台積電核爆損失10億,兇手原來是當年哄抬比特幣的那個病毒?
撰文/ 牛耕
編輯 / 趙艷秋
8月,正是全球工廠都開足馬力,為旺季備貨的關鍵時候,而一場突如其來的病毒事件,讓全球最大的晶元代工廠台積電,在台灣的北、中、南三大廠區停擺了兩三天。
24小時晝夜不停的產線一旦停擺,麻煩立馬浮現。
01
一場「地震」損失10億
有人說,台積電打了個噴嚏,蘋果可能就得感冒。台積電正在為蘋果9月發布的新iPhone手機的晶元趕工。事實上,經過幾年的考驗和折騰後,台積電才被蘋果欽點。今年1月,蘋果拖到最後才對外宣布,把自己的iPhone處理器全部交給台積電獨家生產。捧著燙手訂單沒半年,台積電就逢此一難。
除了蘋果,全球最知名的晶元大廠,像華為旗下海思半導體、因人工智慧大熱的英偉達、手機晶元巨頭高通、因挖礦機賺得盆滿缽滿的比特大陸,都是台積電的客戶。有統計說,台積電的營收佔據整個晶元代工製造的56%,特別是在高端晶元上,更是佔據了70%。台積電可是晶元產業的一個基石。
除了生產延遲,還有我們普通人無法想像的麻煩。
晶元工廠的生產線類似醫院的手術室,都處於「真空狀態」,要11個9的潔凈度,才能保障晶元的良品率。這樣優越條件下生產的東西,你就不難想像,一顆英偉達25毫米*25毫米大小的晶元,可以賣到幾萬美元。
「11個9是個什麼概念呢?北京菜市口百貨和上海老廟賣的黃金,是4個9的純度」,晶元設備專家莫大康對AI財經社打比方說,工廠一旦停工,大氣進入設備和廠房,清理工作將變得很複雜。
這樣看來,這場事故的損失是綜合性的。台積電預計,事故將讓公司第三季的營收損失百分之二,毛利率損失約一個百分點。台積電此前展望,第三季度營收84.5億-85.5億美元,營業毛利率48%-50%。照此計算,它將減少1.69億-1.71億美元的收入,摺合人民幣大約10億元。
這些年,病毒事件的影響越來越超乎老百姓的想像了,2010年,美國和以色列用病毒癱瘓了伊朗的鈾濃縮廠,使伊朗核計劃就此擱淺。2015年,烏克蘭大面積斷電,在聖誕夜舉國陷入黑暗。黑客事先研究了烏克蘭電網,策划了一次「完美」的攻擊。2017年,法國雷諾、日本的日產和本田工廠,受到病毒感染相繼停工。
這次台積電事故,讓人聯想起幾年前泰國洪水和日本地震衝擊了全球供應鏈。從某種意義上說,病毒可能將被認為是「一場新地震」。
02
誰幹的?
誰攻擊了台積電?流言在第一時間就甚囂塵上。
「是不是要打壓台積電的股價?」「是不是黑客針對性的行動?」「有沒有勒索?」」會不會是內鬼?」
就在病毒事件後,台積電在台灣證劵交易所內的說明會上,現場記者最關注的就是——這是誰幹的?他或她的目的到底是什麼?
各種陰謀論隨之而來。有人猜測,台積電的競爭對手三星最有嫌疑,畢竟幾個月前台積電是從三星手裡硬生生地把iPhone大單搶跑了。要知道為了蘋果這一單,三星特地跑到美國開了工廠,當年還是三星太子的李在鎔多次專程赴美,與喬布斯和庫克建立「深厚友誼」。
也有人懷疑是蘋果和華為的友商。每年8月正是蘋果最緊張的備貨期,華為的Mate旗艦機也要在第四季度發布了,處理器延誤肯定要影響手機新品發布。
有人甚至想到了美國情報組織。前一陣的中美晶元大戰,就是圍繞禁運晶元角力。
難怪台積電總裁魏哲家親自「上陣救火」。在連環發問下,魏哲家不得不一遍又一遍地解釋,這既不是外部攻擊,也不是內鬼,還不涉及勒索,這就是自家工廠人員操作不按規範,造成的烏龍事件。
原來事情是這樣的,台積電的某個工廠安裝新設備,沒成想,新設備內潛藏著病毒。而偏偏台積電員工未按照操作規範,與內網隔離開殺毒,連著網就開啟了查殺病毒的程序。
由於台積電所有設備都聯著網,病毒由此感染了三個工廠的全部設備,被感染設備宕機或重複開機,工廠被迫停工。
「沒有人綁架,這純粹是我們自己的一個疏忽。」魏哲家不認為這是針對台積電的攻擊,儘管他也回應說,新設備中有病毒絕非正常情況。
所幸的是,病毒並不具備對電腦文件的加密勒索功能。這讓台積電能快速恢復生產。
事實上,企業安全人士反而對這次台積電的快速處理讚不絕口。要知道,法國雷諾去年被病毒攻擊後,停工整整一個月。但台積電很快切換到備用生產系統。360工業互聯網安全事業部副總經理李航透露,這套架構的設計,得益於今年2月剛退休的安全架構師左小川。
03
潘多拉魔盒
讓台積電停產的,正是去年肆虐全球的WannaCry的變種病毒。在消聲匿跡一年後,它又重回熱搜榜。
WannaCry是什麼?有人比喻說,它就像一個網路世界的核彈,但發射器被交到了民間。在它核爆以前,外界甚至不相信有這樣的大殺器存在。
去年5月,WannaCry被第一次放出籠子後,僅僅5個小時,就攻陷了全球99個國家的上萬台電腦。俄羅斯、英國、歐洲、中國的企業、校園和政府機構網路均出現故障。「現在只是冰山一角,接下去會愈演愈烈。」前任以色列軍方網路安全情報官 Zohar Pinhasi 告誡說,這就是讓小罪犯得到大規模殺傷性武器的後果。
這次核武器泄露始於一次黑客行動。早些時候,一個黑客組織「影子經紀人」,聲稱入侵了「黑客方程式組織(Equation Group)」,並竊取到大量文件。
當時,沒有幾個人相信。因為「黑客方程式組織」幾乎是一個傳說。它是美國國家安全局(NSA)內的一個機構,專門尋找各類系統的「高價值漏洞」。這些漏洞還沒人發現過,更沒有補丁修復。它們就像暗道,能悄悄通到網路世界各處的隱秘角落,發動突然襲擊。
這個組織的技術「超越任何已知情報」。甚至有分析稱,2001年,美國和以色列聯合攻擊伊朗核設施時,所用的震網病毒Stuxnet就源自他們。當時,這種「專攻軍用級漏洞」的神秘組織也一度被認為是杜撰。
但影子經紀人信心滿滿,決定拍賣這些偷來的「漏洞」,大發一筆橫財。他們放出了兩份文件,一份價值較低,掛在網上免費展示。另一份標價100萬個比特幣競拍,也就是當時的5.78億美元。
誰會花近6億美元買一件傳說中的寶物?兩個月後,這份文件仍無人問津。黑客決定降價到1萬個比特幣。再後來,他們不斷降價甩賣,被全世界都當作了笑話。沒人知道,自己錯過了一份可能黑掉全世界的武器。
2017年4月,憤怒的黑客決定,公開其中數十個漏洞,讓人們瞧瞧厲害。這些漏洞被掛在全球開源項目平台GitHub上,供所有人免費瀏覽。「永恆之藍」漏洞就在其中。
人們第一次發現,漏洞是真的。永恆之藍是針對Windows的漏洞,儘管微軟在去年3月趕緊發布了補丁,但大部分人並未重視,更何況還有7%的電腦在用XP系統,已被停止維護。永恆之藍覆蓋多個Windows版本,時間跨度超過十年。這樣的大殺器一代人也難得一見。
很快,漏洞被改造成「蠕蟲病毒」,像個蟲一樣在網路當中自行爬動、繁衍、傳播,這讓病毒的擴散比之前的釣魚郵件可要快多了。「蠕蟲病毒」再與早先存在的一款勒索軟體結合,就變成了WannaCry。
2017年5月12日,人們打開電腦,發現桌面文件被加密,再也打不開。屏幕上只有一個血紅的窗口,告訴你:打錢。
WannaCry爆發了。
英國16家醫院首先淪陷,醫療系統癱瘓,大量手術被迫取消。5個小時內,德國鐵道系統、印尼醫院、印度警察局、羅馬尼亞外交部、俄羅斯內政部、法國雷諾汽車、中國的大學,這些豪不相干的名字第一次一起滾動在同一個視頻報道中。
最終,WannaCry蔓延到全世界,只有「無網之國」朝鮮是一片凈土。病毒攻擊4天內,全球累計損失超過80億美元。
人們的第一反應是互相指責。微軟負責法務的總裁稱,美國國家安全局(NSA)發現了漏洞卻隱瞞不報,私下囤積漏洞才釀成慘劇。NSA則指責黑客,我們只是發現了漏洞,又沒有直接開發攻擊代碼。
很快,他們決定一起甩鍋給朝鮮。他們說,這次病毒的代碼與朝鮮黑客團隊「拉撒路組」出奇地相似。美國政府甚至要求,所有「可靠的國家」聯合反擊朝鮮,還要求聯合國安理會對朝鮮實施制裁。
在大機構互相甩鍋時,一個英國小哥卻意外拯救了世界。22歲的Marcus Hutchins發現,被病毒感染的計算機,會反覆訪問一個域名。奇怪的是,這個域名並不存在。他出於好奇心註冊了這個域名,然後全世界的WannaCry突然停止了傳播。
原來,這是黑客給這個病毒設定的一個「自殺開關」:如果病毒能訪問這個域名,獲得回傳的數據包,就停止感染下一台電腦。看來,黑客也心虛,怕事件像殭屍或生化危機一樣,發展到難以控制的地步。公布此事後,Marcus Hutchins被奉為全民英雄,Twitter上暴漲3萬粉絲。
諷刺的是,這個救世主3個月後被捕了。他去參加世界黑客大會Defcon,在回國途中被英國警方抓獲。理由是他自己就是黑客,曾開發了針對銀行系統的木馬病毒。
在這場災難中,中國其實是幸運兒。事發時,超過22個省的運營商在使用一種「錯誤域名重定向」的系統。它原本為阻攔釣魚網站而設計,當用戶訪問不存在的域名時,會被引導到預設的網址。由此,病毒就獲得了返回數據包,停止攻擊下一台電腦。在中國,疫情並未像國外一樣蔓延。
讓黑客掉淚的是,儘管造成80億美元的損失,他們卻只收到14萬美元贖金。比特幣被打到3個錢包地址,因數量太少很容易追蹤,無數執法機構在盯著資金流向。到了末期,黑客甚至銷聲匿跡,「給錢也不要了」。
也許攻擊者的目的不是為了錢?也有人猜測,推動比特幣價格暴漲才是這次事件發動的真實動機。在去年5月12日當天,比特幣僅1800美元一枚,到了年底已世人皆知,賣到1.3萬美元一個,年內最高還漲到過1.8萬美元,暴漲9倍。
在這場攻擊背後,或許比特幣的莊家們才是最大贏家。
04
攻擊還會蔓延嗎?
台積電病毒事故後,無數工廠跑到安全廠商那裡諮詢:這種企業攻擊會蔓延嗎?
答案是兩面的。「針對個人的勒索已賺不到錢,但企業生產中斷是大事,很願意破財免災。」一位資深信息安全專家對AI財經社說,如今的黑客肯定把企業放在攻擊的第一位。
戲劇化的是,企業最初苦惱的,甚至不是被勒索,而是到哪兒去買比特幣。「後來,淘寶上能買比特幣了。再後來,都有一條龍服務了:不僅幫你買幣,還幫你去暗網聯繫黑客,一手交錢,一手了事。」
但另外一面,針對企業的攻擊並不會愈演愈烈。
通常,黑客並不想把事情搞大,一次勒索三五萬,就像養羊一樣不會趕盡殺絕。
真正「良心」的勒索攻擊,根本不會鬧得沸沸揚揚。有業內人士指出,大規模的自動感染病毒爆發很少見,上次可能還是2008年。「以前是為了炫技,現在是低調的、定向的攻擊,悶聲發大財。」即使企業報案,也難查黑客線索。亂甩核彈的事情其實是少數情況。
一位資深安全專家還發現,工廠的系統很複雜。早期工廠的工控系統,沒有網路,根本沒有被攻擊的可能。「就像你在無菌罩里,即使抵抗力很弱,也不會得病。」
後來,一些製造廠將系統升級成了Windows。但只要做好內外網隔離,類似進裡屋前,中間有個小隔間,先穿上防護服,查殺一遍,只要嚴格執行管理規範,當病毒在外網肆虐時,企業內網能憑藉封閉性,躲過第一波攻擊。
令很多人意外的是,工廠里的大量工控機是裸奔或帶病工作,而且還是常態。原來工廠幾乎都是24小時生產,這些設備一般不能停。「要是殺毒軟體殺掉了生產系統,算誰的?像石化煉油廠,流水線一停,熔爐都廢了。」出於生產的連續性考慮,沒有人敢碰這一塊。安全企業更多的是在網路、網關上提供方案。
但不可否認,企業遭受攻擊的危險正向我們走來。資深信息安全專家對AI財經社說,智能製造可能恰恰是原因。
愈來愈多的全球大廠,為了實現時髦的用戶訂單和個性化製造,企業的工控系統正與外部IT網路迅速融合。在協同的大潮下,急於提高效率的企業未曾料到,病毒攻擊的威脅也越來越近。
對此未有感知的企業,還在臨時抱佛腳。這次台積電事故後,信息安全公司顧客盈門,很多工廠的安全預算終於獲批。但他們大多「頭痛醫頭,腳痛醫腳,缺乏系統性規劃。」
面對智能製造的大潮,上述安全專家認為,國外有幾點思路可以借鑒:把事想通透,邏輯搞明白;不必要的資源不暴露;工控安全和物聯網安全通盤考慮。
目前,工廠擔心生產中斷,工控系統還很少讓信息安全企業碰。「網路安全是小生意,我們可負不起這麼大責任。」在業內人士看來,很多網上的討論還停留在外圍,是用IT的眼光看待工業網路。而企業的安全意識卻是內生的,不可一蹴而就。
