【NotPetya】史上破壞力最強的一次網絡攻擊（二）：潘朵拉的盒子

被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點，要追溯至烏克蘭的首都基輔。

走過佈滿歷史建築地標的 Podil 街區，咖啡店和公園逐漸消失眼前，取而代之是糟糕的工業景觀。走過一條天橋下方，跨過鐵軌上的垃圾及走進一道混凝土門，便是樓高四層的 Linkgos Group 總部，它是一間小型的烏克蘭軟件家族企業。

其中在三樓有一間伺服器室，內裡堆放了一個個盒子般大小的伺服器，它們被一堆電纜連接著，並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護，如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken，總之在該國經營須納稅的生意，幾乎都要用到這個軟件。

不過在 2017 年某個時間點候，這堆潘朵拉的盒子卻變成了自互聯網發明以來，最致命的網絡攻擊之原爆點——威力大至一開始便被視為國家級網絡攻擊。

烏克蘭可說是多災多難，在 NotPetya 誕生前四年半之間，烏克蘭一直被俄羅斯充當試驗場，測試一系列秘而不宣的網絡攻擊。2015、2016 年，當據稱跟克里姆林宮有瓜葛的黑客 Fancy Bear，忙著入侵美國民主黨全國委員會的伺服器時，另一個叫 Sandworm 的特工組織，也正在入侵數十個烏克蘭政府組織和公司的網絡。他們從各種渠道滲進，受害者包括媒體播送管道及鐵路公司等，引爆的邏輯炸彈摧毀了數 TB 的數據。這種粗暴的攻擊遵循著一種施虐狂似的節奏。在那兩年的冬天裡，破壞者的肆虐導致大規模電力中斷，這是史上第一次確認由黑客引發的大停電。

但那些攻擊並非 Snadworm 攻擊的壓軸戲，直至 2017 年春，在 Linkgos Group 無人知曉的情況下，俄羅斯的軍事黑客劫持了公司的升級伺服器，透過它們將一個個隱秘的後門，送到烏克蘭及全球成千上萬部安裝有 MEDoc 的 PC 裡；然後同年六月，黑客再經後門釋放一種叫做 NotPetya 的惡意軟件，任由最惡毒的網絡武器肆恣遊走。

黑客的代碼經過精心設計，為的是讓它能夠自動、快速且不加選擇地傳播出去。思科的 Talos 部門是首間對 NotPetya 進行逆向工程和分析的安全公司之一，其外聯總監 Craig Williams 說：「迄今為止，這是我們見過傳播速度最快的惡意軟件。在你看到它身影那一刻，你的數據中心就已經玩完了。」

NotPetya 的破壞力透過兩個漏洞得以放大：一個是所謂的 EternalBlue 滲透工具，這是由美國 NSA 開發的，但在 2017 年初該機構的一次高度機密文件洩露事件中被盜取。 EternalBlue 利用一個特殊的 Windows 協議漏洞，讓黑客可以自由地控制，在任何未打修補的電腦上遠程執行惡意代碼。

Mimikatz 數碼萬能鑰匙的發明，讓法國安全研究人員 Benjamin Delpy 在 2011 年提出 PoC 概念驗證。Delpy 指出原先 Mimikatz 是為了證明 Windows 其實是把用戶的密碼保存在內存而出現，但一旦黑客獲取了對電腦的初始存取，Mimikatz 就能從記憶體中取出那些密碼，並且利用來登入其他採用同樣身份驗證的電腦，甚至還可利用電腦作跳板，自動攻擊其他電腦，將破壞力增幅。

其實在 NotPetya 推出前，微軟已發布了一個 EternalBlue 漏洞的修補。儘管如此，EternalBlue 和 Mimikatz 仍然搭配出一個致命組合。Deply說：「你可感染那些沒打修補的電腦，然後獲取登入密碼，再去感染其他打了修補的電腦。」