伊朗黑客襲擊拉斯維加斯的謝爾頓·阿德爾森金沙賭場 - 彭博社

Ben Elgin, Michael Riley

2014-12-13

攝影師：Lennox McLendon/AP照片大多數賭徒仍在沉睡，貢多拉船伕還未在拉斯維加斯大道的威尼斯人賭場前的仿造運河上划行。但在2月10日寒冷清晨的賭場樓層上方，全球最大的遊戲公司的辦公室卻陷入了混亂。計算機出現故障，電子郵件無法使用，大多數電話無法工作，幫助運營140億美元業務的多個技術系統也停滯不前。

拉斯維加斯金沙公司的計算機工程師們迅速趕來查明發生了什麼。在一個小時內，他們得出了診斷：金沙正遭受猛烈的網絡攻擊。個人電腦和服務器在一場級聯的IT災難中關閉，許多硬盤被徹底清除。公司的技術人員從未見過這樣的情況。

“這不是你可以在伊朗進入的那種生意，而不讓政府知道”

讓公司運轉的人，從會計到市場經理，都在盯着空白的屏幕。“數百人打電話給IT部門告訴他們電腦無法使用，”當時在金沙拉斯維加斯風險管理部門工作的James Pfeiffer説。他回憶説，大多數人轉而使用手機和個人電子郵件賬户與同事溝通。許多系統癱瘓，包括那些運行金沙客户忠誠獎勵計劃的系統；監控金沙美國賭場老虎機和桌面遊戲表現及支付的程序；以及一個價值數百萬美元的存儲系統。

為了儘可能拯救更多的機器，IT工作人員在金沙的拉斯維加斯物業——威尼斯人及其姐妹酒店帕拉佐——的賭場大廳中四處奔波，拔掉他們能找到的每台正常工作的計算機的網絡線，包括用於跟蹤賭客的 pit boss 電腦和老虎機玩家兑換票據的自助終端。

這並不是 十一羅漢。黑客並不是試圖清空現金保險箱，也不是像最近對塔吉特、尼曼·馬庫斯和家得寶的攻擊那樣獲取客户信用卡數據。這是個人恩怨。犯罪者想要懲罰這家公司，或者更準確地説，是它的首席執行官和大股東，億萬富翁謝爾頓·阿德爾森。儘管確認他們的猜測需要一些時間，但高管們幾乎立即懷疑這次攻擊來自伊朗。

這是新的。其他國家曾經對美國公司進行間諜活動，並從中盜取財物，但這可能是第一次——發生在11月底對索尼影業的攻擊幾個月之前——一個外國參與者僅僅是想要摧毀美國的企業基礎設施，規模如此之大。這兩次黑客攻擊可能代表了一個地緣政治上令人困惑且潛在毀滅性的數字衝突階段的開始。專家們擔心，美國的對手可能找到了網絡戰爭的甜蜜點——這些攻擊足夠嚴重以傷害美國公司，但又低於會引發強有力政府反應的閾值。更值得注意的是，金沙在10個月內成功保守了這次黑客攻擊的全部程度的秘密。 2013年10月，阿德爾森，美國最鷹派的以色列支持者之一，抵達耶希瓦大學的曼哈頓校園，參加一個名為“猶太人會存在嗎？”的討論會。那晚的演講者中有一位著名的拉比和一位來自 華爾街日報的專欄作家，但小型禮堂中人羣真正吸引的焦點是阿德爾森，這位微微駝背的81歲老人，面頰蒼白，頭髮稀疏，需要助手的幫助才能上台。阿德爾森的淨資產為274億美元，因其在拉斯維加斯金沙的52%股份而成為全球第22位富豪。他通過在新加坡和中國開設賭場建立了地球上最有利可圖的博彩帝國，其利潤現在遠遠超過來自拉斯維加斯的收入。阿德爾森還是以色列三家新聞機構的擁有者，並且是以色列總理本傑明·內塔尼亞胡的朋友，他還花費大量資金支持美國的保守派政治家；他可能因在2012年大選中為推翻奧巴馬總統和選舉共和黨人而貢獻約1億美元而最為人知。

在耶希瓦，他描述了他將如何處理與伊朗關於其持續核計劃的談判。“我們要談什麼？”阿德爾森問。“我想説的是，‘聽着。你看到那片沙漠了嗎？我想給你看點東西。’”他説他會在沙子裏引爆一個美國核彈頭，在那裏“不會傷害任何靈魂。也許會傷害幾條響尾蛇和蠍子或其他什麼。”信息是：除非政府放棄任何製造自己核武器的計劃，否則下一個蘑菇雲將會在德黑蘭升起。“你想被抹去嗎？那就繼續採取強硬立場，”阿德爾森説，引來輕微的掌聲。他的言論在幾小時內就被髮布在YouTube上，並在互聯網上引發了反響。根據該國半官方的法爾斯通訊社，伊朗最高領袖阿亞圖拉·阿里·哈梅內伊在兩週後回應，稱美國“應該給這些喋喋不休的人一個耳光，壓制他們的嘴。”

在身體上，阿德爾森和桑茲得到了很好的保護。他在公眾場合出現時，身邊有一隊武裝保鏢，據説是美國特勤局和以色列情報機構摩薩德的前特工。根據一份公司文件，桑茲去年花費了近330萬美元來保護阿德爾森及其家人。這還不包括桑茲在金庫、安全攝像頭、生物識別篩查設備以及美國公司中最大的私人警察部隊之一上的支出，所有這些都是為了保護每天流經其運營的數百萬美元現金和籌碼。

但該公司在適應數字威脅方面進展緩慢。根據一位前高管的説法，兩年前它的網絡安全團隊只有五人，負責保護25,000台計算機。董事會在2013年授權進行重大工具和人員升級，但該項目計劃在18個月內推出，而在阿德爾森思考耶希瓦的核打擊時，該項目仍處於初期階段。在桑德斯公司不知情的情況下，在哈梅內伊發表激烈演講一個月後，黑客開始在其計算機網絡的外圍探查，尋找弱點。只有在攻擊發生後，調查人員才能篩查計算機日誌並重建他們的活動。這些細節出現在描述“黃石1”的內部文件中，這是該事件的公司代號，並在與六位熟悉該漏洞及其後果的人士的訪談中得到了證實。桑德斯公司的發言人羅恩·里斯拒絕回答有關攻擊的具體問題或讓阿德爾森出面。

到2014年1月8日，黑客們將注意力集中在桑德斯貝塞勒姆，這是一家位於賓夕法尼亞州貝塞勒姆的3,000台老虎機賭場和度假村，擁有自己的網站和計算機網絡。它在公司的帝國中是一個小據點，但攻擊安全鏈中的弱環是黑客們常用的伎倆。那天，黑客們發起了第一次持續一個小時的攻擊，試圖突破桑德斯貝塞勒姆的虛擬私人網絡（VPN），該網絡使員工能夠從家中或在路上訪問他們的文件。

黑客使用軟件通過系統地嘗試每分鐘數千種字母組合來破解密碼登錄；該軟件持續運行，直到猜對為止或耗盡所有排列組合。這是一種暴力破解的方法，有點像電影中用來破解保險箱的工具，逐一嘗試每一個可能的組合以找到正確的數字組合。

黑客在1月21日和26日加大了攻擊力度，再次對貝ethlehem Sands網絡發起了數小時的攻擊。後來，調查人員發現至少有兩個不同的黑客或團隊在嘗試不同的方法進入。當時，貝ethlehem的IT經理們對突然激增的失敗登錄嘗試感到震驚，開始與拉斯維加斯的Sands安全經理進行電話會議。但暴力破解嘗試是很常見的——根據休斯頓安全公司Alert Logic的説法，幾乎一半的公司都會經歷這種情況——而賭場工作人員並沒有過於擔憂。他們在受到攻擊的賬户上增加了一層安全措施，因此進入網絡不僅僅需要密碼。

這幾乎沒有用：五天後，2月1日，黑客發現了Sands Bethlehem用於審查和測試網頁的Web開發服務器的一個弱點。一旦進入，攻擊的速度迅速升級。黑客使用一種名為Mimikatz的工具來揭示之前用於登錄計算機或服務器的密碼。根據三位熟悉此事件的人士的説法，黑客在收集密碼的過程中，幾乎獲得了貝ethlehem Sands的所有文件的訪問權限。但貝ethlehem的計算機系統只是一個盒子——而他們真正想要的是能夠讓他們出去的鑰匙。

在2月9日之前的某個時候，他們找到了它：一位高級計算機系統工程師的登錄憑據，他通常在公司總部工作，但他的密碼在最近的一次旅行中被用於伯利恆。這些憑據讓黑客進入了位於拉斯維加斯的遊戲公司的服務器。當他們翻閲主網絡時，攻擊者準備了一枚惡意軟件炸彈。通過一台索尼 VAIO 電腦，他們編寫了一小段代碼，只有大約150行，使用的是Visual Basic編程語言。該程序證明了其強大。不僅可以清除存儲在計算機和服務器上的數據，還可以自動重啓它們，這是一種巧妙的技巧，可以暴露在機器仍在運行時無法觸及的數據。更糟糕的是，該腳本用隨機的零和一的模式覆蓋被刪除的硬盤，使數據恢復變得極其困難，以至於購買新機器並將被黑的機器扔進垃圾桶更具成本效益。為金沙工作的大Dell SecureWorks的調查人員得出的結論是，2月份的攻擊很可能是伊朗“黑客行動者”的所為，根據獲得的文件 彭博商業週刊。安全團隊無法確定伊朗政府是否參與其中，但考慮到該國對互聯網使用的嚴格審查，任何在國內的黑客都不太可能在沒有政府知情的情況下進行如此規模的攻擊。“在伊朗，這不是一種可以在沒有政府知情的情況下進入的生意，”華盛頓戰略與國際研究中心的高級研究員詹姆斯·劉易斯説。伊朗常駐聯合國代表團的發言人哈米德·巴巴伊沒有回覆幾次電話和電子郵件。

犯罪分子在2月10日星期一的清晨釋放了他們的惡意軟件。它通過公司的網絡傳播，摧毀了數千台服務器、台式電腦和筆記本電腦。到下午，Sands的安全工作人員注意到日誌顯示黑客正在壓縮一批批敏感文件。這意味着他們可能已經下載了——或者正在準備下載——大量私人文件，從高額客户的信用檢查到全球計算機系統的詳細圖紙和清單。Sands的總裁邁克爾·萊文決定將公司完全與互聯網斷開連接。

這是在一個大多數商業功能（從酒店預訂到採購）都在線處理的時代採取的極端措施。但Sands能夠保持許多核心業務的運作——黑客無法訪問一個對某些業務部分至關重要的IBM主機。酒店客人仍然可以刷卡進入他們的房間。電梯正常運行。賭客仍然可以將硬幣投入老虎機或在二十一點桌上下注。漫步在賭場大廳或在威尼斯人前的運河上觀看貢多拉滑行的顧客完全不知道有什麼不對勁。

阿德爾森在澳門威尼斯人攝影：保羅·希爾頓/EPA/Corbis

萊文的團隊很快意識到他們抓住了一個重大機會。伊朗人犯了一個錯誤。擦除軟件的第一個目標是公司的活動目錄服務器，這些服務器幫助管理網絡安全並與國外系統建立可信鏈接。如果黑客在攻擊這些機器之前稍作等待，惡意軟件將會傳播到Sands在新加坡和中國的廣泛物業。相反，損害僅限於美國。

第二天，黑客瞄準了該公司的官方網站，這些網站由第三方託管並仍在運行。黑客對其進行了破壞，發佈了一張阿德爾森與內塔尼亞胡親密合影的照片，以及一張顯示沙特美國賭場地圖上火焰的圖片。某一時刻，他們發佈了一條警告：“在任何情況下，鼓勵使用大規模殺傷性武器都是犯罪”，並署名為“反大規模殺傷性武器團隊”。黑客還給阿德爾森本人留下了信息。其中一條寫道：“該死的A，別讓你的舌頭割了你的喉嚨。”他們還包括了一份滾動列表，列出了在此次泄露中被盜的沙特貝塞勒姆員工的信息，包括姓名、職務、社會安全號碼和電子郵件地址。

在黑客攻擊後的幾天裏，沙特最初告訴媒體只是他們的網站遭到破壞，某些辦公生產系統，包括電子郵件，無法正常工作。顯然對他們的攻擊被輕描淡寫感到憤怒，黑客在YouTube上發佈了一段11分鐘的視頻，配樂為卡爾·奧爾夫的脈動康塔塔 O Fortuna。視頻開始時滾動顯示了一篇新聞文章，突出了阿德爾森關於核打擊伊朗的評論。然後它展示了一個計算機屏幕，上面堆滿了成千上萬的文件和文件夾，名稱如IT密碼和賭場信用，這些都是從沙特盜取的。

在視頻中，該視頻在數小時內被執法部門刪除，一名看不見的黑客點擊了一個名為“Damn A”的磁盤驅動器，並進入一個包含近一TB數據的文件夾。一個文本框出現：“你真的認為只有你的郵件服務器被關閉了嗎？！！根本不是！！”三位熟悉Sands黑客事件的人確認視頻中看到的文件是真實的。

該公司仍在統計損失。與參與黃石1號項目的人士的文件和訪談顯示，黑客的惡意載荷摧毀了該公司在拉斯維加斯的約四分之三的計算機服務器。Leven在上個月一次私人活動前的簡短採訪中估計，恢復數據和建立新系統可能會使公司花費4000萬美元或更多。多年來，美國官員一直警告外國勢力對美國公司的破壞性數字攻擊威脅。最新的警報是在11月20日，由國家安全局局長邁克爾·羅傑斯在眾議院情報委員會作證時發出的。他提到2012年對沙特阿美的攻擊，摧毀了該石油公司30000台計算機，羅傑斯暗示到目前為止，美國企業運氣不錯。儘管自二月份以來，美國國家安全官員一直在研究和討論這次攻擊，但他對Sands保持沉默。

在Sands事件幾個月後，以及在羅傑斯的評論幾天後，黑客入侵了索尼影業，癱瘓了該工作室的電子郵件、薪資和其他系統，並泄露了數千兆字節的公司機密，包括五部主要假日電影的完整剪輯以及47000名員工和承包商的社會安全號碼，包括西爾維斯特·史泰龍和賈德·阿帕圖。索尼尚未公開表示誰負責，但根據兩位熟悉事件的人士，索尼聘請的FireEye安全專家已將此次攻擊與一個名為DarkSeoul的黑客團體聯繫起來，韓國和美國官員認為該團體為北朝鮮政府工作。該政權否認責任，但在6月，得知索尼項目*《採訪》*——一部關於刺殺金正恩領導人的喜劇——後，一位政府發言人表示，北朝鮮將“無情地摧毀任何敢於傷害或攻擊國家最高領導層的人，哪怕是一點。”

這是網絡戰爭的下一個前沿。如果美國的敵人對該國的電網或天然氣管道進行數字攻擊，總統會考慮一系列強有力的回應，包括軍事選項，根據泄露的奧巴馬總統簽署的兩項行政命令的描述。但拉斯維加斯的賭場並沒有向美國民眾提供基本服務，除了那些對太陽馬戲團上癮的人。電影製片廠也是如此。即使在2012年和2013年，對美國主要銀行網站的幾個月的騷擾攻擊，美國情報官員將其與伊朗的革命衞隊聯繫在一起，也沒有達到閾值。損害並不嚴重。

“如果這在我擔任政府職務時出現在我的桌面上，我只會把它放進發件箱，”前中央情報局和國家安全局局長邁克爾·海登談到金沙攻擊時説。美國政府會幫助找出是誰做的，但不會反擊。他表示，這使得大多數公司幾乎只能獨自面對越來越多的全球對手，他們手握毀滅性的數字武器。“如果有一次來自中國的實體攻擊正在襲來休斯頓航道，我知道該打電話給誰，”海登説。“如果有一次來自中國的網絡攻擊正在通過休斯頓航道的光纖電纜襲來，美國法律規定美國政府應該怎麼做？我認為我們發現的是真正沒有強有力的答案。”

“你真的認為只有你的郵件服務器被關閉了嗎？！！根本不是！！”

早在2008年，軍事規劃者就開始研究一系列關於網絡空間威懾的簡報，考察冷戰時期保持冷戰的原則是否可以應用於即將到來的數字衝突世代。他們得出的結論是，不可以。判斷誰發射了核武器要比判斷誰發起了數字攻擊容易得多，後者容易獲取且難以追蹤。國家通常將黑客攻擊外包給代理，包括那些行為與正式宣稱對金沙（“反大規模殺傷性武器團隊”）和索尼（“和平守護者”）負責的團體非常相似的組織。

在索尼黑客事件中，第一批被盜數據的大規模上傳是在泰國進行的，使用的是曼谷聖瑞吉斯酒店的Wi-Fi網絡。朝鮮的互聯網功能非常有限，因此為該國軍方工作的黑客在中國、敍利亞和其他國家設立了衞星辦公室。但攻擊者也可能是被僱傭的槍手。在否認參與黑客事件的同時，平壤國家防衞委員會的一位發言人稱讚這次事件是“正義之舉”。發言人暗示，肇事者可能對*《採訪》*感到不滿，“這是一部助長恐怖行為並傷害最高領導尊嚴的電影。”FireEye的調查人員最初準備了一篇博客文章，將DarkSeoul與此次攻擊聯繫起來，但在12月3日的會議上，索尼的總法律顧問壓制了這篇文章，可能是不願意再次惹怒黃蜂窩。索尼發言人表示，該公司的調查仍在進行中。同樣，戴爾安全工作組向Sands提交了一份事件簡報，稱“此次攻擊是對首席執行官關於伊朗的評論的回應。”Sands的高管們表達了他們的不滿，而戴爾在大約一個月後的下一份內部報告中省略了那一頁。戴爾發言人伊麗莎白·克拉克拒絕發表評論。

威尼斯人酒店，位於拉斯維加斯大道感謝拉斯維加斯金沙集團

越來越多的專家，包括一些曾在內部看到問題的前國家安全官員表示，下一次升級可能是公司做美國政府不願做的事情。如果國家可以僱傭黑客造成損害，為什麼他們的受害者不能使用相同的技術進行自我防衞呢？這一話題在小組討論和會議上經常被提及，是美國官員考慮過但拒絕的應對公司面臨的日益增長的網絡威脅的選項之一。前NSA局長海登稱其為“站穩腳跟”法律的數字等價物，這些法律允許某些州的公民以致命武力自衞。對批評者來説，這是一條通往數字西部荒野的道路。

聯邦法律必須首先進行更改，而司法部已表示，試圖“反擊”的公司將根據《計算機欺詐和濫用法》等其他法規面臨刑事處罰。那些已經讓奧巴馬及其國家安全團隊感到頭疼的國家似乎明白這一點，並轉向低級別的數字衝突，以在美國公司的計算機中製造混亂。

這並不是許多人預測的網絡戰爭，但以其自身的方式造成了毀滅性的影響。“也許我們永遠不會達到大家一直在談論的數字珍珠港事件，所有事情同時發生，數萬億美元的價值被抹去，”提供網絡戰爭工具給美國政府的Siege Technologies創始人傑森·西弗森説。“也許這只是這樣進行——千刀萬剮。”