IT業界資訊媒體

【NotPetya】史上破壞力最強的一次網絡攻擊(二):潘朵拉的盒子

被視為史上最惡毒網絡武器之一的 NotPetya 之誕生地點,要追溯至烏克蘭的首都基輔。

走過佈滿歷史建築地標的 Podil 街區,咖啡店和公園逐漸消失眼前,取而代之是糟糕的工業景觀。走過一條天橋下方,跨過鐵軌上的垃圾及走進一道混凝土門,便是樓高四層的 Linkgos Group 總部,它是一間小型的烏克蘭軟件家族企業。

其中在三樓有一間伺服器室,內裡堆放了一個個盒子般大小的伺服器,它們被一堆電纜連接著,並用手寫的數字標籤做好標記。平常這些伺服器會負責戈大火弓財務軟件 M.E. Doc 進行定期更新維護,如修復檔、安全修補、調整性能等。M.E. Doc 相當於烏克蘭的 TurboTax 或者 Quicken,總之在該國經營須納稅的生意,幾乎都要用到這個軟件。

不過在 2017 年某個時間點候,這堆潘朵拉的盒子卻變成了自互聯網發明以來,最致命的網絡攻擊之原爆點——威力大至一開始便被視為國家級網絡攻擊。

烏克蘭可說是多災多難,在 NotPetya 誕生前四年半之間,烏克蘭一直被俄羅斯充當試驗場,測試一系列秘而不宣的網絡攻擊。20152016 年,當據稱跟克里姆林宮有瓜葛的黑客 Fancy Bear,忙著入侵美國民主黨全國委員會的伺服器時,另一個叫 Sandworm 的特工組織,也正在入侵數十個烏克蘭政府組織和公司的網絡。他們從各種渠道滲進,受害者包括媒體播送管道及鐵路公司等,引爆的邏輯炸彈摧毀了數 TB 的數據。這種粗暴的攻擊遵循著一種施虐狂似的節奏。在那兩年的冬天裡,破壞者的肆虐導致大規模電力中斷,這是史上第一次確認由黑客引發的大停電。

但那些攻擊並非 Snadworm 攻擊的壓軸戲,直至 2017 年春,在 Linkgos Group 無人知曉的情況下,俄羅斯的軍事黑客劫持了公司的升級伺服器,透過它們將一個個隱秘的後門,送到烏克蘭及全球成千上萬部安裝有 MEDoc PC 裡;然後同年六月,黑客再經後門釋放一種叫做 NotPetya 的惡意軟件,任由最惡毒的網絡武器肆恣遊走。

黑客的代碼經過精心設計,為的是讓它能夠自動、快速且不加選擇地傳播出去。思科的 Talos 部門是首間對 NotPetya 進行逆向工程和分析的安全公司之一,其外聯總監 Craig Williams 說:「迄今為止,這是我們見過傳播速度最快的惡意軟件。在你看到它身影那一刻,你的數據中心就已經玩完了。」

NotPetya 的破壞力透過兩個漏洞得以放大:一個是所謂的 EternalBlue 滲透工具,這是由美國 NSA 開發的,但在 2017 年初該機構的一次高度機密文件洩露事件中被盜取。 EternalBlue 利用一個特殊的 Windows 協議漏洞,讓黑客可以自由地控制,在任何未打修補的電腦上遠程執行惡意代碼。

Mimikatz 數碼萬能鑰匙的發明,讓法國安全研究人員 Benjamin Delpy 2011 年提出 PoC 概念驗證。Delpy 指出原先 Mimikatz 是為了證明 Windows 其實是把用戶的密碼保存在內存而出現,但一旦黑客獲取了對電腦的初始存取,Mimikatz 就能從記憶體中取出那些密碼,並且利用來登入其他採用同樣身份驗證的電腦,甚至還可利用電腦作跳板,自動攻擊其他電腦,將破壞力增幅。

其實在 NotPetya 推出前,微軟已發布了一個 EternalBlue 漏洞的修補。儘管如此,EternalBlue Mimikatz 仍然搭配出一個致命組合。Deply說:「你可感染那些沒打修補的電腦,然後獲取登入密碼,再去感染其他打了修補的電腦。」