黑客攻擊：烏克蘭如何淪為俄羅斯的網路戰實驗室

利維坦按：這幾周，黑客攻擊HBO盜取信息（包括《權力的遊戲》等美劇在內的劇情內容）正成為一個熱點新聞，不過，和本文的黑客相比，可謂小巫見大巫了。本文為今年6月20日發佈於《連線》雜誌官網的報道文章，其實僅僅在10天之後（7月1日），烏克蘭便再次聲稱遭到了俄羅斯安全部門針對烏克蘭的網路攻擊，其目的是摧毀重要電腦數據和散播恐慌。

俄羅斯與烏克蘭的矛盾是典型的歷史性問題。兩個民族均為東斯拉夫人，源於基輔羅斯，彼得大帝執政時期對烏克蘭用大量武力進行干涉，防止其獨立，埋下了深深的民族仇恨。蘇聯時期，俄羅斯佔據了大量烏克蘭農民的生產結果，在一定程度上導致了30年代的烏克蘭大饑荒（所謂饑荒目前公認並非自然災害，而在於蘇聯當局在推行農業集體化期間，大量蘇共黨員被派往農村，動員農戶加入集體農莊，他們在烏克蘭遇到了消極的和積極的抵抗，最終導致對烏克蘭「富農」階層的集體逮捕和流放。大量擅長耕作、富於農業經驗的烏克蘭農戶被劃為「富農」，全家流放至西伯利亞和中亞地區，導致烏克蘭本土農業生產技術和生產率下降。免於被流放的農戶，因為擔心被劃成富農，因此不願耕作，其直接結果就是1932年烏克蘭糧食產量暴跌），餓死300多萬人（這個數字至今仍存爭議，由於缺乏官方統計數字，死於烏克蘭大饑荒的人數只能進行估算，死亡人數應在240萬到480萬），這個仇可謂越結越深。

時過境遷，但歷史的仇恨並未消泯。黑客攻擊似乎離我們普通人的日常很遙遠，但如果你仔細閱讀本文就會發現，如果一個黑客團隊針對某個國家的電力系統發動有計劃的全面攻擊，你完全可以想見其可怕的後果（電力系統如果長久陷入癱瘓，一個國家將進入黑暗中的暴亂失序狀態）。化身為代碼的撒旦，並不比核武器造成的殺傷力低。而這一切，正在烏克蘭上演。

所以，藍翔技校，你打算報名了嗎（開個玩笑）……

文/Andy Greenberg

譯/果然多多

校對/藥師

原文/www.wired.com/story/russian-hackers-attack-ukraine/

本文基於創作共用協議（BY-NC），由果然多多在利維坦發布

圖源：Softpedia

時鐘指向零點，燈光突然熄滅。

奧勒克斯·亞辛斯基（Oleksii Yasinsky）是一位40歲的烏克蘭網路安全研究員。2016年12月一個周六的晚上，在基輔（烏克蘭首都）的某個公寓里，亞辛斯基和他的妻子及未成年的兒子正坐在客廳沙發上，看奧利弗·斯通執導的電影《斯諾登》。電影才看了一個小時，公寓突然斷電。

「黑客們不希望我們看完這部電影，」 亞辛斯基的妻子開玩笑道。她還提到一年前發生的事情，那是2015年聖誕節前夕，當時的一次網路攻擊讓近25萬烏克蘭人整整兩天陷入斷電的事故之中。亞辛斯基是基輔一家數字安全公司的首席分析師，聽到這席話後他並沒有笑。他看了眼桌上的便攜鍾：時間是0點整。正好是午夜。

亞辛斯基家的電視連接了有備用電池的電涌保護器，所以現在只有屏幕上閃爍的圖像照亮了房間。電源板開始發出哀怨的嗶嗶聲。亞辛斯基站起身來，關了電視以節省電量，然後突然默默地離開了房間。

他走進廚房，拿出幾支蠟燭並點亮。然後踱至廚房的窗邊。這個金髮瘦削的工程師向窗外看去，就如他以前從未見過這座城市一般：公寓周圍的整個天際都是黑暗的。只有遠處被烏雲密布的天空反射的灰色燈光，勾勒出現代公寓和蘇聯時期高層建築的黝黑輪廓。

亞辛斯基注意到，現在的確切時間和日期差不多正好是2015年12月那次網路攻擊過去一年後，他確信這次絕不是簡簡單單的斷電。他的思緒飄至屋外氣溫接近華氏零度（攝氏溫度為零下18度，譯者注）的冰天雪地，成千上萬的家庭室內溫度漸漸變低，直到停用的水泵開始結冰。

震網（Stuxnet）是首個針對工業控制系統的蠕蟲病毒，而伊朗成為了真實網路戰的第一個目標。圖源：null-byte

而另一種猜測開始在亞辛斯基的腦海中生根發芽：過去的14個月中，一場危機正在烏克蘭蔓延，而他發現自己身處這危機的中心。越來越多的烏克蘭公司和政府機構找到他，請他分析一連串快速無情的網路攻擊。幕後操縱者好像是某一黑客團隊。現在，亞辛斯基無法抑制這樣的感覺：那些幻影，那些他追蹤了一年多的指紋，已經通過互聯網電纜回到了他的家中。

網路預言家早就預見了這一幕的發生。幾十年來他們一直在發出警告：黑客很快就會從對純粹的網路世界帶來混亂，上升到對現實世界造成真正的物理損害。2009年，美國國家安全局泄漏的震網病毒（Stuxnet）暗中加速幾百台伊朗核離心機直到全部報廢，這一事件似乎已經成為這個新時代的預告片。美國國家安全局和中央情報局前任局長邁克爾·海登（Michael Hayden）在一次演講中表示，震網病毒事件有點像發生在1945年8月的那件大事（譯者註：第二次世界大戰中，日本廣島和長崎被原子彈摧毀）。「新型武器一經使用，就再也放不回盒子里了。」

在現今的烏克蘭，這個典型的網路戰爭場景已經成形。而且是兩次。在不同的地方，無形的破壞者切斷了對數十萬人的供電。每次停電都持續了好幾個小時，得靠工程師嘗試手動恢復供電。這些網路攻擊開創了一個新的先例，證實了網路預言家的想法：幾十年前黑客會阻撓現代社會進步的齒輪僅僅只是一個預言，而如今在處於俄羅斯陰影之下的烏克蘭已經成為了現實。

停電不僅僅是源於單方面的網路攻擊，而是過去三年來一直打擊烏克蘭的數字閃電戰的一部分——這是一場世界上前所未有的持久型網路攻擊。黑客軍團對烏克蘭幾乎所有部門進行了系統的破壞：媒體，金融，交通運輸，軍事，政治，能源。一波又一波的網路入侵刪除了數據，破壞了計算機，在某些情況下連組織內部最基本的功能都癱瘓了。關注網路安全的北約大使肯尼斯·傑爾斯（Kenneth Geers）認為，「你沒法真正在烏克蘭找到一個沒有遭受網路攻擊的空間。」

賽門鐵克公司（Symantec）的里阿姆·奧·莫楚（Liam O Murchu）是第一個注意到震網病毒比之前想像的更為複雜和精巧的人。圖源：Jon Snyder/WIRED

十二月，烏克蘭總統佩特羅·波羅申科（Petro Poroshenko）發表了公開聲明，在剛剛過去的兩個月內，黑客針對36個烏克蘭目標，發起了6500次網路攻擊。國際網路安全分析師不再將這些網路攻擊歸因於俄羅斯，但波洛申科態度很堅定，他認為烏克蘭的調查表明，「俄羅斯直接或間接地參與了秘密任務，引發了針對烏克蘭的網路戰。」（俄羅斯外交部沒有回應各方提問）

了解俄羅斯與其西方最大鄰國之間獨特的相愛相殺關係，能幫助我們明白兩國之間巨大的地緣政治衝突，進而理解這些襲擊的嚴重性。長時間以來，俄羅斯認為烏克蘭既是俄羅斯帝國的合法部分，也是其重要的領地資產——它是俄羅斯與北約成員國之間的戰略緩衝，是通往歐洲有利可圖的通道，也坐擁俄羅斯少數幾處溫水港之一。出於這些原因，俄羅斯多年來一直努力讓烏克蘭甘於順從小弟的位置。

但在過去十五年間，俄羅斯已經放鬆對烏克蘭的控制，同時烏克蘭的民心也已經向北約和歐盟靠攏。2004年，一大群戴著橙色圍巾的烏克蘭人湧上街頭，抗議莫斯科對烏克蘭選舉的控制；據說，當年俄羅斯特工甚至對呼聲很高卻親西方的總統候選人維克托·尤先科（Viktor Yushchenko）下毒。十年後，2014年的烏克蘭革命終於推翻了俄羅斯支持的總統維克托·亞努科維奇（Viktor Yanukovych）——他長期以來的政治顧問保羅·馬納福特（Paul Manafort）在唐納德·特朗普的美國總統競選中也有所助力。俄羅斯軍隊迅速吞併了南部的克里米亞半島，入侵了東部名叫頓巴斯（Donbass）的俄語地區。此後，烏克蘭與俄羅斯不宣而戰，近200萬國內難民流離失所，近1萬烏克蘭人失去生命。

「俄方永遠無法接受一個主權獨立的烏克蘭。蘇聯解體二十五年來，俄羅斯仍治不好這種帝國主義綜合症。」

從一開始，這場戰爭的主要戰線之一就是網路戰。有一個自稱是CyberBerkut的親俄黑客團隊，他們與來自克里姆林宮的黑客們有著藕斷絲連的聯繫，而後者在美國2016年總統選舉中嚴重影響了民主黨的競選。2014年烏克蘭革命後，總統選舉之前，CyberBerkut的後台操縱烏克蘭中央選舉委員會網站，宣布極右派總統候選人徳米特羅·雅羅斯（Dmytro Yarosh）獲勝。管理人員在選舉結果宣布前不到一個小時發現其已被篡改。而這次襲擊只是預告了俄羅斯在數字化戰爭中最雄心勃勃的實驗。網路攻擊的槍林彈雨從2015年秋天開始加劇，且一直沒有停止。

2005年至2010年間擔任烏克蘭總統的尤先科認為，俄羅斯線上和線下的戰術有一個共同目標：「破壞烏克蘭的局勢，使其政府看起來無能且脆弱。」他將烏克蘭的斷電，其他網路攻擊，俄羅斯的虛假信息湧入烏克蘭媒體，烏克蘭東部的恐怖主義運動，以及他自己多年前的中毒事件看作一個整體，所有這些都是將烏克蘭塑造為分崩離析景象的手段。尤先科的臉上仍有二惡英毒性留下的傷痕，他表示，「俄羅斯永遠無法接受烏克蘭是一個主權獨立的國家。蘇聯解體已經二十五年了，俄羅斯的這種帝國主義綜合症依然沒好。」

但是，對於烏克蘭黑客疫情的最終結果，許多全球網路安全分析師有一個更大的設想：他們認為俄羅斯正在將烏克蘭作為網路戰的測試場——一個旨在完善全球網路鬥爭新形式的實驗室。俄羅斯在烏克蘭多次釋放的數字「炸彈」，在美國民用基礎設施中至少埋植過一次。

2015年10月，一個星期天早上，一年多以前的亞辛斯基還不會望著廚房窗外黑色的天際線沉思。他坐在同一個窗口前，飲茶，吃玉米片。作為烏克蘭最大的電視廣播集團星光媒體（StarLight Media）時任信息安全主管的他，突然接到了公司打來的電話。前天晚上星光媒體兩台伺服器莫名掉線了。在電話里IT管理員向他保證，伺服器的備份已恢復。

但亞辛斯基感到很不安。這兩台機器幾乎在同一分鐘內宕機了。他說：「一台伺服器宕機時有發生。但兩台伺服器同時宕機？十分可疑。」

這個周末註定充滿了迷茫。亞辛斯基離開了他的公寓，乘坐40分鐘地鐵到了星光媒體的辦公室。亞辛斯基和公司的IT管理員檢查了從其中一個宕機伺服器上保存下來的圖片。主引導記錄是計算機硬碟的深層核心部分，它可以指引計算機找到自己的操作系統，而它現在已經完全被零覆蓋。情況變得尤為棘手，因為兩台癱瘓的伺服器是有著強大許可權的域控制器，可以用來連接公司網路上的數百台其他機器。

亞辛斯基列印出代碼，將紙張放在廚房的桌子和地板上。他在信息安全部門工作了20年，但他從來沒有分析過如此精細的數字武器。

亞辛斯基很快就發現，這次攻擊確實比看起來更糟糕：兩台癱瘓的伺服器已經在13位公司員工的筆記本電腦上裝上了惡意軟體。此時電視台員工正準備烏克蘭地方選舉前夕的早晨電視新聞公報，而電腦病毒感染以相同的引導記錄覆蓋技術令多台機器癱瘓。

儘管如此，亞辛斯基覺得自己還算幸運。調出公司的網路日誌後，他發現域控制器（Domain Controller，編者註：指在「域」模式下，至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作，相當於一個單位的門衛）已經提前「自殺」了。不然的話，公司還將有200台電腦會慘遭感染和摧毀。很快，亞辛斯基從一家名為TRK的競爭媒體公司那裡聽說，他們就沒有這麼幸運了：該公司在同樣的網路攻擊中損失了100多台計算機。

亞辛斯基設法從公司網路中提取了破壞性程序的副本。回到家裡，他仔細研究這個副本的代碼。他驚訝於該代碼狡猾的層層偽裝——惡意軟體已經逃避了所有的防病毒掃描，甚至假扮成一個微軟的防病毒掃描程序Windows Defender。家人睡覺之後，雅辛斯基列印出代碼，將紙張放在廚房的桌子和地板上，透過一條條偽裝字元和突出的指令，看到了它的真面目。亞辛斯基在信息安全部門工作了20年； 他曾經管理過龐大的網路系統，並且與黑客老手進行過鬥爭。但他從未分析過這樣精細的數字武器。

「每前進一步，心裡就越清楚我們的泰坦尼克號撞上了黑客設下的冰山。越往下挖掘，就越會發現這只是冰山一角。」

亞辛斯基推測，在所有偽裝和誤導之下，隱藏的是一種名叫KillDisk的惡意軟體，這是一種具有數據破壞性的寄生蟲，已經在黑客中流傳了十餘年。為了了解它是如何進入他們的系統，亞辛斯基和公司另兩位同事執著地研究公司的網路日誌，下班後和周末時間梳理了一遍又一遍。通過跟蹤黑客留下的蛛絲馬跡——一些受損的YouTube企業帳戶，一個管理員的網路登錄狀態仍然保持活躍，即使他已經請了病假——他們揪心地意識到，入侵者在他們的系統內已經潛伏了超過6個月。最終，亞辛斯基鎖定了作為黑客最初立足點的惡意軟體：一種名叫BlackEnergy的多用途木馬程序。

亞辛斯基很快開始聽其他公司和政府部門的同事們表示他們也被黑客入侵，攻擊方式幾乎完全一樣。烏克蘭最大的鐵路公司Ukrzaliznytsia也遭受了網路攻擊。其他黑客要求亞辛斯基保守秘密。黑客一再使用木馬程序BlackEnergy進行訪問和偵察，然後用惡意軟體KillDisk進行破壞。他們的動機仍然是一個謎，但他們的入侵痕迹無處不在。

亞辛斯基說，「每前進一步，心裡就越清楚我們的泰坦尼克號撞上了黑客設下的冰山。越往下挖掘，就會發現這只是冰山一角。」

即使如此，亞辛斯基並不算真正了解這個威脅。例如，他並不知道，到了2015年12月，BlackEnergy和KillDisk已經在至少三家主要的烏克蘭電力公司的電腦系統中寄生並暗中潛伏著。

圖源：CURT MERLO

一開始，羅伯特·李認為是松鼠搞的鬼。

那是2015年的聖誕節前夕，而且是在李結婚的前一天，身在家鄉阿拉巴馬州庫爾曼的他即將邁入婚姻的殿堂。李是一個身材壯實，長著鬍子的紅頭髮男子，他剛剛離開了一家縮寫為三個字母的美國情報機構，離職前他主要負責重要基礎設施的網路安全。現在，他正在準備創立自己的安全公司，並迎娶駐外期間遇到的荷蘭女友。

就在李忙於籌備婚禮時，他看到新聞頭條寫著，黑客剛剛了破壞烏克蘭西部的電網。這個國家的一大片土地顯然已經在黑暗中度過了6個小時。李對這個報道一笑置之，以前他聽到過很多次黑客攻擊電網的虛假報道，其原因通常是嚙齒動物或鳥類。松鼠對電網構成的威脅比黑客更大，這已成為業內的一個笑話。

然而第二天，就在婚禮進行之前，麥克·阿桑特（Mike Assante）發了一段文本給李，內容和烏克蘭電網遭到網路攻擊有關。阿桑特是SANS研究所（SysAdmin、Audit、Network、Security的簡稱，是美國一家以信息安全與網路安全訓練為主體的組織，譯者注）的安全研究員，這是一個高級網路安全培訓中心。這引起了李的注意：當涉及對電網的數字威脅時，阿桑特可是世界上的頂尖專家之一。他告訴李，黑客造成烏克蘭停電這一說法，看來是真的。

黑客散播的病毒通過電力公司內網傳播，最終破壞了一個用作遠程訪問的VPN（Virtual Private Network，虛擬專用網路）。

就在李說了誓言和親吻新娘之後，一個烏克蘭熟人也給他發了消息：黑客導致斷電的事是真的，他正需要李的幫助。李的職業生涯都在為反擊基礎設施網路攻擊而奮鬥，他期待多年的那一刻終於到來了。所以他缺席了新人招待會，穿著婚禮禮服，打算找一個安靜的地方給阿桑特發送消息。

最後，李在附近父母家裡找到母親的台式電腦。此時遠在愛達荷州的阿桑特正在朋友舉行的聖誕派對上，他們在網上並肩作戰，對烏克蘭地圖和電網圖表展開了分析。三家受攻擊的電力公司的變電站分布在全國不同地區，相距數百英里，沒有連接。「這並不是松鼠搞的鬼，」李得出了結論，暗自激動。

那天晚上，李忙於研究他的烏克蘭熟人從被黑的電力公司發送來的KillDisk惡意軟體，就像幾個月前亞辛斯基在星光媒體被黑客入侵後所做的那樣（李說，「幸好我有一個非常耐心的妻子。」）。幾天內，他收到了木馬程序BlackEnergy的代碼樣本和網路攻擊的犯罪數據。李明白了，黑客入侵是從一個釣魚電子郵件開始，郵件偽裝成來自烏克蘭議會的消息。惡意Word附件在受害者的機器上悄悄運行了一個腳本，從而埋下了BlackEnergy病毒。有了這個立足點，黑客散播的病毒通過電力公司內網傳播，最終破壞了公司用於遠程訪問公司內網的VPN，其中包括高度專業的工業控制軟體，該軟體可以便於操作員遠程控制設備，如斷路器（Circuit Breaker）。

剛剛讓近25萬烏克蘭人處於黑暗中的黑客團隊用同樣的惡意軟體感染了美國電力公司的電腦。

該黑客團隊的名字「Sandworm」取自科幻小說《沙丘》。圖源：The Epic Beyond

通過分析黑客的攻擊手法，李漸漸明白他的對手是誰了。他驚訝地發現，斷電黑客的手法與最近在網路安全世界中某個臭名昭著的黑客團隊相似，這個團隊被叫做Sandworm（沙蟲）。2014年，網路安全公司FireEye（火眼）發布了針對Sandworm的警告，該黑客團隊對波蘭能源公司和烏克蘭政府機構等目標埋下了BlackEnergy惡意軟體; 他們似乎正在開發針對專用計算機結構的方法，這些計算機結構被用於遠程管理物理工業設備。該黑客團隊的名字Sandworm取自小說《沙丘》【美國作家弗蘭克·赫伯特（Frank Herbert）的原創科幻小說《沙丘》，共六部，他們的代碼中隱藏著源自這本小說的術語，例如Harkonnen（哈科南家族，《沙丘》一書中的名望家族，譯者注）】和Arrakis（沙漠行星阿拉基斯，譯者注），在這個乾旱的星球上無數沙蟲爬滿了沙漠。

沒人知道這個黑客團隊的真實意圖。但所有的跡象表明這些黑客是俄羅斯人：火眼安全公司在一個俄羅斯黑客會議的ppt演示中追蹤到「沙蟲」黑客團隊獨特的入侵技術。火眼公司的工程師設法訪問「沙蟲」未加密的命令控制伺服器時，他們發現了木馬程序BlackEnergy的俄語說明書，以及其他俄語文件。

最令美國分析師不安的是，「沙蟲」的目標已越過大西洋。2014年初，美國政府報告說，黑客已經在美國電力和水利設施網路上埋植了木馬程序BlackEnergy。 結合政府的調查結果來看，火眼公司已經能夠推定「沙蟲」也是這些網路入侵的幕後黑手。

對於李來說，這些碎片相互關聯：在他看來，剛剛讓近25五萬烏克蘭人處於黑暗中的黑客團隊不久之前用同樣的惡意軟體感染了美國電力公司的電腦。

聖誕節停電事件才過去了幾天了，阿桑特認為讓特定黑客小組來背鍋還為時尚早——更不用說讓某個政府背鍋。但在李的腦海里，警報已經響起。烏克蘭黑客襲擊事件不僅僅是一個遙遠的外國案例研究。李說：「對手已經瞄準美國能源公司，他們已經越界並破壞了一次電網。這對美國來說是迫在眉睫的威脅。」

幾個星期後，那天寒氣逼人，天色明亮，一群美國人抵達基輔。他們聚集在離金色的聖索非亞大教堂一街之隔的凱悅酒店。這行人分別來自美國聯邦調查局、能源部、國土安全部和北美電力可靠性公司（負責美國電網穩定性的機構），他們的任務是對烏克蘭停電事件追查到底。

聯邦政府還從懷俄明州派來了阿桑特。李比他的朋友更耿直，他反對美國機構的遮遮掩掩，並堅持認為網路攻擊的細節應該被立即公布。所此行他沒有被邀請。

第一天，西裝革履的政府官員聚集在酒店的無菌會議室，出席會議的還有Kyivoblenergo公司的工作人員，這是基輔的區域配電公司，也是電網遭到攻擊的三家電力公司之一。在接下來的幾個小時中，這家烏克蘭電力公司的高層管理人員和工程師們詳細描述了此次無所不在、近乎折磨的網路襲擊。

「他們留給我們的訊息是，『我要讓你感覺我的無所不在、如影隨形。』黑客們看起來就像是上帝。」

李和阿桑特注意到，感染能源公司的惡意軟體不包含任何能夠真正控制斷路器的指令。12月23日下午，Kyivoblenergo電力公司的員工無助地看著有馬薩諸塞州那麼大的區域里，數十個變電站的斷路器被打開，而且貌似是由他們內網上看不見的電腦所控制。事實上，Kyivoblenergo的工程師斷定，網路攻擊者在一個偏遠的變電站的電腦上設置了他們完美配置的控制軟體副本，然後使用這個流氓副本來發送切斷電源的命令。

一旦斷路器被打開，成千上萬的烏克蘭人供電中斷，黑客們就發動了另一輪攻擊。他們重寫了聯繫變電站串列和乙太網轉換器之間的固件——站點伺服器機櫃中的小盒子，它可以轉化互聯網協議，與舊設備進行通信。通過重寫這些硬體的隱秘代碼——這是一個可能需要幾周時間設計的伎倆——黑客永久地破壞了設備，使得正當操作員無法進一步對斷路器進行數字化控制。坐在會議室桌旁的阿桑特驚嘆於此次黑客行動的徹底性。

黑客也留下了一張他們常用的電話卡，用來運行KillDisk，繼而摧毀該公司另外幾台電腦。但是這次網路攻擊最惡毒的部分是切斷控制站的備用電池。當控制站所在地區的電力也被切斷時，控制站也停電了，只能在這場電力危機之中被黑暗籠罩。通過極為精確的控制，黑客們在一場停電中策划了一場更大範圍的停電。

阿桑特說，「他們留給我們的訊息是，『我要讓你感覺我的無所不在、如影隨形。』砰砰砰砰砰，從被嚇傻的電網操作員角度來看，黑客們看起來就像是上帝。」

那天晚上，訪問團飛抵烏克蘭西部的伊萬諾－弗蘭科夫斯克市，該市坐落在喀爾巴阡山脈的山腳下，飛機降落在蘇維埃時期的小型機場。第二天早上，他們訪問了Prykarpattyaoblenergo的總部，這家電力公司在聖誕前夕首當其衝。

電力公司的高管們禮貌地歡迎這些美國人進入他們現代化的大樓，隱約可見原來同一地方廢棄煤電廠的大煙囪。然後高管們邀請訪問團進入會議室，請他們圍繞一個長木桌就座，桌子上方掛著一幅描繪了中世紀戰爭結束景象的油畫。

他們眼睜睜的看著，幽靈般的手伸向了數十個斷路器——每一個斷路器都掌控著不同地區的電力調控——一個接著一個，將電路冷酷地關閉。

他們所描述的網路攻擊幾乎與Kyivoblenergo電力公司遭受的攻擊相同：BlackEnergy，損壞的固件，破壞備份電源系統，KillDisk。但在這次停電行動中，這些襲擊者還用了另一招，給公司的呼叫中心瘋狂打虛假電話，這樣可能延遲客戶打來的任何和停電相關的投訴電話，或者只是為了給電力公司再添一層混亂和羞辱。

還有另一點不同。當美國訪問團詢問Prykarpattyaoblenergo公司是否和基輔的電力公司一樣，由克隆的控制軟體發送了關閉電源的命令，工程師搖搖頭，因為他們的斷路器是通過另一種方法打開的。此時該公司的技術總監，一個身材高大，黑髮碧眼的男子插入了對話。他沒有試圖通過翻譯解釋黑客的攻擊手法，而是用他老舊的iPhone 5s錄下的視頻來展示。他按下了視頻的播放鍵：

（建議wifi環境下瀏覽）

這個視頻片段顯示，公司控制室的某個電腦屏幕上有一個游標在移動。游標移動到其中一個斷路器的圖標，然後單擊命令鍵將其打開。鏡頭從計算機的三星顯示器轉移到滑鼠，可滑鼠並沒有動。然後視頻顯示游標再次移動，它似乎有自我意志一般，徘徊在另一個斷路器上，再次試圖切斷電流，此時控制室里的工程師詢問彼此誰在控制它。

這些黑客沒有像他們對Kyivoblenergo公司所做的那樣，從自動惡意軟體，或者甚至是從克隆的機器發出停電命令。相反地，入侵者利用公司的IT幫助台工具，直接控制變電站操作員的游標移動。他們將操作員鎖定在自己的用戶界面之外。 然後當著操作員的面，用無形的手點擊了幾十個斷路器的圖標，每個斷路器都服務於該地區不同的地帶，它們一個接一個地被打開，斷開了電路。

2016年8月，第一次聖誕節停電過去八個月之後，亞辛斯基離開了星光媒體。他認為，烏克蘭社會各階層已經受到衝擊，而單單捍衛一家公司是不夠的。為了跟上黑客的步伐，他需要對他們的操作有更全面的了解。「沙蟲」黑客團體已經變成了厚顏無恥無所不在的組織。對此烏克蘭需要一個更加有條理的回應。「光明的一面依然存在分歧，」亞辛斯基指的是人們對黑客的態度各不相同。「但黑暗的一面是統一的。」

因此，在基輔一家叫做「信息系統安全合作夥伴」（Information Systems Security Partners）的公司，亞辛斯基擔任研究和取證負責人。這家公司名聲並不大。但面對烏克蘭網路圍困戰的受害者，亞辛斯基將這家公司變成了事實上的第一發聲者。

亞辛斯基就職之後不久，幾乎是同時，烏克蘭陷入另一場更廣泛的攻擊浪潮。亞辛斯基列出受攻擊的名單：烏克蘭退休金基金會，國家財政部，海港管理局，基礎設施部，國防部和財務部。黑客又一次攻擊了烏克蘭鐵路公司，當時正值假期旅遊季，其在線車票預訂系統崩潰了好幾天。2015年，大多數攻擊最終導致了目標硬碟上KillDisk病毒的爆發。例如在財政部的電腦上，網路「炸彈」刪除了數太位元組（TB，數據量為1024GB，譯者注）的數據，而當時財政部正在準備下一年的預算。總而言之，黑客新一年冬季的衝擊達到甚至超過了上一年的「盛況」。

2016年12月16日，亞辛斯基和他的家人正坐在沙發上觀看電影《斯諾登》，一名年輕的工程師奧列格·澤琴科（Oleg Zaychenko）在基輔北部的Ukrenergo變電站，12個小時的夜班才過去了4小時。他坐在一個蘇聯時代古老的控制室里，室內牆壁覆蓋著米色和紅色相間的落地模擬控制面板。變電站的虎斑貓阿扎（Aza）出去找食物了；陪伴澤琴科的只有角落裡一台播放流行音樂視頻的電視。

他正在用在紙上用鉛筆記錄日誌，又是一個平靜的星期六晚上。這時的鬧鐘突然響起時，震耳欲聾的鈴聲接連不斷。澤琴科看到他的右手邊，指示傳輸系統電路狀態的兩個指示燈已經從紅色切換到綠色，用電氣工程師的通用語言來說，這代表輸電系統關閉了。

澤琴科把黑色座機拿到左手邊，打電話給Ukrenergo總部的一名操作員，提醒他發生了日常故障。就在他打電話的時候，另一隻燈也變綠。澤琴科的腎上腺素開始飆升了，當他匆匆向電話那頭的操作員解釋情況時，所有燈都在變色：紅色變綠色，紅色變綠色。八盞，十盞，十二盞。

隨著危機升級，操作員命令澤琴科跑到室外，檢查設備是否有物理傷害。就在那一刻，第二十個電路，也就是最後一個電路關閉了，控制室內所有燈滅了，電腦和電視也不例外。澤琴科已經在他藍黃相間的制服外套了一件大衣，然後沖向了大門。

變電站一般是由一大群發出嗡嗡聲的電氣設備組成，佔地20餘英畝（約8萬平方米），超過12個足球場。但澤琴科走出變電站，進入寒冷的夜空里，感覺周圍的氣氛比以往任何時候都更為可怕：三座坦克大小變壓器在變電站旁一字排開，它們承擔著基輔五分之一的電力，而現在已悄然無聲。那個時候，澤琴科機械般地在心裡一一緊急核對。當他跑過這些癱瘓的機器時，第一次有這樣的念頭浮現在他的腦海里：黑客捲土重來了。

這次襲擊使得烏克蘭電網的循環系統發生了變化。破壞者打擊的是一條動脈，而不是把電力分配到其他毛細血管的配電所。一個基輔變電站負載200兆瓦，總電力負荷超過了2015年50多個被攻擊的配電站的電力總和。幸運的是，系統只是停電一小時——這段時間還不足以讓管道開始凍結或讓本地人開始恐慌——在這之前，Ukrenergo電力公司的工程師手動關閉電路並將所有回歸原狀。

但實際上，短暫性是2016年停電唯一威脅較小的方面。分析過電網攻擊的網路安全公司表示，2016年這次攻擊比2015年更加複雜：它是由一個複雜度高，適應性強的惡意軟體執行的，現在被叫作「CrashOverride」，這個程序的編碼專門為自動攻擊電網而設計。

李所在的重要基礎設施網路安全初創公司Dragos，是仔細研究了惡意軟體代碼的兩家公司之一。Dragos從一個叫ESET的斯洛伐克網路安全組織獲得了這份代碼。兩隊發現，在電網攻擊期間，CrashOverride會「講」電網隱秘控制系統協議的語言，然後直接發送命令給電網設備。與2015年黑客用無形的手費力操縱滑鼠和克隆PC技術相比，這種新軟體的編程可以掃描攻擊對象的網路來繪製目標，然後在預設時間啟動，同時打開斷流器，甚至不用通過互聯網連接上黑客。換句話說，這是自震網病毒Stuxnet以來獨立破壞物理基礎設施的第一個惡意軟體。

「2015年，他們就像一群殘忍的街頭混混。2016年，他們是忍者。」

而CrashOverride並不只是一個僅適用於Ukrenergo電網的一次性工具。研究人員表示，這是讓電力設施中斷的可重複使用和具備高度適應性的武器。在惡意軟體的模塊化結構中，Ukrenergo的控制系統協議可以很容易地用歐洲或美國的控制協議替代。

霍尼韋爾（Honeywell）的工業控制系統安全研究員瑪麗娜·科羅托非爾（Marina Krotofil）也分析了Ukrenergo電網攻擊，她認為黑客的手法成比2015年的攻擊更簡單，效率更高。「2015年的他們就像一群殘忍的街頭混混，」 科羅托非爾說。 「2016年，他們變成了忍者。」但黑客可能還是那一幫；Dragos公司的研究人員認為CrashOverride的構建確定是「沙蟲」所為，具體證據Dragos尚未透露。

在李看來，這些都是 「沙蟲」令人不安的進步跡象。我與李在他空曠的公司辦公室見了面。他的公司是重要基礎設施網路安全公司，坐落在巴爾的摩市。在他辦公室窗外隱約看到幾個撐起輸電線的架線塔。李告訴我，這些輸電線將電力輸送到18英里外的南方，直至華盛頓特區中心。

李先生指出，一群黑客首次證明了，他們想要並能夠攻擊重要基礎設施。他們已經在多次不斷演變的攻擊中完善了他們的技術。而且他們以前在美國電網上也埋植過BlackEnergy惡意軟體。「這些人對美國電網了如指掌，網路攻擊也可能發生在這兒，」李說。

李認為，對於「沙蟲」黑客來說，如果他們想要攻擊美國電網的話，美國有許多更為方便攻擊的目標。美國電力公司網路安全性更高，但是它們也比烏克蘭電網更自動化且更現代化，這意味著它們可以呈現更多的數字「攻擊面」。而且美國工程師對在頻繁停電時手動恢復的經驗較少。

沒有人知道「沙蟲」的下一次攻擊將如何實現。未來的攻擊對象可能就不是配電所或變電站了，而是真正的發電廠。或者它可以被設計成不僅僅關閉設備，而是將其破壞。 2007年，愛達荷國家實驗室的一組研究人員，其中包括麥克·阿桑特發現，黑客行徑可以徹底摧毀電氣基礎設施：一個名為極光實驗的項目，僅僅使用數字命令，永久性破壞了一台功率為2.25兆瓦的柴油發電機。在該實驗視頻中，一台客廳大小的機器在「瀕死」之時咳出滾滾黑煙和白煙。這樣的發電機和向美國消費者輸送數百兆瓦的設備並沒有什麼不同。只要方法對了，有人可能永久毀壞發電設備或是摧毀作為我們輸電系統主幹中巨大且難以替代的變壓器。「華盛頓特區？兩個月攻下一個國家的電網並無多大問題，」 李說。

事實上，在對網路病毒CrashOverride的分析中，斯洛伐克網路安全組織ESET發現，該惡意軟體可能已經包含了這種徹底性破壞攻擊的成分。ESET的研究人員指出，CrashOverride包含的代碼旨在針對發電站中特定的西門子設備——這種設備有一個關乎生死的開關，用於阻止電線和變壓器中的危險電涌。如果CrashOverride破壞該保護措施，則可能對電網硬體造成永久性損壞。

單單物理破壞可能甚至不是黑客入侵後最糟糕的事情。美國的網路安全界經常談及「先進而持續的威脅」——經驗老道的入侵者，他們不會只為了一次攻擊而滲進一個系統，而是留在那裡，默默把目標握在手心裡。李最壞的設想是，美國基礎設施遭到這種持久性的侵入：運輸網路，管道或電網被潛伏在深處的敵手一再攻擊。他說：「如果他們在多個地方做到這一點，那麼整個地區可能停電一個月。」「當美國一半的重點城市一個月沒有電時，一切都會天翻地覆。」

不過，考慮俄羅斯這個戲精會對美國電網做些什麼，是一回事。考慮為什麼俄羅斯會這樣做又是另一回事。對美國公共設施的電網攻擊幾乎肯定會立即導致美國嚴重的報復。一些網路安全分析師認為，俄羅斯的目標只是包圍美國的網路戰爭策略：通過將基輔的燈熄滅，並證明他能夠滲透進美國電網，莫斯科的訊息是警告美國不要嘗試對俄羅斯或俄方同盟如敘利亞獨裁者巴沙爾·阿薩德（Bashar al-Assad）進行「震網」病毒式的攻擊。按這種觀點來說，這就是一場威懾力的遊戲。

「很難說我們一點都不脆弱。任何與其他事物有關的事物都有弱點。」

但李在情報部門參與過軍事演習。他認為，如果俄方被美國逼到牆角，比如美國威脅要干涉莫斯科的軍事利益，如針對烏克蘭或敘利亞採取行動，俄羅斯可能真的會採取報復性措施，攻擊美國公用設施。「如果你否認一個國家運用權力的能力，它就被惹惱了，」李說。

當然，像李一樣的網路安全工作人員在過去十多年裡一直演習如何應對這些噩夢。萬幸的是，燈光回來了；即使烏克蘭電網攻擊沒有真的構成災難，它還是展現了網路攻擊的複雜性。北美電力可靠性公司（NERC）首席安全官馬庫斯·薩克斯（Marcus Sachs）表示，美國電力公司已經從烏克蘭的受害情況中學習了經驗。薩克斯說，2015年電網攻擊之後，NERC進行了一次全面檢查，與電力公司會面，督促他們加強基本的網路安全實踐，經常關閉關鍵系統的遠程訪問埠。薩克斯表示，「很難說我們一點都不脆弱。任何與其他事物相關聯的事物都有弱點，」「認為我們在技術上遙遙領先並且我們的電網永遠不會崩潰，這是不負責任的。 」

但是對於那些注意「沙蟲」近三年的人來說，對美國網路發動攻擊的可能性提高警惕並不是危言聳聽。「火眼」研究團隊的負責人約翰·霍特奎斯特（John Hultquist）最先發現並命名了「沙蟲」（Sandworm）黑客團隊，在他看來，「狼」離美國人不遠了。霍特奎斯特說，「我們已經看出這個『演員』表現出了一種能夠改變燈光和隱藏對美國電力系統的興趣的能力。」在2016年基輔電網攻擊三周之後，他在Twitter上寫下了他的預測，並把它放進了個人簡介中：「我發誓，『沙蟲』團隊最終把魔掌伸向西方國家的重要基礎設施之時，就是那些『演員』摘下面具之日。」

圖源：CURT MERLO

亞辛斯基所在的信息系統安全合作夥伴公司（ISSP）的總部，位於基輔工業區的一個低洼建築里，周圍環繞著泥濘的運動場和外牆剝落的灰色高層——蘇聯時期留下的紀念品。大樓裡面，亞辛斯基坐在一個昏暗的房間里，面前的圓桌上覆蓋著6英尺長的網路地圖，展示出博爾赫斯（Jorge Luis Borges，阿根廷詩人、小說家、散文家兼翻譯家，被譽為作家中的考古學家，譯者注）般複雜的的節點和連接。每個地圖都代表了「沙蟲」入侵的時間軸。到目前為止，這個黑客團隊是他近兩年的工作焦點，回到了第一次星光媒體遭受網路攻擊的日子。

亞辛斯基說，他曾試圖對正在洗劫烏克蘭的入侵者保持冷靜的視角。但4個月前，此次停電波及到他家，那就是「像搶劫一樣」，他告訴我。「這是一種違法行為，那一刻你意識到自己的私人空間只是一種錯覺。」

亞辛斯基表示，無從知曉有多少烏克蘭機構在不斷升級的網路攻擊中受到打擊; 任何計數都可能小於實際總數。所有公認受攻擊的目標中，肯定還有機構未表示被黑客入侵，還有其他目標仍沒有發現他們系統中的入侵者。

當我們在信息系統安全合作夥伴公司的辦公室見面時，實際上下一波數碼入侵已經在醞釀中。在亞辛斯基身後，兩名長著鬍子，較為年輕的員工趴在鍵盤和屏幕前，分析前一天剛從新一輪釣魚郵件中獲取的惡意軟體。亞辛斯基注意到，這些網路襲擊事件已經進入了一個季節性的循環：一年中的頭幾個月，黑客打下基礎，默默滲透目標，擴大立足點。年底，他們釋放了病毒。亞辛斯基現在才知道，即使他正在分析去年的電網攻擊時，黑客已經埋下了今年（2017年）12月的種子。

亞辛斯基表示，為下一輪攻擊做準備，就像是面對「即將到來的期末考試」。但在這個宏偉藍圖中，他認為烏克蘭過去三年遭受的網路攻擊，可能只是一系列測驗。

觀察到現在的他總結了攻擊者的意圖，用一個俄語單詞來說就是：poligon，訓練場。亞辛斯基認為，即使是最具破壞性的攻擊，黑客也沒有使出全力。他們不僅本可以銷毀財政部的全部存儲數據，而且也可以摧毀其備份。他們本可以讓Ukrenergo變電站的停電時間更長或永久停電，還可以對電網造成的物理損害。他說，美國分析師如阿桑特和李也注意到這種破壞力的有所保留。「他們還在逗弄我們，」亞辛斯基說。每次黑客在達到最大可能性的破壞之前就收手了，好像為他們的未來行動保存真正的能力。

許多全球網路安全分析師也得出了同樣的結論。在克里姆林宮的影響下，趁著無拘無束的熱戰氛圍，訓練一支俄羅斯黑客隊伍上進行數字化戰鬥，豈不是最合適的？北約大使吉爾說，「沒有任何拘束。這是一個你無論做什麼都不會遭到報復或起訴的地方。」「烏克蘭不是法國或德國。很多美國人甚至在地圖上找不到它，所以你可以在那裡演習信息戰。」【在4月的外交官會議上，美國國務卿雷克斯·蒂爾森（Rex Tillerson）甚至發問：「為什麼美國的納稅人要對烏克蘭感興趣？」】

倫敦國王學院戰爭研究系教授托馬斯·里德（Thomas Rid）說，潛伏在這種被忽視的陰影下，俄羅斯不僅僅推動了技術能力的極限。俄方也在感受國際社會的容忍極限。克里姆林宮干擾了烏克蘭選舉，收到的抗議卻沒有想像中的強烈；試試對德國、法國和美國嘗試類似的策略。而俄羅斯黑客在烏克蘭削弱權力卻不受懲罰，其實這個三段論不難完成。「他們正在測試行動的底線，」里德表示。「你推推看自己是否被推回去。如果沒有阻力，則大膽嘗試下一步。」

下一步會是什麼樣子？在基輔ISSP實驗室的昏暗密室里，亞辛斯基承認他也不知道。或許另一次停電。或許是對水設施的針對性攻擊。「開動你的想像力，」他冷冷地說道。

在他身後，餘暉透過百葉窗，刻畫出他面部的側影。「網路空間本身不是一個目標，」亞辛斯基說。「而是一種媒介。」這種媒介和文明本身的體系緊密相連。

GIF/2K

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！