不为人知的幕后故事：NotPetya，史上破坏力最强的一次网络攻击

编者按：瘫痪的港口，受创的企业，停摆的政府机构。这是关于一段代码如何让整个世界陷入瘫痪，让全球经济损失了100亿美元的故事。这个故事说明，在网络空间里，距离不再是屏障，网络病毒的破坏力不亚于原子弹的量级，而在复杂到已经失控的网络里，如何对抗这种新型的战争已经成为一个世界难题。本文 摘自 《连线》记者Andy Greenberg的新书《Sandworm》。

那是哥本哈根的一个完美的阳光明媚的夏日下午，但是全球最大的运输集团开始失去理智。

A. P. 穆勒-马士基总部坐落在哥本哈根港微风习习、铺满鹅卵石的滨海大道旁。建筑物东北角一旁立有一根悬挂丹麦国旗的桅杆，透过6层楼的蓝色玻璃可以看见同样蔚蓝的海水，以及停泊着丹麦皇室游艇的码头。在大楼的地下室，员工可光顾一家企业礼品店，里面摆满了马士基品牌的包包和领带，甚至还有一个罕见的马士基Triple-E巨型集装箱船的乐高模型。这玩意有多大？大到可以大概相当于帝国大厦平躺下来，能够将另一个相当于帝国大厦大小的负载堆在它上头。

这个礼品店还进驻了一个技术帮助中心，这是由IT排障人员运营的集中技术台，就在商店收银台的旁边。2017年6月27日下午，困惑的马士基员工开始三三两两地聚集到帮助台前，几乎每个人都携带了便携电脑。一些电脑上面写道“修复C盘的文件系统”：并且有一个明显的警告要求不能关闭电脑。有的信息则要更超现实，写着“哎呀，你的重要文件被加密了”并且要求支付价值300美元的比特币才能解密。

穿过街道，一位名叫Henrik Jensen的IT管理员正在马士基综合楼的另一部分工作，这是一栋镶嵌了白色石头的建筑，在几个世纪前是皇家海事地图档案馆。（Henrik Jensen不是他的真名。就像我采访过的几乎所有马士基员工、客户或者合作伙伴一样，Jensen也害怕公开讨论本故事的后果。）当他的计算机突然重启时，Jensen正在忙着给马士基将近80000员工准备一项软件更新。

他在心里暗骂了几句。Jensen以为这此不在计划之内的重启是马士基IT中心常有的唐突之举。这个企业帝国它有8个业务部门，在全球130多个国家有574个分支机构，管理着从港口到物流以及石油探井等一切。而那个设在的IT部门几乎讨不到任何人的喜欢。

Jensen抬起头问问办公室内的其他IT同事有没有被如此粗鲁地打断过。当他伸长脖子的时候，他注意到屋子里的每一台计算机的屏幕很快都相继闪灭了。

“我看到一波屏幕都变成了黑屏。黑屏、黑屏、黑屏。黑屏黑屏黑屏黑屏黑屏，”他说。Jensen和他的邻座迅速发现，PC已经被永久锁定了。重启只能返回到同样的黑屏。

在整个马士基总部上上下下，全面危机开始变得清晰。在半个小时之内，马士基员工都在奔走相告，一边大喊着让同事赶紧关机或者断开跟马士基网络的连接以免被恶意软件感染，因为他们已经明白，每一分钟的延误都意味着数十乃至数百的PC被搞残。技术员工跑进会议室拔掉了还在开会当中的机器。很快员工设法越过了被仍然神秘的恶意软件致瘫的被锁上的门禁，将警告信息传给大楼的其他部门。

断开公司的全球网络让公司IT员工度过了超过2小时的恐慌时间。这个流程走完之时，每一位员工都被命令关掉计算机并且放在桌子上不许动。每张桌子上的数字电话在这次紧急网络关闭中也变成无用了。

大概下午3点左右，一位马士基的高管步入Jensen和十多位同事正在焦急等待消息的办公室然后告诉他们回家。马士基的网络已经被破坏得太严重了，以至于IT员工也束手无策。公司的一些资历较老的经历告诉他们的团队要坚守岗位。但是很多员工因为没有计算机、服务器、路由器或者桌面电话就相当于无所事事，唯有一走了事。

Jensen走出来大楼，被淹没到6月下午炙热的气流之中。就像马士基绝大多数员工一样，他也不知道什么时候可以重返工作。雇佣他的那个负责全球各地76个港口以及将近800艘巨轮（其中包括承载上千万顿货物运输的集装箱货船）的运营，运力占到了全球货运量的1/5的海事巨头已经彻底瘫痪（dead in the water）。

乌克兰首都基辅，在时尚的Podil街区角落，咖啡店和公园突然消失了，取而代之的是一幅糟糕的工业景观。在一条过街天桥下面，跨过一些垃圾满地的铁轨，在穿过一道混泥土门之后，矗立着4层楼的Linkgos Group总部，这是一家小型的乌克兰软件家族企业。

爬过3层楼梯后有一间服务器室，披萨盒大小的计算机被一堆电缆连接着并用手写的数字标签做好了标记。在正常的日子里，这些服务器会推动定期的更新——修复的bug、安全补丁、性能等——给财务软件M.E.Doc，这玩意儿就相当于乌克兰的TurboTax或者Quicken。在乌克兰但凡要纳税或者做生意的人几乎都要用到这个软件。

不过2017年的时候，那些机器一度充当着自从互联网发明以来最致命的网络攻击之原爆点的角色——这起攻击至少在一开始是被当做一个国家对另一个国家的袭击而使用的。

在过去4年半的时间里，乌克兰都被陷入到俄罗斯的一场令人煎熬的不宣而战之中。这场冲突还让乌克兰成为俄罗斯网络焦土战政策的试验场。2015、2016年，当据称跟克里姆林宫有瓜葛的黑客Fancy Bear忙着入侵美国民主党全国委员会的服务器时，另一个叫做Sandworm的特工组织也正在入侵数十个乌克兰的政府组织和公司。他们渗透进各种网络，受害者从媒体组织到铁路公司不等，引爆的逻辑炸弹摧毁了数TB的数据。这种攻击遵循着一种施虐狂似的频率。在那两年的冬天里，破坏者疯狂的肆虐导致了大规模的电力中断——这是第一次确认的由黑客引发的大停电。

但那些攻击仍然不是Snadworm的压轴戏。2017年春，在Linkgos Group无人知晓的情况下，软罗斯的军事黑客劫持了公司的升级服务器，让他们得以将一个隐秘的后门植入到乌克兰以及全世界成千上万台安装有M.E.Doc的PC里面。然后，到了2017年6月，这些破坏者再利用这一后门释放了一种叫做NotPetya的恶意软件，这是有史以来最恶毒的网络武器。

黑客推出的代码经过了精心设计，为的是让它能够自动、快速且不加选择地传播出去。思科的Talos部门是第一家对NotPetya进行逆向工程和分析的安全公司之一，其外联总监Craig Williams说：“迄今为止，这是我们见过的传播速度最快的恶意软件。在你看到它的那一刻，你的数据中心就已经完了。”

NotPetya是两个黑客漏洞先后推动的结果：一个是所谓的EternalBlue渗透工具，这是由美国NSA开发的，但是在2017年初该机构的一次高度机密文件泄露事件中被盗走了。EternalBlue利用了一个特殊的Windows协议漏洞，使得黑客可以自由地控制，在任何未打补丁的机器上远程运行自己的代码。

NotPetya的架构再加上一项较老的叫做Mimikatz的数字万能钥匙发明，就创造出来了一个法国安全研究人员Benjamin Delpy在2011年提出来的概念验证。Delpy原先推出Mimikatz是为了证明Windows其实是把用户的密码保存在内存里的。一旦黑客获取了对计算机的初始访问，Mimikatz就能将那些密码从RAM中取出并且利用来破解用同样证书可访问的其他机器。在多用户计算机的网络上，这甚至还可以利用机器作为跳板对其他机器发动自动攻击。

在NotPetya推出前，微软已经发布了一个EternalBlue漏洞的补丁。但尽管如此，EternalBlue和Mimikatz仍然搭配出了一个致命组合。Deply说：“你可以感染那些没打补丁的机器，然后获取那些计算机的密码去感染其他打了补丁的计算机。”

NotPetya的名字灵感源自勒索软件Petya，这是2016年初浮出水面的一段犯罪代码，被感染的受害者必须交一笔钱才能拿到文件解锁的密钥但NotPetya的勒索只是个幌子：该恶意软件的目标纯粹是要搞破坏。它对计算机的主引导记录（MBA）进行了不可逆的加密，MBA是机器最底层的机制了，操作系统放在哪里完全要靠它来引导。因此受害者支付再多的赎金也是徒劳的。没有任何密钥能够对已经被加密噪音污染的内容进行还原。

武器的目标是乌克兰。但是其爆炸辐射范围是全世界。“这就好比是用原子弹来取得一次小型的战术胜利，”Bossert说。

NotPetya的释放是一种网络战争（无论按照哪一种定义方式）行为——其爆炸性之大甚至可能超出创建者的意图。在出现数小时之内，蠕虫就蔓延到了乌克兰以外感染到全世界从宾夕法尼亚的医院到塔斯阿尼亚岛的巧克力工厂的无数机器上，给包括马士基、制药巨头默克、联邦快递欧洲分布TT Express、法国建筑公司Saint-Gobain、食品制造商Mondelēz以及制造商Reckitt Benckiser等在内的跨国公司予以重创。给每一家都造成了9位数的损失。病毒甚至还传播回俄罗斯，给国营石油公司俄罗斯石油造成打击。

据美国白宫估计，其结果就是超过100亿美元的总损失（这个是前美国国土安全部顾问Tom Bossert透露，攻击发生时他是特朗普总统最资深的网络安全官）。Bossert与美国的情报机构还确认今年2月时俄罗斯军方应该对发布该恶意代码负责。

要想感受一下NotPetya造成破坏的规模，不妨回顾一下今年3月瘫痪了亚特兰大市政当局的那种噩梦般但更典型的勒索病毒攻击：其损失为1000万美元，仅占NotPetya造成损失的千分之一。甚至在NotPetya爆发之前的2017年5月传播的更恶意的蠕虫WannaCry，所造成损失据估计为40亿美元到80亿美元之间。此后再无病毒能望NotPetya的项背。Bossert说：“尽管这场战争并没有人员损失，但效果已经相当于为了实现一场小型战术胜利而投放的核弹。这种鲁莽程度是我们在世界舞台上所无法容忍的。”

在NotPetya震撼了世界之后，《连线》深入调查了被这个蠕虫重创的企业巨头之一马士基的遭遇，其惨痛经历独特地说明了网络战争的危险性现在已经威胁到全球现代基础设施。就像《连线》接触的所有非乌克兰受害者一样，马士基的高管也不愿以官方身份对本文发表任何评论。本文的许多马士基现员工和前员工也都选择保持匿名。

但是NotPetya的故事主角其实不是马士基，或者甚至也不是乌克兰。这个故事要讲的是一个国家的战争武器被释放到国界毫无意义的媒介时会发生什么，而且其附带损害会通过一种残酷的、意料之外的逻辑加以传播：本来目标是乌克兰的攻击连累到了马士基，而对马士基的攻击又连累到了所有人。

Oleksii Yasinsky原先以为周二那天办公室应该是没什么事的。那是乌克兰法定假日宪法日的前一天，他的大部分同事不是计划度假就是已经在度假中了。但Yasinsky没有。过去一年，他一直是Information Systems Security Partners（ISSP，即将成为对乌克兰网络战的受害者求助对象）的网络实验室负责人。这个岗位职责是不允许有宕机时间的。实际上，自从2015年底俄罗斯发动第一波网络攻击以来，他休假的时间加起来才只有一周。

所以，那天早上当Yasinsky接到一个电话时他并没有慌张。电话是ISSP总监打过来的，说乌克兰第二大银行Oschadbank遭遇攻击。银行告诉ISSP说自己受到了勒索病毒的感染，这是一种日益常见的危机，发起者通常是以赚钱为目的的犯罪分子。不过当Yasinsky半小时后走进Oschadbank的IT部门时，他感觉到这次的袭击不一样。Yasinsky说：“员工们不知所措，完全处在震惊状态。”银行上万计算机当中约90%都被锁定，上面显示着NotPetya的“修复硬盘”消息以及勒索消息画面。

在对该银行幸存的日志进行快速检查之后，Yasinsky可以发现攻击是一种设法弄到了管理员证书的自动蠕虫。这使得它可以像偷走了看守钥匙的囚犯一样在银行的网络内横冲直撞。

当Yasinsky回到ISSP办公室分析银行这次遇到的袭击时，他开始陆续收到乌克兰各地打来的电话和短信，告诉他其他公司和政府机构也遇到了类似情况。一个人告诉他另一位受害者曾试图支付赎金。就像Yasinsky猜想一样，支付并没有效果。这不是普通的勒索软件。他说：“解决这个没有银弹，没有解药。”

——据白宫估计的NotPetya造成的总损失

向南1000英里，ISSP CEO Roman Sologub正试图在土耳其南海岸过个假期，准备着跟家人一起奔赴海滩。这时候他的手机也开始被ISSP那些要么眼睁睁看着NotPetya在自己的网络肆虐要么被网络攻击的新闻吓到正疯狂寻求建议的客户打爆。

Sologub只好撤回酒店，在那一天剩下的时间里他总共记录了超过50起客户电话，他们一个接一个地报告说自己的网络被感染了。实时监控客户网络的ISSP安全运营中心警告Sologub说NotPetya正以恐怖的速度渗透到受害者的网络：它只用了45秒钟就把一家乌克兰大型银行的网络搞瘫。ISSP曾经出于演示目的给乌克兰一个重要的交通枢纽部分安装了自己的设备，那些设备也在16秒钟之内就被完全感染了。能源公司Ukrenergo，ISSP曾在其2016年遭受严重网络攻击之后帮助重建了网络，这次还是被袭击了。“你还记得我们打算实施新的安全控制吗？” Sologub回忆起一位沮丧的Ukrenergo IT部主任在电话里面问他的话。“完了，已经太迟了。”

很快，ISSP的创始人，连续创业者Oleh Derevianko也中断了自己的休假。关于NotPetya的电话打来时，Derevianko正驱车北上度假，到乡下看望家人。接到消息后他马上开下高速公路，到路边的一个饭店就地开展工作。下午刚开始不久时，他就警告致电的每一位主管要透他们毫不犹豫地把网络断掉，哪怕这意味着关闭整个公司。在很多情况下，他们已经等待了太久了。Derevianko说：“等到你赶到他们那里时，基础设施已经被摧毁了。”

NotPetya正在吞噬着整个乌克兰的计算机的生命。光是基辅就有4家医院受到打击，此外还有6家电力公司、2个机场、超过22家乌克兰银行，零售商和交通运输业的ATM和卡支付系统，以及几乎每一家联邦机构均受波及。乌克兰基础设施部部长Volodymyr Omelyan一言蔽之：“政府已经死了。”据ISSP，至少有300家公司被攻击，一位资深的乌克兰政府官员估计本国有10%的计算机被抹除了数据。攻击甚至还关闭了基辅以北60英里外的切尔诺贝利清理现场科学家所使用的计算机。Omelyan说：“这是对我们所有系统实施的大规模轰炸。”

傍晚当Derevianko从饭店出来时，他到加油站想给自己的车加油却发现那家加油站的信用卡系统也已经被NotPetya干掉了。兜里没钱的他盯着油表，担心还够不够油开回老家。整个乌克兰的人都在问类似的问题：有没有足够的钱去买百货和加油来撑过这场闪电战，自己能不能拿到薪水和养老金，能不能开出处方。到了那天晚上，当外面世界还在争论NotPetya究竟是犯罪性的勒索软件还是受国家支持的网络战争武器时，ISSP的员工已经开始把它形容为一种新现象：一场“大规模的协同作战的网络入侵。”

在这场瘟疫中，有一例感染对马士基来说将是决定性的：在位于乌克兰黑海边港口城市敖德萨，马士基乌克兰分部的一名财务主管要求IT管理员在一台计算机上安装会计软件M.E.Doc。这一举动让NotPetya得到了唯一需要的一个立足点。

新泽西伊丽莎白的海洋转运站是马士基的76个所谓的APM Terminals（港口运营部门）之一——它蔓延到了纽瓦克湾的一个方圆1平方英里的人造半岛上。成千上万堆叠的、模块化的集装箱布满了那里大面积的柏油地面，200英尺高的蓝色吊机在港湾隐隐若现。从5英里之遥的下曼哈顿区摩天大楼顶楼望过去，它们就像是侏罗纪时代聚集在水坑周围的腕足类恐龙一样。

天气好的时候，每天大概有3000辆卡车会来到转运站，每一辆都有分配好的任务，要装载或者卸载上万磅的东西，从纸尿布到牛油果或者拖拉机零件，不一而足。它们就像飞机乘客一样开始那道流程，看看转运站的出入口，在这里扫描议会自动读取集装箱的条码，一位马士基的门卫会通过音响系统跟卡车司机通话。司机会收到告诉停到哪里的打印好的放行条，然后一台大型场地起重机就会把集装箱从卡车底盘吊起，搬到货场堆起来，接着再装进集装箱船，漂洋过海，或者整个过程反过来。

6月27号的那个早上，Pablo Fernández预计会有相当于几十辆卡车装载量的货物要离开伊丽莎白港去到中东的一个港口。Fernández的身份是所谓的货运代理——货主为了确保自己的财产能够安全抵达半个地球只要的目的地而付费雇佣的中间人。（Fernández并非真名）

新泽西时间大概9点左右，Fernández的电话开始响起来自愤怒货主的一连串尖刻的呼叫声。他们都从卡车司机那里听说车被堵在马士基伊丽莎白转运站外面了。Fernández说：“大家都急得上蹿下跳。他们都无法让自己的集装箱进出。”

因为那道门是马士基在整个新泽西转运站的咽喉要道，但现在已经歇菜了。门卫悄悄溜走了。

很快，数百辆18轮的大拖车都只好依序倒车，长长的队伍在转运站外绵延数英里。同一个港口附近另一家公司转运站的一名员工目睹了那些卡车前后保险杠挤到一起排长队的情形，甚至长到他都看不到头。他还看到门禁系统在15到30分钟之内宕掉。但是几个小时后，马士基依然一声不吭，港口管理方发出警告称该公司在伊丽莎白的转运站次日可能将会关闭。附近转运站的那位员工记得：“那时候我们开始意识到，这是一次袭击。”警方开始接触那些司机，告诉他们带着庞大的载荷离开。

Fernández和无数其他抓狂的马士基客户面临着一个凄惨的选项：他们可以把自己的贵重货物以昂贵的最后成交价卸到其他船上。或者，如果他们的货物是紧凑的供应链的一部分，比如工厂的部件的话，马士基的中断将意味着采用费用高昂的空运手段，否则的话生产流程将有停滞的风险，一天的停工意味着几十万美元的损失。很多集装箱，也即是所谓的冰箱，那是要供电的，里面装满了容易腐烂需要冷冻的货物。这些集装箱得找地方插电以免东西坏掉。

Fernández必须仓促地在新泽西找一个仓库来存放客户的货物，一边等着马士基的消息。他说，在那整整的第一天里，他只收到了一封官方邮件，来自一位疲惫不堪的马士基员工的Gmail账号，内容听起来就像“胡言乱语”，对这场装卸危机并没有做出真正解释。公司的集中预订网站Maerskline.com也宕了，马士基员工没有一个人接电话。实际上，那天他要装上马士基货船的货物将会被落在堆场以及全球各地的港口达3个月之久。Fernández回忆起这件事时一声叹息：“马士基就像个黑洞，这就是一场大杯具。”

实际上，这是大杯具中的大杯具。从洛杉矶到西班牙阿尔赫西拉斯再到荷兰阿姆斯特丹乃至孟买，相同的一幕在马士基76个转运站当中的17个上演。门禁坏了。起重机被冻结了。全球范围内成千上万的卡车都在掉头撤离陷入昏睡中的转运站。

新订单没法下了，这基本上相当于断绝了马士基核心的运输收入来源。马士基货船的计算机没有受到感染。但转运站的软件由于需要接收那些船发送的电子数据交换（EDI）文件，通过这些文件转运站运营方才能知道货舱装的是什么，但现在这些信息已经被完全抹去了。这使得马士基的港口变成了无头苍蝇，不知道如何去指导完成这项庞大的装卸集装箱的堆积木游戏。

在接下来的几天里，全世界最复杂、互联性最强的分布式机器之一，本身也是全球经济循环系统基础的马士基仍将无法运转。一位马士基的客户回忆道：“显然这个问题的量级在全球交通业是前所未有的。在整个运输IT史都没人曾经历过影响如此深远的危机。”

在自己位于马士基办公室角落的屏幕黑屏了几天之后，Henrik Jensen正在根本哈根自己的公寓家中，享受着荷包蛋、吐司加果酱组成的早午餐。自从周二他走出办公室以来，他都没有收到任何上司的消息。然后他的手机突然响了。

接了电话后他才知道这是一次电话会议，另一头还有3个人。他们说他们需要他。他们是马士基梅登黑德办事处的员工。梅登黑德是位于伦敦西部的一个小镇，是这个企业集团IT统领Maersk Group Infrastructure Services（马士基集团基础设施服务）所在地。他们告诉他放下一切去到那里。马上。

两小时后，Jensen已经在一架飞往伦敦的飞机上，然后上了一辆车来到梅登黑德中心移动8层楼高的玻璃砖混建筑。当他抵达那里时，他发现4、5层楼已经被改造为24/7 应急指挥中心。该中心的目的只有一个：在NotPetya灾难之后重建马士基全球网络。

Jensen了解到，一些马士基员工自从周二NotPetya的第一波攻击以来就椅子呆在恢复中心。一些人就睡在办公室，在桌下或者会议室角落。似乎每分钟都有其他人从世界各地手里提着行李赶来。马士基几乎将方圆10英里之内的所有酒店客栈的客房都预订一空。员工则靠某人从附近Sainsbury的日杂百货店买回来堆在茶水间的小吃填肚子。

梅登黑德应急中心由德勤管理。马士基让德勤来负责处理NotPetya问题，这基本上是给了这家英国机构一张空头支票，任何时候都有多达200名德勤员工驻扎在梅登黑德办事处，另外还有400名马士基的人。因为害怕会感染新系统，在NotPetya爆发前马士基使用的所有计算机设备均被收缴，而且还贴出了告示，任何人要是违反规定使用的话将会被纪律处分。所以员工们纷纷跑到梅登黑德的每一家电子商店买了一堆的新笔记本并且预付了Wi-Fi热点。就像数百名其他的马士基IT员工一样，Jensen也被分配了一台新的笔记本用来干活。他说：“当时的情况很像是‘找个地方，开始干活，做一切需要完成的工作。’”

一开始开始重建马士基网络工作的时候，IT员工意识到了一件十分令人厌恶的事情。他们本来已经找到了几乎所有马士基服务器的备份，日期从NotPetya爆发前的3到7天不等。但是公司网络的关键一层的备份却没有一个人能找到：这一层就是域控制器，这些服务器的作用相当于马士基网络的详细地图，还负责设定确定哪些用户可以访问哪些系统的基本规则。

马士基 150个左右的域控制器事先已经编程好要相互同步各自的数据，所以在理论上其中任意一个都可以充当所有其他域控制器的备份。但这种去中心化的备份策略在一个场景下不适用：每一个域控制器都被同时抹掉数据时。一位马士基的IT员工记得当时是这么想的：“如果我们不能恢复域控制器的话，那就任何东西都恢复不了了。”

在疯狂地将世界各地的数百位IT管理员都召集过来之后，马士基绝望的管理员终于在一个远程办事处——遥远的加纳找到了了唯一一台存活的域控制器。

在疯狂地将世界各地的数百位IT管理员都召集过来之后，马士基绝望的管理员终于在一个远程办事处——遥远的加纳找到了了唯一一台存活的域控制器。那是因为在NotPetya攻击发动前，断电导致加纳的那台机器离线了，使得那台计算机仍然没有连上网络。因此在那台机器上保留了唯一一份已知的未被恶意软件感染的域控制器数据——这一切都要感谢断电事件。一位马士基的管理员说：“当我们找到它时，办公室到处是欢呼雀跃。”

不过，当梅登黑德紧张的工程师设置好到加纳的连接时，他们发现它的带宽太小了，要想把几百GB的域控制器数据备份回英国的话得要好几天。他们的下一个想法是：让加纳员工赶最早的班机到伦敦。但是问题是西非办事处的员工没有一个人有英国护照。

于是梅登黑德中心又设法安排了一次接力赛：加纳办事处的一位员工先飞到尼日利亚在机场跟另一位马士基员工对接，转交那块极其珍贵的硬盘。那位员工然后携带着马士基整个恢复过程的基石，再坐6个半小时的飞机降落到希斯罗机场。

当拯救工作结束时，梅登黑德办事处就可以将马士基的核心服务恢复上线了。在第一天之后，马士基的港口运营恢复了读取货船存货文件的能力，这样操作员对抵达其港口的巨型集装箱船里面装的是什么就不再一无所知了。但是马士基要想从Maerskline.com接受新订单还需要几天的时间，而全球各地的转运站要想恢复任何程度的正常运营还需要一周多的时间。

与此同时，马士基的员工还在利用手头一切现有的工具。他们发纸质文档给停留在APM港口的集装箱船，通过个人Gmail账号、Whatsapp以及Excel电子表格接受订单。一位马士基客户说：“我可以告诉你，通过WhatsApp订500个海运集装箱是一次相当离奇的体验，但这就是我们干的事情。”

在发生那场袭击2周之后，马士基的网络终于恢复到公司可以重新下发个人计算机给绝大部分员工的程度。回到哥本哈根总部，大楼负层的自助餐厅被挪用为重新安装的装配线。每次都有20台计算机排成一排，帮助台的员工会按顺序走下来，插入USB他们已经拷贝了几十个的USB，按照提示不断点击数小时。

从梅登黑德返回几天后，Henrik Jensen在按字母排列的几百台笔记本电脑当中找到了自己的，硬盘里面的东西都已经被抹掉了，并且安装了一个干净的Windows镜像。从笔记到家庭照片，他和其他马士基员工在机器本地存储的一切都已经消失了。

在马士基从NotPetya攻击中恢复过来5个月后，马士基主席Jim Hagemann Snabe坐到了瑞士达沃斯世界经济论坛大会的舞台上，对公司IT部门在这次拯救行动中付出的“英雄般的努力”表示称赞。他说，从6月27日凌晨4点他在加州（本来他是要在斯坦福出席一次会议的）被一通电话吵醒开始，公司只用了10天的时间就重建了由4000台服务器和45000台PC组成的整个网络。（完全恢复需要花更长的时间：梅登黑德一些员工还得夜以继日地工作将近2个月来重建马士基的软件安装。）Snabe对观众说：“我们用人的韧劲克服了问题。”

从那以后，Snabe继续道，马士基不仅致力于改进自身的网络安全，而且还把它发展成了一项“竞争优势”。的确，在NotPetya的唤醒下，IT员工几乎他们提出的每一项安全功能都马上被批准了。多因子验证在全公司得以铺开，一直被搁置的Windows 10升级工作也获批了。

不过Snabe对于公司在NotPetya之前的安全态势却说得不多。马士基安全员工告诉《连线》说公司的一些服务器在受到攻击前仍然跑的是Windows 2000——这个操作系统已经老到微软都不再支持了。2016年时，一群IT主管曾经推动过对马士基整个全球网络进行前瞻性的安全再设计。他们呼吁要对马士基不够完美的软件补丁、过时的操作系统以及最主要的，网络分段的低效这些问题赋予关注。他们警告说，尤其是最后这个漏洞会使得能访问网络一小部分的恶意软件疯狂扩散到当初的立足点以外的地方，这正是一年后NotPetya导致的情形。

这些安全改造提案获得了批准以及相应预算。但是它的成功从来都不在马士基大多数资深IT监管者所谓的KPI范畴之内，所以实现这些对他们的奖金并没有贡献。他们从来都没有用心去推进安全的改造工作。

很少有机构愿意愿意多花钱去趟安全这趟浑水。在达沃斯演讲中，Snabe称由于应对迅速以及手工的变通方式，公司因NotPetya中断导致的订单损失仅占总量的20%。但除了业务损失、下线时间以及重建整个网络的成本以外，马士基还赔偿了许多客户变更航线或者存放其无路可去的货物的开支。一位马士基客户谈起了自己收到过该公司7位数的支票以弥补改航空货运的损失。他说：“在不到2分钟的讨论之后他们就给了我很酷的100万。”

Snabe在达沃斯上说，NotPetya给马士基造成的损失总计在2.5亿美元到3亿美元之间。不过《连线》私下对话过的大多数员工怀疑公司的会计压低了数字。

除了造成恐慌和破坏以外，NotPetya也许还抹除了间谍活动的证据或者甚至为将来的破坏活动进行的勘测。

不管怎样，那些数字只是说明这次破坏力的量级的开端。比方说，生计要靠马士基的转运站的物流公司在这次业务中断中并没有像马士基的客户那样都得到那么好的对待。据纽瓦克市一家卡车组织Association of Bi-State Motor Carriers的总裁Jeffrey Bader估计，光是卡车公司未获偿还的损失就达到了千万美元。Bader说：“这是一场噩梦，我们亏了很多钱，我们非常生气。”

马斯基的业务中断给需要依赖于产品与生产部件的按时交付全球供应链造成的更广泛损失其实要难衡量得多。当然，马士基只是其中一个受害者。部分生产能力因为NotPetya而临时关闭的制药巨头默克公司告诉股东说自己因此该恶意软件而损失了令人错愕的8.7亿美元。联邦快递的欧洲子公司TNT Express也受到重创，需要数月时间才能恢复部分数据，损失达到了4亿美元。法国建筑巨头Saint-Gobain损失的金额也达到了同样规模。杜蕾斯的制造商，英国的Reckitt Benckiser损失了1.29亿美元，巧克力制造商吉百利的所有者Mondelēz遭到了1.88亿美元的打击。没有公共股东的数字不明的受害者私下了统计了他们的损失。

只有当你把马士基的故事倍乘——想象同样的瘫痪、同样的一系列危机、同样折磨人的恢复在数十个NotPetya的受害者以及无数行业上演时，你才能真正意识到俄罗斯的这场网络战的规模究竟有多大。

Snabe在达沃斯上表示：“这是一次非常到位的叫醒服务。”然后再用一种斯堪的纳维亚人特有的轻描淡写补充道：“你还可以说，这是非常贵的一次。”

NotPetya爆发一周之后，乌克兰警方一身迷彩服带着冲锋枪涌出运输车冲进了Linkos Group那栋寒酸的总部大楼，那架势就像海豹六队闯入本拉登的藏匿处一样。

按照公司创始人Olesya Linnyk的说法，他们拿枪指着不知所措的员工，让他们到走廊排成一队。在二楼她办公室的隔壁，荷枪实弹的警察甚至用金属警棍砸碎了一间房门，尽管Linnyk已经给了他们开门的钥匙。Linnyk深吸了一口气恼火地说到：“这实在是太荒唐了。”

荷枪实弹的警察小组终于找到了他们要找的东西：在这场NotPetya瘟疫中扮演了第一感染源角色的那个机架的服务器。他们没收了这些攻击机器并且用塑料袋包裹好。

即便现在，在这场灾难性的攻击过去了1年多之后，网络安全专家仍然为NotPetya的神秘争论不休。黑客的真正意图是什么？包括Oleh Derevianko和Oleksii Yasinsky在内，安全公司ISSP的基辅员工，主张这次攻击不只是破坏而且还是一次清除行动。毕竟，一开始推出它的黑客曾经有数个月的时间可以毫无拘束地访问受害者的网络。除了造成恐慌和破坏以外，NotPetya也许还抹除了间谍活动的证据或者甚至为将来的破坏活动进行的勘测。仅在今年5月，美国司法部和乌克兰安全服务就宣布他们捣毁了俄罗斯一次感染了一百万互联网路由器（大部分在乌克兰）的行动，并且发现这是一种新型的破坏性恶意软件。

尽管安全界很多人仍然把NotPetya的国际受害者看成是附带伤害，但思科的Craig Williams认为俄罗斯完全意识到该蠕虫给国际造成的伤害到底有多大。他提出，其辐射旨在明目张胆地惩罚任何胆敢在俄罗斯的敌人境内设立办事处的人。Williams说：“任何人要是认为这是一次意外的想法只是一厢情愿。这是一个旨在传递政治信息的恶意软件：如果你在乌克兰做生意的话，就会有不好的事情发生。”

不过，几乎每个研究过NotPetya的人都同意一点：那就是这还会发生或者甚至以更大规模出现。全球企业的连接实在是太盘根错节了，信息安全太错综复杂，攻击面太广了，所以难以抵挡国家训练的黑客打算要释放的下一个动摇世界的蠕虫。与此同时，在整整8个月后才姗姗来迟的美国政府制裁似乎对俄罗斯毫无影响。这种惩罚还夹杂着惩罚俄罗斯从提供2016美国大选的虚假信息到对美国电网的黑客侦查等其他信息。约翰霍普金斯大学高级国际研究学院政治学教授Thomas Rid说：“缺乏合适的回应几乎是对升级事态的一次邀请。”

但是NotPetya给人带来最持久的实际教训也许是奇怪的、异次元的网络战争战场。这是网络战令人困惑的形态：这种形态仍然有违人类直觉——偏居基辅一隅M.E.Doc的服务器内的幽灵把混乱引向了这座首都联邦机构镀金的会议室，散落到全球星星点点的港口，潜入马士基位于哥本哈根码头的宏伟总部，并且席卷全球经济。大西洋理事会网络安全专家Joshua Corman问道：“乌克兰会计软件的漏洞是怎么影响到美国疫苗的安全供应和全球货运的呢？”仿佛对导致这一因果关系的虫洞形态仍然困惑不解。“网络空间的规律完全不同于任何其他的战争领域。”

NotPetya提醒我们，在那些领域里，距离并不是屏障。野蛮人已经来到每一道门前。而那个以太的复杂网络，在经过了25年的统一和提升之后，可以在某个夏日的数小时之内让它陷入彻底崩溃。

原文链接： https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

编译组出品。编辑：郝鹏程。