2016 年 8 月 13 日,一个名为 “The Shadow Brokers” 的账号在 Pastebin、GitHub 和 Tumblr 同时发出三个公告。账号头像是几张拼贴在一起的电影海报,文字用一种刻意笨拙的英语写就——故意把语法弄错、把动词形态弄错,仿佛是想伪装成“非英语母语黑客”。公告说:

“We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? We auction the best files.”

公告下面附了一份免费样本——大约 300MB 的工具包。安全研究员们打开样本后停下了手中的咖啡杯。这不是普通的恶意软件集合。这是一份真正的 NSA 内部工具包——文件名、目录结构、内部注释,都与 2015 年安全公司卡巴斯基公开报告中归因给“Equation Group”(普遍认为是 NSA 旗下 TAO 部门)的同一组织完全一致1

更让人不安的是 Shadow Brokers 接下来要做的事情。它把“最好的”工具放进一个加密压缩包,公开拍卖——出价以比特币计算,“出价最高者”将获得解密密钥,可独享 NSA 武器库的精华部分。起拍价是 100 万比特币(按当时价格约 5 亿美元)。

这个拍卖很快被业内判定为荒诞——没有任何理性买家会以这种价格、在没有任何信任机制的情况下投资。Shadow Brokers 的真实目的更可能是展示:让全世界知道这件事的存在,让 NSA 感受到压力,让公众围观一个超大型情报机构被剥光衣服的过程2

接下来 8 个月,Shadow Brokers 周期性地发布新内容。2016 年 10 月 31 日的第二批揭露了 NSA 在 49 个国家入侵过的目标服务器清单——包括中国清华大学、北京航空航天大学、巴西国家研究网络、比利时 Belgacom 电信。2017 年 1 月 12 日,它宣布“退役”,发布了一批 Windows 漏洞利用工具样本。2017 年 4 月 8 日,它“重启”,发出一份长长的公开信,对 Donald Trump 上任后对叙利亚发动的导弹打击表达不满——它的语气从纯技术变成了某种政治宣言1

到 2017 年 4 月 14 日,所有人都明白了它真正想做什么。

2017 年 4 月 14 日是耶稣受难日(Good Friday)。Shadow Brokers 在这一天放出了它最后、也是最具破坏力的一批文件,标题叫做 “Lost in Translation”。

压缩包解压后,安全社区看到了一组让他们脸色发白的工具:

  • ETERNALBLUE(CVE-2017-0144):利用 Windows SMBv1 协议漏洞,可远程执行任意代码
  • ETERNALROMANCE / ETERNALSYNERGY / ETERNALCHAMPION:同一系列的兄弟工具
  • DOUBLEPULSAR:与 EternalBlue 配套的后门植入工具
  • FUZZBUNCH:一个完整的“漏洞利用框架”,类似公开工具 Metasploit,但内置 NSA 私藏的零日
  • DANDERSPRITZ:后渗透工具,等同于商业版的 Cobalt Strike
  • EXPLODINGCAN:针对 Windows Server 2003 IIS 6.0 的漏洞
  • EWOKFRENZY / ODDJOB / DARKPULSAR:另外几个具体功能各异的工具3

这些工具的成熟度震惊了业内。它们不是“实验性”代码——是工程化的、有清晰文档、有完整使用培训材料的成品工具。FUZZBUNCH 的界面甚至比许多商业渗透测试工具更友好。NSA 的内部黑客显然把它当作日常工具使用,已经使用了很多年。

但真正让 Shadow Brokers 这次发布载入网络安全史的是 ETERNALBLUE。

ETERNALBLUE 利用的是 Windows SMB 协议中一个早已存在但未被公开的漏洞。SMB 是 Windows 用于文件共享的核心协议,被几乎所有企业网络使用。这个漏洞在 NSA 内部叫做 “EternalBlue” 已经至少五年——他们用它入侵过无数目标,从来没有告诉过微软4

NSA 自己当然知道这是一个高价值的漏洞。在内部“漏洞公平程序”(Vulnerability Equities Process, VEP)的辩论中,NSA 应该评估:是把漏洞告诉微软让他们修复,还是保留下来供自己使用?过去多年里,NSA 选择了后者。这意味着所有运行 Windows 的全球用户——包括美国政府机关、美国企业、美国医院、美国军队、美国关键基础设施——都在一个 NSA 知道但没有修复的漏洞之上工作5

直到 Shadow Brokers 出现,迫使 NSA 重新计算。

据多方报道——以及微软自己的暗示——NSA 在 Shadow Brokers 2017 年 4 月发布前,已经得知泄漏即将发生。它做了一件之前从未公开承认过的事:主动通知微软。微软在 2017 年 3 月 14 日发布了 MS17-010 补丁——正好在 Shadow Brokers 4 月公开发布前 31 天6

这次“反向通报”是 NSA 第一次(公开承认的)选择保护民用系统而非保护自己的工具。但 31 天对于全球数十亿台 Windows 设备来说远远不够。许多企业的 IT 部门来不及测试和部署补丁;许多老旧系统(如 Windows XP,微软早已停止支持)根本没有补丁可装;许多关键基础设施因为停机成本过高根本不能立即更新。

到 2017 年 5 月 12 日,全球仍有数亿台 Windows 设备的 SMBv1 漏洞未被修补。这一天,第一颗炸弹引爆了。

2017 年 5 月 12 日是星期五。英国时间下午 1 点左右,英格兰东北部一家全科诊所的护士打开她的工作电脑,准备查询当天的病人预约系统。屏幕突然变成红色,弹出一个对话框:

“Ooops, your files have been encrypted! … Send $300 worth of bitcoin to this address.”

她以为是个人电脑中了恶意软件,去找同事。同事的电脑半小时前也出现了同样的画面。再去找 IT 管理员,整个诊所网络已经瘫痪。再过一小时,整个 NHS 信托的内部系统开始连锁倒塌——病人记录无法访问、化验结果调不出来、手术室排程系统崩溃、急诊调度无法工作7

48 小时内,WannaCry 蠕虫席卷了 150 多个国家、20 万台以上设备。

它的传播方式让所有人措手不及。它不需要用户点击邮件附件,不需要钓鱼链接,不需要任何人为操作。它使用 ETERNALBLUE 直接通过 SMB 端口扫描其他机器,发现漏洞后用 DOUBLEPULSAR 植入后门,然后自我复制。一台中毒电脑接入企业网络后,几分钟内整个网络就会沦陷。

主要受害方覆盖了几乎所有想象得到的行业:

国家/机构影响
英国 NHS急诊调度瘫痪 1 周,60+ 信托受影响,1.9 万次预约取消,估损 9200 万英镑
德国 Deutsche Bahn车站信息显示屏全部被加密
西班牙 Telefónica总部 office IT 中断
法国 Renault多家工厂停产
日本 Honda狭山工厂停产
美国 FedEx多国分公司中断
俄罗斯内务部1000+ 电脑感染
中国大学校园网、加油站、医院、电子政务系统大范围感染;多个高校研究生在毕业季论文被加密
中国铁路多个车站系统中断
印度尼西亚两家公立医院中断7

英国 NHS 的瘫痪让 WannaCry 从一个“网络安全事件”升级为“公共安全危机”。急诊室无法分诊;救护车被分流到未感染医院;非急症手术被取消。后来英国国家审计署的报告承认:如果 NHS 早些部署 MS17-010 补丁,或者早些淘汰 Windows XP,整个事件本不会发生7

WannaCry 最终被一个 22 岁的英国安全研究员意外阻止了。

Marcus Hutchins,网名 @MalwareTechBlog,那天下午在他家厨房用笔记本电脑分析新出现的勒索软件样本。他在反编译中注意到,WannaCry 在加密用户文件前,会先尝试访问一个长长的域名:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。这看起来像随机字符——一种典型的“反沙盒”机制:如果这个不存在的域名突然变成“存在”,意味着病毒可能在分析师的虚拟环境里被监控,于是病毒会停止行动。

Hutchins 做了一件可能是网络安全史上回报率最高的小事:他花 10.69 美元注册了这个域名8

WannaCry 设计者本来要让这个域名成为病毒的“撤退信号”——一种自毁开关,让分析人员不容易抓住完整样本。但他显然没有想到会有人真的注册这个域名。一旦域名被注册并能解析,WannaCry 的传播逻辑就会反向触发自我停止。

Hutchins 自己也没有完全意识到他刚做了什么。他注册了域名,做了一些 DNS 配置让它能正常响应,然后回去继续分析样本。几个小时后,他在 Twitter 上看到全球感染率突然停滞,才意识到发生了什么。

这是 WannaCry 这次攻击的戏剧性收尾——也是不那么戏剧的尾声。后来全球估损达到 40 亿美元(部分估计达 80 亿),但实际收到赎金的金额很少:追踪到的比特币赎金总额约 14 万美元。WannaCry 的“创收”完全失败7

Hutchins 的个人结局也颇有讽刺意味。2017 年 8 月,他飞美国参加 Black Hat 安全会议,在拉斯维加斯机场被 FBI 逮捕——指控与 WannaCry 无关,是 2014 年他被指控参与制作 Kronos 银行木马。他最终认罪,服了相对较短的刑期。从此 Hutchins 从“拯救世界的英雄”变成了“被美国司法系统证明也是黑色阶段过的人”——他自己后来在 Wired 的采访中说,他的过去与他后来做的事并不矛盾:“信息安全本来就是一个从灰色到白色的迁徙过程。”

2017 年 12 月,美国与英国官方正式归因 WannaCry 的开发者:朝鲜 Lazarus Group

Lazarus 是朝鲜军方的一个网络部门,已经在国际安全界活动多年。2014 年它攻击 Sony Pictures(因为后者准备发行嘲讽金正恩的电影《刺杀金正恩》)。2016 年它从孟加拉国央行偷走 8100 万美元——这个数字本来应该是 10 亿美元,因为输入支付指令时拼写错误了一个单词,触发了反洗钱系统的人工审查,才阻止了大部分转账9

WannaCry 的代码与 Lazarus 此前几次攻击的代码有明显相似性。2018 年 9 月,美国司法部正式起诉朝鲜程序员 Park Jin Hyok——一名隶属于 Chosun Expo 公司的工程师,该公司被认定为 Lazarus 在中国大连的前台9

但 WannaCry 的故事不只是“朝鲜攻击世界”。它真正的故事是朝鲜用 NSA 的工具攻击世界

ETERNALBLUE 是 NSA 的代码。它原本被设计用于美国的国家安全目标。它在 NSA 内部被使用了至少五年——攻击中国军方、伊朗核计划、俄罗斯外交部。然后它从 NSA 流失,落入 Shadow Brokers 之手,又从 Shadow Brokers 公开发布,落入朝鲜 Lazarus 之手。朝鲜——一个无核三方都极少能直接对话的国家,一个全球最孤立的政权——突然拥有了一件原本只有 NSA 才能造的武器。

这就是 Bruce Schneier 多年警告的“网络武器扩散问题”的实证案例:国家级网络武器与传统武器最大的不同是,它一旦流出,复制成本接近于零。一颗洲际导弹被偷走,敌国不能复制——他们没有制导芯片、没有发射井、没有燃料。一段恶意代码被偷走,任何有 Visual Studio 的人都能重新部署。

微软总裁 Brad Smith 在 2017 年 5 月 14 日——WannaCry 爆发后第二天——发表了一篇博客,标题叫 “The need for urgent collective action to keep people safe online”。文中他用了一个让 NSA 内部不太开心的比喻:

“这次攻击给世界提出了又一个例子,说明为什么政府囤积漏洞是一个如此巨大的问题。这种情况是 2017 年开始出现的新模式。这相当于美军 Tomahawk 导弹被偷走。”10

Brad Smith 接着提出了一个他后来反复呼吁的概念:Digital Geneva Convention——数字日内瓦公约。他主张各国政府应该承诺不在网络战中针对民用基础设施,并承诺主动报告而非囤积民用系统的漏洞。这个提议在过去几年里在多个论坛被讨论,但至今没有任何具体的国际条约成型。

WannaCry 的影响还在被消化时,第二颗炸弹引爆了。距 WannaCry 仅 46 天。

2017 年 6 月 27 日,乌克兰国庆日前一天——这个日期不是巧合。许多乌克兰人都在为节日做准备。早上 11 点左右(基辅时间),乌克兰各地的政府机构、银行、媒体、能源公司、机场、地铁的电脑屏幕几乎同时变红。又是勒索画面,又是 300 美元比特币赎金。

但这次不一样。

最先察觉不对的是几位西方安全研究员。他们看到样本后发现,这个“勒索软件”用的 RSA 公钥加密机制有问题——加密文件后生成的“安装 ID”是随机数,没有任何方式映射回用于解密的私钥。换句话说:即使付了赎金,攻击者也没办法解密。这不是勒索软件,这是伪装成勒索软件的破坏型武器11

业内很快把它命名为 NotPetya(“不是 Petya”——因为它表面像 2016 年的 Petya 勒索软件家族)。一些研究者也称之为 ExPetr。但所有人都同意:它的真实目的不是赚钱,是摧毁

NotPetya 的攻击载体是一次乌克兰特定的供应链攻击。它通过 M.E.Doc 入侵——这是一款乌克兰本土的财税申报软件,几乎所有在乌克兰开展业务的公司都必须安装。攻击者长期渗透 M.E.Doc 的开发服务器,植入了一个恶意更新。当 M.E.Doc 用户在 6 月 27 日例行接收软件更新时,NotPetya 就被悄无声息地推送到他们的电脑12

进入一台机器后,NotPetya 用三种横向移动方式扩散:

  • ETERNALBLUE / ETERNALROMANCE:与 WannaCry 同源,扫描 SMB 漏洞
  • Mimikatz:从内存中抓取域管理员凭证
  • PsExec / WMI:使用合法的 Windows 管理工具横向部署

这种“漏洞利用 + 凭证盗窃 + 合法工具滥用”的三件套,让 NotPetya 的传播速度达到前所未有的程度。一旦一台带有域管理员凭证的机器被感染,整个 Windows 域可以在 5-10 分钟内完全沦陷12

最戏剧的受害者是 Maersk——全球最大的集装箱航运公司。

Maersk 在 2017 年掌控全球约 18% 的集装箱海运能力。它的乌克兰子公司是其欧洲业务的一部分,安装了 M.E.Doc。6 月 27 日上午 11 点过几分,Maersk 乌克兰办公室的财务部门启动了一次例行 M.E.Doc 更新。

7 分钟后,整个 Maersk 全球 IT 系统倒塌13

具体地说:45,000 台工作站、4,000 台服务器,全部被加密。Maersk 全球 76 个港口的运营立即停摆——船无法装卸,集装箱无法跟踪,码头工人无法接受指令。哥本哈根总部的 IT 主管 Adam Banks 后来在采访中说:他走进数据中心,看到屏幕一面接一面地变成红色,“像看到一栋楼在你眼前倒塌”。

Maersk 立刻进入危机模式。CEO Søren Skou 在事发当晚做出决定:所有受感染设备完全重装。这意味着公司必须从头重建整个 IT 基础设施——但有一个根本性问题:Active Directory 没了。AD 是 Windows 域的中枢,存储所有用户账号、权限、网络结构。重建 AD 需要一份原始的备份种子。Maersk 全球所有 AD 备份都被加密——除了一份。

加纳一家分公司的服务器,在攻击发生前一天因为当地电力问题关机了。它没有联网,没有接收到 NotPetya。它上面有一份完整的 AD 备份。

Maersk 包了一架商务飞机,把那台服务器的硬盘从加纳飞到伦敦。这块硬盘成了整个公司全球 IT 重建的唯一种子。200 名 Maersk 员工与 400 名 Deloitte 顾问,24×7 连续工作 10 天,重建了一整个跨国公司的 IT 系统。直接损失估算:2.5-3 亿美元13

Maersk CEO Søren Skou 后来在 2018 年达沃斯论坛上公开复盘了整个事件——这种透明度在大公司危机管理中极不寻常。他的目的是让其他企业引以为戒。

NotPetya 的总账单远不止 Maersk 一家。最终全球受害企业损失估算如下:

公司损失估算
Maersk2.5-3 亿美元
Merck(美国制药)8.7 亿美元
FedEx / TNT Express4 亿美元
Saint-Gobain(法国建材)3.84 亿美元
Mondelez(奥利奥饼干母公司)1 亿美元
Reckitt Benckiser1.3 亿美元
Beiersdorf(妮维雅)4100 万美元14

白宫估算:全球总损失超过 100 亿美元——史上最贵的单次网络攻击。

NotPetya 的归因比 WannaCry 快得多。2018 年 2 月,美、英、加、澳、丹麦、爱沙尼亚、立陶宛、新西兰、挪威九国联合公开归因:俄罗斯军事情报局(GRU)

具体到 GRU 的一个特定单位:Unit 74455——在西方情报界内部称为 “Sandworm Team”。这是一个早已被多家安全公司追踪的组织,与 2015 与 2016 年乌克兰电网攻击、2018 平昌冬奥会 “Olympic Destroyer” 攻击、2017 年法国选举期间的 Macron Leaks 都有关联15

2020 年 10 月,美国司法部公开起诉 6 名 GRU Unit 74455 成员,详细列出他们 NotPetya 攻击中的具体角色——从基础设施搭建到代码开发到投递执行。当然,这些起诉书在俄罗斯境内不会被执行;但它们的意义在于公开归因的法律份量

NotPetya 设计的初衷可能就是攻击乌克兰——这是俄乌在乌克兰东部冲突的延伸。但 NotPetya 的破坏机制设计成“无差别扩散”,这意味着任何与乌克兰有数字接触的跨国公司都会同时中毒。Maersk 因为乌克兰子公司用 M.E.Doc 而中招,整个全球公司倒塌——这是俄罗斯计划之中还是计划之外,至今没有结论。多位安全研究员认为这是设计中的“附带损害”——莫斯科知道会发生,并不在乎12

NotPetya 还引出了一个完全没人预想到的法律问题:保险

Mondelez(奥利奥饼干的母公司)在 NotPetya 中损失约 1 亿美元,包括 1700 台服务器、24,000 台笔记本电脑、与销售平台的连接断裂。Mondelez 向保险商 Zurich 申请赔付,按照其网络风险保险条款。

Zurich 拒绝赔付。Zurich 引用了一条几乎每份保险合同都有的“战争行为免责条款”(war exclusion clause)——保险不覆盖战争行为造成的损失,因为战争行为的规模与不可预测性超出商业保险的承保能力。Zurich 的论据是:美国政府已经把 NotPetya 归因给俄罗斯军方,这构成“国家行为者发起的网络战行为”,因此符合战争行为免责条款16

Mondelez 起诉 Zurich。这件案件成了网络空间法律史上一个里程碑:网络攻击究竟是“传统犯罪”(保险应该赔)还是“战争行为”(保险不赔)?双方耗了几年法律拉锯,最终庭外和解。但案件的存在本身让整个网络保险行业重新计算了风险——许多保险公司开始在合同中专门加入“网络战争”专属条款,明确规定哪些情况视为战争行为。

NotPetya 的另一层后果是对网络武器扩散的国际认识升级。NotPetya 完整地展示了这条逻辑链:

NSA 开发 EternalBlue → Shadow Brokers 偷走 → 公开发布 → 朝鲜用于 WannaCry → 俄罗斯用于 NotPetya → 击中全球跨国公司

这条链条在 14 个月内就走完了。Brad Smith 在 2017 年 6 月 28 日——NotPetya 爆发次日——又写了一篇博客,标题是 “Disrupting NotPetya”,重新提出“数字日内瓦公约”。这次他多了一个数据点:仅仅 6 周前他对 WannaCry 的警告已经成真,今天又一次成真。

回头看 Shadow Brokers 这条线,至今仍有一个问题没有答案:到底是谁泄漏的

调查指向几位嫌疑人。

Harold T. Martin III 是 Booz Allen Hamilton 的承包商——与斯诺登同一家公司。2016 年 8 月,FBI 突袭他家,搜出 50TB 的 NSA 与 CIA 机密数据——这是有史以来最大规模的政府承包商私藏机密案例。他 2019 年认罪,被判 9 年监禁。但他与 Shadow Brokers 的直接关联从未被检方证实17

Nghia Hoang Pho 是 TAO 工程师,把 NSA 工具带回家在自己的个人电脑工作。他电脑上装了卡巴斯基杀毒。2017 年被起诉,2018 年判 5.5 年。一种主流推测是:俄罗斯通过卡巴斯基(一家俄罗斯公司)发现了 Pho 电脑上的 NSA 工具,把它们间接传递给 Shadow Brokers。卡巴斯基官方否认这种说法,但美国政府随后禁止所有联邦机构使用卡巴斯基产品1

至今美国政府没有公开归因 Shadow Brokers 是谁。James Bamford 与 Matt Suiche 等独立调查者推测是 TAO 内部人。多位前情报官员推测是俄罗斯 SVR 或 FSB 通过多种渠道获取后包装重发。斯诺登本人 2016 年 8 月在 Twitter 推测:“Circumstantial evidence and conventional wisdom indicates Russian responsibility.”(情境证据与常识指向俄罗斯责任。)18

但“指向”不等于“证明”。Shadow Brokers 仍是网络情报史上最大的悬案之一。它在 2017 年下半年沉寂,从此再未出现。NSA 内部的损失评估至今未公开。

十一

Shadow Brokers → WannaCry → NotPetya 的这条链,从战略层面看,把过去十几年里 Bruce Schneier、Daniel J. Bernstein、Phil Zimmermann 等密码学家不断警告的话变成了现实:

国家级监控国家的能力建立越大,它失去这些能力时全世界承受的后果越大。

NSA 用 EternalBlue 攻击 Natanz 离心机、攻击中国军方、攻击俄罗斯外交部——这些可能在国家安全的考量下是合理的。但它做了一个赌博:赌 EternalBlue 永远不会落入别人手中。它输了。EternalBlue 落入了朝鲜与俄罗斯手中,他们用它打击了 NSA 名义上要保护的对象——英国 NHS、美国 FedEx、丹麦 Maersk、法国 Renault。

这种“工具反噬”是监控国家最根本的悖论。Schneier 在 2014 年的一篇文章中写过一段话,2017 年后被反复引用:

“我们正在被强制做出一个选择:是更安全地保护我们的网络免受所有攻击者,还是保留一些攻击能力。NSA 在这个选择中长期偏向后者。但 Shadow Brokers 让我们看到了这种偏好的真实代价。”19

NSA 内部的 Vulnerability Equities Process(VEP)原本应该平衡这种选择。但 Snowden 文件与后来的国会调查显示,VEP 长期被 NSA 主导——“留下来供自己使用”的判断几乎总是胜出。

WannaCry 与 NotPetya 之后,VEP 经历了几次改革。2017 年 11 月,特朗普政府公开了 VEP 章程的部分内容——这是 VEP 第一次有公开文档。2018 年的统计数据显示:当年发现的漏洞中,NSA 选择“公开通知厂商”的比例超过 90%。但批评者指出:这个 90% 主要是低价值漏洞,真正的关键漏洞仍然被留在 NSA 的库存里20

十二

Shadow Brokers 这条线还揭示了另一件事:斯诺登只是一个开始

2013 年斯诺登泄漏后,NSA 内部本来应该加强安全:分级访问、审计日志、内部威胁监测。这些都做了。但 Shadow Brokers(2016-2017)、Vault 7(2017 年 WikiLeaks 公开 CIA 工具)、Reality Winner(2017 年泄漏 NSA 关于俄罗斯干预美国选举的报告)—— 每一个都来自 NSA 或 CIA 内部,每一个都是斯诺登之后才发生的。

这意味着 NSA 用四年时间没能堵住一个看似简单的漏洞:它的内部员工对它的不信任。哈佛肯尼迪学院的一份研究报告分析过这种现象——情报机构在被一位告密者重创后,往往会加强纵向控制(更严格的访问权限、更密集的审计),但很难修复横向信任(员工是否相信自己在做对的事)。斯诺登之后的 NSA 仍然有大批员工对自己机构的某些做法心存疑虑。Shadow Brokers 的真凶——无论是内部叛徒还是外国情报渗透——都受益于这种内部信任的裂缝21

这一切的最终代价由谁支付?

不是 NSA 局长,他在 2018 年退休时享受了体面的告别仪式。 不是 Shadow Brokers,至今仍是悬案。 不是朝鲜 Lazarus Group,他们仍在工作并积累加密货币储备。 不是俄罗斯 GRU Sandworm,2022 年俄乌战争开始后他们重新加速攻击乌克兰电网。

代价由 NHS 的病人支付——那些预约被取消、化验结果调不出来的人。 代价由 Maersk 的卡车司机支付——他们在 76 个港口等待了几周才能装卸货物。 代价由全球数百万 Windows 用户支付——他们的文件被加密、他们的工作被打断。 代价由网络保险投保人支付——保费在 2018-2020 年翻了几番。 代价由全球互联网用户支付——他们生活在一个更脆弱、更不可信、更碎片化的网络上。

斯诺登 2013 年的核心警告是:监控国家会被它自己的能力所反噬。当时这听起来像理论。WannaCry 与 NotPetya 证明它是现实。

十三

2017 年 4 月 14 日 Shadow Brokers 发布 ETERNALBLUE 那一天,距斯诺登第一篇报道发出(2013 年 6 月 5 日)几乎正好四年。

四年里,世界从“震惊 NSA 在做什么”转向“承受 NSA 武器外泄的后果”。

斯诺登的泄漏揭示了监控的存在。Shadow Brokers 的泄漏证明了监控的工具会扩散。WannaCry 与 NotPetya 证明了扩散会真实伤害到普通人。每一步都更深一层,每一步都比上一步更难逆转。

这一连串事件之后,“代码即武器”这件事在国际安全领域不再是争议。北约把网络空间正式列为“第五战域”(陆、海、空、太空之后);联合国一直在尝试推动“网络空间负责任行为准则”但进展缓慢;G7、G20、世贸组织都不再回避网络安全议题。

但有一件事至今没有发生:没有任何国际条约真正规范了国家级网络武器的开发、保管与使用。Brad Smith 提议的“数字日内瓦公约”至今停留在企业 PR 层面。各国仍在大规模投入开发更强大的网络武器——美国、俄罗斯、中国、以色列、伊朗、朝鲜、英国、法国都各自维持着规模可观的网络战部队。每一份新工具,理论上都可能是下一个 EternalBlue——一个等待被偷走、被滥用、被反噬的潘多拉盒子。

斯诺登 2013 年说过一句话,多年后看更显沉重:“The greater danger has been hidden by the lack of awareness in the public. … Now you know about it.”(更大的危险被公众的不知情所掩盖。现在你知道了。)

WannaCry 与 NotPetya 之后,至少这一点不再可能被否认了:知道了这件事,世界并没有因此变得更安全。它只是变得没办法再装作不知道。

References

  1. “The Shadow Brokers.” Wikipedia. https://en.wikipedia.org/wiki/The_Shadow_Brokers

  2. “The Arsenal: How the Shadow Brokers Leak Armed the Internet.” Medium. https://medium.com/@adikrishrightnow/the-arsenal-how-the-shadow-brokers-leak-armed-the-internet-479b606293aa

  3. “The Shadow Brokers Leaked Exploits FAQ.” Rapid7 Blog, April 18, 2017. https://www.rapid7.com/blog/post/2017/04/18/the-shadow-brokers-leaked-exploits-faq/

  4. “EternalBlue: NSA-Developed Exploit Just Won’t Die.” SentinelOne. https://www.sentinelone.com/blog/eternalblue-nsa-developed-exploit-just-wont-die/

  5. “NSA officials worried about the day its potent hacking tool would get loose. Then it did.” The Washington Post, May 16, 2017. https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html

  6. “Microsoft Security Bulletin MS17-010.” Microsoft Security Response Center, March 14, 2017. https://learn.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

  7. “WannaCry ransomware attack.” Wikipedia. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

  8. Greenberg, Andy. “The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet.” Wired, May 12, 2020. https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/

  9. “Lazarus Group.” Wikipedia. https://en.wikipedia.org/wiki/Lazarus_Group

  10. Smith, Brad. “The need for urgent collective action to keep people safe online.” Microsoft on the Issues, May 14, 2017. https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

  11. “Petya and NotPetya.” Wikipedia. https://en.wikipedia.org/wiki/Petya_and_NotPetya

  12. “2017 Ukraine ransomware attacks.” Wikipedia. https://en.wikipedia.org/wiki/2017_Ukraine_ransomware_attacks

  13. Greenberg, Andy. “The Untold Story of NotPetya, the Most Devastating Cyberattack in History.” Wired, August 22, 2018. https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

  14. “How NotPetya Took Down Maersk.” Control Engineering. https://www.controleng.com/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk/

  15. “Sandworm (hacker group).” Wikipedia. https://en.wikipedia.org/wiki/Sandworm_(hacker_group)

  16. “Mondelez v. Zurich: NotPetya, war exclusions, and what it means for cyber insurance.” Reuters Legal, 2019.

  17. “Harold T. Martin III.” Wikipedia. https://en.wikipedia.org/wiki/Harold_T._Martin_III

  18. Snowden, Edward. Twitter thread, August 16, 2016. Archived at https://web.archive.org/web/2016/https://twitter.com/Snowden/status/765513662133490050

  19. Schneier, Bruce. “Who Are the Shadow Brokers?” The Atlantic, May 23, 2017. https://www.theatlantic.com/technology/archive/2017/05/shadow-brokers/527778/

  20. “Vulnerabilities Equities Process Charter.” The White House, November 15, 2017. https://trumpwhitehouse.archives.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

  21. “Insider threat after Snowden: lessons for intelligence agencies.” Harvard Kennedy School Belfer Center, 2018.

  22. “EternalBlue.” Avast Academy. https://www.avast.com/c-eternalblue

  23. “What was WannaCry?” Cloudflare Learning. https://www.cloudflare.com/learning/security/ransomware/wannacry-ransomware/

  24. “What can we learn from NotPetya.” CBS News. https://www.cbsnews.com/news/lessons-to-learn-from-devastating-notpetya-cyberattack-wired-investigation/

  25. “How Did NotPetya Cost Businesses Over $10 Billion in Damages.” CyberRanges. https://cyberranges.com/how-did-notpetya-cost-businesses-over-10-billion-in-damages/

  26. “US Says North Korea Directly Responsible for WannaCry Ransomware Attack.” NPR, December 19, 2017. https://www.npr.org/sections/thetwo-way/2017/12/19/571854614/u-s-says-north-korea-directly-responsible-for-wannacry-ransomware-attack