信息來(lái)源：安全牛

網(wǎng)絡(luò)戰(zhàn)威脅籠罩未來(lái)：新型沖突可跨越國(guó)界，令距前線千里之外的平民瞬間陷入混亂。

就在不久之前，網(wǎng)絡(luò)戰(zhàn)場(chǎng)景隨令人驚懼的假定而起：如果黑客國(guó)家隊(duì)發(fā)動(dòng)大規(guī)模攻擊搞崩整個(gè)城市的電網(wǎng)會(huì)怎么樣？整個(gè)國(guó)家的銀行停業(yè)，ATM 變磚？貨運(yùn)公司、煉油廠、工廠關(guān)閉？機(jī)場(chǎng)和醫(yī)院癱瘓？

如今，這些場(chǎng)景不再是假想和推測(cè)：上述每一個(gè)事件都已真實(shí)發(fā)生。安全事件、災(zāi)難性事件接二連三，網(wǎng)絡(luò)戰(zhàn)已躍出熱銷科幻小說(shuō)紙面，脫出五角大樓推演沙盤(pán)，環(huán)繞在我們身旁。如今，事實(shí)比以往更為明晰，黑客威脅已超越簡(jiǎn)單的破壞公物、犯罪牟利，甚至間諜活動(dòng)，涵蓋曾經(jīng)只能通過(guò)軍事打擊和恐怖主義襲擊才能造成的現(xiàn)實(shí)世界破壞。

截止目前，直接造成人員傷亡的網(wǎng)絡(luò)戰(zhàn)攻擊案例尚無(wú)明確記錄。但造成100 億美元經(jīng)濟(jì)損失的網(wǎng)絡(luò)戰(zhàn)攻擊已切實(shí)發(fā)生。網(wǎng)絡(luò)戰(zhàn)被用于恐嚇公司企業(yè)和暫時(shí)致癱整個(gè)政府。短時(shí)切斷居民供電供暖等基本服務(wù)，長(zhǎng)期剝奪交通運(yùn)輸和貨幣供給能力等，也在網(wǎng)絡(luò)戰(zhàn)的 “成效” 列表中。最令人擔(dān)憂的是，隨著伊朗、朝鮮和俄羅斯等國(guó)家持續(xù)開(kāi)發(fā)新的破壞性網(wǎng)絡(luò)攻擊技術(shù)，網(wǎng)絡(luò)戰(zhàn)似乎在這些國(guó)家的手中不斷發(fā)展進(jìn)化。美國(guó)和同講英語(yǔ)的五眼聯(lián)盟中的其他國(guó)家同樣擁有世界上最先進(jìn)的網(wǎng)絡(luò)戰(zhàn)能力，但最近幾年相比其他網(wǎng)絡(luò)戰(zhàn)參與國(guó)還是稍微克制一些。

所有這些都意味著網(wǎng)絡(luò)戰(zhàn)威脅已陰云壓境：新型沖突可跨越國(guó)界，將混亂瞬移至距前線千里之外的平民。

網(wǎng)絡(luò)戰(zhàn)的歷史和含義

要理解網(wǎng)絡(luò)戰(zhàn)對(duì)人類文明造成的獨(dú)特威脅，就要先了解這個(gè)詞到底是怎么產(chǎn)生的。畢竟，網(wǎng)絡(luò)戰(zhàn)一詞也歷經(jīng)了幾十年發(fā)展演變。托馬斯·里德 (Thomas Rid) 的網(wǎng)絡(luò)萬(wàn)物史《機(jī)器崛起》(Rise of the Machines) 詳細(xì)記錄了其演變歷程。但長(zhǎng)期的變化發(fā)展也攪渾了其含義：網(wǎng)絡(luò)戰(zhàn)這個(gè)詞最開(kāi)始出現(xiàn)在 1987 年美國(guó)老牌科普/科幻雜志《Omni》登載的一篇文章中，那篇文章描述了以巨型機(jī)器人、自治飛行器和自治武器系統(tǒng)作戰(zhàn)的未來(lái)戰(zhàn)爭(zhēng)場(chǎng)面。但到了 1990 年代，計(jì)算機(jī)和互聯(lián)網(wǎng)日益改變?nèi)祟惿睿@種終結(jié)者風(fēng)格的機(jī)器人網(wǎng)絡(luò)戰(zhàn)意象也就讓位于更關(guān)注這兩種技術(shù)的網(wǎng)絡(luò)戰(zhàn)概念了：美國(guó)智庫(kù)蘭德公司 (RAND) 的兩位分析師在 1993 年發(fā)表文章《網(wǎng)絡(luò)戰(zhàn)來(lái)了！》，講述軍隊(duì)黑客將很快不止對(duì)敵方系統(tǒng)執(zhí)行偵察和監(jiān)視任務(wù)，還會(huì)攻擊和破壞敵人用于指揮和控制的計(jì)算機(jī)。

然而幾年之后，蘭德公司的分析師就會(huì)開(kāi)始認(rèn)識(shí)到，軍方黑客的破壞性攻擊可未必局限于軍用計(jì)算機(jī)。他們也能很容易地攻擊敵方關(guān)鍵基礎(chǔ)設(shè)施的計(jì)算機(jī)化和自動(dòng)化部分，可能對(duì)平民造成災(zāi)難性后果：在越來(lái)越依賴計(jì)算機(jī)的世界中，這種攻擊可能意味著破壞鐵路、股票交易所、航空系統(tǒng)，甚至毀壞支撐諸多此類關(guān)鍵系統(tǒng)的電網(wǎng)。

黑客攻擊無(wú)需局限在戰(zhàn)爭(zhēng)外圍的一些戰(zhàn)術(shù)上：網(wǎng)絡(luò)攻擊本身就能成為戰(zhàn)爭(zhēng)武器。美國(guó)前總統(tǒng)克林頓在 2001 年的一次講話中警告稱：今天，我們的關(guān)鍵系統(tǒng)，從電網(wǎng)到空中交通管制，都由計(jì)算機(jī)連接并運(yùn)行，有人可以同樣坐在計(jì)算機(jī)前，黑進(jìn)計(jì)算機(jī)系統(tǒng)，搞垮一家公司、一座城市，或者一個(gè)政府。他在發(fā)表此番講話時(shí)腦子里想的網(wǎng)絡(luò)戰(zhàn)定義，恐怕就是將網(wǎng)絡(luò)攻擊本身作為武器的戰(zhàn)爭(zhēng)。

自那以后，網(wǎng)絡(luò)戰(zhàn)的定義逐漸歸攏，直到 2010 年出版的《網(wǎng)絡(luò)戰(zhàn)》一書(shū)將之清晰表述出來(lái)。該書(shū)由老布什、克林頓和小布什三位美國(guó)總統(tǒng)的御用國(guó)家安全顧問(wèn)理查德·克拉克 (Ricchard Clarke) 和后來(lái)?yè)?dān)任奧巴馬總統(tǒng)網(wǎng)絡(luò)安全顧問(wèn)的羅伯特·科奈克 (Robert Knake) 合著。克拉克和科奈克將網(wǎng)絡(luò)戰(zhàn)定義為 “民族國(guó)家滲透另一國(guó)家計(jì)算機(jī)或網(wǎng)絡(luò)以造成破壞的行為”。簡(jiǎn)單講，該定義大致包含了業(yè)內(nèi)通常理解的 “戰(zhàn)爭(zhēng)行為”，只不過(guò)是通過(guò)數(shù)字化方式進(jìn)行的戰(zhàn)爭(zhēng)行為。但隨時(shí)光流逝，克拉克和科奈克的定義已攏不住世界前進(jìn)的腳步，數(shù)字攻擊完全有潛力超出計(jì)算機(jī)的范疇而對(duì)現(xiàn)實(shí)世界造成實(shí)際后果。

早期網(wǎng)絡(luò)戰(zhàn)

切實(shí)符合克拉克和科奈克網(wǎng)絡(luò)戰(zhàn)定義的首個(gè)歷史性事件出現(xiàn)在十幾年前，有些人也稱之為第一次 Web 大戰(zhàn) (Web War I)。襲擊目標(biāo)是世界上網(wǎng)絡(luò)化程度相當(dāng)高的愛(ài)沙尼亞。

2007 年春，前所未見(jiàn)的拒絕服務(wù)攻擊 (DDoS) 浪潮席卷愛(ài)沙尼亞一百多個(gè)網(wǎng)站，造成該國(guó)網(wǎng)上銀行、數(shù)字新聞媒體、政務(wù)網(wǎng)站等宕機(jī)掉線，幾乎任何有 Web 界面的服務(wù)皆不可用。攻擊緣起愛(ài)沙尼亞政府移除首都塔林中心區(qū)一座蘇聯(lián)時(shí)期雕像的決定，此決定激怒了該國(guó)說(shuō)俄語(yǔ)的少數(shù)族裔，引發(fā)塔林各處街道的抗議游行和網(wǎng)上抗議活動(dòng)。

然而，網(wǎng)絡(luò)攻擊持續(xù)數(shù)周后，情況漸漸明朗，這不僅僅是一場(chǎng)網(wǎng)上騷亂：攻擊來(lái)自遭惡意軟件劫持的 PC 集結(jié)而成的僵尸網(wǎng)絡(luò)，可能的操控者是俄羅斯有組織網(wǎng)絡(luò)犯罪團(tuán)伙。某些攻擊源甚至與早前有著明確政治意圖的 DDoS 攻擊相重合，包括曾襲擊俄羅斯棋王兼反對(duì)黨政治領(lǐng)袖加里·卡斯帕羅夫 (Gary Kasparov) 的那些攻擊。如今，安全分析師普遍認(rèn)為，即便沒(méi)有主動(dòng)組織，俄羅斯政府也可能縱容了這些攻擊。

到了第二年，俄羅斯政府與政治性網(wǎng)絡(luò)攻擊的聯(lián)系愈加明顯。另一場(chǎng)非常相似的 DDoS 攻擊涌向又一個(gè)俄羅斯鄰邦——格魯吉亞。這次，數(shù)字攻擊伴隨著實(shí)體入侵：為“保護(hù)”格魯吉亞境內(nèi)親俄羅斯的分裂分子，俄羅斯大軍壓境，坦克開(kāi)入格魯吉亞首都，艦隊(duì)在封鎖格魯吉亞黑海海岸線。一些案例中，數(shù)字攻擊會(huì)作為軍事打擊的先導(dǎo)，預(yù)先襲擊軍隊(duì)即將進(jìn)入的特定城市相關(guān)網(wǎng)站，展現(xiàn)出二者間的協(xié)同性。

2008 格魯吉亞戰(zhàn)爭(zhēng)或許是第一場(chǎng)結(jié)合了常規(guī)軍事力量與黑客攻擊力量的真實(shí)混合戰(zhàn)爭(zhēng)。但鑒于格魯吉亞的低互聯(lián)網(wǎng)普及率（當(dāng)時(shí)僅約 7% 的格魯吉亞人用互聯(lián)網(wǎng)），以及俄羅斯相對(duì)簡(jiǎn)單粗暴的網(wǎng)絡(luò)攻擊（僅僅是搞垮和丑化網(wǎng)站），此役更像是網(wǎng)絡(luò)戰(zhàn)的歷史性先兆而非真正意義上的網(wǎng)絡(luò)戰(zhàn)。

網(wǎng)絡(luò)戰(zhàn)不是……

1、網(wǎng)絡(luò)諜報(bào)

網(wǎng)絡(luò)戰(zhàn)不是簡(jiǎn)單的信息盜竊，既不是各國(guó)相互監(jiān)視對(duì)方政府的大動(dòng)作，也不是美國(guó)長(zhǎng)期構(gòu)陷中國(guó)的那類更富爭(zhēng)議的私營(yíng)產(chǎn)業(yè)經(jīng)濟(jì)間諜行為。

2、網(wǎng)絡(luò)犯罪

網(wǎng)絡(luò)戰(zhàn)不是追求金錢(qián)收益的黑客活動(dòng)，銀行欺詐或勒索軟件攻擊那種動(dòng)輒攫取受害者數(shù)百萬(wàn)美元的黑客活動(dòng)式網(wǎng)絡(luò)犯罪，無(wú)論其效果有時(shí)顯得多么殘酷無(wú)情和損失慘重。

3、信息戰(zhàn)

盡管可能頗受爭(zhēng)議，但網(wǎng)絡(luò)戰(zhàn)不是旨在散布虛假信息和政治宣傳，或泄露對(duì)手負(fù)面信息試圖傷害對(duì)手的 “影響力行動(dòng)”。沒(méi)錯(cuò)，“影響力行動(dòng)” 包括 2016 年可能是俄羅斯政府黑客針對(duì)民主黨目標(biāo)發(fā)起的一系列入侵和泄露行動(dòng)，最終歸結(jié)為政治腐敗和黑料，而不是真正網(wǎng)絡(luò)戰(zhàn)的直接強(qiáng)勢(shì)致癱性破壞。

第一槍

2010 年，人類社會(huì)對(duì)網(wǎng)絡(luò)戰(zhàn)有了全新認(rèn)知。認(rèn)知顛覆的序幕由白俄羅斯安全公司 VirusBlokAda 拉開(kāi)。該公司先是發(fā)現(xiàn)一款神秘的惡意軟件搞崩了運(yùn)行自家殺毒軟件的計(jì)算機(jī)。到了 2010 年 9 月，安全研究社區(qū)得出令人震驚的結(jié)論：該名為 “震網(wǎng)” (Stuxnet) 的惡意軟件樣本實(shí)際上是迄今為止專為網(wǎng)絡(luò)攻擊設(shè)計(jì)的最為復(fù)雜的代碼，專門(mén)用于破壞伊朗核濃縮設(shè)施里用的離心機(jī)。近兩年之后，《紐約時(shí)報(bào)》才證實(shí) “震網(wǎng)” 是美國(guó)國(guó)家安全局 (NSA) 和以色列情報(bào)機(jī)構(gòu)打造的，目的在于妨礙伊朗嘗試制造原子彈。

2009 至 2010 年間，“震網(wǎng)” 摧毀了伊朗納坦茲 (Natanz) 地下核濃縮工廠中安裝的一千多臺(tái)兩米高的鋁制離心機(jī)，令該設(shè)施陷入混亂和迷惑。在伊朗人的網(wǎng)絡(luò)上廣泛散布后，“震網(wǎng)” 將指令注入了管理離心機(jī)的可編程邏輯控制器 (PLC)，令離心機(jī)加速或調(diào)亂其內(nèi)部壓力，造成離心機(jī)自毀?！罢鹁W(wǎng)” 可被認(rèn)為是史上首個(gè)直接毀壞實(shí)體設(shè)備的網(wǎng)絡(luò)攻擊，也是摧毀性破壞效果至今無(wú)可超越的網(wǎng)絡(luò)戰(zhàn)行為。也可以說(shuō)，“震網(wǎng)” 擊發(fā)了全球網(wǎng)絡(luò)軍備競(jìng)賽的第一槍，拉開(kāi)了網(wǎng)絡(luò)軍備競(jìng)賽的大幕。

伊朗迅速跟進(jìn)，從網(wǎng)絡(luò)戰(zhàn)受害者角色變身攻擊者。2012 年 8 月，沙特阿拉伯沙特阿美公司——全球最大的石油生產(chǎn)商，遭遇 Shamoon 惡意軟件襲擊，占公司計(jì)算機(jī)總數(shù)約 3/4 的 3.5 萬(wàn)臺(tái)計(jì)算機(jī)被清理，石油生產(chǎn)運(yùn)營(yíng)基本癱瘓。在受襲計(jì)算機(jī)的屏幕上，惡意軟件留下了一張美國(guó)國(guó)旗被點(diǎn)燃的圖片。事后一個(gè)自稱 “正義利劍” 的激進(jìn)組織宣布為此事負(fù)責(zé)，但網(wǎng)絡(luò)安全分析師很快就懷疑，伊朗才是最終背后主謀，將沙特作為報(bào)復(fù) “震網(wǎng)” 的代理目標(biāo)。

接下來(lái)的一個(gè)月里，自稱 “燕子行動(dòng)” (Operation Ababil) 的伊朗黑客襲擊了美國(guó)各大銀行，用一波接一波的 DDoS 攻擊搞癱銀行網(wǎng)站。這些攻擊可謂俄羅斯在愛(ài)沙尼亞和格魯吉亞所用技戰(zhàn)術(shù)的針對(duì)性攻擊升級(jí)版。同樣地，雖然披著 “黑客激進(jìn)主義者” 的外衣，但網(wǎng)絡(luò)安全分析師從攻擊的復(fù)雜性中檢測(cè)到了伊朗政府的影子，或許，伊朗黑客國(guó)家隊(duì)釋放出了更為直接的信息——會(huì)對(duì)未來(lái)美國(guó)的任何網(wǎng)絡(luò)攻擊加以反擊/報(bào)復(fù)。一年多后，2014 年 2 月，伊朗黑客對(duì)美國(guó)本土發(fā)起了又一波更有針對(duì)性的攻擊：猶太復(fù)國(guó)主義者，億萬(wàn)富翁 Sheldon Adelson 公開(kāi)建議美國(guó)對(duì)伊朗動(dòng)用核武后，高端黑客襲擊了 Adelson 位于拉斯維加斯的金沙賭場(chǎng)，用破壞性惡意軟件清空了數(shù)千臺(tái)計(jì)算機(jī)，就像沙特阿美案例中那樣。

到了 2014 年，伊朗不再是僅有的利用網(wǎng)絡(luò)攻擊跨越國(guó)界，給全球民事目標(biāo)帶來(lái)傷害的流氓國(guó)家。朝鮮也開(kāi)始秀出它的網(wǎng)絡(luò)戰(zhàn)肌肉了。多年持之以恒對(duì)其宿敵韓國(guó)傾瀉 DDoS 攻擊后，朝鮮黑客發(fā)起了更為大膽的行動(dòng)：2014 年 12 月，講述朝鮮領(lǐng)導(dǎo)人金正恩刺殺陰謀的低俗喜劇電影《刺殺金正恩》上映前，黑客宣稱已深度滲透其發(fā)行方索尼影業(yè)的網(wǎng)絡(luò)。黑客自稱 “和平衛(wèi)士” (Guardians of Peace)，盜取并泄露了索尼影業(yè)內(nèi)部大量電子郵件和幾部未發(fā)行的電影。他們以清空數(shù)千臺(tái)計(jì)算機(jī)的方式突襲成功。（盡管數(shù)據(jù)泄露或許稱得上是純粹的影響力行動(dòng)，但破壞性數(shù)據(jù)刪除操作就將該事件推入了網(wǎng)絡(luò)戰(zhàn)的范疇。）黑客在被搞癱的計(jì)算機(jī)上留下了恐嚇性骷髏圖片，并附上了勒索信息；既要錢(qián)，也要求取消《刺殺金正恩》上映。雖說(shuō)打著網(wǎng)絡(luò)犯罪的幌子，但美國(guó)聯(lián)邦調(diào)查局 (FBI) 根據(jù)黑客的一個(gè)疏漏——留下了已知為朝鮮黑客使用的中國(guó) IP 地址，公開(kāi)宣稱此攻擊是朝鮮政府所為。加入網(wǎng)絡(luò)戰(zhàn)競(jìng)爭(zhēng)圈的國(guó)際勢(shì)力名單越來(lái)越長(zhǎng)了。

焦土

即便有朝鮮和伊朗黑客在金沙賭場(chǎng)和索尼影業(yè)攻擊中肆虐，2014 年前后的網(wǎng)絡(luò)戰(zhàn)仍局限于單獨(dú)的事件和階段性的破壞活動(dòng)。但就在差不多同一時(shí)間，烏克蘭正在經(jīng)歷顏色革命，可能招致俄羅斯入侵并布局[全球首場(chǎng)真正全面網(wǎng)絡(luò)戰(zhàn)。

2015 年秋，俄羅斯軍隊(duì)吞并烏克蘭克里米亞半島，穿越烏克蘭東部邊境，在頓巴斯地區(qū)支持親俄羅斯的分裂分子運(yùn)動(dòng)，俄羅斯情報(bào)機(jī)構(gòu)黑客開(kāi)始發(fā)動(dòng)一系列清除性惡意軟件攻擊。他們針對(duì)烏克蘭媒體和基礎(chǔ)設(shè)施，包括其國(guó)有鐵路和首都基輔的機(jī)場(chǎng)，破壞了這些受害者網(wǎng)絡(luò)中數(shù)百臺(tái)計(jì)算機(jī)。然后，圣誕節(jié)前夜，同一批黑客執(zhí)行了前所未見(jiàn)的更加令人震驚的破壞活動(dòng)：他們攻擊了三家烏克蘭地區(qū)性能源設(shè)施，讓約 22.5 萬(wàn)戶居民陷入黑暗，終成史上首次由網(wǎng)絡(luò)攻擊引發(fā)的大斷電事件。斷電僅持續(xù)了六小時(shí)，但向?yàn)蹩颂m人民明確傳達(dá)了其面對(duì)遠(yuǎn)程攻擊的脆弱性，也向世界表明了俄羅斯黑客不斷精進(jìn)的高超技藝。

隨著烏克蘭戰(zhàn)爭(zhēng)的持續(xù)，俄羅斯黑客在 2016 年底又發(fā)起了一系列比上一年更大規(guī)模、更具破壞性的攻擊。他們襲擊了該國(guó)養(yǎng)老基金、國(guó)庫(kù)、港口城市政府和基礎(chǔ)設(shè)施、國(guó)防及財(cái)政部，刪除了包含下一年預(yù)算在內(nèi)的數(shù) TB 數(shù)據(jù)。烏克蘭鐵道公司也遭襲，在線訂票系統(tǒng)在假日旅游季掉線數(shù)天。

此后，圣誕節(jié)前一周，黑客觸發(fā)了另一場(chǎng)斷電事件，這次是在烏克蘭首都基輔。攻擊僅使該市部分地區(qū)斷電一小時(shí)，但與一年前通過(guò)攻擊配變電站造成斷電不同，這次黑客攻擊的是輸變電站，可能導(dǎo)致更大規(guī)模的停電。第二次斷電攻擊還使用了新型預(yù)兆性工具，安全研究人員稱之為 Industroyer 或 Cras Override。該定制惡意軟件旨在向受害設(shè)施中的斷路器直接發(fā)送接二連三的指令，自動(dòng)化、規(guī)模化該斷電過(guò)程，以便在未來(lái)能針對(duì)多個(gè)電力設(shè)施同時(shí)使用。

該俄羅斯惡意軟件是自震網(wǎng)之后發(fā)現(xiàn)的首個(gè)針對(duì)實(shí)體設(shè)備的代碼樣本。此工具展現(xiàn)出模塊化結(jié)構(gòu)，可方便改造適用于西歐或美國(guó)的電網(wǎng)目標(biāo)，表明俄羅斯黑客不僅想要對(duì)烏克蘭施以更大破壞和恐怖，還在驗(yàn)證可能輕易用在其他地方的破壞技術(shù)。

事實(shí)上，所有這些攻擊都只是網(wǎng)絡(luò)戰(zhàn)大戲的序曲。2017 年6 月底，俄羅斯黑客利用烏克蘭會(huì)計(jì)公司 Lindos Group 的被黑服務(wù)器，推送了日后被安全研究員稱為 NotPetya 的惡意代碼。NotPetya 結(jié)合了 NSA 被泄黑客程序 “永恒之藍(lán)” (EternalBlue) 與密碼盜竊工具 Mimikatz，是一款自動(dòng)化蠕蟲(chóng)，幾乎立即就感染了烏克蘭近乎 10% 的計(jì)算機(jī)，用偽裝成勒索軟件的破壞性攻擊載荷加密了電腦上的內(nèi)容，但并沒(méi)有在受害者支付贖金后解密文件的機(jī)制。（該惡意軟件初看像是網(wǎng)絡(luò)罪犯之前使用的老版 Petya 勒索軟件，但其實(shí)并不是，這也是其得名 NotPetya 的原因。）NotPetya 關(guān)停了烏克蘭的銀行、ATM 和銷售終端系統(tǒng)，幾乎癱瘓了烏克蘭全境的政府機(jī)構(gòu)，中斷了機(jī)場(chǎng)和鐵路等基礎(chǔ)設(shè)施，擾亂了醫(yī)院、國(guó)家郵政，甚至切爾諾貝利核電站廢墟的放射性水平監(jiān)測(cè)工作。

而且，NotPetya 的致病力不受國(guó)境線約束。全球最大航運(yùn)公司馬士基航運(yùn)集團(tuán)、美國(guó)制藥公司默克、聯(lián)邦快遞歐洲子公司天遞集團(tuán) (TNT Express)、法國(guó)建筑公司圣戈班 (Saint-Gobain)、食品生產(chǎn)商億滋國(guó)際和國(guó)際家化巨頭利潔時(shí)，均是 NotPetya 的受害者。上述受害案例中，NotPetya 滲透了網(wǎng)絡(luò)，讓數(shù)千臺(tái)計(jì)算機(jī)變磚，造成數(shù)億美元的業(yè)務(wù)損失和清理成本。該惡意軟件襲擊了至少兩家美國(guó)醫(yī)院，關(guān)停了語(yǔ)音轉(zhuǎn)文字軟件公司 Nuance——該公司為 100 多家醫(yī)院和診所提供醫(yī)療記錄轉(zhuǎn)錄服務(wù)。NotPetya 甚至傳回了俄羅斯，給俄羅斯國(guó)家石油公司 Rosneft、鋼鐵生產(chǎn)商耶弗拉茲 (Evraz)、醫(yī)療技術(shù)公司 Invitro 和俄羅斯聯(lián)邦儲(chǔ)蓄銀行 (Sberbank) 等受害者帶來(lái)了更深遠(yuǎn)的連帶傷害。白宮后來(lái)估計(jì)，NotPetya 造成的總損失至少是 100 億美元，但其整個(gè)破壞程度永遠(yuǎn)也無(wú)法確知。

網(wǎng)絡(luò)戰(zhàn)的未來(lái)

別懷疑，網(wǎng)絡(luò)戰(zhàn)只會(huì)愈演愈烈。沒(méi)有哪個(gè)網(wǎng)絡(luò)安全分析師會(huì)賭 NotPetya 只是絕無(wú)僅有的一過(guò)性災(zāi)難。畢竟，僅僅一個(gè)月之前，朝鮮黑客就放出了他們自己的 WannaCry 勒索軟件，破壞力幾乎與 NotPetya 相當(dāng)。WannaCry 搞癱的網(wǎng)絡(luò)延伸至中國(guó)的大學(xué)、印度的警局，甚至英國(guó)國(guó)民健康服務(wù) (NHS)，造成英國(guó)數(shù)千就診預(yù)約被取消，最終導(dǎo)致 40 億到 80 億美元的損失。（雖然 WannaCry 顯露出其他民族國(guó)家發(fā)起此類大型蠕蟲(chóng)攻擊的可能性，但其本身未必能算作明確的網(wǎng)絡(luò)戰(zhàn)，因?yàn)?WannaCry 看起來(lái)確實(shí)想要從受害者身上拿到贖金。全球網(wǎng)絡(luò)力量中朝鮮政府尤為獨(dú)特，將網(wǎng)絡(luò)犯罪盈利與政治性攻擊同等看待，政治利益與經(jīng)濟(jì)收益兩手都抓。）

已有跡象表明，未來(lái)的網(wǎng)絡(luò)攻擊可能會(huì)造成更大傷害，甚至實(shí)體破壞。2017 年 8 月，名為 Triton 或 Trisis 的惡意軟件關(guān)停了沙特阿拉伯 Petro Rabigh 公司所屬的一家煉油廠。幾個(gè)月的逆向工程后，安全研究人員確定，該惡意代碼其實(shí)無(wú)意造成停機(jī)，而是旨在悄悄禁用工廠中所謂的安全儀表系統(tǒng)——防止溫度或壓力升高等不安全情況的最后一道防線。秘密禁用這些系統(tǒng)可能導(dǎo)致爆炸或燃?xì)庑孤┑戎旅馔狻?

至今仍不清楚該超危險(xiǎn)的惡意軟件背后是哪些黑客，也不知道他們?cè)跒槟膫€(gè)國(guó)家服務(wù)。盡管伊朗是安全行業(yè)猜測(cè)的主要目標(biāo)——鑒于伊朗和沙特阿拉伯之間的緊張關(guān)系和代理戰(zhàn)爭(zhēng)，但 2018 年末安全公司火眼發(fā)現(xiàn)的跡象顯露出于俄羅斯中央化學(xué)力學(xué)科學(xué)研究院的關(guān)聯(lián)。這有兩種解釋，要么是俄羅斯直接攻擊，要么僅僅是俄羅斯惡意軟件開(kāi)發(fā)者在為伊朗或其他國(guó)家黑客干活。同時(shí)，伊朗在過(guò)去三年來(lái)一直持續(xù)修改其攻擊沙特阿美公司時(shí)所用的 Shamoon 數(shù)據(jù)清除惡意軟件，針對(duì)沙特阿拉伯、卡塔爾和阿聯(lián)酋境內(nèi)的目標(biāo)，階段性地發(fā)動(dòng)一波又一波數(shù)據(jù)破壞活動(dòng)。

除了安全系統(tǒng)攻擊的預(yù)期和另一場(chǎng) NotPetya 類蠕蟲(chóng)可能性的陰云，還有許多其他噩夢(mèng)般的假設(shè)讓網(wǎng)絡(luò)戰(zhàn)專家夜不能寐。他們擔(dān)心對(duì)供水系統(tǒng)、金融系統(tǒng)、油氣管道、醫(yī)院的網(wǎng)絡(luò)攻擊，或許這些網(wǎng)絡(luò)攻擊還會(huì)伴隨有大規(guī)模傷亡的實(shí)體攻擊。而在烏克蘭兩次圣誕斷電之后，網(wǎng)絡(luò)戰(zhàn)專家警告稱，更嚴(yán)重的電網(wǎng)攻擊也是有可能的。比如說(shuō)，早在 2007 年，美國(guó)愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室的研究人員就演示過(guò)，僅靠惡意代碼就能破壞坦克大小的柴油發(fā)電機(jī)組。網(wǎng)絡(luò)攻擊不僅可以禁用電網(wǎng)設(shè)備，還能物理破壞其組件，這樣的觀念一直讓專注電網(wǎng)網(wǎng)絡(luò)安全的分析師憂慮不已。他們警告稱，這種戰(zhàn)術(shù)，尤其是同時(shí)對(duì)多個(gè)目標(biāo)展開(kāi)時(shí)，可能引發(fā)遠(yuǎn)超烏克蘭黑客拉閘那種僅持續(xù)幾小時(shí)的超級(jí)大斷電——持續(xù)幾天乃至數(shù)周那種。

雖然美國(guó)很大程度上幸免于正對(duì)性網(wǎng)絡(luò)戰(zhàn)攻擊——NotPetya 的連帶傷害除外，美國(guó)情報(bào)機(jī)構(gòu)警告：俄羅斯等國(guó)家已滲透美國(guó)基礎(chǔ)設(shè)施，為未來(lái)的網(wǎng)絡(luò)沖突 “準(zhǔn)備好了戰(zhàn)場(chǎng)”。今年早些時(shí)候，美國(guó)國(guó)家情報(bào)總監(jiān)辦公室的一份報(bào)告指出：中國(guó)有能力對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起網(wǎng)絡(luò)攻擊，造成地區(qū)性暫時(shí)中斷效果，比如天然氣管道輸氣中斷數(shù)天到數(shù)周。莫斯科正繪制美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施地圖，其長(zhǎng)期目標(biāo)是能夠造成實(shí)質(zhì)性破壞。

此類報(bào)告中未宣之于口的是：美國(guó)自己的黑客也正在往外國(guó)網(wǎng)絡(luò)中植入同樣的邏輯炸彈，這一點(diǎn)近乎確定。

網(wǎng)絡(luò)空間？

網(wǎng)絡(luò)戰(zhàn)破壞性的激增似乎不可避免，人類如何面對(duì)大規(guī)模網(wǎng)絡(luò)沖突無(wú)窮無(wú)盡的混亂未來(lái)？最明顯的答案自然是網(wǎng)絡(luò)安全：政府和私營(yíng)產(chǎn)業(yè)的關(guān)鍵基礎(chǔ)設(shè)施擁有者無(wú)疑可以在網(wǎng)絡(luò)防護(hù)上投入更多，盡可能地將重要系統(tǒng)與互聯(lián)網(wǎng)隔離開(kāi)來(lái)。但在網(wǎng)絡(luò)戰(zhàn)領(lǐng)域，正如廣義上的網(wǎng)絡(luò)安全領(lǐng)域，攻擊者占據(jù)明顯優(yōu)勢(shì)地位：別指望有什么安全技術(shù)可以阻止所有未來(lái)網(wǎng)絡(luò)攻擊?；蛟S最重要的是，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商、政府機(jī)構(gòu)和公司企業(yè)需要關(guān)注構(gòu)建彈性系統(tǒng)——擁有能夠從網(wǎng)絡(luò)攻擊中快速恢復(fù)的備份和冗余的那種系統(tǒng)。

但網(wǎng)絡(luò)戰(zhàn)專家也指出，老式的威懾仍需發(fā)揮作用?？山邮芎筒豢山邮艿暮诳托袆?dòng)都有國(guó)際慣例，有些不可觸碰的紅線，發(fā)起突破這些紅線的網(wǎng)絡(luò)攻擊，就得面對(duì)所引發(fā)的一系列嚴(yán)重后果。奧巴馬和特朗普政府已邁出了此類威懾政策的步伐：奧巴馬政府對(duì)攻擊美國(guó)銀行業(yè)的七名伊朗黑客提起了訴訟。奧巴馬自己在一次講話中指出朝鮮應(yīng)為索尼影業(yè)網(wǎng)絡(luò)攻擊負(fù)責(zé)，并對(duì)朝鮮施加了新一輪制裁。特朗普政府雖傳言善待俄羅斯黑客，最終也確實(shí)對(duì)俄羅斯情報(bào)官員再加制裁，以回應(yīng) NotPetya 大混亂和滲透美國(guó)電網(wǎng)的攻擊行動(dòng)。

但這些動(dòng)作仍不足夠，因?yàn)樗麄儗で髮?shí)施的紅線仍處于構(gòu)建過(guò)程中。近十年來(lái)，網(wǎng)絡(luò)政策鴿派一直在呼吁簽署某種形式的全球協(xié)議或公約，建立網(wǎng)絡(luò)戰(zhàn)規(guī)范，但他們的努力大多無(wú)果。2010 年出版的《網(wǎng)絡(luò)戰(zhàn)》一書(shū)中，克拉克和科奈克提出了《網(wǎng)絡(luò)戰(zhàn)限制條約》，旨在禁止對(duì)他國(guó)關(guān)鍵基礎(chǔ)設(shè)施首先使用網(wǎng)絡(luò)攻擊。最近，微軟總裁布拉德·史密斯 (Brad Smith) 呼吁簽署《數(shù)字日內(nèi)瓦公約》，阻止對(duì)非軍事目標(biāo)的網(wǎng)絡(luò)攻擊。美國(guó)智庫(kù)大西洋理事會(huì)網(wǎng)絡(luò)治國(guó)倡議前主席喬什·科曼 (Josh Corman) 曾建議簽署更限制性的協(xié)議，設(shè)立圍繞醫(yī)院的 “網(wǎng)絡(luò)禁飛區(qū)”——實(shí)際上就是通過(guò)將針對(duì)醫(yī)療設(shè)施的任意致命性攻擊定義為戰(zhàn)爭(zhēng)罪，而切實(shí)開(kāi)啟限制網(wǎng)絡(luò)戰(zhàn)的進(jìn)程。

但隨著網(wǎng)絡(luò)戰(zhàn)軍備競(jìng)賽的不斷升級(jí)，所有這些網(wǎng)絡(luò)空間倡議幾乎都被無(wú)視了。批評(píng)家指出，網(wǎng)絡(luò)攻擊的動(dòng)機(jī)難以定義——網(wǎng)絡(luò)間諜或網(wǎng)絡(luò)偵察入侵常?？雌饋?lái)像是正在進(jìn)行中的網(wǎng)絡(luò)戰(zhàn)攻擊，而確定黑客的身份更是難上加難。所謂的歸因溯源問(wèn)題未能阻擋美國(guó)政府言之鑿鑿地點(diǎn)名某些政府，指責(zé)他們?cè)摓檫^(guò)去十年間影響西方目標(biāo)的重大攻擊負(fù)責(zé)。美國(guó)情報(bào)機(jī)構(gòu)可以使用人力情報(bào)來(lái)源和他們自己非常強(qiáng)大的黑客能力，找出（或者捏造出）網(wǎng)絡(luò)攻擊背后的主謀，甚至在安全社區(qū)都無(wú)法確定的時(shí)候。

更重要的是，各國(guó)政府一直無(wú)意簽署網(wǎng)絡(luò)戰(zhàn)限制條約，因?yàn)樗麄儾幌胂拗谱约簩?duì)敵人發(fā)起網(wǎng)絡(luò)攻擊的自由。美國(guó)或許在面對(duì)敵人的重大網(wǎng)絡(luò)攻擊時(shí)并非無(wú)懈可擊，但美國(guó)領(lǐng)導(dǎo)人仍然無(wú)意妨礙美國(guó)自己的 NSA 和網(wǎng)絡(luò)司令部——全球最具才華、資源最充足的黑客群體。特朗普政府則繼續(xù)給網(wǎng)絡(luò)司令部松綁，提升其權(quán)限，徹底放開(kāi)網(wǎng)絡(luò)司令部對(duì)敵方基礎(chǔ)設(shè)施發(fā)起先發(fā)制人攻擊的自由。就在今年，據(jù)稱網(wǎng)絡(luò)司令部動(dòng)用這些新權(quán)限摧毀了俄羅斯互聯(lián)網(wǎng)研究機(jī)構(gòu) (Internet Research Agency) 的服務(wù)器，對(duì)伊朗網(wǎng)絡(luò)間諜實(shí)施破壞性攻擊，并在俄羅斯電網(wǎng)中深植潛在破壞性惡意軟件。

換句話說(shuō)，美國(guó)和其他大國(guó)仍未意識(shí)到互扔焦土式網(wǎng)絡(luò)攻擊只會(huì)得不償失。除非他們轉(zhuǎn)變認(rèn)知，否則網(wǎng)絡(luò)戰(zhàn)機(jī)器仍將前行，一步步碾壓現(xiàn)代文明基礎(chǔ)設(shè)施。

網(wǎng)絡(luò)戰(zhàn)攻擊簡(jiǎn)史

愛(ài)沙尼亞，2007：愛(ài)沙尼亞政府決定于 2007 年 4 月移除首都塔林中心區(qū)一座蘇聯(lián)士兵雕像，此決定激怒了該國(guó)說(shuō)俄語(yǔ)的少數(shù)族裔，引發(fā)大規(guī)模抗議。暴亂伴隨著一波分布式拒絕服務(wù)攻擊，造成數(shù)百個(gè)愛(ài)沙尼亞網(wǎng)站掉線。該攻擊可能有俄羅斯政府背后支持。

格魯吉亞，2008：到了第二年，俄格戰(zhàn)爭(zhēng)中再現(xiàn)非常相似的網(wǎng)絡(luò)攻擊，俄羅斯坦克開(kāi)向格魯吉亞首都，軍艦封鎖其海岸線的同時(shí)，一系列拒絕服務(wù)攻擊轟向該國(guó)網(wǎng)站。雖說(shuō)這些在線攻擊看起來(lái)相對(duì)粗糙，但或許是史上首次伴隨著實(shí)體入侵的大規(guī)模數(shù)字攻擊。

震網(wǎng)，2009：2009 年開(kāi)始，名為震網(wǎng) (Stuxnet) 的獨(dú)創(chuàng)性惡意軟件開(kāi)始滲透伊朗納坦茲核濃縮設(shè)施的網(wǎng)絡(luò)，悄悄篡改其脆弱的離心機(jī)設(shè)置，造成離心機(jī)自毀，嚴(yán)重挫傷伊朗的核武意圖。僅在2010 年該蠕蟲(chóng)意外擴(kuò)散到世界其他地方時(shí)，該行動(dòng)才暴露，而兩年之后，被證實(shí)是美國(guó)國(guó)家安全局 (NSA) 和以色列情報(bào)機(jī)構(gòu)的杰作。

沙特阿美，2012：震網(wǎng)被證實(shí)是美國(guó)和以色列主導(dǎo)的攻擊行動(dòng)后僅僅兩個(gè)月，Shamoon 惡意軟件襲擊了石油巨頭沙特阿美公司，摧毀 3.5 萬(wàn)臺(tái)計(jì)算機(jī)。該攻擊是當(dāng)時(shí)現(xiàn)世的此類攻擊中最大型的，被迅速鎖定為伊朗黑客所為，并被認(rèn)為是報(bào)復(fù)美國(guó)震網(wǎng)破壞行為的代理攻擊。

索尼，2014：2014 年底，自稱 “和平衛(wèi)士” (Guardians of Peace) 的黑客團(tuán)伙撕開(kāi)索尼影業(yè)網(wǎng)絡(luò)，盜取并泄露包括未發(fā)行影片在內(nèi)的大量數(shù)據(jù)，破壞了數(shù)千臺(tái)電腦，要求索尼取消上映其喜劇電影《刺殺金正恩》。盡管黑客最初表現(xiàn)得像是要求贖金的網(wǎng)絡(luò)罪犯，但 FBI 很快便宣布他們實(shí)際上是朝鮮黑客國(guó)家隊(duì)。

烏克蘭，2015：2015 年圣誕節(jié)前兩天，俄羅斯黑客觸發(fā)了史上首起由網(wǎng)絡(luò)攻擊引起的大斷電，切斷了數(shù)萬(wàn)烏克蘭家庭的電力供應(yīng)。該攻擊發(fā)生在俄羅斯實(shí)體入侵該國(guó)東部和克里米亞半島的中途，前后均伴隨有一系列嚴(yán)重的數(shù)據(jù)清除攻擊，以 2016 年末烏克蘭首都基輔的另一場(chǎng)大斷電為高潮結(jié)束。

NotPetya，2017 年 6 月：俄羅斯對(duì)烏克蘭的網(wǎng)絡(luò)戰(zhàn)在 2016 年 6 月到達(dá)了高峰，當(dāng)時(shí)俄羅斯放出了 NotPetya 惡意軟件，通過(guò)劫持烏克蘭會(huì)計(jì)軟件 M.E.Doc 的軟件更新，將該數(shù)據(jù)摧毀型蠕蟲(chóng)植入了數(shù)千臺(tái)計(jì)算機(jī)中。但 NotPetya 不僅摧毀了烏克蘭的網(wǎng)絡(luò)，還擴(kuò)散到了馬士基航運(yùn)、默克公司、聯(lián)邦快遞等跨國(guó)公司，導(dǎo)致破紀(jì)錄的 100 億美元損失。

Triton/Trisis，2017 年 8 月：NotPetya 之后僅僅數(shù)月，沙特阿拉伯煉油廠 Petro Rabigh 遭名為 Triton 或 Trisis 的高級(jí)惡意軟件關(guān)停。這還不是最糟的：分析師發(fā)現(xiàn)，這一顯露出俄羅斯科學(xué)研究院蹤跡的神秘惡意軟件，原本是要關(guān)停該廠安全系統(tǒng)的——可能引發(fā)人身傷亡事件。