萬(wàn)鳴宇

基辛格說(shuō)，“一個(gè)人只要有足夠的計(jì)算能力，就能進(jìn)入網(wǎng)絡(luò)領(lǐng)域，在一個(gè)無(wú)人知曉的角落，讓重要基礎(chǔ)設(shè)施陷入癱瘓或徹底毀壞?！?/p>

中國(guó)一家海事機(jī)構(gòu)的辦公室里，工作人員發(fā)現(xiàn)一臺(tái)電腦忽然出現(xiàn)異常情況：運(yùn)行緩慢，CPU、內(nèi)存占用率極高。

這引起安全人員的警惕。360公司為該單位提供安全服務(wù)，相關(guān)負(fù)責(zé)人汪列軍第一時(shí)間參與調(diào)查。這是來(lái)自海外的一場(chǎng)網(wǎng)絡(luò)攻擊。技術(shù)人員當(dāng)即展開(kāi)有效防御，但后續(xù)攻擊沿著網(wǎng)線持續(xù)涌來(lái)。

對(duì)方顯然不僅想竊取電腦里的機(jī)密文件。他們大量發(fā)送與工作人員看似相關(guān)的郵件——比如工資報(bào)告單。一旦該部門(mén)員工將附件打開(kāi)，可以控制服務(wù)器的木馬就會(huì)運(yùn)行，到時(shí)候，千萬(wàn)里之外，這些黑客也能控制該機(jī)構(gòu)的所有計(jì)算機(jī)。

“從它資源的可得程度來(lái)看，這個(gè)黑客組織肯定是有國(guó)家支持，專(zhuān)門(mén)進(jìn)行類(lèi)似間諜活動(dòng)的網(wǎng)絡(luò)攻擊?！蓖袅熊娬f(shuō)。360和這個(gè)黑客組織已經(jīng)交手多次，他們還給對(duì)方起個(gè)名字：“海蓮花”。截至2015年，“海蓮花”的襲擊遍布全世界范圍內(nèi)的36個(gè)國(guó)家，中國(guó)感染者占到92.3%，遍布國(guó)內(nèi)29個(gè)省級(jí)行政區(qū)。

美國(guó)網(wǎng)絡(luò)司令部司令曾預(yù)言：“下一次戰(zhàn)爭(zhēng)，將在網(wǎng)絡(luò)空間打響。”這個(gè)斷言，現(xiàn)在看來(lái)并不遙遠(yuǎn)。針對(duì)政府和敏感部門(mén)的攻擊，正越來(lái)越頻繁。大國(guó)的網(wǎng)絡(luò)部隊(duì)，也已現(xiàn)身，蠢蠢欲動(dòng)。這時(shí)候，中國(guó)代表在聯(lián)合國(guó)，提出了新的應(yīng)對(duì)之策。

誰(shuí)是敵人？

前不久，中國(guó)某對(duì)外涉密單位內(nèi)網(wǎng)發(fā)現(xiàn)了一起攻擊行動(dòng)。同“海蓮花”事件類(lèi)似，黑客試圖通過(guò)木馬入侵系統(tǒng)。安全部門(mén)截獲這起攻擊后，迅速開(kāi)始分析病毒構(gòu)成，尋找攻擊來(lái)源。

植入木馬的方式，并不復(fù)雜。漁叉攻擊和水坑攻擊是常見(jiàn)的攻擊方式之一。前者是黑客通常將木馬程序包裝成郵件附件，并給附件取一個(gè)極具誘惑的文件名——如“公務(wù)員工資收入改革方案”——誘使使用者點(diǎn)擊，進(jìn)而感染木馬。水坑攻擊則是黑客通過(guò)分析目標(biāo)的上網(wǎng)習(xí)慣，找到其經(jīng)常訪問(wèn)的網(wǎng)站，通過(guò)該網(wǎng)站漏洞，植入攻擊代碼，一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站，就會(huì)像掉進(jìn)水坑陷阱一樣中招。

也有的利用U盤(pán)擺渡。網(wǎng)絡(luò)安全公司中睿天下CTO魏海宇說(shuō)，他們?cè)龅竭^(guò)一個(gè)案例，有黑客在某政府部門(mén)丟了U盤(pán)，有個(gè)不懂技術(shù)的文職員工恰好撿到，她好奇U盤(pán)中的內(nèi)容，插到電腦，結(jié)果U盤(pán)中植入的木馬病毒開(kāi)始竊取內(nèi)網(wǎng)里的機(jī)密信息。

“其實(shí)光盤(pán)也可以”，魏海宇說(shuō)，“有的U盤(pán)里甚至可能會(huì)植入一種小芯片，本身可以發(fā)網(wǎng)絡(luò)信號(hào)，所以它不需要借助互聯(lián)網(wǎng)，只要插入電腦，我離你可能幾公里，或者是幾百米之內(nèi)，利用專(zhuān)門(mén)的設(shè)備可以接收到這個(gè)信號(hào)。”

與現(xiàn)實(shí)中的戰(zhàn)爭(zhēng)不同，網(wǎng)絡(luò)攻擊來(lái)源藏匿于陰影之中，對(duì)方可能通過(guò)分散在數(shù)個(gè)國(guó)家的服務(wù)器展開(kāi)攻擊，要想追溯到明確源頭，非常困難。但技術(shù)人員仍然可以通過(guò)對(duì)攻擊習(xí)慣、病毒代碼的分析，找到一些蛛絲馬跡。

截獲針對(duì)上述涉密單位攻擊的病毒后，與安全部門(mén)有合作的中睿天下，開(kāi)始分析這次攻擊的木馬病毒?！霸谶M(jìn)行木馬分析時(shí)”，魏海宇解釋道，他們發(fā)現(xiàn)，這個(gè)病毒語(yǔ)言庫(kù)里，有一個(gè)隱藏的地方，默認(rèn)語(yǔ)言是英文，只有一個(gè)地方，用了另一種特殊地區(qū)使用的文字。分析出這個(gè)線索，再結(jié)合IP地址真實(shí)定位技術(shù)，基本就可以斷定攻擊者是來(lái)自使用該種文字的地區(qū)。

“當(dāng)一個(gè)攻擊者對(duì)我們進(jìn)行攻擊的時(shí)候，他有很多攻擊手段，還可能利用很多攻擊工具”，魏海宇說(shuō)，他們搜集了大量黑客攻擊指紋，遇到攻擊時(shí)，就可以通過(guò)樣本對(duì)比，進(jìn)行溯源追蹤，“比如我們收集到一個(gè)美國(guó)論壇里面的一個(gè)黑客工具，這個(gè)工具只有美國(guó)一個(gè)組織用過(guò)，如果我們發(fā)現(xiàn)攻擊者使用的是這個(gè)工具時(shí)，哪怕他們的IP來(lái)自日本或者韓國(guó)，但我們也會(huì)初步斷定攻擊是來(lái)自美國(guó)?！?/p>

但這種溯源也帶有很多推斷成分，很難有足夠精確的證據(jù)?！艾F(xiàn)在的做法，一般是通過(guò)代碼里的指紋，攻擊手段的指紋來(lái)溯源”，清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院副教授張超說(shuō)，如果黑客可以偽造一些關(guān)鍵信息，就很難追蹤了?！昂诳涂梢允褂酶鞣N匿名IP，不斷地跳”，經(jīng)常追蹤到某個(gè)節(jié)點(diǎn)，可能就會(huì)中斷了。

“當(dāng)隸屬關(guān)系不清的個(gè)人也能實(shí)施極具野心和侵入性的行動(dòng)時(shí)，國(guó)家行動(dòng)這個(gè)概念可能也變得模糊了……”美國(guó)政治家基辛格談到這個(gè)問(wèn)題時(shí)說(shuō)，“更加危險(xiǎn)的是，實(shí)施這些行為的嫌疑人可以合理推諉，而且也沒(méi)有相關(guān)國(guó)際協(xié)議?！?h3>網(wǎng)絡(luò)軍火庫(kù)

5月12日上午，23歲的李中文正在搬家，突然接到公司領(lǐng)導(dǎo)的電話，要他趕緊來(lái)公司指揮中心，“當(dāng)時(shí)感覺(jué)控制不住局面了”。

再過(guò)兩天，“一帶一路”國(guó)際合作高峰論壇就要開(kāi)幕了。恰恰這個(gè)時(shí)候，勒索病毒開(kāi)始在全球泛濫，中國(guó)也未能幸免，不斷有銀行、加油站等基礎(chǔ)設(shè)施的電腦罷工。

李中文瘦高，戴一副黑框眼鏡，供職于360公司。接到公司安排后，他先去一些公安部門(mén)協(xié)助解決問(wèn)題，等這邊工作告一段落，他又接到電話，“連夜去了‘一帶一路會(huì)場(chǎng)那邊”。

晚上10點(diǎn)多，他趕到國(guó)家會(huì)議中心。剛進(jìn)辦公區(qū)域，就發(fā)現(xiàn)一臺(tái)電腦中招了。他當(dāng)即斷網(wǎng)檢查，好在服務(wù)器并未受到感染。之后的一天，他一直待在會(huì)議中心，隨時(shí)防備可能出現(xiàn)的問(wèn)題。

據(jù)互聯(lián)網(wǎng)應(yīng)急中心提供的數(shù)據(jù)，5月13日中午，中心檢測(cè)的全網(wǎng)攻擊總數(shù)已經(jīng)超過(guò)100萬(wàn)次，被感染的機(jī)器接近1萬(wàn)臺(tái)。

因?yàn)槭褂玫囊恍┫到y(tǒng)版本老舊，中國(guó)政府部門(mén)、高校、公安局等單位成了此次病毒的重災(zāi)區(qū)。而國(guó)外的銀行、醫(yī)院系統(tǒng)，也受到很大沖擊，一些手術(shù)不得不取消。據(jù)安全公司卡巴斯基發(fā)布的報(bào)告，全球74個(gè)國(guó)家和地區(qū)遭受了攻擊，實(shí)際范圍可能更廣。在受攻擊最多的20個(gè)國(guó)家和地區(qū)中，俄羅斯遠(yuǎn)超過(guò)其他受害者，中國(guó)大陸排在第五。endprint