伊朗黑客袭击拉斯维加斯的谢尔顿·阿德尔森金沙赌场 - 彭博社

摄影师：Lennox McLendon/AP照片大多数赌徒仍在沉睡，贡多拉船夫还未在拉斯维加斯大道的威尼斯人赌场前的仿造运河上划行。但在2月10日寒冷清晨的赌场楼层上方，全球最大的游戏公司的办公室却陷入了混乱。计算机出现故障，电子邮件无法使用，大多数电话无法工作，帮助运营140亿美元业务的多个技术系统也停滞不前。

拉斯维加斯金沙公司的计算机工程师们迅速赶来查明发生了什么。在一个小时内，他们得出了诊断：金沙正遭受猛烈的网络攻击。个人电脑和服务器在一场级联的IT灾难中关闭，许多硬盘被彻底清除。公司的技术人员从未见过这样的情况。

“这不是你可以在伊朗进入的那种生意，而不让政府知道”

让公司运转的人，从会计到市场经理，都在盯着空白的屏幕。“数百人打电话给IT部门告诉他们电脑无法使用，”当时在金沙拉斯维加斯风险管理部门工作的James Pfeiffer说。他回忆说，大多数人转而使用手机和个人电子邮件账户与同事沟通。许多系统瘫痪，包括那些运行金沙客户忠诚奖励计划的系统；监控金沙美国赌场老虎机和桌面游戏表现及支付的程序；以及一个价值数百万美元的存储系统。

为了尽可能拯救更多的机器，IT工作人员在金沙的拉斯维加斯物业——威尼斯人及其姐妹酒店帕拉佐——的赌场大厅中四处奔波，拔掉他们能找到的每台正常工作的计算机的网络线，包括用于跟踪赌客的 pit boss 电脑和老虎机玩家兑换票据的自助终端。

这并不是 十一罗汉。黑客并不是试图清空现金保险箱，也不是像最近对 塔吉特、尼曼·马库斯和 家得宝 的攻击那样获取客户信用卡数据。这是个人恩怨。犯罪者想要惩罚这家公司，或者更准确地说，是它的首席执行官和大股东，亿万富翁谢尔顿·阿德尔森。尽管确认他们的猜测需要一些时间，但高管们几乎立即怀疑这次攻击来自伊朗。

这是新的。其他国家曾经对美国公司进行间谍活动，并从中盗取财物，但这可能是第一次——发生在11月底对 索尼影业的攻击几个月之前——一个外国参与者仅仅是想要摧毁美国的企业基础设施，规模如此之大。这两次黑客攻击可能代表了一个地缘政治上令人困惑且潜在毁灭性的数字冲突阶段的开始。专家们担心，美国的对手可能找到了网络战争的甜蜜点——这些攻击足够严重以伤害美国公司，但又低于会引发强有力政府反应的阈值。更值得注意的是，金沙在10个月内成功保守了这次黑客攻击的全部程度的秘密。 2013年10月，阿德尔森，美国最鹰派的以色列支持者之一，抵达耶希瓦大学的曼哈顿校园，参加一个名为“犹太人会存在吗？”的讨论会。那晚的演讲者中有一位著名的拉比和一位来自 华尔街日报的专栏作家，但小型礼堂中人群真正吸引的焦点是阿德尔森，这位微微驼背的81岁老人，面颊苍白，头发稀疏，需要助手的帮助才能上台。阿德尔森的净资产为274亿美元，因其在拉斯维加斯金沙的52%股份而成为全球第22位富豪。他通过在新加坡和中国开设赌场建立了地球上最有利可图的博彩帝国，其利润现在远远超过来自拉斯维加斯的收入。阿德尔森还是以色列三家新闻机构的拥有者，并且是以色列总理本杰明·内塔尼亚胡的朋友，他还花费大量资金支持美国的保守派政治家；他可能因在2012年大选中为推翻奥巴马总统和选举共和党人而贡献约1亿美元而最为人知。

在耶希瓦，他描述了他将如何处理与伊朗关于其持续核计划的谈判。“我们要谈什么？”阿德尔森问。“我想说的是，‘听着。你看到那片沙漠了吗？我想给你看点东西。’”他说他会在沙子里引爆一个美国核弹头，在那里“不会伤害任何灵魂。也许会伤害几条响尾蛇和蝎子或其他什么。”信息是：除非政府放弃任何制造自己核武器的计划，否则下一个蘑菇云将会在德黑兰升起。“你想被抹去吗？那就继续采取强硬立场，”阿德尔森说，引来轻微的掌声。他的言论在几小时内就被发布在YouTube上，并在互联网上引发了反响。根据该国半官方的法尔斯通讯社，伊朗最高领袖阿亚图拉·阿里·哈梅内伊在两周后回应，称美国“应该给这些喋喋不休的人一个耳光，压制他们的嘴。”

在身体上，阿德尔森和桑兹得到了很好的保护。他在公众场合出现时，身边有一队武装保镖，据说是美国特勤局和以色列情报机构摩萨德的前特工。根据一份公司文件，桑兹去年花费了近330万美元来保护阿德尔森及其家人。这还不包括桑兹在金库、安全摄像头、生物识别筛查设备以及美国公司中最大的私人警察部队之一上的支出，所有这些都是为了保护每天流经其运营的数百万美元现金和筹码。

但该公司在适应数字威胁方面进展缓慢。根据一位前高管的说法，两年前它的网络安全团队只有五人，负责保护25,000台计算机。董事会在2013年授权进行重大工具和人员升级，但该项目计划在18个月内推出，而在阿德尔森思考耶希瓦的核打击时，该项目仍处于初期阶段。 在桑德斯公司不知情的情况下，在哈梅内伊发表激烈演讲一个月后，黑客开始在其计算机网络的外围探查，寻找弱点。只有在攻击发生后，调查人员才能筛查计算机日志并重建他们的活动。这些细节出现在描述“黄石1”的内部文件中，这是该事件的公司代号，并在与六位熟悉该漏洞及其后果的人士的访谈中得到了证实。桑德斯公司的发言人罗恩·里斯拒绝回答有关攻击的具体问题或让阿德尔森出面。

到2014年1月8日，黑客们将注意力集中在桑德斯贝塞勒姆，这是一家位于宾夕法尼亚州贝塞勒姆的3,000台老虎机赌场和度假村，拥有自己的网站和计算机网络。它在公司的帝国中是一个小据点，但攻击安全链中的弱环是黑客们常用的伎俩。那天，黑客们发起了第一次持续一个小时的攻击，试图突破桑德斯贝塞勒姆的虚拟私人网络（VPN），该网络使员工能够从家中或在路上访问他们的文件。

黑客使用软件通过系统地尝试每分钟数千种字母组合来破解密码登录；该软件持续运行，直到猜对为止或耗尽所有排列组合。这是一种暴力破解的方法，有点像电影中用来破解保险箱的工具，逐一尝试每一个可能的组合以找到正确的数字组合。

黑客在1月21日和26日加大了攻击力度，再次对贝ethlehem Sands网络发起了数小时的攻击。后来，调查人员发现至少有两个不同的黑客或团队在尝试不同的方法进入。当时，贝ethlehem的IT经理们对突然激增的失败登录尝试感到震惊，开始与拉斯维加斯的Sands安全经理进行电话会议。但暴力破解尝试是很常见的——根据休斯顿安全公司Alert Logic的说法，几乎一半的公司都会经历这种情况——而赌场工作人员并没有过于担忧。他们在受到攻击的账户上增加了一层安全措施，因此进入网络不仅仅需要密码。

这几乎没有用：五天后，2月1日，黑客发现了Sands Bethlehem用于审查和测试网页的Web开发服务器的一个弱点。一旦进入，攻击的速度迅速升级。黑客使用一种名为Mimikatz的工具来揭示之前用于登录计算机或服务器的密码。根据三位熟悉此事件的人士的说法，黑客在收集密码的过程中，几乎获得了贝ethlehem Sands的所有文件的访问权限。但贝ethlehem的计算机系统只是一个盒子——而他们真正想要的是能够让他们出去的钥匙。

在2月9日之前的某个时候，他们找到了它：一位高级计算机系统工程师的登录凭据，他通常在公司总部工作，但他的密码在最近的一次旅行中被用于伯利恒。这些凭据让黑客进入了位于拉斯维加斯的游戏公司的服务器。当他们翻阅主网络时，攻击者准备了一枚恶意软件炸弹。通过一台 索尼 VAIO 电脑，他们编写了一小段代码，只有大约150行，使用的是Visual Basic编程语言。该程序证明了其强大。不仅可以清除存储在计算机和服务器上的数据，还可以自动重启它们，这是一种巧妙的技巧，可以暴露在机器仍在运行时无法触及的数据。更糟糕的是，该脚本用随机的零和一的模式覆盖被删除的硬盘，使数据恢复变得极其困难，以至于购买新机器并将被黑的机器扔进垃圾桶更具成本效益。 为金沙工作的大Dell SecureWorks的调查人员得出的结论是，2月份的攻击很可能是伊朗“黑客行动者”的所为，根据获得的文件 彭博商业周刊。安全团队无法确定伊朗政府是否参与其中，但考虑到该国对互联网使用的严格审查，任何在国内的黑客都不太可能在没有政府知情的情况下进行如此规模的攻击。“在伊朗，这不是一种可以在没有政府知情的情况下进入的生意，”华盛顿战略与国际研究中心的高级研究员詹姆斯·刘易斯说。伊朗常驻联合国代表团的发言人哈米德·巴巴伊没有回复几次电话和电子邮件。

犯罪分子在2月10日星期一的清晨释放了他们的恶意软件。它通过公司的网络传播，摧毁了数千台服务器、台式电脑和笔记本电脑。到下午，Sands的安全工作人员注意到日志显示黑客正在压缩一批批敏感文件。这意味着他们可能已经下载了——或者正在准备下载——大量私人文件，从高额客户的信用检查到全球计算机系统的详细图纸和清单。Sands的总裁迈克尔·莱文决定将公司完全与互联网断开连接。

这是在一个大多数商业功能（从酒店预订到采购）都在线处理的时代采取的极端措施。但Sands能够保持许多核心业务的运作——黑客无法访问一个对某些业务部分至关重要的IBM主机。酒店客人仍然可以刷卡进入他们的房间。电梯正常运行。赌客仍然可以将硬币投入老虎机或在二十一点桌上下注。漫步在赌场大厅或在威尼斯人前的运河上观看贡多拉滑行的顾客完全不知道有什么不对劲。

阿德尔森在澳门威尼斯人摄影：保罗·希尔顿/EPA/Corbis

莱文的团队很快意识到他们抓住了一个重大机会。伊朗人犯了一个错误。擦除软件的第一个目标是公司的活动目录服务器，这些服务器帮助管理网络安全并与国外系统建立可信链接。如果黑客在攻击这些机器之前稍作等待，恶意软件将会传播到Sands在新加坡和中国的广泛物业。相反，损害仅限于美国。

第二天，黑客瞄准了该公司的官方网站，这些网站由第三方托管并仍在运行。黑客对其进行了破坏，发布了一张阿德尔森与内塔尼亚胡亲密合影的照片，以及一张显示沙特美国赌场地图上火焰的图片。某一时刻，他们发布了一条警告：“在任何情况下，鼓励使用大规模杀伤性武器都是犯罪”，并署名为“反大规模杀伤性武器团队”。黑客还给阿德尔森本人留下了信息。其中一条写道：“该死的A，别让你的舌头割了你的喉咙。”他们还包括了一份滚动列表，列出了在此次泄露中被盗的沙特贝塞勒姆员工的信息，包括姓名、职务、社会安全号码和电子邮件地址。

在黑客攻击后的几天里，沙特最初告诉媒体只是他们的网站遭到破坏，某些办公生产系统，包括电子邮件，无法正常工作。显然对他们的攻击被轻描淡写感到愤怒，黑客在YouTube上发布了一段11分钟的视频，配乐为卡尔·奥尔夫的脉动康塔塔 O Fortuna。视频开始时滚动显示了一篇新闻文章，突出了阿德尔森关于核打击伊朗的评论。然后它展示了一个计算机屏幕，上面堆满了成千上万的文件和文件夹，名称如IT密码和赌场信用，这些都是从沙特盗取的。

在视频中，该视频在数小时内被执法部门删除，一名看不见的黑客点击了一个名为“Damn A”的磁盘驱动器，并进入一个包含近一TB数据的文件夹。一个文本框出现：“你真的认为只有你的邮件服务器被关闭了吗？！！根本不是！！”三位熟悉Sands黑客事件的人确认视频中看到的文件是真实的。

该公司仍在统计损失。与参与黄石1号项目的人士的文件和访谈显示，黑客的恶意载荷摧毁了该公司在拉斯维加斯的约四分之三的计算机服务器。Leven在上个月一次私人活动前的简短采访中估计，恢复数据和建立新系统可能会使公司花费4000万美元或更多。 多年来，美国官员一直警告外国势力对美国公司的破坏性数字攻击威胁。最新的警报是在11月20日，由国家安全局局长迈克尔·罗杰斯在众议院情报委员会作证时发出的。他提到2012年对沙特阿美的攻击，摧毁了该石油公司30000台计算机，罗杰斯暗示到目前为止，美国企业运气不错。尽管自二月份以来，美国国家安全官员一直在研究和讨论这次攻击，但他对Sands保持沉默。

在Sands事件几个月后，以及在罗杰斯的评论几天后，黑客入侵了索尼影业，瘫痪了该工作室的电子邮件、薪资和其他系统，并泄露了数千兆字节的公司机密，包括五部主要假日电影的完整剪辑以及47000名员工和承包商的社会安全号码，包括西尔维斯特·史泰龙和贾德·阿帕图。索尼尚未公开表示谁负责，但根据两位熟悉事件的人士，索尼聘请的FireEye安全专家已将此次攻击与一个名为DarkSeoul的黑客团体联系起来，韩国和美国官员认为该团体为北朝鲜政府工作。该政权否认责任，但在6月，得知索尼项目*《采访》*——一部关于刺杀金正恩领导人的喜剧——后，一位政府发言人表示，北朝鲜将“无情地摧毁任何敢于伤害或攻击国家最高领导层的人，哪怕是一点。”

这是网络战争的下一个前沿。如果美国的敌人对该国的电网或天然气管道进行数字攻击，总统会考虑一系列强有力的回应，包括军事选项，根据泄露的奥巴马总统签署的两项行政命令的描述。但拉斯维加斯的赌场并没有向美国民众提供基本服务，除了那些对太阳马戏团上瘾的人。电影制片厂也是如此。即使在2012年和2013年，对美国主要银行网站的几个月的骚扰攻击，美国情报官员将其与伊朗的革命卫队联系在一起，也没有达到阈值。损害并不严重。

“如果这在我担任政府职务时出现在我的桌面上，我只会把它放进发件箱，”前中央情报局和国家安全局局长迈克尔·海登谈到金沙攻击时说。美国政府会帮助找出是谁做的，但不会反击。他表示，这使得大多数公司几乎只能独自面对越来越多的全球对手，他们手握毁灭性的数字武器。“如果有一次来自中国的实体攻击正在袭来休斯顿航道，我知道该打电话给谁，”海登说。“如果有一次来自中国的网络攻击正在通过休斯顿航道的光纤电缆袭来，美国法律规定美国政府应该怎么做？我认为我们发现的是真正没有强有力的答案。”

“你真的认为只有你的邮件服务器被关闭了吗？！！根本不是！！”

早在2008年，军事规划者就开始研究一系列关于网络空间威慑的简报，考察冷战时期保持冷战的原则是否可以应用于即将到来的数字冲突世代。他们得出的结论是，不可以。判断谁发射了核武器要比判断谁发起了数字攻击容易得多，后者容易获取且难以追踪。国家通常将黑客攻击外包给代理，包括那些行为与正式宣称对金沙（“反大规模杀伤性武器团队”）和索尼（“和平守护者”）负责的团体非常相似的组织。

在索尼黑客事件中，第一批被盗数据的大规模上传是在泰国进行的，使用的是曼谷圣瑞吉斯酒店的Wi-Fi网络。朝鲜的互联网功能非常有限，因此为该国军方工作的黑客在中国、叙利亚和其他国家设立了卫星办公室。但攻击者也可能是被雇佣的枪手。在否认参与黑客事件的同时，平壤国家防卫委员会的一位发言人称赞这次事件是“正义之举”。发言人暗示，肇事者可能对*《采访》*感到不满，“这是一部助长恐怖行为并伤害最高领导尊严的电影。”FireEye的调查人员最初准备了一篇博客文章，将DarkSeoul与此次攻击联系起来，但在12月3日的会议上，索尼的总法律顾问压制了这篇文章，可能是不愿意再次惹怒黄蜂窝。索尼发言人表示，该公司的调查仍在进行中。同样，戴尔安全工作组向Sands提交了一份事件简报，称“此次攻击是对首席执行官关于伊朗的评论的回应。”Sands的高管们表达了他们的不满，而戴尔在大约一个月后的下一份内部报告中省略了那一页。戴尔发言人伊丽莎白·克拉克拒绝发表评论。

威尼斯人酒店，位于拉斯维加斯大道感谢拉斯维加斯金沙集团

越来越多的专家，包括一些曾在内部看到问题的前国家安全官员表示，下一次升级可能是公司做美国政府不愿做的事情。如果国家可以雇佣黑客造成损害，为什么他们的受害者不能使用相同的技术进行自我防卫呢？这一话题在小组讨论和会议上经常被提及，是美国官员考虑过但拒绝的应对公司面临的日益增长的网络威胁的选项之一。前NSA局长海登称其为“站稳脚跟”法律的数字等价物，这些法律允许某些州的公民以致命武力自卫。对批评者来说，这是一条通往数字西部荒野的道路。

联邦法律必须首先进行更改，而司法部已表示，试图“反击”的公司将根据《计算机欺诈和滥用法》等其他法规面临刑事处罚。那些已经让奥巴马及其国家安全团队感到头疼的国家似乎明白这一点，并转向低级别的数字冲突，以在美国公司的计算机中制造混乱。

这并不是许多人预测的网络战争，但以其自身的方式造成了毁灭性的影响。“也许我们永远不会达到大家一直在谈论的数字珍珠港事件，所有事情同时发生，数万亿美元的价值被抹去，”提供网络战争工具给美国政府的Siege Technologies创始人杰森·西弗森说。“也许这只是这样进行——千刀万剐。”