俄羅斯黑客如何竊取納斯達克 - 彭博社

Michael Riley

2014-07-22

在2010年10月，美國聯邦調查局監控美國互聯網流量的系統發出了警報。信號來自納斯達克。看起來惡意軟件已經潛入了公司的中央服務器。跡象表明，入侵者並不是某個地方的孩子，而是另一個國家的情報機構。更令人擔憂的是：當美國專家更仔細地查看惡意軟件時，他們意識到這是一種攻擊代碼，旨在造成損害。

儘管黑客攻擊已成為日常煩惱，但更多的攻擊在監控中心的視線之外發生。中國、法國、以色列——以及許多不那麼知名或理解的參與者——都以某種方式進行黑客攻擊。他們竊取導彈計劃、化學公式、發電廠管道示意圖和經濟數據。這是間諜活動；攻擊代碼則是軍事打擊。記錄在案的部署只有少數，最著名的是Stuxnet蠕蟲。Stuxnet被廣泛認為是美國和以色列的聯合項目，它在2010年暫時使伊朗的鈾加工設施在納坦茲失效。它關閉了安全機制，導致精煉廠核心的離心機失控旋轉。兩年後，伊朗用一種相對簡單但傳播迅速的“清除”病毒摧毀了沙特阿美三分之二的計算機網絡。一位資深的美國官員表示，當涉及到植入美國關鍵系統中的數字武器時，他只見過一次——在納斯達克。

十月的警報促使國家安全局的介入，2011年初，NSA得出結論認為存在重大危險。一個危機行動小組通過安全視頻會議在華盛頓郊區一棟11層辦公樓的簡報室召開。除了一個火鍋餐廳和一個CrossFit健身房，這棟建築還容納了國家網絡安全和通信整合中心（NCCIC），其使命是發現並協調政府對美國數字攻擊的響應。他們審查了FBI的數據和來自NSA的額外信息，並迅速得出結論，認為需要升級響應。

由此開始了一場瘋狂的五個月調查，這將考驗美國的網絡響應能力，並直接涉及總統。情報和執法機構在解讀複雜黑客攻擊的壓力下，努力向決策者提供一個甚至是適度清晰的圖景。經過幾個月的工作，政府不同部門之間仍然存在關於事件背後是誰以及為什麼的基本分歧。“我們已經看到一個國家獲得了至少一個我們的證券交易所的訪問權限，我這樣説吧，他們的最終目標並不清楚，”來自密歇根州的共和黨眾議院情報委員會主席邁克·羅傑斯説，他同意僅以一般性術語談論此事件，因為細節仍然是機密的。“這個方程式的壞消息是，我不確定你真的會知道，直到那個最終的觸發被拉動。而你永遠不想達到那個。”

彭博商業週刊花了幾個月時間採訪了二十多個人，關於納斯達克攻擊及其後果，這些內容從未被完全報道。其中九人直接參與了調查和國家安全的審議；沒有人被授權公開發言。“對納斯達克入侵的調查仍在進行中，”FBI紐約助理主任喬治·維尼澤洛斯説。“像所有網絡案件一樣，這很複雜，涉及隨着時間推移而演變的證據和事實。”

雖然黑客攻擊成功被阻止，但它揭示了金融交易所——以及銀行、化工煉油廠、水廠和電力公司——在數字攻擊面前是多麼脆弱。一位親身經歷事件的官員表示，他認為這次攻擊將改變一切，迫使美國認真準備迎接一個新的計算機衝突時代。他錯了。 **在NCCIC的電話會議上，有來自國防部、**財政部、國土安全部以及NSA和FBI的專家。初步評估為事件小組提供了一些關於黑客身份的模糊細節，但他們只花了幾分鐘就一致認為，這次入侵是如此嚴重，以至於應該通知白宮。

會議電話參與者第二天在白宮重新聚集，加入了來自司法部、國務院和中央情報局的官員。該小組制定了一套選項，準備向白宮、司法部、五角大樓等高級國家安全官員提出。這些官員確定了調查人員必須回答的問題：黑客是否能夠訪問和操控或破壞交易平台？此次入侵是否是對美國金融基礎設施的更廣泛攻擊的一部分？

美國特勤局推動成為主要調查機構。其代表指出，他們幾個月前已經向納斯達克提供了證據，稱一羣由名為亞歷山大·卡林寧的聖彼得堡男子領導的俄羅斯網絡犯罪分子已經入侵了該公司，並且這兩個事件可能有關聯。特勤局在爭論中失敗，未能參與調查。

當聯邦調查局通知納斯達克有關入侵事件時，結果發現該公司已經自行檢測到異常，但尚未報告攻擊。在關於隱私問題的談判後，納斯達克同意讓美國官員進入其網絡。調查小組抵達位於紐約市自由廣場一號的公司總部及新澤西州卡特雷特的數據中心，在那裏他們發現了多個情報機構或軍事的跡象。

黑客結合使用了兩個零日漏洞。零日是計算機代碼中一個之前未知的缺陷——開發者只有“零天”來解決它——這使得黑客能夠輕鬆遠程控制計算機。這是一種有價值的商品，有時在地下市場上售價高達數萬美元。使用一個零日表明黑客技術高超；使用多個則暗示政府背景。震網病毒使用了四個——這表明代碼的作者進行了高級偵察，並準確瞭解各種系統如何協同工作。

無論是誰攻擊了納斯達克，都進行了類似的準備工作，並擁有類似的資源。關鍵在於黑客從納斯達克的計算機系統中提取的惡意軟件。國家安全局（NSA）之前見過一個版本，由俄羅斯聯邦安全局（FSB）設計和構建，這是該國的主要間諜機構。而且這不僅僅是間諜軟件：雖然該工具可以用來竊取數據，但它還有一個功能，旨在在計算機網絡中造成廣泛的破壞。NSA認為它可能有能力摧毀整個交易所。

在一月初，NSA向國家安全高級官員提出了他們的結論：精英俄羅斯黑客已經突破了證券交易所的防線，並插入了一個數字炸彈。最好的情況是黑客在他們的惡意軟件中裝入了一個破壞模塊，以防被發現並需要在納斯達克的計算機系統中製造混亂，以擺脱追蹤者。最糟糕的情況是製造混亂是他們的意圖。奧巴馬總統被簡要介紹了這些發現。

在調查的後期，一些美國官員質疑NSA是否過於推測了證據。惡意軟件常常易手——它被出售、盜竊或共享。而攻擊代碼與一些不那麼具破壞性的東西之間的技術差異可能出乎意料地小。當時，NSA局長基思·亞歷山大和他的機構正與政府各部門就NSA應擁有多少權力來保護私營公司免受這種新形式的攻擊進行鬥爭。這種公然的攻擊無疑會增強他們的論點。

隨着調查深入納斯達克總部及其數據中心，調查人員不得不重建那些依賴於不可追蹤的世界級黑客的路徑。團隊對像納斯達克這樣複雜的操作竟然如此脆弱感到驚訝。“我們的假設是，通常來説，金融行業的運作要更加成熟，”奧巴馬白宮的前網絡安全專家克里斯托弗·芬南説。“這並不意味着他們是完美的，但在一個光譜上，他們接近頂端。”

根據執法官員和公司聘請的私人承包商的説法，調查人員在納斯達克內部發現的情況令他們震驚。特工發現了幾個不同團體自由活動的痕跡，其中一些可能已經在交易所的網絡中存在多年，包括犯罪黑客和中國網絡間諜。公司服務器上發生的日常活動的基本記錄幾乎不存在，這本可以幫助調查人員追蹤黑客的活動。調查人員還發現，One Liberty Plaza大樓管理公司運營的網站被一種名為Blackhole的俄羅斯製造的漏洞工具包所感染，訪問該頁面以支付賬單或進行其他維護的租户也因此受到感染。

一位調查人員稱納斯達克計算機銀行的“骯髒沼澤”使得追蹤俄羅斯惡意軟件的蹤跡變得極其緩慢。特工們推測黑客至少在被發現前三個月就已經侵入了納斯達克的計算機，但這只是一個猜測。有跡象表明大量數據被盜，儘管證據稀少，且很難看出被盜的內容。“如果有人闖入你的家，試圖弄清他們去了哪裏和拿走了什麼是相當困難的，因為與銀行不同，你的家裏沒有攝像頭，沒有運動傳感器，”位於新罕布什爾州曼徹斯特的安全公司Siege Technologies的首席執行官傑森·西弗森説。“在網絡安全方面，大多數公司更像是一個家而不是銀行。”

各機構將攻擊的性質留給納斯達克來向其客户、監管機構和公眾進行描述，納斯達克在2月5日的簡短公司聲明中以及幾周後的監管文件中進行了説明。這次泄露發生在納斯達克最糟糕的時刻。它正處於收購紐約證券交易所 110億美元的邊緣。

納斯達克的電子郵件聲明沒有表明此次攻擊的嚴重性。該公司表示，惡意軟件是在“例行掃描”中發現的，入侵僅限於一個名為董事桌的系統，超過230家公司使用該系統在董事會成員之間共享財務信息。聲明中説：“我們沒有任何信息表明有東西被竊取。”在接受本文章採訪時，納斯達克發言人約瑟夫·克里斯蒂納特表示：“我們與美國政府密切合作進行的對該問題的法醫審查得出的結論是，沒有證據表明我們的董事桌系統中有數據被外泄。重要的是，2010年是我們公司在網絡安全承諾上的一個轉折點，今天使我們能夠更好地檢測和保護我們的系統、技術和市場參與者的完整性。”

“我們看到一個國家級別的實體獲得了至少一個證券交易所的訪問權限……而他們的最終目標並不明確”照片由馬里奧·塔馬/Getty Images提供

與此同時，針對此次攻擊背後是誰的調查發生了戲劇性的轉變。與炸彈或導彈不同，惡意軟件可以被重複使用。留在網絡中的惡意軟件可以被其他黑客抓取、逆向工程，並在後續受害者的計算機系統中重新部署，以模糊蹤跡，就像一個殺手使用別人的槍一樣。當調查人員開始檢查其他政府和軍事計算機的黑客攻擊數據時，有證據表明，俄羅斯的惡意軟件被一個複雜的中國網絡間諜使用，該間諜還以其繁榮的犯罪生意而聞名。這個黑客可能是從俄羅斯那裏獲得了惡意軟件，或者從另一個計算機網絡內部竊取了它，並用它來掩蓋自己的身份。納斯達克內部的一些證據也支持了這一理論。隨着調查轉向亞洲，奧巴馬再次接受了簡報。

隨着調查人員跟進新的線索，更多的團隊在全國範圍內展開行動。財政部的關鍵基礎設施保護和合規政策辦公室列出了10家可能成為更大規模攻擊目標的主要銀行和美國證券交易所。並不是所有公司都同意配合調查。在那些同意的公司中，特工們開始仔細檢查計算機日誌和服務器，得到了公司安全團隊的協助。

特工們發現更大規模攻擊的證據很少。他們發現的是一些美國重要金融機構存在系統性的安全漏洞。結果發現，名單上的許多機構都容易受到襲擊，就像納斯達克遭受的攻擊一樣。它們之所以倖免於難，僅僅是因為黑客沒有嘗試。 與亞洲的聯繫沒有結果。調查人員轉向俄羅斯作為最可能的嫌疑人，但在動機問題上不斷碰壁。黑客在納斯達克網絡中可以自由活動幾個月而不受干擾。交易所本身與公司網絡的其他部分是隔離的。雖然很難訪問，但沒有證據表明黑客嘗試過。

為了尋找答案，白宮求助於中央情報局。與僅通過電子手段收集情報的國家安全局不同，中央情報局是一個“全源”情報單位，嚴重依賴人力。中央情報局開始關注俄羅斯情報機構與有組織犯罪之間的關係。聯邦安全局中的某個人可能在私下進行盈利操作，或者可能將惡意軟件出售或交給了一個犯罪黑客團伙。對惡意軟件的進一步分析顯示，其能力比之前認為的破壞性小。它無法像清除病毒那樣摧毀計算機，但可以接管某些功能以造成網絡中斷。

如果黑客的動機是利潤，納斯達克的董事桌，即他們首次進入網絡的基於網絡的通信系統，提供了驚人的可能性。成千上萬的公司董事使用它來交換關於他們公司的機密信息。誰能掌握這些信息，誰就能迅速積累財富。

在華盛頓，FBI團隊和市場監管機構分析了數千筆交易，使用算法來確定董事桌中的信息是否可以追溯到可疑交易。根據兩位知情人士的説法，他們沒有發現任何證據表明這種情況發生過。

國家安全官員再次修訂了入侵的理論。在中央情報局的鼓勵下，白宮官員開始得出結論，這是一場精心策劃的網絡犯罪。根據一位官員的説法，這一結論的確定性僅約為70%，但別無選擇。國家安全局在一種被稱為技術援助請求（RTA）的特殊權限下運作，而RTA的時間正在耗盡。在奧巴馬第三次被簡報後，兩位知情人士表示，情報機構撤回了行動，到三月初，此案交給了FBI處理。

局內的特工注意到，黑客似乎將注意力集中在包含納斯達克最關鍵技術的13台服務器上。這項技術足夠複雜，以至於該公司還有一項將其授權給全球其他證券交易所的副業。

攻擊的時機一直是一個不合邏輯的因素。在2008年，德米特里·梅德韋傑夫接替弗拉基米爾·普京成為俄羅斯總統，而普京則轉入權力較小的總理角色。如果説有什麼變化，與西方的關係正在升温，而對全球金融系統的攻擊並沒有意義。

俄羅斯可能出於其他原因對納斯達克感興趣。2011年1月，梅德韋傑夫前往瑞士達沃斯的世界經濟論壇，推出了一個宏偉的俄羅斯願景，旨在將莫斯科轉變為全球金融中心。次月，莫斯科的兩個表現不佳的證券交易所，米交所和RTS，宣佈將合併，運營商夢想着將其打造成一個世界級的平台，成為全球最新金融中心的明珠。

對俄羅斯的高級領導人來説，國家安全與交易所的成功是息息相關的。俄羅斯公司現在大多在主要的西方交易所上市，使它們更容易受到美國和歐洲經濟槓桿的影響。當普京在2012年重新擔任總統時，他施壓俄羅斯公司僅在新的交易所上市。與此同時，他向位於莫斯科市中心的金融中心投入了數十億盧布，其中包括歐洲最高的建築。

到2011年中，調查人員開始得出結論，俄羅斯人並不是試圖破壞納斯達克。他們想要克隆它，要麼將其技術直接整合到他們的交易所，要麼作為學習的模型。他們派出了一支精英網絡間諜團隊來獲取這些信息。

由於沒有清晰的證據表明從納斯達克獲取了哪些數據以及這些數據去了哪裏——鑑於缺乏日誌和其他重要的取證信息，這幾乎是不可能的——並不是所有政府官員甚至FBI都同意這一發現，但一位直接參與此案的調查員表示，這是最有説服力的結論。還有其他拼圖的部分不吻合。惡意軟件的破壞能力是用作武器還是其他用途？如果沒有被打斷，他們還會做些什麼？在被要求對納斯達克事件發表評論時，俄羅斯大使館發言人葉夫根尼·霍里什科表示：“這純屬無稽之談，根本不值得評論。”

在去年一月的演講中，面對關於國家安全局（NSA）收集數百萬美國人數據的醜聞，奧巴馬間接提到NSA“攔截針對股票交易所的惡意軟件”的能力是他反對剝奪該機構攔截數字通信能力的原因之一。

然而，對於一些美國官員來説，這一事件的教訓更加令人不安。美國的國家安全機構在物理世界中可能佔據主導地位，但在虛擬世界中卻準備不足。網絡戰爭的規則仍在制定中，攻擊代碼的部署可能是一種與破壞任何真實基礎設施一樣具破壞性的戰爭行為。而且，這是一種難以追蹤的戰爭行為：在最初的納斯達克入侵事件發生近四年後，美國官員仍在理清發生了什麼。儘管美國軍方是一個出色的威懾力量，但如果你不知道該對誰使用它，它就無效。

“如果聯邦政府的任何人告訴你他們已經弄清楚如何應對激進的網絡攻擊，那麼告訴我他們的名字，因為他們不應該在那兒，”情報委員會主席羅傑斯説。“問題在於，無論我們做什麼，回應不會回到政府身上，而是會回到美國85%的私營部門網絡上。而他們已經很難跟上了。”