄羅斯數字犯罪嫌疑人的證據,為首的是圣彼得堡人加里寧(Aleksandr Kalinin),犯罪嫌疑人曾經入侵了納斯達克,這兩起事件或許有關聯。但是,特勤局未能在辯論中占上風,退出了調查行動。
調查起疑團:兩個“零日漏洞”
當 FBI 通知納斯達克入侵事件的存在時,卻發現納斯達克自己已經檢測到異常情況,但是并沒有公布受攻擊的消息。在就保密方面的問題討教還價一番之后,納斯達克公司允許政府工作人員使用他們的計算機網絡。調查小隊分別抵達了納斯達克位于紐約城自由廣場(One Liberty Plaza)的總部和位于新澤西卡特雷特(Carteret)的數據中心,在那里他們發現了某國情報機構或軍方的多處行動跡象。
黑客使用了兩個“零日漏洞”(zero-day),這是一種計算機代碼中的未知漏洞—程序員稱其為“零日”—允許黑客輕松地遠程控制一臺計算機。該漏洞已經成為一種很有價值的通貨,有時候在地下黑市能夠賣到上萬美元。使用一個零日漏洞意味著某個經驗豐富的黑客在操縱;一個以上則是政府在支撐。Stuxnet 曾經安置了四個—這意味著代碼編寫者曾經做過高水平的偵測,并且熟悉不同的系統如何協調工作。
攻擊納斯達克的人也曾經做過類似的功課,擁有同等級的資源支持。關鍵的一點是從納斯達克電腦集群中取出的黑客惡意軟件。NSA 之前曾經見到過一個版本,是由俄羅斯聯邦安全局(Federal Security Service of the Russian Federation)設計開發的,也就是該國的主要間諜機構。這款惡意軟件不僅僅是竊聽:雖然也能夠用于竊取數據,同樣可以在電腦網絡里實施大規模的顛覆操作。NSA 認為這款軟件有能力清除整個交易所的數據。
一月初,NSA 向國家安全部門的高層報告:俄羅斯精英黑客已經入侵了納斯達克股票交易所,并且植入了數字炸彈。最好的情況是黑客將其設置為破壞模式,被偵測到的時候在納斯達克的電腦網絡中制造破壞,以便甩掉追蹤者。最糟糕的情況是,制造破壞就是這些黑客的目的。這一發現結果匯報給了美國總統奧巴馬。
在之后的調查中,一些美國官員質疑 NSA 是否對證據做了過度解讀。惡意軟件通常會被買賣交易—被出售、被竊取或者被分享。攻擊代碼和不那么具有毀滅效果的代碼,兩者之間在技術上的分別是非常小的。當時 NSA 首長肯斯亞歷山大(Keith Alexander)與其他政府部門爭執不休,分歧就在與 NSA 在保護個人電腦不受這種形式攻擊的過程中究竟應該有多少權力。發生這樣一次攻擊事件,顯然支持了 NSA 的主張。
隨著調查繼續在納斯達克總部及其數據中心深入開展,調查人員重現了這些全球頂級黑客的入侵路線。調查人員對于像納斯達克這樣復雜的業務系統如此脆弱感到非常驚訝。“我們以為,一般來說,金融機構的操作水平是非常好的,”前奧巴馬政府數字安全專家克里斯托佛費南(Christopher Finan)說道,“并不是說他們做得完美,但就整體水平來說他們名列前茅。”
入侵來自中國?
但是調查人員在納斯達克的發現讓他們感到震驚,工作人員發現幾個不同的用戶組自由操作的痕跡,其中一些已經在該交易所的網絡里面存在幾年時間了,這里面就包括中國的黑客間諜。每日機器活動的基本紀錄都是在服務器上生成的,這一點可以幫助調查人員追蹤黑客行動,但是這些紀錄幾乎完全不存在了。調查人員同樣發現自由廣場管理公司負責的網站被植入了名為黑洞(Blackhole)的代碼包,這是一個俄羅斯人的發明,能夠感染那些訪問該頁面支付賬單或者做其他物業維護的承租人的電腦。
一位調查人員稱納斯達克的電腦集群仿佛是“泥濘的沼澤地”(the dirty swamp)一般,這讓追查俄羅斯黑客軟件的進度出奇緩慢。調查人員認為黑客至少在警報發出前三個月已經入侵了納斯達克的電腦系統,但這只是個猜測。有跡象顯示一大塊緩存數據被竊取了,但是證據過于欠缺,很難發現究竟丟失的是什么。“如果有人闖入你家,想弄清楚他們去了那里、拿了什么東西是很困難的,因為和銀行不同,你家里沒有攝像頭,你也沒有運動探測器,”安全公司 Siege Technologies 的首席執行官杰森西沃森(Jason Syversen)說道,“就數字安全來說,大部分公司更像居民房屋,而不是一家銀行。”
調查人員把這次攻擊定性的問題交給了納斯達克自己去處理,該公司在二月五日發布了一份公司聲明,之后又提交了一份監管報告。對于納斯達克來說,沒有更糟糕的時機了。當時正值其試圖以 110 億美元收購紐約股票交易所之際。
但納斯達克在聲明里并沒有說明這次攻擊有多么嚴重。該公司只是說在一次“例行檢查”(a routine scan)中發現了惡意軟件,入侵只限于名為“總監工作臺”(Director
京公網安備 11010502049343號