现实版黑客帝国：乌克兰如何沦为俄罗斯的网战实验室

proscheung

时钟指向零点，灯光突然熄灭。

奥勒克斯•亚辛斯基是一位40岁的乌克兰网络安全研究员。2016年12月一个周六的晚上，在基辅（乌克兰首都）的某个公寓里，亚辛斯基和他的妻子及未成年的儿子正坐在客厅沙发上，看奥利弗•斯通执导的电影《斯诺登》。电影才看了一个小时，公寓突然断电。

“黑客们不希望我们看完这部电影，” 亚辛斯基的妻子开玩笑道。她还提到一年前发生的事情，那是2015年圣诞节前夕，当时的一次网络攻击让近25万乌克兰人整整两天陷入断电的事故之中。亚辛斯基是基辅一家数字安全公司的首席分析师，听到这席话后他并没有笑。他看了眼桌上的便携钟：时间是0点整。正好是午夜。

亚辛斯基家的电视连接了有备用电池的电涌保护器，所以现在只有屏幕上闪烁的图像照亮了房间。电源板开始发出哀怨的哔哔声。亚辛斯基站起身来，关了电视以节省电量，然后突然默默地离开了房间。

他走进厨房，拿出几支蜡烛并点亮。然后踱至厨房的窗边。这个金发瘦削的工程师向窗外看去，就如他以前从未见过这座城市一般：公寓周围的整个天际都是黑暗的。只有远处被乌云密布的天空反射的灰色灯光，勾勒出现代公寓和苏联时期高层建筑的黝黑轮廓。

亚辛斯基注意到，现在的确切时间和日期差不多正好是2015年12月那次网络攻击过去一年后，他确信这次绝不是简简单单的断电。他的思绪飘至屋外气温接近华氏零度（摄氏温度为零下18度，译者注）的冰天雪地，成千上万的家庭室内温度渐渐变低，直到停用的水泵开始结冰。

震网（Stuxnet）是首个针对工业控制系统的蠕虫病毒，而伊朗成为了真实网络战的第一个目标。

而另一种猜测开始在亚辛斯基的脑海中生根发芽：过去的14个月中，一场危机正在乌克兰蔓延，而他发现自己身处这危机的中心。越来越多的乌克兰公司和政府机构找到他，请他分析一连串快速无情的网络攻击。幕后操纵者好像是某一黑客团队。现在，亚辛斯基无法抑制这样的感觉：那些幻影，那些他追踪了一年多的指纹，已经通过互联网电缆回到了他的家中。

网络预言家早就预见了这一幕的发生。几十年来他们一直在发出警告：黑客很快就会从对纯粹的网络世界带来混乱，上升到对现实世界造成真正的物理损害。2009年，美国国家安全局泄漏的震网病毒（Stuxnet）暗中加速几百台伊朗核离心机直到全部报废，这一事件似乎已经成为这个新时代的预告片。美国国家安全局和中央情报局前任局长迈克尔•海登（Michael Hayden）在一次演讲中表示，震网病毒事件有点像发生在1945年8月的那件大事（译者注：第二次世界大战中，日本广岛和长崎被原子弹摧毁）。“新型武器一经使用，就再也放不回盒子里了。”

在现今的乌克兰，这个典型的网络战争场景已经成形。而且是两次。在不同的地方，无形的破坏者切断了对数十万人的供电。每次停电都持续了好几个小时，得靠工程师尝试手动恢复供电。这些网络攻击开创了一个新的先例，证实了网络预言家的想法：几十年前黑客会阻挠现代社会进步的齿轮仅仅只是一个预言，而如今在处于俄罗斯阴影之下的乌克兰已经成为了现实。

停电不仅仅是源于单方面的网络攻击，而是过去三年来一直打击乌克兰的数字闪电战的一部分——这是一场世界上前所未有的持久型网络攻击。黑客军团对乌克兰几乎所有部门进行了系统的破坏：媒体，金融，交通运输，军事，政治，能源。一波又一波的网络入侵删除了数据，破坏了计算机，在某些情况下连组织内部最基本的功能都瘫痪了。关注网络安全的北约大使肯尼斯•杰尔斯（Kenneth Geers）认为，“你没法真正在乌克兰找到一个没有遭受网络攻击的空间。”

赛门铁克公司的里阿姆•奥•莫楚是第一个注意到震网病毒比之前想象的更为复杂和精巧的人。

十二月，乌克兰总统佩特罗•波罗申科发表了公开声明，在刚刚过去的两个月内，黑客针对36个乌克兰目标，发起了6500次网络攻击。 国际网络安全分析师不再将这些网络攻击归因于俄罗斯，但波洛申科态度很坚定，他认为乌克兰的调查表明，“俄罗斯直接或间接地参与了秘密任务，引发了针对乌克兰的网络战。”（俄罗斯外交部没有回应各方提问）

了解俄罗斯与其西方最大邻国之间独特的相爱相杀关系，能帮助我们明白两国之间巨大的地缘政治冲突，进而理解这些袭击的严重性。

“俄方永远无法接受一个主权独立的乌克兰。苏联解体二十五年来，俄罗斯仍治不好这种帝国主义综合症。”

从一开始，这场战争的主要战线之一就是网络战。有一个自称是CyberBerkut的亲俄黑客团队，在2014年乌克兰革命后，总统选举之前，他们的后台操纵乌克兰中央选举委员会网站，宣布极右派总统候选人徳米特罗•雅罗斯获胜。管理人员在选举结果宣布前不到一个小时发现其已被篡改。而这次袭击只是预告了俄罗斯在数字化战争中最雄心勃勃的实验。网络攻击的枪林弹雨从2015年秋天开始加剧，且一直没有停止。

对于乌克兰黑客疫情的最终结果，许多全球网络安全分析师有一个更大的设想：他们认为俄罗斯正在将乌克兰作为网络战的测试场——一个旨在完善全球网络斗争新形式的实验室。俄罗斯在乌克兰多次释放的数字“炸弹”，在美国民用基础设施中至少埋植过一次。

2015年10月，一个星期天早上，一年多以前的亚辛斯基还不会望着厨房窗外黑色的天际线沉思。他坐在同一个窗口前，饮茶，吃玉米片。作为乌克兰最大的电视广播集团星光媒体时任信息安全主管的他，突然接到了公司打来的电话。前天晚上星光媒体两台服务器莫名掉线了。在电话里IT管理员向他保证，服务器的备份已恢复。

但亚辛斯基感到很不安。这两台机器几乎在同一分钟内宕机了。他说：“一台服务器宕机时有发生。但两台服务器同时宕机？十分可疑。”

亚辛斯基设法从公司网络中提取了破坏性程序的副本。回到家里，他仔细研究这个副本的代码。他惊讶于该代码狡猾的层层伪装——恶意软件已经逃避了所有的防病毒扫描，甚至假扮成一个微软的防病毒扫描程序Windows Defender。家人睡觉之后，雅辛斯基打印出代码，将纸张放在厨房的桌子和地板上，透过一条条伪装字符和突出的指令，看到了它的真面目。亚辛斯基在信息安全部门工作了20年； 他曾经管理过庞大的网络系统，并且与黑客老手进行过斗争。但他从未分析过这样精细的数字武器。

“每前进一步，心里就越清楚我们的泰坦尼克号撞上了黑客设下的冰山。越往下挖掘，就越会发现这只是冰山一角。”

亚辛斯基推测，在所有伪装和误导之下，隐藏的是一种名叫KillDisk的恶意软件，这是一种具有数据破坏性的寄生虫，已经在黑客中流传了十余年。最终，亚辛斯基锁定了作为黑客最初立足点的恶意软件：一种名叫BlackEnergy的多用途木马程序。

亚辛斯基很快开始听其他公司和政府部门的同事们表示他们也被黑客入侵，攻击方式几乎完全一样。乌克兰最大的铁路公司Ukrzaliznytsia也遭受了网络攻击。其他黑客要求亚辛斯基保守秘密。黑客一再使用木马程序BlackEnergy进行访问和侦察，然后用恶意软件KillDisk进行破坏。他们的动机仍然是一个谜，但他们的入侵痕迹无处不在。

即使如此，亚辛斯基并不算真正了解这个威胁。例如，他并不知道，到了2015年12月，BlackEnergy和KillDisk已经在至少三家主要的乌克兰电力公司的电脑系统中寄生并暗中潜伏着。

一开始，罗伯特•李认为是松鼠搞的鬼。

那是2015年的圣诞节前夕，而且是在李结婚的前一天，身在家乡阿拉巴马州库尔曼的他即将迈入婚姻的殿堂。李是一个身材壮实，长着胡子的红头发男子，他刚刚离开了一家缩写为三个字母的美国情报机构，离职前他主要负责重要基础设施的网络安全。现在，他正在准备创立自己的安全公司，并迎娶驻外期间遇到的荷兰女友。

就在李忙于筹备婚礼时，他看到新闻头条写着，黑客刚刚了破坏乌克兰西部的电网。这个国家的一大片土地显然已经在黑暗中度过了6个小时。李对这个报道一笑置之。

然而第二天，就在婚礼进行之前，麦克•阿桑特发了一段文本给李，内容和乌克兰电网遭到网络攻击有关。阿桑特是SANS研究所的安全研究员，这是一个高级网络安全培训中心。这引起了李的注意：当涉及对电网的数字威胁时，阿桑特可是世界上的顶尖专家之一。他告诉李，黑客造成乌克兰停电这一说法，看来是真的。

黑客散播的病毒通过电力公司内网传播，最终破坏了一个用作远程访问的VPN（Virtual Private Network，虚拟专用网络）。

就在李说了誓言和亲吻新娘之后，一个乌克兰熟人也给他发了消息：黑客导致断电的事是真的，他正需要李的帮助。李的职业生涯都在为反击基础设施网络攻击而奋斗，他期待多年的那一刻终于到来了。所以他缺席了新人招待会，穿着婚礼礼服，打算找一个安静的地方给阿桑特发送消息。

最后，李在附近父母家里找到母亲的台式电脑。此时远在爱达荷州的阿桑特正在朋友举行的圣诞派对上，他们在网上并肩作战，对乌克兰地图和电网图表展开了分析。三家受攻击的电力公司的变电站分布在全国不同地区，相距数百英里，没有连接。“这并不是松鼠搞的鬼，”李得出了结论，暗自激动。

那天晚上，李忙于研究他的乌克兰熟人从被黑的电力公司发送来的KillDisk恶意软件，就像几个月前亚辛斯基在星光媒体被黑客入侵后所做的那样（李说，“幸好我有一个非常耐心的妻子。”）。几天内，他收到了木马程序BlackEnergy的代码样本和网络攻击的犯罪数据。李明白了，黑客入侵是从一个钓鱼电子邮件开始，邮件伪装成来自乌克兰议会的消息。恶意Word附件在受害者的机器上悄悄运行了一个脚本，从而埋下了BlackEnergy病毒。有了这个立足点，黑客散播的病毒通过电力公司内网传播，最终破坏了公司用于远程访问公司内网的VPN，其中包括高度专业的工业控制软件，该软件可以便于操作员远程控制设备，如断路器。

刚刚让近25万乌克兰人处于黑暗中的黑客团队用同样的恶意软件感染了美国电力公司的电脑。

通过分析黑客的攻击手法，李渐渐明白他的对手是谁了。他惊讶地发现，断电黑客的手法与最近在网络安全世界中某个臭名昭著的黑客团队相似，这个团队被叫做Sandworm（沙虫）。

没人知道这个黑客团队的真实意图。但所有的迹象表明这些黑客是俄罗斯人。

最令美国分析师不安的是，“沙虫”的目标已越过大西洋。2014年初，美国政府报告说，黑客已经在美国电力和水利设施网络上埋植了木马程序BlackEnergy。 结合政府的调查结果来看，火眼公司已经能够推定“沙虫”也是这些网络入侵的幕后黑手。

对于李来说，这些碎片相互关联：在他看来，刚刚让近25五万乌克兰人处于黑暗中的黑客团队不久之前用同样的恶意软件感染了美国电力公司的电脑。

圣诞节停电事件才过去了几天了，阿桑特认为让特定黑客小组来背锅还为时尚早——更不用说让某个政府背锅。但在李的脑海里，警报已经响起。乌克兰黑客袭击事件不仅仅是一个遥远的外国案例研究。李说：“对手已经瞄准美国能源公司，他们已经越界并破坏了一次电网。这对美国来说是迫在眉睫的威胁。”

几个星期后，一群美国人抵达基辅。这行人分别来自美国联邦调查局、能源部、国土安全部和北美电力可靠性公司（负责美国电网稳定性的机构），他们的任务是对乌克兰停电事件追查到底

第一天，西装革履的政府官员聚集在酒店的无菌会议室，出席会议的还有Kyivoblenergo公司的工作人员，这是基辅的区域配电公司，也是电网遭到攻击的三家电力公司之一。在接下来的几个小时中，这家乌克兰电力公司的高层管理人员和工程师们详细描述了此次无所不在、近乎折磨的网络袭击。

李和阿桑特注意到，感染能源公司的恶意软件不包含任何能够真正控制断路器的指令。12月23日下午，Kyivoblenergo电力公司的员工无助地看着有马萨诸塞州那么大的区域里，数十个变电站的断路器被打开，而且貌似是由他们内网上看不见的电脑所控制。事实上，Kyivoblenergo的工程师断定，网络攻击者在一个偏远的变电站的电脑上设置了他们完美配置的控制软件副本，然后使用这个流氓副本来发送切断电源的命令。

一旦断路器被打开，成千上万的乌克兰人供电中断，黑客们就发动了另一轮攻击。他们重写了联系变电站串行和以太网转换器之间的固件——站点服务器机柜中的小盒子，它可以转化互联网协议，与旧设备进行通信。通过重写这些硬件的隐秘代码——这是一个可能需要几周时间设计的伎俩——黑客永久地破坏了设备，使得正当操作员无法进一步对断路器进行数字化控制。坐在会议室桌旁的阿桑特惊叹于此次黑客行动的彻底性。

黑客也留下了一张他们常用的电话卡，用来运行KillDisk，继而摧毁该公司另外几台电脑。但是这次网络攻击最恶毒的部分是切断控制站的备用电池。当控制站所在地区的电力也被切断时，控制站也停电了，只能在这场电力危机之中被黑暗笼罩。通过极为精确的控制，黑客们在一场停电中策划了一场更大范围的停电。

阿桑特说，“他们留给我们的讯息是，‘我要让你感觉我的无所不在、如影随形。’砰砰砰砰砰，从被吓傻的电网操作员角度来看，黑客们看起来就像是上帝。”

那天晚上，访问团飞抵乌克兰西部的伊万诺－弗兰科夫斯克市，该市坐落在喀尔巴阡山脉的山脚下，飞机降落在苏维埃时期的小型机场。第二天早上，他们访问了Prykarpattyaoblenergo的总部，这家电力公司在圣诞前夕首当其冲。

电力公司的高管们礼貌地欢迎这些美国人进入他们现代化的大楼，隐约可见原来同一地方废弃煤电厂的大烟囱。然后高管们邀请访问团进入会议室，请他们围绕一个长木桌就座，桌子上方挂着一幅描绘了中世纪战争结束景象的油画。

他们眼睁睁的看着，幽灵般的手伸向了数十个断路器——每一个断路器都掌控着不同地区的电力调控——一个接着一个，将电路冷酷地关闭。

他们所描述的网络攻击几乎与Kyivoblenergo电力公司遭受的攻击相同：BlackEnergy，损坏的固件，破坏备份电源系统，KillDisk。但在这次停电行动中，这些袭击者还用了另一招，给公司的呼叫中心疯狂打虚假电话，这样可能延迟客户打来的任何和停电相关的投诉电话，或者只是为了给电力公司再添一层混乱和羞辱。

2016年8月，第一次圣诞节停电过去八个月之后，亚辛斯基离开了星光媒体。他认为，乌克兰社会各阶层已经受到冲击，而单单捍卫一家公司是不够的。为了跟上黑客的步伐，他需要对他们的操作有更全面的了解。“沙虫”黑客团体已经变成了厚颜无耻无所不在的组织。对此乌克兰需要一个更加有条理的回应。“光明的一面依然存在分歧，”亚辛斯基指的是人们对黑客的态度各不相同。“但黑暗的一面是统一的。”

因此，在基辅一家叫做“信息系统安全合作伙伴”的公司，亚辛斯基担任研究和取证负责人。这家公司名声并不大。但面对乌克兰网络围困战的受害者，亚辛斯基将这家公司变成了事实上的第一发声者。

亚辛斯基就职之后不久，几乎是同时，乌克兰陷入另一场更广泛的攻击浪潮。亚辛斯基列出受攻击的名单：乌克兰退休金基金会，国家财政部，海港管理局，基础设施部，国防部和财务部。黑客又一次攻击了乌克兰铁路公司，当时正值假期旅游季，其在线车票预订系统崩溃了好几天。2015年，大多数攻击最终导致了目标硬盘上KillDisk病毒的爆发。例如在财政部的电脑上，网络“炸弹”删除了数太字节（TB，数据量为1024GB，译者注）的数据，而当时财政部正在准备下一年的预算。总而言之，黑客新一年冬季的冲击达到甚至超过了上一年的“盛况”。

2016年12月16日，亚辛斯基和他的家人正坐在沙发上观看电影《斯诺登》，一名年轻的工程师奥列格•泽琴科在基辅北部的Ukrenergo变电站，12个小时的夜班才过去了4小时。

他正在用在纸上用铅笔记录日志，又是一个平静的星期六晚上。这时的闹钟突然响起时，震耳欲聋的铃声接连不断。泽琴科看到他的右手边，指示传输系统电路状态的两个指示灯已经从红色切换到绿色，用电气工程师的通用语言来说，这代表输电系统关闭了。

泽琴科把黑色座机拿到左手边，打电话给Ukrenergo总部的一名操作员，提醒他发生了日常故障。就在他打电话的时候，另一只灯也变绿。泽琴科的肾上腺素开始飙升了，当他匆匆向电话那头的操作员解释情况时，所有灯都在变色：红色变绿色，红色变绿色。八盏，十盏，十二盏

随着危机升级，操作员命令泽琴科跑到室外，检查设备是否有物理伤害。就在那一刻，第二十个电路，也就是最后一个电路关闭了，控制室内所有灯灭了，电脑和电视也不例外。泽琴科已经在他蓝黄相间的制服外套了一件大衣，然后冲向了大门。

当他跑过那些瘫痪的机器时，第一次有这样的念头浮现在他的脑海里：黑客卷土重来了。

这次袭击使得乌克兰电网的循环系统发生了变化。幸运的是，系统只是停电一小时。但实际上，短暂性是2016年停电唯一威胁较小的方面。分析过电网攻击的网络安全公司表示，2016年这次攻击比2015年更加复杂：它是由一个复杂度高，适应性强的恶意软件执行的，现在被叫作“CrashOverride”，这个程序的编码专门为自动攻击电网而设计。

这是自震网病毒Stuxnet以来独立破坏物理基础设施的第一个恶意软件。

而CrashOverride并不只是一个仅适用于Ukrenergo电网的一次性工具。研究人员表示，这是让电力设施中断的可重复使用和具备高度适应性的武器。在恶意软件的模块化结构中，Ukrenergo的控制系统协议可以很容易地用欧洲或美国的控制协议替代。

霍尼韦尔（Honeywell）的工业控制系统安全研究员玛丽娜•科罗托非尔（Marina Krotofil）也分析了Ukrenergo电网攻击，她认为黑客的手法成比2015年的攻击更简单，效率更高。“2015年的他们就像一群残忍的街头混混，” 科罗托非尔说。 “2016年，他们变成了忍者。”但黑客可能还是那一帮；Dragos公司的研究人员认为CrashOverride的构建确定是“沙虫”所为，具体证据Dragos尚未透露。

李先生指出，一群黑客首次证明了，他们想要并能够攻击重要基础设施。他们已经在多次不断演变的攻击中完善了他们的技术。而且他们以前在美国电网上也埋植过BlackEnergy恶意软件。“这些人对美国电网了如指掌，网络攻击也可能发生在这儿，”李说。

亚辛斯基所在的信息系统安全合作伙伴公司的总部，位于基辅工业区的一个低洼建筑里，周围环绕着泥泞的运动场和外墙剥落的灰色高层——苏联时期留下的纪念品。

大楼里面，亚辛斯基坐在一个昏暗的房间里，面前的圆桌上覆盖着6英尺长的网络地图，每个地图都代表了“沙虫”入侵的时间轴。到目前为止，这个黑客团队是他近两年的工作焦点，回到了第一次星光媒体遭受网络攻击的日子。

亚辛斯基说，他曾试图对正在洗劫乌克兰的入侵者保持冷静的视角。但4个月前，此次停电波及到他家，那就是“像抢劫一样”，他告诉我。“这是一种违法行为，那一刻你意识到自己的私人空间只是一种错觉。”

亚辛斯基表示，无从知晓有多少乌克兰机构在不断升级的网络攻击中受到打击; 任何计数都可能小于实际总数。所有公认受攻击的目标中，肯定还有机构未表示被黑客入侵，还有其他目标仍没有发现他们系统中的入侵者。

当我们在信息系统安全合作伙伴公司的办公室见面时，实际上下一波数码入侵已经在酝酿中。在亚辛斯基身后，两名长着胡子，较为年轻的员工趴在键盘和屏幕前，分析前一天刚从新一轮钓鱼邮件中获取的恶意软件。亚辛斯基注意到，这些网络袭击事件已经进入了一个季节性的循环：一年中的头几个月，黑客打下基础，默默渗透目标，扩大立足点。年底，他们释放了病毒。亚辛斯基现在才知道，即使他正在分析去年的电网攻击时，黑客已经埋下了今年（2017年）12月的种子。

亚辛斯基表示，为下一轮攻击做准备，就像是面对“即将到来的期末考试”。但在这个宏伟蓝图中，他认为乌克兰过去三年遭受的网络攻击，可能只是一系列测验。

亚辛斯基认为，即使是最具破坏性的攻击，黑客也没有使出全力。他们不仅本可以销毁财政部的全部存储数据，而且也可以摧毁其备份。他们本可以让Ukrenergo变电站的停电时间更长或永久停电，还可以对电网造成的物理损害。他说，美国分析师如阿桑特和李也注意到这种破坏力的有所保留。“他们还在逗弄我们，”亚辛斯基说。每次黑客在达到最大可能性的破坏之前就收手了，好像为他们的未来行动保存真正的能力。

许多全球网络安全分析师也得出了同样的结论。在克里姆林宫的影响下，趁着无拘无束的热战氛围，训练一支俄罗斯黑客队伍上进行数字化战斗，岂不是最合适的？北约大使吉尔说，“没有任何拘束。这是一个你无论做什么都不会遭到报复或起诉的地方。”“乌克兰不是法国或德国。很多美国人甚至在地图上找不到它，所以你可以在那里演习信息战。”

伦敦国王学院战争研究系教授托马斯•里德说，潜伏在这种被忽视的阴影下，俄罗斯不仅仅推动了技术能力的极限。俄方也在感受国际社会的容忍极限。克里姆林宫干扰了乌克兰选举，收到的抗议却没有想象中的强烈；试试对德国、法国和美国尝试类似的策略。而俄罗斯黑客在乌克兰削弱权力却不受惩罚，其实这个三段论不难完成。“他们正在测试行动的底线，”里德表示。“你推推看自己是否被推回去。如果没有阻力，则大胆尝试下一步。”

下一步会是什么样子？在基辅ISSP实验室的昏暗密室里，亚辛斯基承认他也不知道。或许另一次停电。或许是对水设施的针对性攻击。“开动你的想象力，”他冷冷地说道。

在他身后，余晖透过百叶窗，刻画出他面部的侧影。“网络空间本身不是一个目标，”亚辛斯基说。“而是一种媒介。”这种媒介和文明本身的体系紧密相连。

qsums

俄罗斯太丢脸了拿个小国家来搞这些

tommytino

[耶]靠大脑运算，怎么黑？

天使之星

头条网站是被哪个集团控制的？？专门黑中国的朋友！