起底平昌冬奥的黑客攻击:“塔”在基洛夫大街22号

2021-02-08场外懒小熊

作者 | 代倩


时针指向2018年2月9日晚7点50分,韩国东北部江原道群山之间,寒风呼啸,从平昌奥林匹克体育场射出的灯光将夜色肢解。还有10分钟,冬奥会即将拉开大幕,寒风中,人们似乎可以听到所谓的奥林匹克东亚时刻滴答作响。


素朴至极的体育场内,没有人会在意端坐在看台塑料座椅上的吴尚真(Sang-jin Oh),裹在红灰两色组委会棉服里的他,对于平昌寒冷天气早已适应,望着眼前的媒体工作区,感受着逐渐暗下来灯光,他与现场35000名观众一道开始浸入到一场奥林匹克盛典的序篇之中。47岁的吴尚真已经为平昌冬奥会工作三年,开幕一刻内心的激越不断被一丝丝的紧张冲淡,作为组委会IT运行的负责人,他要确保一万台电脑、两万部手机、6000个WI-FI路由器,以及在首尔网络中心的300台服务器稳定高效运转,这是当今奥运会的神经和血脉。


任何一个技术上的故障都会第一时刻报告给吴尚真,半小时前的那次故障报告被他认定为波涛万顷大海中的一个小漩涡而已,运维公司可以搞定的。19点59分50秒,全场倒计时开始了,黑暗中英语和韩语交杂在一起,喊出一个个数字。


就在这个韩国人苦等多年的瞬间行至不过半程,吴尚真的手机颤抖了一下,闪亮的屏幕上蹦出一条信息——一个不明的力量正在关闭首尔控制中心的域控制器。支撑冬奥会网络运行的大本营正在遭受攻击,半小时前的那个小漩涡如今已是惊涛骇浪,此时第一波烟花已然升腾,表演者正在潮水般入场。


吴尚真从椅子上蹦跳起来,他要飞奔回技术中心,那是他的战场。冲出体育场的路上,他听到记者们在抱怨WI-FI信号没有了,场内数千台互联网电视机黑屏了,安检门失效了,另外12个冬奥会设施开始瘫痪,冬奥会官方客户端以及购票系统彻底打不开了。


1.jpg


文字记录显示,从2015年开始,平昌冬奥会组委会网络安全部门曾召开20多次会议,专门商讨如何防范网络攻击,如何在火灾、地震和战争等极端情况下确保网络神经依旧正常运行。


令人不寒而栗的的一幕还是来了,就在开幕的一瞬间。赶往技术中心的途中,吴尚真启动了应急预案,安检门绝不能失效,开幕式运行的网络支撑勉力支撑。到达网络中心,最坏的消息终于来了,远在首尔的九部域控制器全部瘫痪,一个个预案被启动,至少要确保开幕式平稳。控制器一次次接近修复的边缘,但植入其间的控制病毒顽固至极。


袭击并未能伤及开幕式,到凌晨5点,韩国国家网络安全部门采取措施,总算抵御住了这一波不知源头的攻击,数千台电脑、服务器和控制器被病毒俘获,致命的文件叫winlogon.exe。天亮之后,冬奥会第一天比赛如期举行,人们并不知道前一天夜里的那场生死战。


国际奥委会仅是用简短的文字描述了开幕日网络运行的不正常,此后接连两天,还有攻击袭来,组委会保持缄默,谁是罕见针对奥运会进行网络攻击的背后力量?黑客世界中并没有统一的答案。到底是谁悍然发起了这场网络战争?是个人还是国家?


开幕式后三天,思科公司声称针对韩国方面上传的相关恶意病毒软件进行了分析,将其命名为“奥林匹克破坏者”,并高度怀疑攻击者为NotPetya和Bad Rabbit两个著名黑客。在侦破网络战争源头中,有一个不成文的约定,尽可能仅是提及攻击方的名字,而避免与国家关联,但是看到这两个名字,内行人都知道,他们来自俄罗斯。


另一家网络安全机构CrowdStrike也发现,攻击者使用了具有俄罗斯技术特征的勒索软件,导致电脑恶意关闭后无法顺利开机。更进一步深入研究者则指出,攻击者使用的代码删除技术看起来非常像朝鲜的网络部队Lazarus所为,而盗取密码的工具又诡异地将攻击者来源指向另一大国。到底谁是“奥林匹克破坏者”?


2014年,朝鲜网络攻击者成功侵入索尼公司,为了一部“不适于上映的电影”;2016年,俄罗斯网络力量被指控盗取美国民主党大量邮件和文件,恶意操控了美国大选走向;针对乌克兰的网络战争,俄罗斯是赢家,世人皆知。


平昌冬奥组委很久之后才披露,远在法国的国际奥委会IT服务赞助商源讯公司的技术系统也同步遭受了攻击,无疑那里是冬奥会网络信息运行的另外一条命脉支撑。未见硝烟的袭击战处处留痕,执着者不愿轻信眼前的种种猜测。


2.jpg

▲平昌冬奥会,中国代表团入场。


总部设在莫斯科的一家中国人并不陌生的网络安全公司中,有一位名叫索门克夫的年轻人孤独地在办公室里探寻着,他的结论是,攻击者使用了技术障眼法,在诸多痕迹上标注了“错误的旗帜”,也就是使用或模仿其他国家的网络技术,意图栽赃。这家公司坚持网络世界法则,不论国家,只提个体,索门克夫不愿再做探寻,“破坏者的归属是一个棘手的游戏。”


28岁的迈克尔·马托尼斯与索门克夫一样,都有些孤独,他隐居在华盛顿国会山咫尺之遥的一所地下室中,虽然早已不是当年恣肆飞扬的无政府主义朋克乐队主唱了,但身心始终不愿丝毫受束缚,供职于网络安全公司,却不愿守在那三尺办公桌前,隐于闹市,静悄悄地开始与“奥林匹克破坏者”为敌了。细细梳理手中资料,查寻破坏者留下的“网络指纹”,马托尼斯发现早在2017年11月,冬奥会开幕前两个月,破坏者就已经向大量奥林匹克大家庭成员发送电子邮件,文件伪装得毫无危险性,可是一旦打开那些文件,可怕的恶意软件便会随即入侵系统,找寻关键密码,进而打入奥运会网络操作系统。


路径找到了,随后就是要找出谁是破坏者。初期,马托尼斯非常失望,在病毒和恶意软件库中,并不能马上比对出过往存留的恶意行为痕迹,侦破似乎走到了死路之上。沉住气,马托尼斯终于从一个细小的技术细节找到了突破口,破坏者的技术手法与当年俄罗斯黑客攻击乌克兰LGBT权益组织时几乎完全一致,这便是“网络指纹”。


俄罗斯针对乌克兰的网络战据说造成对方至少100亿美元的损失,手法凶狠。在地下室中,29页的报告产生了,马托尼斯将破坏者的目标锁定为俄罗斯军方支持的网络机构GRU,7445部队负责实施,指挥者名叫科瓦列夫。这个神秘的机构位于莫斯科郊外一座小城,门牌号是基列夫大街22号,一座20层的普通建筑,别称“塔”,戒备森严。


很快,马托尼斯的成果引起了FBI的高度重视,探员不断到访地下室。去年,追寻破坏者的故事有些见诸于《连线》杂志,但未曾引发太大波澜。10月20日,美国大选临近之时,FBI突然发声,通缉六位GRU所属的网络攻击者,罪名之一便是通过网络战争蓄意破坏平昌冬奥会。


同时,英国情报部门宣布,他们已经掌握了俄罗斯方面计划网络袭击东京奥运会的证据。至于俄罗斯方面的动机,普遍认为是俄罗斯连续因为兴奋剂事件被剥夺以国家名义参加世界大赛,蓄意进行报复。俄罗斯政府方面予以否认,克林姆林宫发言人则指责这是“恐俄症”的病态表现。


延展阅读:


宿醉:平昌的“后奥运时代”,一地鸡毛


声明:文中观点仅代表作者本人观点,不代表懒熊体育。


中国职业足球的冬天,我在一万公里外的非锦赛看到了什么 | 非洲专栏

评论

还可以输入500个字符

评论

登录后参与评论

全部评论(0

扫描二维码分享到微信
确 认
扫码关注懒熊体育