司空见惯 - 2017年的NotPetya病毒，史上破坏力最强的一次网络攻击

AUG 22, 2018 5:00 AM

这是哥本哈根一个阳光明媚的夏日午后，世界上最大的航运集团Maersk(马士基)开始失去控制。

A.P. Møller-Maersk 公司总部坐落在哥本哈根港口微风轻拂、鹅卵石铺就的海滨大道旁。大楼东北角竖立着一根悬挂丹麦国旗的船桅，六层楼高的蓝色玻璃窗向外眺望，正对着丹麦王室停放游艇的码头。在大楼的地下室，员工们可以逛逛公司的礼品店，店里摆放着马士基品牌的包和领带，甚至还有一个罕见的乐高模型，是该公司巨大的 Triple-E 型集装箱船。

这家礼品店还设有一个技术帮助中心，在收银台旁边有一张由 IT 故障排除人员值守的办公桌。2017 年 6 月 27 日下午，困惑的马士基员工开始三三两两地聚集到服务台，他们几乎都携带着笔记本电脑。机器屏幕上显示着红色和黑色字体的信息。有的写着 "repairing file system on C:"，并明确警告不要关闭计算机。还有一些更离奇，写着 "oops, your important files are encrypted"，并要求支付价值 300 美元的比特币来解密。

在街对面，一位名叫亨里克-詹森（Henrik Jensen）的 IT 管理员正在Maersk大院的另一个地方工作，那是一座华丽的白石建筑，在过去的几个世纪里曾是皇家的航海地图和海图档案馆。(Henrik Jensen 并不是他的真名。和我采访过的几乎所有Maersk员工、客户或合作伙伴一样，詹森也担心为这篇报道公开发言会有什么后果）。詹森当时正忙着为Maersk公司近 8 万名员工准备软件更新，突然他的电脑自发地重新启动了。

他小声地暗自发誓。詹森认为，这次意外重启是Maersk中央 IT 部门的一次典型的粗暴举动。Maersk的中央 IT 部门位于英国，是一个鲜有人问津的实体，负责监管这个企业帝国的大部分业务。Maersk的 8 个业务部门分布在全球 130 个国家的 574 个办事处，业务范围从港口、物流到石油钻探不等。

詹森抬起头，想问问在他那间由 IT 员工组成的开放式办公室里，是否还有其他人被如此粗暴地打断了工作。他扭头一看，房间里所有的电脑屏幕都接二连三地闪烁起来。

"我看到一波波屏幕变黑。黑，黑，黑。黑黑黑黑黑黑，"他说。詹森和他的邻居们很快发现，电脑被不可逆转地锁定了。重新启动后，它们又回到了同样的黑屏。

整个Maersk总部都开始意识到危机的严重性。半小时内，Maersk的员工就跑遍了走廊，大声呼喊同事关闭电脑或断开与Maersk网络的连接，以免被恶意软件感染。技术人员跑进会议室，在会议中途拔掉了机器的插头。很快，员工们越过被恶意软件弄得瘫痪的锁卡门，将警告传到大楼的其他区域。

切断Maersk公司整个全球网络的连接耗费了该公司 IT 员工两个多小时的慌乱时间。在这一过程结束时，所有员工都被命令关闭电脑并将其留在办公桌上。在紧急网络关闭后，每个隔间的数字电话也失去了作用。

下午 3 点左右，Maersk公司的一位高管走进詹森和十几位同事焦急等待消息的房间，让他们回家。Maersk的网络遭到严重破坏，就连 IT 人员也束手无策。公司一些比较老派的经理让他们的团队留在办公室。但许多员工在没有电脑、服务器、路由器或桌面电话的情况下完全无所事事，干脆离开了。

詹森走出大楼，走进六月末午后温暖的空气中。和绝大多数Maersk员工一样，他不知道自己何时才能重返工作岗位。雇佣他的这家海运巨头负责全球 76 个港口和近 800 艘海运船只，其中包括运载数千万吨货物的集装箱船，占全球海运能力的近五分之一，但现在却已陷入困境。

在乌克兰首都基辅时尚的 Podil 社区边缘，咖啡店和公园突然消失，取而代之的是一片灰暗的工业景观。在一座高速公路立交桥下，穿过垃圾遍布的铁轨，穿过一扇混凝土大门，一座四层楼高的 Linkos 集团总部矗立在这里，这是一家小型的乌克兰家族软件企业。

在这栋大楼的三层楼梯上，有一个服务器机房，机架上比萨盒大小的电脑通过纠缠不清的电线连接在一起，并标有手写的编号标签。平日里，这些服务器会向一款名为 M.E.Doc 的会计软件推送例行更新--错误修复、安全补丁、新功能，这款软件在乌克兰或多或少相当于 TurboTax 或 Quicken。几乎所有在乌克兰报税或做生意的人都在使用它。

但在 2017 年，这些机器曾一度成为自互联网发明以来最具破坏性的网络攻击的原点--这次攻击至少是以一个国家攻击另一个国家的形式开始的。

在过去的四年半里，乌克兰与俄罗斯陷入了一场旷日持久的不宣而战的战争，导致一万多名乌克兰人丧生，数百万人流离失所。在这场冲突中，乌克兰还成为俄罗斯网络战争战术的焦土试验场。2015 年和 2016 年，与克里姆林宫有联系的黑客 "花式熊"（Fancy Bear）正忙于入侵美国民主党全国委员会的服务器，而另一组名为 "沙虫"（Sandworm）的特工则入侵了数十个乌克兰政府组织和公司。他们侵入了从媒体到铁路公司等受害者的网络，引爆了逻辑炸弹，破坏了数 TB 的数据。这些攻击按季节进行。在这两年的冬天，破坏者们通过造成大面积停电为他们的破坏狂潮画上了句号--这是首次证实由黑客引发的停电。

但这些攻击仍不是沙虫的压轴戏。2017 年春，在 Linkos 集团无人知晓的情况下，俄罗斯军方黑客劫持了该公司的更新服务器，让他们可以通过隐藏后门进入全国乃至全球安装了 M.E.Doc 的数千台 PC。然后，在 2017 年 6 月，这些破坏者利用该后门发布了一款名为 NotPetya 的恶意软件，这是他们迄今为止最恶毒的网络武器。

黑客推送的代码经过精心打磨，可以自动、快速、无差别地传播。思科(Cisco)公司 Talos 部门外联主管克雷格-威廉姆斯（Craig Williams）说："迄今为止，这简直是我们见过的传播速度最快的恶意软件，"Talos 是最早对 NotPetya 进行逆向工程和分析的安全公司之一。"他说，"当你看到它的一瞬间，你的数据中心已经不复存在了。

NotPetya 是由两个功能强大的黑客漏洞共同推动的： 一个是名为 "永恒之蓝"（EternalBlue）的渗透工具，该工具由美国国家安全局创建，但在 2017 年早些时候该机构超机密文件的一次灾难性泄露中被泄露。EternalBlue 利用特定 Windows 协议中的一个漏洞，允许黑客在任何未打补丁的机器上远程运行自己的代码。

NotPetya 的设计者将数字骷髅密钥（digital skeleton key）与法国安全研究员本杰明-德尔皮（Benjamin Delpy）在 2011 年作为概念验证而发明的 Mimikatz 结合在一起。德尔皮最初发布 Mimikatz 是为了证明 Windows 会在计算机内存中留下用户密码。一旦黑客获得了对计算机的初始访问权限，Mimikatz 就能从内存中提取这些密码，并利用它们入侵使用相同凭证访问的其他计算机。在有多用户电脑的网络中，它甚至可以让自动攻击从一台机器跳到另一台机器。

在 NotPetya 发布之前，微软已经发布了 EternalBlue 漏洞补丁。但是，EternalBlue 和 Mimikatz 结合在一起仍是一个致命的组合。"德尔皮说："你可以感染没有打补丁的电脑，然后从这些电脑中获取密码，感染其他打了补丁的电脑。

NotPetya 的名称源于它与勒索软件 Petya 的相似之处，Petya 是一种犯罪代码，于 2016 年初出现，勒索受害者支付解锁文件的密钥。但 NotPetya 的赎金信息只是一个诡计： 该恶意软件的目标纯粹是破坏性的。它不可逆转地加密了计算机的主引导记录，这是机器的深层部分，告诉它在哪里可以找到自己的操作系统。受害者试图支付任何赎金都是徒劳的。甚至没有任何密钥可以重新排列电脑被混乱的内容。

NotPetya 的发布几乎可以被定义为一场网络战争--其爆炸性可能甚至超过了其创造者的预期。在其首次出现的几个小时内，该蠕虫病毒就从乌克兰蔓延到了世界各地的无数机器上，从宾夕法尼亚州的医院到塔斯马尼亚州的一家巧克力工厂。它使包括马士基、制药巨头默克Merck、联邦快递欧洲子公司 TNT 快递、法国建筑公司圣戈班Saint-Gobain、食品生产商蒙代尔Mondelēz以及制造商利洁时Reckitt Benckiser在内的跨国公司陷入瘫痪。每家公司都付出了九位数的代价。它甚至蔓延到俄罗斯，袭击了国家石油公司Rosneft。

据前白宫方面由国土安全顾问及汤姆-博塞特（Tom Bossert）向《WIRED》证实的评估，这次袭击造成的总损失超过 100 亿美元。博塞特和美国情报机构还在 2 月份证实，俄罗斯军方--任何针对乌克兰的网络战攻击的主要嫌疑人--对恶意代码的发射负有责任。(俄罗斯外交部拒绝回应多次置评请求）。

要想了解 NotPetya 的破坏规模，不妨看看今年 3 月导致亚特兰大市政府瘫痪的那场噩梦般但更典型的勒索软件攻击： 其损失高达 1000 万美元，仅为 NotPetya 损失的十分之一。即使是比 NotPetya 早一个月于 2017 年 5 月传播的更臭名昭著的蠕虫病毒 WannaCry，估计也花费了 40 亿至 80 亿美元。自此以后，再没有什么能与之相提并论。"博塞特说："虽然没有人员伤亡，但这相当于使用核弹取得了一个小小的战术胜利。"在世界舞台上，我们不能容忍这种不计后果的行为。

在 NotPetya 震惊世界的一年里，《WIRED》深入研究了一个企业巨头被俄罗斯蠕虫病毒击垮的经历： 马士基公司（Maersk）的恶意软件灾难独特地展示了网络战对现代世界基础设施构成的威胁。这家航运巨头的高管，就像《WIRED》接触的所有其他非乌克兰受害者一样，拒绝以任何官方身份就 NotPetya 发表评论。WIRED 的报道是根据马士基现任和前任的消息来源整理而成的，其中许多人选择了匿名。

但 "NotPetya "的故事并非真正与马士基有关，甚至与乌克兰也无关。它讲述的是一个民族国家的战争武器在一个没有国界意义的媒介中被释放的故事，在这个媒介中，附带损害以一种残酷和意想不到的逻辑传播： 在这里，针对乌克兰的攻击打击了马士基公司，而针对马士基公司的攻击同时打击了所有地方。

OLEKSII YASINSKY (亚辛斯基)原以为周二的办公室会很平静。今天是乌克兰国庆日宪法日的前一天，他的大多数同事要么在计划休假，要么已经在休假了。但亚辛斯基没有。在过去的一年里，他一直担任信息系统安全合作伙伴公司（Information Systems Security Partners）网络实验室的负责人，该公司正迅速成为乌克兰网络战受害者的首选公司。这份工作并不适合休假。事实上，自 2015 年末俄罗斯的第一次网络攻击以来，他总共只给自己放了一周假。

因此，当那天早上接到 ISSP 主管的电话，告诉他乌克兰第二大银行 Oschadbank 遭到攻击时，亚辛斯基并没有感到不安。该银行告诉 ISSP，它正面临着勒索软件感染的威胁，对于世界各地的公司来说，勒索软件感染是一个日益常见的危机，其目标是唯利是图的网络犯罪分子。但半小时后，当亚辛斯基走进 Oschadbank 位于基辅市中心办事处的 IT 部门时，他就知道这是一件新鲜事。"亚辛斯基说："员工们迷茫、困惑，处于震惊状态。银行数千台电脑中约有 90% 被锁定，显示 NotPetya 的 "修复磁盘 "信息和赎金屏幕。

Yasinsky 对银行幸存的日志进行快速检查后发现，这次攻击是一种自动蠕虫病毒，它以某种方式获取了管理员的凭据。它就像偷了典狱长钥匙的囚犯一样，在银行网络中横冲直撞。

亚辛斯基回到 ISSP 的办公室分析银行的漏洞时，开始接到乌克兰各地人们的电话和信息，告诉他其他公司和政府机构也发生了类似事件。其中一人告诉他，另一名受害者曾试图支付赎金。正如亚辛斯基所怀疑的那样，支付没有任何效果。这不是普通的勒索软件。"他说："这没有银弹，没有解药。

在千里之外的南方，ISSP 首席执行官罗曼-索洛古布正试图在土耳其南部海岸度过一个宪法日假期，准备与家人一起去海滩游玩。他的手机也开始不断接到 ISSP 客户的电话，这些客户有的正在观看 NotPetya 在他们的网络上肆虐，有的正在阅读攻击新闻并疯狂地寻求建议。

索洛古布回到酒店，在那里他花了一天的时间接听了 50 多个客户电话，一个接一个地报告他们的网络已被感染。ISSP 的安全运营中心实时监控着客户的网络，该中心警告索洛古布，NotPetya 正以惊人的速度使受害者的系统饱和：乌克兰一家大型银行的网络瘫痪只用了 45 秒。乌克兰一个主要交通枢纽的一部分在 16 秒内就被完全感染，ISSP 在那里安装了设备作为演示项目。在 2016 年大停电网络攻击之后，ISSP 一直在帮助重建能源公司 Ukrenergo 的网络，该公司也再次遭到攻击。"你还记得我们正要实施新的安全控制吗？索洛古布回忆说，一位沮丧的 Ukrenergo IT 总监在电话里问他。"嗯，太晚了"。

到了中午，ISSP 的创始人、连续创业者 Oleh Derevianko 也放弃了休假。当 NotPetya 的电话打进来时，Derevianko 正开车往北，准备去村里的房子和家人一起度假。很快，他就驶离了高速公路，在路边一家餐馆工作。到了下午早些时候，他警告每一位来电的高管毫不犹豫地拔掉网络插头，即使这意味着关闭整个公司也在所不惜。在很多情况下，他们已经等得太久了。"德雷维安科说："当你联系到他们时，基础设施已经崩溃了。

在全国范围内，NotPetya 正在生吞活剥乌克兰的计算机。仅基辅就至少有四家医院、六家电力公司、两座机场、超过 22 家乌克兰银行、零售商和运输公司的 ATM 和银行卡支付系统以及几乎所有联邦机构都受到了攻击。"乌克兰基础设施部长沃洛德梅尔-奥梅良总结道："政府死了。据 ISSP 称，至少有 300 家公司受到攻击，据一名乌克兰政府高级官员估计，该国 10% 的计算机被清除。这次攻击甚至关闭了基辅以北 60 英里处切尔诺贝利清理现场的科学家们使用的计算机。"奥梅良说，"这是对我们所有系统的大规模轰炸。

傍晚时分，当 Derevianko 从餐厅出来时，他停下来给汽车加油，发现加油站的信用卡支付系统也被 NotPetya 攻击了。由于口袋里没有现金，他盯着油表，不知道自己是否有足够的油到达村庄。在全国各地，乌克兰人都在问自己类似的问题：他们是否有足够的钱购买日用品和汽油以度过这场大灾难，他们是否能领到工资和养老金，他们的处方药是否能配齐。当晚，当外界还在争论 NotPetya 是犯罪勒索软件还是国家支持的网络战争武器时，ISSP 的员工已经开始将其称为一种新现象："大规模、协调的网络入侵"。

在这一流行病中，一个单一的感染对马士基来说尤其致命：在乌克兰黑海沿岸港口城市敖德萨的一间办公室里，马士基乌克兰业务的一名财务主管要求 IT 管理员在一台计算机上安装会计软件 M.E.Doc。这为 NotPetya 提供了唯一的立足点。

位于新泽西州伊丽莎白的航运码头是马士基公司港口运营部门 APM 码头的 76 个码头之一，它位于纽瓦克湾的一个人造半岛上，面积足足有一平方英里。数以万计堆放整齐、模块化的海运集装箱铺满了广阔的沥青路面，200 英尺高的蓝色起重机在海湾上空若隐若现。从五英里外曼哈顿下城的摩天大楼顶层望去，它们就像侏罗纪时代的腕龙聚集在一个饮水处。

在天气好的时候，大约有 3000 辆卡车到达码头，每辆卡车都被分配去装卸数万磅的货物，从尿布到鳄梨，再到拖拉机零件，应有尽有。卡车司机和乘客一样，首先要在码头的登机口办理登机手续，扫描仪会自动读取集装箱的条形码，马士基公司的登机口工作人员会通过扬声器系统与卡车司机对话。司机会收到一张打印好的通行证，上面会告诉他们在哪里停车，这样一台巨大的堆场起重机就可以把集装箱从卡车底盘拖到货场的堆垛上，然后装上集装箱船，漂洋过海，或者整个过程倒过来进行。

6 月 27 日上午，巴勃罗-费尔南德斯（Pablo Fernández）正等着几十辆卡车的货物从伊丽莎白运往中东的一个港口。费尔南德斯是一名所谓的货运代理--货主付钱给他的中间人，以确保他们的货物安全抵达地球另一端的目的地。(费尔南德斯不是他的真名）。

新泽西时间上午 9 点左右，费尔南德斯的手机开始嗡嗡作响，接连不断地接到愤怒的货主打来的尖叫电话。他们都是刚刚从卡车司机那里得知，自己的车辆被困在马士基公司伊丽莎白码头外。"人们上蹿下跳，"费尔南德斯说。"他们的集装箱无法进出大门"。

那个大门是马士基公司整个新泽西码头业务的咽喉要道，但它已经死了。登机口的工作人员都沉默不语。

很快，数百辆 18 轮卡车排成一条长龙，在码头外绵延数英里。同在新泽西州港口的另一家公司附近码头的一名员工目睹了卡车在保险杠与保险杠之间集结，远远超出了他的视线。他以前见过闸门系统瘫痪长达 15 分钟或半小时的情况。但几个小时后，马士基公司仍然没有任何消息，港务局发出警报，称该公司的伊丽莎白码头将关闭一天。"附近码头的工作人员回忆说："那时我们才开始意识到，这是一次袭击。警察开始走近驾驶室里的司机，让他们调转车头，清空大量货物。

费尔南德斯和其他无数疯狂的马士基客户面临着一系列暗淡的选择： 他们可以尝试以最后一刻的高价将珍贵的货物运上其他船只，但这往往相当于在船上待命。或者，如果他们的货物是紧张供应链的一部分，比如工厂的零部件，马士基的停运可能意味着要支付高昂的空运费，或者冒着生产流程停滞的风险，而生产流程停滞一天的成本就高达数十万美元。许多被称为冷藏箱的集装箱都是电气化的，里面装满了需要冷藏的易腐货物。它们必须在某个地方插上电源，否则里面的货物就会腐烂。

费尔南德斯在等待马士基公司的消息期间，不得不慌忙寻找一个新泽西州的仓库来存放客户的货物。他说，在整个第一天里，他只收到了一封官方电子邮件，读起来像 "胡言乱语"，发信人是一名焦头烂额的马士基员工的 Gmail 账户，对日益严重的危机没有提供任何真正的解释。公司的中央预订网站 Maerskline.com 已经瘫痪，公司里也没有人接电话。在接下来的三个月里，他当天在马士基船上发送的一些集装箱将在世界各地的货场和港口丢失。"马士基就像一个黑洞，"费尔南德斯叹息着回忆道。"简直就是一团糟。"

事实上，这是一个烂摊子中的烂摊子。从洛杉矶到西班牙阿尔赫西拉斯，到荷兰鹿特丹，再到孟买，马士基公司的 76 个码头中有 17 个出现了同样的情况。闸门关闭。起重机被冻结。数以万计的卡车将被拒之于全球各地昏迷的码头之外。

无法进行新的预订，马士基的核心航运收入来源基本上被切断。马士基公司船只上的计算机没有受到感染。但码头的软件被完全清除，这些软件的设计目的是接收来自这些船只的电子数据交换文件，这些文件会告诉码头运营商其巨大货舱的确切内容。这样一来，马士基的港口就没有了指南，无法进行装卸高耸入云的集装箱的巨大 "叠叠乐 "游戏。

在未来的日子里，支撑全球经济循环系统的世界上最复杂、最相互关联的分布式机器之一将继续损坏。"一位马士基客户回忆说："很明显，这个问题的严重程度在全球运输业中是前所未有的。"在航运 IT 史上，从未有人经历过如此巨大的危机"。

在马士基公司办公室一角的屏幕暗下来几天后，亨利克-延森（Henrik Jensen）正在哥本哈根的公寓里享用早午餐，包括水煮蛋、烤面包和橘子酱。自从周二走出办公室后，他就再也没有听到上司的任何消息。这时，他的手机响了。

当他接听时，发现自己正在与三名马士基员工进行电话会议。他们说，马士基位于英国梅登黑德的办公室需要他，梅登黑德是伦敦西部的一个小镇，马士基集团基础设施服务公司（Maersk Group Infrastructure Services）的总部就设在这里。他们让他放下手头的一切，立即前往那里。马上就去。

两小时后，詹森坐上了飞往伦敦的飞机，然后乘车前往位于梅登黑德市中心的一栋八层玻璃砖建筑。当他到达时，发现大楼的四层和五层已被改建成一个全天候的紧急运营中心。该中心的唯一目的是：在 NotPetya 灾难后重建马士基的全球网络。

詹森了解到，一些马士基员工从周二 NotPetya 第一次攻击时就一直待在恢复中心。有些人睡在办公室里、办公桌下或会议室的角落里。其他人似乎每时每刻都提着行李从世界各地赶来。马士基公司几乎包下了方圆几十英里内的所有酒店房间、所有民宿、酒吧楼上的所有空房间。员工们只能靠某人去附近的塞恩斯伯里杂货店买来堆在办公室厨房里的零食度日。

梅登黑德恢复中心由德勤咨询公司管理。马士基基本上给了这家英国公司一张空白支票，让其解决 NotPetya 的问题，在任何时候，都有多达 200 名德勤员工与多达 400 名马士基员工一起驻扎在迈登黑德办公室。马士基公司在 NotPetya 爆发前使用的所有计算机设备都被没收，因为担心这些设备会感染新的系统，而且还张贴了告示，威胁要对任何使用这些设备的人采取纪律处分。取而代之的是，员工们跑进梅登黑德的每一家电子商店，购买了成堆的新笔记本电脑和预付费 Wi-Fi 热点。詹森和其他数百名马士基公司的 IT 员工一样，得到了一台新笔记本电脑，并被告知要做好本职工作。"他说："这在很大程度上就是'找到你的角落，开始工作，做任何需要做的事情'。

在行动初期，重建马士基网络的 IT 人员意识到了一个令人作呕的问题。他们找到了几乎所有马士基公司单个服务器的备份，时间在 NotPetya 出现前的三到七天之间。但没有人能够找到公司网络中一个关键层的备份：域控制器，这些服务器是马士基网络的详细地图，并设定了决定哪些用户可以访问哪些系统的基本规则。

马士基公司的 150 多台域控制器被设定为相互同步数据，因此从理论上讲，任何一台域控制器都可以作为其他所有域控制器的备份。但这种分散备份策略没有考虑到一种情况：每个域控制器同时被清除。"如果我们不能恢复域控制器，"马士基公司的一位 IT 人员记得自己曾这样想，"我们就无法恢复任何东西"。

经过疯狂的搜索，马士基呼叫了世界各地数据中心的数百名 IT 管理员，绝望的管理员终于在加纳的一个远程办公室找到了唯一幸存的域控制器。在 NotPetya 袭击之前的某个时间点，一次停电导致加纳的这台机器脱机，这台计算机仍然与网络断开连接。因此，它包含了该公司域控制器数据的唯一已知副本，而这一切都要归功于停电。"马士基公司的一位管理员说："当我们发现它时，办公室里一片欢呼。

然而，当梅登黑德紧张的工程师建立起与加纳办公室的连接时，他们发现其带宽非常薄弱，需要几天时间才能将几百GB的域控制器备份传输到英国。他们的下一个想法是：让一名加纳员工搭乘下一班飞机前往伦敦。但西非办事处的员工都没有英国签证。

于是，梅登黑德公司安排了一场接力赛： 加纳办事处的一名员工飞往尼日利亚，与马士基公司的另一名员工在机场会合，将非常珍贵的硬盘交给对方。然后，这名员工带着马士基公司整个恢复过程的基石，登上了飞往希思罗机场的六个半小时的航班。

救援行动完成后，梅登黑德办事处就可以开始恢复马士基的核心服务。最初几天后，马士基的港口业务部门恢复了读取船舶库存文件的能力，因此操作员不再对抵达港口的 18,000 个集装箱的巨轮上的货物视而不见。但是，在最初的故障发生几天后，马士基公司才开始通过 Maerskline.com 接受新的货运订单，而全球各地的码头也要在一个多星期后才开始正常运作。

在此期间，马士基的工作人员利用一切可用的工具开展工作。他们将纸质文件粘贴在 APM 港口的集装箱上，通过个人 Gmail 账户、WhatsApp 和 Excel 电子表格接收订单。"一位马士基客户说："我可以告诉你，通过 WhatsApp 预订 500 个海运集装箱是一种相当怪异的体验，但我们就是这么做的。

攻击发生大约两周后，马士基的网络终于达到了可以开始向大多数员工重新发放个人电脑的程度。在哥本哈根总部，大楼地下室的自助餐厅变成了重新安装电脑的流水线。电脑在餐桌上一字排开，每次 20 台，服务台的工作人员走过一排排电脑，插入复制好的 USB 驱动器，点击提示，一连几个小时。

从梅登黑德回来几天后，亨里克-詹森在按字母顺序排列的数百台笔记本电脑中发现了自己的笔记本电脑，硬盘已被擦除，安装了一个干净的 Windows 映像。他和其他马士基员工在本地存储的所有东西，从笔记、联系人到家庭照片，都不见了。

在马士基公司从 NotPetya 攻击中恢复过来五个月后，马士基公司董事长吉姆-哈格曼-斯纳布（Jim Hagemann Snabe）坐在瑞士达沃斯世界经济论坛会议的舞台上，称赞公司 IT 救援行动的 "英勇努力"。他说，从 6 月 27 日凌晨 4 点他在加利福尼亚州被一个电话惊醒，当时他正计划出席斯坦福大学的一个会议，公司仅用了 10 天时间就重建了由 4000 台服务器和 45000 台个人电脑组成的整个网络。(完全恢复需要更长的时间）： 为了重建马士基的软件设置，梅登黑德公司的一些员工日以继夜地工作了近两个月）。"斯纳布告诉大家："我们用人的应变能力克服了问题。

斯纳布接着说，从那时起，马士基不仅努力提高网络安全，还将其作为一项 "竞争优势"。事实上，在 NotPetya 事件之后，IT 员工表示，他们要求的几乎所有安全功能都几乎立即得到了批准。多因素身份验证已经在全公司推广，同时还推出了拖延已久的 Windows 10 升级。

不过，Snabe 对公司在 NotPetya 袭击前的安全状况没有透露太多信息。马士基公司的安全人员告诉《WIRED》，直到攻击发生前，该公司的一些服务器仍在运行 Windows 2000 操作系统--微软已经不再支持这种老旧的操作系统。2016 年，一群 IT 高管曾推动对马士基的整个全球网络进行先发制人的安全重新设计。他们呼吁关注马士基不完善的软件补丁、过时的操作系统，以及最重要的网络分段不足。他们警告说，尤其是最后一个漏洞，可能会让进入网络一部分的恶意软件在最初立足点之外疯狂传播，就像 NotPetya 在第二年的情况一样。

安全改造已经启动，并已编入预算。但是，对于马士基公司最高级别的 IT 监管人员来说，这项工作的成功与否从未被列为所谓的关键绩效指标，因此实施这项工作不会给他们带来奖金。他们从未将安全改造进行到底。

很少有公司会因为在安全问题上的拖沓而付出更大的代价。斯纳布在达沃斯演讲中声称，在 NotPetya 病毒中断期间，由于公司迅速采取了人工变通方法，公司的总发货量只减少了 20%。但是，除了公司损失的业务和停机时间，以及重建整个网络的成本外，马士基还向许多客户补偿了重新安排航线或储存被困货物的费用。据一位马士基客户描述，他从公司收到了一张七位数的支票，用于支付通过包机发送货物的费用。"他说："他们只讨论了两分钟，就付给我一百万美元。

斯纳布在达沃斯发表的评论中估计，总的来说，NotPetya给马士基造成的损失在2.5亿到3亿美元之间。与 WIRED 交谈过的大多数员工都私下怀疑公司的会计师低估了这一数字。

无论如何，这些数字只能说明损失的严重程度。例如，那些依靠马士基所属码头为生的物流公司在停运期间并没有像马士基的客户那样受到善待。据位于纽瓦克港的卡车运输集团 "双州汽车运输公司协会"（Association of Bi-State Motor Carriers）总裁杰弗里-贝德（Jeffrey Bader）估计，仅卡车运输公司和卡车司机未报销的费用就高达数千万美元。"这是一场噩梦，"Bader 说。"我们损失了很多钱，我们很生气。

马士基对整个全球供应链的破坏所造成的更广泛的损失--全球供应链依赖于产品和制造部件的及时交付--则更难以估量。当然，马士基只是受害者之一。默克公司（Merck）因NotPetya暂时关闭了部分药品的生产，该公司告诉股东，恶意软件造成的损失高达8.7亿美元。联邦快递（FedEx）的欧洲子公司 TNT Express 在这次攻击中瘫痪，需要数月才能恢复部分数据，因此遭受了 4 亿美元的损失。法国建筑业巨头圣戈班（Saint-Gobain）的损失也差不多。杜蕾斯避孕套的英国制造商利洁时（Reckitt Benckiser）损失了 1.29 亿美元，巧克力制造商吉百利（Cadbury）的所有者蒙代尔（Mondelēz）损失了 1.88 亿美元。无数没有公开私有公司受害者秘密地计算着自己的损失。

只有当你把马士基公司的故事成倍放大--想象同样的瘫痪、同样的连续危机、同样的艰难恢复--在其他几十个 NotPetya 受害者和无数其他行业中上演时，俄罗斯网络战争犯罪的真正规模才开始凸显出来。

斯纳比在达沃斯小组讨论会上说："这是一个非常重要的警钟。“ 然后，他又轻描淡写地补充道："可以说，这是一次代价高昂的教训。”

NotPetya 爆发一周后，身着全套特警迷彩服、手持突击步枪的乌克兰警察从面包车里涌出，冲进 Linkos 集团简陋的总部，像海豹六队入侵本-拉登大院一样跑上楼梯。

据公司创始人奥莱西亚-林尼克（Olesya Linnyk）称，他们用步枪指着疑惑不解的员工，并在走廊上将他们一字排开。在二楼她办公室的旁边，装甲警察甚至用金属警棍砸开了一个房间的门，尽管林尼克提供了钥匙开锁。"林尼克深吸一口气，气愤地说："当时的情况太荒唐了。

这支军事化的警察队伍终于找到了他们要找的东西：在 NotPetya 灾难中扮演 "零号病人 "角色的服务器机架。他们没收了违规机器，并将其装入塑料袋。

时至今日，在这次灾难性攻击蔓延一年多之后，网络安全专家仍在为 NotPetya 之谜争论不休。黑客的真实意图是什么？安全公司 ISSP 的基辅员工，包括 Oleh Derevianko 和 Oleksii Yasinsky，坚持认为这次攻击的目的不仅仅是破坏，而是一次清理工作。毕竟，首先发动攻击的黑客有几个月的时间不受限制地访问受害者的网络。除了造成恐慌和混乱之外，NotPetya 还可能抹去了间谍活动的证据，甚至为未来的破坏活动进行侦察。就在今年 5 月，美国司法部和乌克兰安全部门宣布，他们挫败了俄罗斯的一次行动，这次行动利用一种新形式的破坏性恶意软件感染了 50 万台互联网路由器，其中大部分在乌克兰。

尽管安全界的许多人仍将 NotPetya 的国际受害者视为附带损害，但思科公司的克雷格-威廉姆斯（Craig Williams）认为，俄罗斯非常清楚该蠕虫会给国际社会造成多大的伤害。他认为，这种后果旨在明确惩罚任何胆敢在俄罗斯的敌人境内设立办事处的人。"任何认为这是偶然事件的人都是一厢情愿的想法，"威廉姆斯说。威廉姆斯说："这是一个恶意软件，旨在传递政治信息： 如果你在乌克兰做生意，就会有坏事发生在你身上。

然而，几乎所有研究过 NotPetya 的人都同意一点：它可能再次发生，甚至在更大范围内重演。全球企业之间的联系太紧密，信息安全太复杂，攻击面太广，根本无法抵御受过国家训练、一心想发布下一个震惊世界的蠕虫病毒的黑客。与此同时，美国政府对 NotPetya 的制裁似乎并没有让俄罗斯感到沮丧，制裁是在该蠕虫病毒发作整整 8 个月后才实施的，其惩罚措施与其他责备俄罗斯从 2016 年大选造谣到黑客入侵美国电网等一切行为的信息混为一谈。"约翰霍普金斯大学高级国际研究学院政治学教授托马斯-里德（Thomas Rid）说："缺乏适当的应对措施几乎是在邀请事态进一步升级。

但是，NotPetya 给我们带来的最持久的启示可能仅仅是网络战战场上奇特的超时空景观。这就是网络战令人困惑的地理环境：M.E.Doc 位于基辅阴暗角落的服务器机房内的幽灵，以人类直觉无法理解的方式，将混乱蔓延到首都联邦机构金碧辉煌的会议室、遍布全球的港口、哥本哈根港口上马士基公司庄严的总部以及全球经济。大西洋理事会网络安全研究员约书亚-科尔曼（Joshua Corman）问道："乌克兰会计软件的漏洞会影响美国国家安全的疫苗供应和全球航运吗？"他似乎仍在思索使这种因果关系成为可能的虫洞的形状。"网络空间的物理原理与其他战争领域完全不同"。

NotPetya 提醒我们，在这种物理学中，距离不是防御。每一个野蛮人都已经在每一个大门口。在过去的 25 年里，以太网中的纠缠网络统一并提升了世界，而在夏日的几个小时里，它就能让世界嘎然而止。

参考：

1，网络攻击NotPetya

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

2，百家号文章

百度安全验证