IT業界資訊媒體

【NotPetya】史上破壞力最強的一次網絡攻擊(七):跨國接力賽

NotPetya 一經發動,即時透過網絡進擊全球。馬士基能夠從絕望中復活,原來一切都多得斷電事件,但其後的拯救工作,卻變成一場跨國接力賽。

馬士基哥本哈根分部辦公室嘅電腦死機後數天,一個早上,IT 員工 Henrik Jensen(假名)正待在家中享受著荷包蛋、果醬多士,突然間,他的手機響了起來。 接通來電後,他才知道這是一次多人電話會議,另一邊還有 3 個人,他們都是馬士基梅登黑德辦事處的員工,說極需 Jensen 的幫忙。梅登黑德是倫敦西部一個小鎮,是馬士基馬士基集團基礎設施服務所在地,他們均要求 Jensen 放下一切立即去到那裡幫忙。

兩小時後,Jensen 已在一架飛往倫敦的飛機上,抵達梅登黑德後匆匆換了一輛車駛到目的地大樓。這時大樓的 4、5 層樓已經被改造為 24/7 應急指揮中心。該中心的目的只有一個:立即重建馬士基全球網絡。

不計代價全力搶修

Jensen 了解到,部分馬士基員工自周二 NotPetya 發出第一波攻擊以來,就一直呆在恢復中心搶救,累了就倒在桌下或會議室角落,而且似乎每分鐘都有其他人從世界各地提著行李趕來。馬士基幾乎將大樓方圓十英哩內的所有酒店房都包下來,員工則靠後勤同事從附近超市買來的小食填肚。

梅登黑德應急中心由德勤管理,馬士基基本上給這間英國會計師事務所開了一張空頭支票,給多無限的支援,所以任何時候都有多達 200 名德勤員工駐紮在梅登黑德辦事處,另外還有 400 名馬士基員工。因為害怕 NotPetya 會感染新系統,所以被感染的電腦設備均被收繳,而且還貼出告示,任何人要是違反規定使用的話將會被紀律處分;所以員工們紛紛跑到梅登黑德每一家電子商店購買新手提電腦,並且預付了 Wi-Fi 熱點費用。就像數百名馬士基 IT 人員一樣,Jensen 也被分配了一台新的手提電腦來工作。

搶修行動開始後,IT 人員很快發現了一件令人厭惡的事情,雖然大部分伺服器的備份都能夠找出來,但公司網絡的關鍵備份卻失去蹤影,這些域控制器相當於馬士基網絡的詳細地圖,還記錄了各職級員工的儲取權限。原本約 150 個域控制器事已經編程好要相互同步數據,所以理論上找到其中一個已有其他的備份,但這去中心化的備份策略今次卻不管用,一位馬士基 IT 人員記得當時是這麼想的:「如果我們不能恢復域控制器,那就任何東西都失救了。」

倖存的活路

召來全球各地 IT 人員後,絕望的管理層終於在遙遠的加納分部找到唯一存活的域控制器。能夠倖免於難,全因它在 NotPetya 攻擊發動時突然斷電離線,因此保留了世上唯一一份未受感染的域控制器數據——這一切都要感謝斷電事件。一位馬士基的管理員說:「當我們找到它時,整個辦公室都響起歡呼。」

不過,事情並未簡單完結,當置身梅登黑德嘅 IT 人員希望直接從加納讀取數據,卻發現當地的頻寬太差,要將幾百 GB 的域控制器數據備份回英國大概需要好幾天。為免節外生枝,管理層決定讓加納員工趕最早的班機到倫敦,但問題是,西非辦事處的員工竟然沒有一人持有英國護照!

於是梅登黑德中心就安排了一次接力賽,讓加納辦事處一位員工先飛到尼日利亞,在機場將那塊極其珍貴的硬盤轉交另一位馬士基員工。那位員工然後攜著這件恢復馬士基網絡的重要基石,再坐六個半小時飛機降落倫敦希斯路機場。

當拯救工作結束,梅登黑德辦事處成功將馬士基核心服務恢復上線,令到馬士基港口運營重新獲得讀取貨船存貨文件的能力,這樣操作員對抵達其港口的巨型貨櫃船裡裝載著什麼貨物,就不再一無所知了。但是,馬士基要想從 Maerskline.com 接受新訂單,還需要幾天的時間,而全球各地轉運站回復正常營運,則至少還需要一個多星期。

與此同時,馬士基的員工便只好利用手頭上一切現有的工具,他們發紙質文檔給停留在 APM 港口的貨櫃船,通過個人 Gmail 賬號、WhatsApp 以及 Excel 電子表格接受訂單。一位馬士基客戶說:「我可以告訴你,通過 WhatsApp 訂 500 個海運貨櫃是一次相當離奇的體驗,但這就是我們做過的事。」

相關文章:【NotPetya】史上破壞力最強的一次網絡攻擊(六):凍結的俄羅斯方塊遊戲