俄罗斯黑客如何窃取纳斯达克 - 彭博社

Michael Riley

2014-07-22

在2010年10月，美国联邦调查局监控美国互联网流量的系统发出了警报。信号来自纳斯达克。看起来恶意软件已经潜入了公司的中央服务器。迹象表明，入侵者并不是某个地方的孩子，而是另一个国家的情报机构。更令人担忧的是：当美国专家更仔细地查看恶意软件时，他们意识到这是一种攻击代码，旨在造成损害。

尽管黑客攻击已成为日常烦恼，但更多的攻击在监控中心的视线之外发生。中国、法国、以色列——以及许多不那么知名或理解的参与者——都以某种方式进行黑客攻击。他们窃取导弹计划、化学公式、发电厂管道示意图和经济数据。这是间谍活动；攻击代码则是军事打击。记录在案的部署只有少数，最著名的是Stuxnet蠕虫。Stuxnet被广泛认为是美国和以色列的联合项目，它在2010年暂时使伊朗的铀加工设施在纳坦兹失效。它关闭了安全机制，导致精炼厂核心的离心机失控旋转。两年后，伊朗用一种相对简单但传播迅速的“清除”病毒摧毁了沙特阿美三分之二的计算机网络。一位资深的美国官员表示，当涉及到植入美国关键系统中的数字武器时，他只见过一次——在纳斯达克。

十月的警报促使国家安全局的介入，2011年初，NSA得出结论认为存在重大危险。一个危机行动小组通过安全视频会议在华盛顿郊区一栋11层办公楼的简报室召开。除了一个火锅餐厅和一个CrossFit健身房，这栋建筑还容纳了国家网络安全和通信整合中心（NCCIC），其使命是发现并协调政府对美国数字攻击的响应。他们审查了FBI的数据和来自NSA的额外信息，并迅速得出结论，认为需要升级响应。

由此开始了一场疯狂的五个月调查，这将考验美国的网络响应能力，并直接涉及总统。情报和执法机构在解读复杂黑客攻击的压力下，努力向决策者提供一个甚至是适度清晰的图景。经过几个月的工作，政府不同部门之间仍然存在关于事件背后是谁以及为什么的基本分歧。“我们已经看到一个国家获得了至少一个我们的证券交易所的访问权限，我这样说吧，他们的最终目标并不清楚，”来自密歇根州的共和党众议院情报委员会主席迈克·罗杰斯说，他同意仅以一般性术语谈论此事件，因为细节仍然是机密的。“这个方程式的坏消息是，我不确定你真的会知道，直到那个最终的触发被拉动。而你永远不想达到那个。”

彭博商业周刊花了几个月时间采访了二十多个人，关于纳斯达克攻击及其后果，这些内容从未被完全报道。其中九人直接参与了调查和国家安全的审议；没有人被授权公开发言。“对纳斯达克入侵的调查仍在进行中，”FBI纽约助理主任乔治·维尼泽洛斯说。“像所有网络案件一样，这很复杂，涉及随着时间推移而演变的证据和事实。”

虽然黑客攻击成功被阻止，但它揭示了金融交易所——以及银行、化工炼油厂、水厂和电力公司——在数字攻击面前是多么脆弱。一位亲身经历事件的官员表示，他认为这次攻击将改变一切，迫使美国认真准备迎接一个新的计算机冲突时代。他错了。 **在NCCIC的电话会议上，有来自国防部、**财政部、国土安全部以及NSA和FBI的专家。初步评估为事件小组提供了一些关于黑客身份的模糊细节，但他们只花了几分钟就一致认为，这次入侵是如此严重，以至于应该通知白宫。

会议电话参与者第二天在白宫重新聚集，加入了来自司法部、国务院和中央情报局的官员。该小组制定了一套选项，准备向白宫、司法部、五角大楼等高级国家安全官员提出。这些官员确定了调查人员必须回答的问题：黑客是否能够访问和操控或破坏交易平台？此次入侵是否是对美国金融基础设施的更广泛攻击的一部分？

美国特勤局推动成为主要调查机构。其代表指出，他们几个月前已经向纳斯达克提供了证据，称一群由名为亚历山大·卡林宁的圣彼得堡男子领导的俄罗斯网络犯罪分子已经入侵了该公司，并且这两个事件可能有关联。特勤局在争论中失败，未能参与调查。

当联邦调查局通知纳斯达克有关入侵事件时，结果发现该公司已经自行检测到异常，但尚未报告攻击。在关于隐私问题的谈判后，纳斯达克同意让美国官员进入其网络。调查小组抵达位于纽约市自由广场一号的公司总部及新泽西州卡特雷特的数据中心，在那里他们发现了多个情报机构或军事的迹象。

黑客结合使用了两个零日漏洞。零日是计算机代码中一个之前未知的缺陷——开发者只有“零天”来解决它——这使得黑客能够轻松远程控制计算机。这是一种有价值的商品，有时在地下市场上售价高达数万美元。使用一个零日表明黑客技术高超；使用多个则暗示政府背景。震网病毒使用了四个——这表明代码的作者进行了高级侦察，并准确了解各种系统如何协同工作。

无论是谁攻击了纳斯达克，都进行了类似的准备工作，并拥有类似的资源。关键在于黑客从纳斯达克的计算机系统中提取的恶意软件。国家安全局（NSA）之前见过一个版本，由俄罗斯联邦安全局（FSB）设计和构建，这是该国的主要间谍机构。而且这不仅仅是间谍软件：虽然该工具可以用来窃取数据，但它还有一个功能，旨在在计算机网络中造成广泛的破坏。NSA认为它可能有能力摧毁整个交易所。

在一月初，NSA向国家安全高级官员提出了他们的结论：精英俄罗斯黑客已经突破了证券交易所的防线，并插入了一个数字炸弹。最好的情况是黑客在他们的恶意软件中装入了一个破坏模块，以防被发现并需要在纳斯达克的计算机系统中制造混乱，以摆脱追踪者。最糟糕的情况是制造混乱是他们的意图。奥巴马总统被简要介绍了这些发现。

在调查的后期，一些美国官员质疑NSA是否过于推测了证据。恶意软件常常易手——它被出售、盗窃或共享。而攻击代码与一些不那么具破坏性的东西之间的技术差异可能出乎意料地小。当时，NSA局长基思·亚历山大和他的机构正与政府各部门就NSA应拥有多少权力来保护私营公司免受这种新形式的攻击进行斗争。这种公然的攻击无疑会增强他们的论点。

随着调查深入纳斯达克总部及其数据中心，调查人员不得不重建那些依赖于不可追踪的世界级黑客的路径。团队对像纳斯达克这样复杂的操作竟然如此脆弱感到惊讶。“我们的假设是，通常来说，金融行业的运作要更加成熟，”奥巴马白宫的前网络安全专家克里斯托弗·芬南说。“这并不意味着他们是完美的，但在一个光谱上，他们接近顶端。”

根据执法官员和公司聘请的私人承包商的说法，调查人员在纳斯达克内部发现的情况令他们震惊。特工发现了几个不同团体自由活动的痕迹，其中一些可能已经在交易所的网络中存在多年，包括犯罪黑客和中国网络间谍。公司服务器上发生的日常活动的基本记录几乎不存在，这本可以帮助调查人员追踪黑客的活动。调查人员还发现，One Liberty Plaza大楼管理公司运营的网站被一种名为Blackhole的俄罗斯制造的漏洞工具包所感染，访问该页面以支付账单或进行其他维护的租户也因此受到感染。

一位调查人员称纳斯达克计算机银行的“肮脏沼泽”使得追踪俄罗斯恶意软件的踪迹变得极其缓慢。特工们推测黑客至少在被发现前三个月就已经侵入了纳斯达克的计算机，但这只是一个猜测。有迹象表明大量数据被盗，尽管证据稀少，且很难看出被盗的内容。“如果有人闯入你的家，试图弄清他们去了哪里和拿走了什么是相当困难的，因为与银行不同，你的家里没有摄像头，没有运动传感器，”位于新罕布什尔州曼彻斯特的安全公司Siege Technologies的首席执行官杰森·西弗森说。“在网络安全方面，大多数公司更像是一个家而不是银行。”

各机构将攻击的性质留给纳斯达克来向其客户、监管机构和公众进行描述，纳斯达克在2月5日的简短公司声明中以及几周后的监管文件中进行了说明。这次泄露发生在纳斯达克最糟糕的时刻。它正处于收购纽约证券交易所 110亿美元的边缘。

纳斯达克的电子邮件声明没有表明此次攻击的严重性。该公司表示，恶意软件是在“例行扫描”中发现的，入侵仅限于一个名为董事桌的系统，超过230家公司使用该系统在董事会成员之间共享财务信息。声明中说：“我们没有任何信息表明有东西被窃取。”在接受本文章采访时，纳斯达克发言人约瑟夫·克里斯蒂纳特表示：“我们与美国政府密切合作进行的对该问题的法医审查得出的结论是，没有证据表明我们的董事桌系统中有数据被外泄。重要的是，2010年是我们公司在网络安全承诺上的一个转折点，今天使我们能够更好地检测和保护我们的系统、技术和市场参与者的完整性。”

“我们看到一个国家级别的实体获得了至少一个证券交易所的访问权限……而他们的最终目标并不明确”照片由马里奥·塔马/Getty Images提供

与此同时，针对此次攻击背后是谁的调查发生了戏剧性的转变。与炸弹或导弹不同，恶意软件可以被重复使用。留在网络中的恶意软件可以被其他黑客抓取、逆向工程，并在后续受害者的计算机系统中重新部署，以模糊踪迹，就像一个杀手使用别人的枪一样。当调查人员开始检查其他政府和军事计算机的黑客攻击数据时，有证据表明，俄罗斯的恶意软件被一个复杂的中国网络间谍使用，该间谍还以其繁荣的犯罪生意而闻名。这个黑客可能是从俄罗斯那里获得了恶意软件，或者从另一个计算机网络内部窃取了它，并用它来掩盖自己的身份。纳斯达克内部的一些证据也支持了这一理论。随着调查转向亚洲，奥巴马再次接受了简报。

随着调查人员跟进新的线索，更多的团队在全国范围内展开行动。财政部的关键基础设施保护和合规政策办公室列出了10家可能成为更大规模攻击目标的主要银行和美国证券交易所。并不是所有公司都同意配合调查。在那些同意的公司中，特工们开始仔细检查计算机日志和服务器，得到了公司安全团队的协助。

特工们发现更大规模攻击的证据很少。他们发现的是一些美国重要金融机构存在系统性的安全漏洞。结果发现，名单上的许多机构都容易受到袭击，就像纳斯达克遭受的攻击一样。它们之所以幸免于难，仅仅是因为黑客没有尝试。 与亚洲的联系没有结果。调查人员转向俄罗斯作为最可能的嫌疑人，但在动机问题上不断碰壁。黑客在纳斯达克网络中可以自由活动几个月而不受干扰。交易所本身与公司网络的其他部分是隔离的。虽然很难访问，但没有证据表明黑客尝试过。

为了寻找答案，白宫求助于中央情报局。与仅通过电子手段收集情报的国家安全局不同，中央情报局是一个“全源”情报单位，严重依赖人力。中央情报局开始关注俄罗斯情报机构与有组织犯罪之间的关系。联邦安全局中的某个人可能在私下进行盈利操作，或者可能将恶意软件出售或交给了一个犯罪黑客团伙。对恶意软件的进一步分析显示，其能力比之前认为的破坏性小。它无法像清除病毒那样摧毁计算机，但可以接管某些功能以造成网络中断。

如果黑客的动机是利润，纳斯达克的董事桌，即他们首次进入网络的基于网络的通信系统，提供了惊人的可能性。成千上万的公司董事使用它来交换关于他们公司的机密信息。谁能掌握这些信息，谁就能迅速积累财富。

在华盛顿，FBI团队和市场监管机构分析了数千笔交易，使用算法来确定董事桌中的信息是否可以追溯到可疑交易。根据两位知情人士的说法，他们没有发现任何证据表明这种情况发生过。

国家安全官员再次修订了入侵的理论。在中央情报局的鼓励下，白宫官员开始得出结论，这是一场精心策划的网络犯罪。根据一位官员的说法，这一结论的确定性仅约为70%，但别无选择。国家安全局在一种被称为技术援助请求（RTA）的特殊权限下运作，而RTA的时间正在耗尽。在奥巴马第三次被简报后，两位知情人士表示，情报机构撤回了行动，到三月初，此案交给了FBI处理。

局内的特工注意到，黑客似乎将注意力集中在包含纳斯达克最关键技术的13台服务器上。这项技术足够复杂，以至于该公司还有一项将其授权给全球其他证券交易所的副业。

攻击的时机一直是一个不合逻辑的因素。在2008年，德米特里·梅德韦杰夫接替弗拉基米尔·普京成为俄罗斯总统，而普京则转入权力较小的总理角色。如果说有什么变化，与西方的关系正在升温，而对全球金融系统的攻击并没有意义。

俄罗斯可能出于其他原因对纳斯达克感兴趣。2011年1月，梅德韦杰夫前往瑞士达沃斯的世界经济论坛，推出了一个宏伟的俄罗斯愿景，旨在将莫斯科转变为全球金融中心。次月，莫斯科的两个表现不佳的证券交易所，米交所和RTS，宣布将合并，运营商梦想着将其打造成一个世界级的平台，成为全球最新金融中心的明珠。

对俄罗斯的高级领导人来说，国家安全与交易所的成功是息息相关的。俄罗斯公司现在大多在主要的西方交易所上市，使它们更容易受到美国和欧洲经济杠杆的影响。当普京在2012年重新担任总统时，他施压俄罗斯公司仅在新的交易所上市。与此同时，他向位于莫斯科市中心的金融中心投入了数十亿卢布，其中包括欧洲最高的建筑。

到2011年中，调查人员开始得出结论，俄罗斯人并不是试图破坏纳斯达克。他们想要克隆它，要么将其技术直接整合到他们的交易所，要么作为学习的模型。他们派出了一支精英网络间谍团队来获取这些信息。

由于没有清晰的证据表明从纳斯达克获取了哪些数据以及这些数据去了哪里——鉴于缺乏日志和其他重要的取证信息，这几乎是不可能的——并不是所有政府官员甚至FBI都同意这一发现，但一位直接参与此案的调查员表示，这是最有说服力的结论。还有其他拼图的部分不吻合。恶意软件的破坏能力是用作武器还是其他用途？如果没有被打断，他们还会做些什么？在被要求对纳斯达克事件发表评论时，俄罗斯大使馆发言人叶夫根尼·霍里什科表示：“这纯属无稽之谈，根本不值得评论。”

在去年一月的演讲中，面对关于国家安全局（NSA）收集数百万美国人数据的丑闻，奥巴马间接提到NSA“拦截针对股票交易所的恶意软件”的能力是他反对剥夺该机构拦截数字通信能力的原因之一。

然而，对于一些美国官员来说，这一事件的教训更加令人不安。美国的国家安全机构在物理世界中可能占据主导地位，但在虚拟世界中却准备不足。网络战争的规则仍在制定中，攻击代码的部署可能是一种与破坏任何真实基础设施一样具破坏性的战争行为。而且，这是一种难以追踪的战争行为：在最初的纳斯达克入侵事件发生近四年后，美国官员仍在理清发生了什么。尽管美国军方是一个出色的威慑力量，但如果你不知道该对谁使用它，它就无效。

“如果联邦政府的任何人告诉你他们已经弄清楚如何应对激进的网络攻击，那么告诉我他们的名字，因为他们不应该在那儿，”情报委员会主席罗杰斯说。“问题在于，无论我们做什么，回应不会回到政府身上，而是会回到美国85%的私营部门网络上。而他们已经很难跟上了。”