史上最具欺骗性的黑客攻击——平昌冬奥会网络危机背后的故事

知远战略与防务研究所 善若水/编译

【知远导读】本文编译自2019年10月17日《连线》杂志官方网站文章《2018年奥运会网络攻击事件背后的故事：史上最具欺骗性的黑客攻击》。2018年韩国平昌冬季奥运会遭到了不明黑客攻击，导致奥运会的网络设备和应用程序无法使用，虽然经过工程师的不懈努力最终恢复了使用，但攻击的复杂程度超过了过去以往的任何一次攻击，使得网络工程师的归因工作变得极端复杂。虽然通过分析和研究，最终确定了攻击与俄罗斯有关，并且这次攻击活动与2016年美国大选和入侵乌克兰基础设施也有联系，但半数美国人仍然拒绝相信是俄罗斯所为。最后，文章的作者认为：他们不仅在升级肆意破坏行为，而且在升级欺骗手段。多年来，他们已经跨越了一条又一条的红线，因此他们的下一步行动是不可能预测的。

文章全篇约1.6万字，篇幅所限，推送部分为节选。

2018年2月9日晚上8点左右，韩国东北部的高山上，宋真奥（Sang-jin Oh）正坐在平昌庞大的五边形奥运体育场内，尽管气温接近冰点，但灰红相间的奥运夹克让他感到温暖。他的座位在新闻区后面，可以清楚地看到他面前几百英尺外高高的圆形舞台。2018年冬季奥运会开幕式即将开始。

随着灯光逐渐暗淡，期待的情绪在现场3.5万名观众之中开始蔓延，他们手机屏幕的光芒像萤火虫一样在体育场周围飘浮着。没有人比宋真奥更能真切地感受到这种期待。这位47岁的公务员在过去三年多的时间里一直是平昌奥组委的技术总监。他负责为奥运会搭建信息技术基础设施，其中包括超过1万台个人电脑、超过2万台移动设备、6300个Wi-Fi路由器和位于首尔的两个数据中心在内的300台服务器。

还有10秒就是晚上8点整，投影灯在舞台周围投射出数字，一个接一个地出现，人们开始用韩语倒计时，迎接活动的开始：

“10！……9！……8！……7！”

在倒计时进行到一半时，宋真奥的手机突然亮了起来。他低头一看，是来自下属的一条短信息。这条消息让宋真奥大惊：首尔数据中心的每个域控制器都在关闭，而这些服务器是奥运会信息技术基础设施的支柱！

随着开幕式的开始，体育场周围数千发烟花按时燃放，数十个巨型木偶和韩国舞者也登上了舞台。宋真奥对此视而不见，他正疯狂地给员工发短信，他们正目睹整个信息技术系统的突然失灵。他很快意识到，合作伙伴报告的问题并非仅仅是一个故障，这是一场正在展开的黑客攻击的初始迹象，他需要立刻赶往技术运营中心。

宋真奥离开新闻发布区走向出口时，周围的记者已经开始抱怨Wi-Fi似乎突然停止工作了。体育场以及另外12个奥运场馆内数千台与互联网相连的电视突然黑屏了。进入每个奥运场馆的所有基于射频识别的安检门都无法正常工作。奥运会官方应用，包括其数字票务功能，也出现了问题，当它向后端服务器寻求数据时，后者却突然无法提供任何数据。

平昌组委会已经为此做好了准备：自2015年以来，其网络安全顾问小组已召开了20次会议。他们早在前一年的夏天就进行了演习，模拟灾难，比如网络攻击、火灾和地震等。但现在，其中一个噩梦般的场景正在现实中上演。

途中，宋真奥给体育馆的工作人员打电话，告诉他们开始向记者分发Wi-Fi热点，并告诉保安手动检查证件，因为所有射频识别系统都已瘫痪。但这还只是小问题，宋真奥知道，再过不到两个小时，开幕式就将结束，数万名运动员、来访的贵宾和观众将发现他们无法连接Wi-Fi，也无法使用包含赛程、酒店信息和地图等内容的奥运会应用程序，结果将是一场令人尴尬的混乱。如果他们无法在第二天早上恢复服务器，那么负责从餐饮到酒店预订再到赛事票务一切事宜的组委会，其整个信息技术后端将在实际比赛开始时仍处于离线状态。一场从未在世界上最具联通性的国家发生的技术灾难即将上演。

宋真奥抵达技术运营中心时，奥运会工作人员的所有域控制器（9个）都莫名其妙地瘫痪了，这些强大的机器负责管理哪些员工可以访问网络中的哪些计算机。工作人员决定采取临时变通措施：他们将能够提供一些基本服务（如Wi-Fi和互联网电视）的剩余服务器设置为绕过那些已经无法工作的控制器。通过这种方式，他们在仪式结束前几分钟成功地使最基本的系统恢复了运行。

在接下来的两个小时里，当工程师们试图重建域控制器以重新创建一个更稳定安全的网络时，他们一次又一次地发现服务器已被破坏。他们的系统中仍然隐藏着某种恶意存在，并且其破坏机器的速度比机器重建的速度还要快。

午夜前几分钟，宋真奥和他的管理人员无奈地决定采取一个绝望的措施：他们将切断整个网络与互联网的连接，试图将网络与他们认为仍然潜伏在内部的破坏者隔离开来。这意味着要关闭所有服务，甚至包括奥运会的公共网站，以便在找出破坏他们机器的恶意软件感染源的过程中确保网络的安全。

接下来的整个晚上，宋真奥和他的团队都在疯狂地重建奥运会的数字神经系统。到凌晨5点，一家韩国安全承包商AhnLab成功地创建了一个反病毒签名，可以帮助宋真奥的团队为网络上数千台PC和服务器接种疫苗，以对抗感染它们的神秘恶意软件。宋真奥说，这种恶意文件被简单地命名为winlogon.exe。

早上6点半，奥运会的管理人员重置了工作人员的密码，希望能够阻止黑客可能窃取的任何访问途径。就在那天早上7点59分，距离网络攻击开始正好整整12小时之后，技术团队完成了从备份中恢复服务器的工作，并开始重启每一个服务。

幸运的是，这一天的滑冰和滑雪跳台比赛几乎没有出现任何问题，只有几处Wi-Fi信号中断。机器人在奥运场馆里忙碌着，扫地、送水瓶、播报天气预报。《波士顿环球报》的一位记者后来称这些比赛“组织得无可挑剔”。成千上万的运动员和数百万的观众都毫不知情，奥林匹克运动会的工作人员在第一个晚上正与一个看不见的敌人作战，这个敌人差点让整个赛事陷入混乱。

袭击发生后数小时内，有关奥运会网站、Wi-Fi和应用程序出现故障的谣言开始在网络安全界流传。开幕式两天后，平昌组委会确认确实遭到了网络攻击。但该组织拒绝透露是谁发动了此次攻击。负责该委员会应对工作的宋真奥，拒绝与《连线》讨论任何可能的攻击来源。

这起事件立即成为一场国际谜案：谁胆敢攻击奥运会？平昌的网络攻击最终将成为历史上最狡猾的黑客攻击行动之一，它利用了前所未见的先进的手段来迷惑分析人员。

自互联网诞生之初起，证明攻击来源（即所谓的“归因问题”）的难度就一直困扰着网络安全。高级黑客可以将他们的连接通过迂回的代理和死胡同进行路由，因此几乎不可能追踪他们的行踪。然而，分析人员已经学会了通过其他方式来确定黑客的身份，即，将代码、基础设施连接和政治动机等线索联系起来。

在过去的几年里，由国家资助的网络间谍和破坏者越来越多地尝试另一种诡计：植入虚假旗号。这些不断演变的欺骗行为旨在迷惑安全分析师和公众，从而引发了关于黑客身份的虚假叙事。另外，即便政府宣布其情报机构的官方调查结果后，这些虚假叙事也很难消除。更糟糕的是，这些官方调查结果通常要在数周或数月后才公布，最有说服力的证据也被删减了，以保护机密的调查手段和信息来源。

例如，2014年，当朝鲜黑客入侵索尼影业，以阻止一部关于暗杀其领导人的喜剧《采访》上映时，他们成立了一个名为“和平卫士”的黑客行动主义组织，并试图以模糊的“金钱赔偿”要求甩掉调查人员。即使在联邦调查局正式将朝鲜列为罪魁祸首，白宫对朝鲜实施新的制裁作为惩罚之后，几家安全公司仍然认为这次攻击一定是内部作案，包括《连线》在内的许多新闻媒体都报道了这一故事。

2016年，当国家支持的俄罗斯黑客窃取并泄露了民主党全国委员会和希拉里·克林顿竞选团队的电子邮件时，我们现在知道克里姆林宫同样制造了转移注意力的故事。它发明了一个名叫Guccifer 2.0的罗马尼亚黑客来为黑客行为负责，还散布谣言称一名被谋杀的民主党全国委员会（DNC）工作人员赛斯·里奇泄露了该组织内部的电子邮件，并通过一个名为DCLeaks的虚假举报网站分发了许多被盗文件。这些欺骗变成了阴谋论，并被右翼评论员和当时的总统候选人唐纳德·特朗普所煽动。

这些欺骗产生了一种自我强化的不信任螺旋：怀疑者甚至对克里姆林宫有罪的明显线索也持否定态度，比如泄露文件中的俄语格式错误，他们认为这些线索是栽赃的证据。即使四个月后美国情报机构发表联合声明，指认俄罗斯为幕后黑手，也无法动摇那些持怀疑态度者的信念。这种观点至今仍存在：今年早些时候，《经济学人》舆论调查显示，只有约一半的美国人表示相信俄罗斯干预了大选。

随着恶意软件袭击平昌奥运会，数字欺骗的最新技术取得了几次进化飞跃。调查人员在其代码中不仅会发现一个虚假的标志，还会发现指向多个潜在罪犯的多层虚假线索。其中一些线索隐藏得比任何网络安全分析师以前见过的都要深。

从一开始，破坏奥运会背后的地缘政治动机就远未明朗。当然，任何针对韩国的网络攻击嫌疑人一般都是朝鲜。多年来，这个隐士王国一直在用军事挑衅和低级网络战争折磨其资本主义邻国。在奥运会开幕前，网络安全公司McAfee的分析师曾警告称，会说韩语的黑客向平昌奥运会组织者发送了钓鱼邮件和看似间谍软件的恶意软件。当时，McAfee分析师在与笔者的电话中暗示，朝鲜可能是间谍计划的幕后黑手。

但公众舞台上出现了相互矛盾的信号。随着奥运会的开始，朝鲜似乎正在尝试一种更友好的地缘政治方法。金正恩派遣他的妹妹作为外交特使参加奥运会，并邀请时任韩国总统文在寅访问朝鲜首都平壤。两国甚至采取了令人惊讶的举措，将奥运会女子曲棍球队合并，以示友谊。所以朝鲜怎会在魅力攻势中发动破坏性的网络攻击？

然后是俄罗斯。克里姆林宫袭击平昌有自己的动机。在2018年奥运会之前，对俄罗斯运动员使用兴奋剂的调查导致了一个令人羞辱的结果：俄罗斯被禁止参赛。俄罗斯运动员可以参加比赛，但他们不得代表国家佩戴俄罗斯国旗或接受奖牌。在做出这一判决之前的几年里，一个名为Fancy Bear的国家资助的俄罗斯黑客团队一直在报复、窃取和泄露与奥运会有关目标的数据。正是俄罗斯被禁赛这一举动，可能会促使克里姆林宫对平昌奥运会开幕式发动一场破坏性的恶意软件攻击。

然而，如果俄罗斯试图通过攻击奥运会服务器来传递信息，那也很难说是直接的。在开幕式前数日，俄方已提前否认任何针对奥运会的黑客攻击行为。俄罗斯外交部曾对路透社表示：“我们知道，西方媒体正计划以‘俄罗斯指纹’为主题，对与韩国主办冬季奥运会有关的信息资源进行伪造调查”。“当然，不会向世界提供任何证据。”

开幕式三天后，思科Talos安全部门透露，他们获得了一份针对奥运会的恶意软件的副本并对其进行了剖析。奥运会组委会或韩国安全公司AhnLab的某个人将代码上传到了VirusTotal——网络安全分析师使用的恶意软件样本通用数据库，思科的逆向工程师在那里发现了它。该公司在一篇博客文章中发表了调查结果，并将该恶意软件命名为“奥林匹克破坏者”（Olympic Destroyer）。

总体而言，思科对“奥林匹克破坏者”解剖结构的描述让人想起了俄罗斯之前的两次网络攻击：NotPetya（是源自类似Petya的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码——译者注）和BadRabbit（会以感染的设备为跳板，攻击局域网内的其他电脑——译者注）。与之前的攻击一样，“奥林匹克破坏者”使用了密码窃取工具，然后将这些被盗密码与Windows中的远程访问功能相结合，使其能够在网络上的计算机之间进行传播。最后，它使用数据破坏组件删除受感染计算机的启动配置，然后禁用所有Windows服务并关闭计算机，使其无法重新启动。安全公司CrowdStrike的分析师们还发现了其他明显的俄罗斯“痕迹”，其中包括与一种名为XData的俄罗斯勒索软件相似的元素。

然而，“奥林匹克破坏者”和之前的NotPetya或Bad Rabbit蠕虫之间似乎没有明确的代码匹配。虽然它包含类似的功能，但它们显然是从头开始重新创建或从其他地方复制的。

分析师挖掘得越深，线索就越陌生。“奥林匹克破坏者”的数据擦除部分与一个数据删除代码样本具有相同的特征，该代码样本不是由俄罗斯使用的，而是由朝鲜黑客组织Lazarus使用的。当思科的研究人员将数据擦除组件的逻辑结构并排放置时，它们似乎大致匹配。两者都使用相同的独特技巧销毁了文件，只删除了前4096个字节。那么，朝鲜是这次袭击的幕后黑手吗？

还有更多的路标指向完全不同的方向。安全公司Intezer指出，“奥林匹克破坏者”中的大部分密码窃取代码与一个名为APT3的黑客组织所使用的工具完全匹配，多家网络安全公司已将该组织与中国联系起来。该公司还将“奥林匹克破坏者”用于生成加密密钥的一个组件追溯到第三个组织APT10，据报道，该组织也与中国有关。Intezer指出，据该公司的分析师所知，加密组件以前从未被任何其他黑客团队使用过。俄罗斯？朝鲜？中国？分析人员越是深入研究“奥林匹克破坏者”的代码，就越是如坠迷雾。

事实上，所有这些相互矛盾的线索似乎都不是为了让分析师得出任何一个错误的答案，而是为了得出一个错误答案的集合，从而破坏任何特定的结论。这个谜团变成了一场认识论危机，从而让研究人员怀疑自己。当时为CrowdStrike工作的安全研究员西拉斯·卡特勒说：“这是对逆向工程师的心理战。它将这些备份检查功能全部整合了进去，让你觉得“我知道这是什么”。然后，它破坏了它们。”思科研究员克雷格·威廉姆斯表示，这种自我怀疑，就像对奥运会的破坏效果一样，似乎才是恶意软件的真正目的。威廉姆斯说：“它完成了任务，并向安全界发出了一个信息——我们可以牵着你的鼻子走。”

事实证明，奥运会组委会并不是“奥林匹克破坏者”的唯一受害者。据俄罗斯安全公司卡巴斯基称，此次网络攻击还袭击了与奥运会有关的其他目标，包括支持该活动的法国信息技术服务提供商Atos和平昌的两个滑雪胜地。其中一个度假村感染严重，其自动滑雪门和滑雪缆车暂时出现了瘫痪。

在开幕式袭击事件发生后的几天里，卡巴斯基全球研究和分析团队从一个滑雪胜地获得了“奥林匹克破坏者”恶意软件的副本，并开始在上面提取指纹。但是，他们没有像思科和Intezer那样关注恶意软件的代码，他们查看了文件的“头信息”部分，这是文件元数据的一部分，其中包含有关用于编写该文件的编程工具类型的线索。将该“头信息”与卡巴斯基庞大的恶意软件样本数据库中的其他标头进行比较之后，他们发现它与朝鲜Lazarus黑客的数据擦除恶意软件的“头信息”完全匹配，思科已经指出该“头信息”与“奥林匹克破坏者”有着共同的特征。朝鲜就是罪魁祸首的理论似乎得到了证实。

但卡巴斯基实验室的一位名叫伊戈尔·苏门科夫的高级研究员决定更进一步。伊戈尔·苏门科夫是一名黑客奇才，他在十几岁时被卡巴斯基研究团队招募，他对文件的“头信息”有着独特的深入了解，他决定再次检查这个线索，并几乎确定，文件“头信息”元数据实际上并不符合“奥林匹克破坏者”代码中的其他线索。恶意软件并没有使用“头信息”所暗示的编程工具编写，因此元数据是伪造的。

这与研究人员一直关注的所有其他误导迹象都不同。“奥林匹克破坏者”中混淆视听的线索之所以令人烦恼，部分原因是无法分辨哪些是真实的，哪些是欺骗的。但现在，在围绕奥林匹克恶意软件的“假旗”的褶皱中，苏门科夫发现了一个可以证明是“假旗”的线索。现在很明显，有人试图让恶意软件看起来指向朝鲜，但失败了。经过卡巴斯基一丝不苟的三重检查，它才被发现。

几个月后，笔者在莫斯科的卡巴斯基会议室与苏门科夫会面，他用完美的英语和计算机科学教授级的清晰度解释了他是如何发现“奥林匹克破坏者”元数据深处的欺骗企图的。他认为针对奥运会的黑客攻击显然不是朝鲜干的，肯定也不是中国干的，尽管“奥林匹克破坏者”中隐藏着更透明的虚假代码，这在早期欺骗了一些研究人员。“中国的代码非常容易识别，这看起来很不一样。”苏门科夫再次指出。

最后，我提出了一个尖锐的问题：如果不是中国，也不是朝鲜，那么是谁呢？似乎那个排除过程的结论就坐在我们的会议室里，但却无法大声把它指出来。

后来，我通过我的韩国翻译收到了一封来自宋真奥的电子邮件，这位韩国官员领导了针对“奥林匹克破坏者”的反击。他重复了他一直说的话——永远不会讨论谁可能对奥运会袭击事件负责。他还指出，他和我不会再交谈了：他已经调到韩国总统办公室（青瓦台）担任职务，并且没有接受采访的授权。但在几个月前我们最后一次电话交谈中，当宋真奥回忆起开幕式和他为避免灾难而拼命工作的12个小时时，他的声音仍然充满了愤怒。

他说：“这种毫无目的的黑客攻击事件仍然让我感到愤怒。这将会给这些和平赛事留下巨大的污点。我只希望国际社会能够找到一种方法，确保此类事件不再发生。”

与此同时，被称为Sandworm的格鲁乌黑客仍然存在。“奥林匹克破坏者”表明，他们不仅在升级肆意破坏行为，而且在升级欺骗手段。多年来，他们已经跨越了一条又一条的红线，因此他们的下一步行动是不可能预测的。但当这些黑客再次发动攻击时，他们可能会以我们甚至无法认清的形式出现。