勒索病毒侵袭全球：军用级的网络战武器，民间毫无抵抗力

近日，一款名为“想哭”的勒索病毒侵袭全球，国内众多高校、政府网站纷纷遭殃。大量电脑上的资料文档被锁，需要向黑客付费才能解锁。受到这款病毒侵害的并不仅仅是中国用户，从英国国立卫生院到西班牙电信再到美国物流公司Fedex都纷纷中招。有传闻称，迪士尼也在这次病毒攻击中损失惨重，即将上映的《加勒比海盗5》居然被黑客盗取，但随后迪斯尼否认了这个消息。

有消息称，这款病毒并非民间黑客作品，而是来自于美国国家安全局网络战武器库中的攻击源代码，因此民间机构几乎对此没有什么抵抗能力。虽然尚未证实，但美国国家安全局确实会制造网络战武器，美国军方也会实施网络战。

美国国家安全局是个什么机构

美国国家安全局简称NSA，属于美国政府情报界16家机构中的第一梯队成员。在美国的情报机关系列中，中情局、国家安全局、国防情报局、联邦调查局、国家侦察办公室、国家地理空间情报局，被列为第一梯队，几乎涵盖了对外工作的主要侦察方向和手段。而在情报界的第一梯队中，还有三个最核心的职能成员：中情局、国家安全局、国家侦察办公室。

NSA被列为核心成员当然是非常有必要的，尽管属于美国国防部下属机构，然而其预算和规模均为美国情报界之首。NSA是美国情报界编制人数最多的单位，雇员超过16万人，还有大量的非编制内合同工。仅就在编人数而言，NSA几乎相当于美国情报界其他15家机构人员的总和。从总部规模来看，NSA总部主楼面积相当于中央情报局加国会大楼的总和。从成果上来看，NSA提供的情报总量达美国情报搜集总量的80%。在纸张办公的时代，NSA每天作废的纸质机密文件重达40吨，必须兴建多个专用焚化炉才能完成处理销毁工作。

NSA的主要职能是信号情报侦察。朝鲜战争中，虽然美国中央情报局已经建立，监听敌方电子信号情报仍然为美国陆海空军所掌握，缺乏协调和军种间利益纷争导致工作频频出现问题。战后，美国自我检讨的结论是，应该成立一个专门的信号情报机构，在战时或和平时期，监听任何可能对美国政治、军事、经济以及社会稳定产生影响的外国信号。NSA就是在这个背景下成立的一个集电子信号搜集、破译、侦查为一体的机构。在网络时代之前，NSA的主要工作就是拦截无线和有线通信信号，破译敌方的通信密码。

网络时代到来后，NSA除了继续进行信号拦截之外，也承担网络情报搜集的任务。事实上，NSA几乎是顶级黑客最多的一家情报机构，比如本次勒索病毒的制造者“方程式团队”，就是NSA御用的网络攻击团队，已经在网络世界活跃了近20年。除了雇佣大量网络黑客之外，NSA还喜欢招揽数学专家，数学是破解密码和网络攻防的核心基础学科。除此之外，NSA还是超级计算机的使用大户，除了一般的超级计算机之外，NSA还在全力开发量子计算机和超导计算机等前沿超算技术。

总之，NSA可以说是互联网中一个隐藏的巨头，其技术水平很可能与谷歌并驾齐驱，甚至在很多领域遥遥领先于谷歌公司。

NSA如何主导网络战

尽管NSA隶属于美国国防部，其职能却具备军队和政府的双重职能。例如，美国军队和政府部门的保密标准、设备和加密系统均由NSA参与制定。比如美国总统使用的手机，就是NSA技术部门定制生产的，代表了美国加密技术的最高水平。所以其实除了拦截信号之外，NSA还负责美国政府和军队整体的网络安保设计，所谓有矛就有盾，NSA自然也负责美军网络战的武器研发。同时值得注意的是，NSA的局长同时兼任美国网络战司令部司令，也就是说，NSA局长本身就是美国四大军种的网络战总指挥。与一般民间黑客不同的是，美军网络战武器的研发并不仅仅限于软件，也包括硬件、战法、整体规划和网络战教育等等。

事实上，军事网络战的技术远比民间黑客要更为全面，比如美军可以针对不与互联网连接的内部网络，进行所谓的电磁搭桥作业，也就是通过电磁武器直接接通干扰对方的设备，并且植入恶意代码进行破坏。简单来说，就是把电脑网线拔掉，对方仍然能够接入你的电脑并且进行破坏，这种秘密手段非常难以觉察。

2007年以色列空军攻击叙利亚核设施，以色列出动的不是隐形战机，叙利亚的防空网络却毫无反应，甚至邻国土耳其的雷达都清晰显示出以色列的攻击机群。后来，俄罗斯的网络专家发现叙利亚国家防空指挥中心的计算机被植入恶意代码，当晚雷达已经发现以色列机群，系统却显示天下太平。由于防空指挥中心并不与互联网连接且戒备森严，到底以色列是如何植入木马程序的至今仍是个迷。有专家认为可能是间谍潜入防空中心植入代码，或者偷偷挖开地下光缆网络植入代码。然而，上述手段应该很容易排查漏洞也应该已经补上，2010年后以色列仍多次空中攻击叙利亚境内目标，叙利亚防空系统依旧毫无反应。因此有专家认为也许以色列采用了电磁搭桥的方式植入病毒，由于雷达系统本身是个以接收电磁波为目的侦察装备，军事界一直认为对雷达系统实施电磁搭桥在技术上是可行的，至于具体如何操作却无人知晓。从随后以色列多次的攻击来看，恐怕使用电磁搭桥植入病毒的可能性很大。这套技术就是基于NSA的研究成果开发而成的，由于NSA长期搜集各国的频谱信号，具备全球最强的频谱资料积累和研究开发能力。事实上，该机构行动处的人员，就是专门执行这种“破门”行动专家。各国政府网络系统为安全起见往往不与互联网连接，要侵入此类网络必须使用各种“破门”手段。除了传说中的电磁搭桥之外，在敌国内部设立中转路由器，对封闭内网进行窥探和植入木马也是NSA行动队的工作。

顶尖软件黑客团队

NSA的黑客团队当然非常强大，其保密程度也高于美国任何情报机构，可以说是NSA的真正核心竞争力。事实上NSA一直被外界戏称为“no such agency（没有这个机构）”，所以有关NSA的黑客团队内部如何协作一直是个谜。以本次勒索病毒的可能原作者，NSA御用的方程式小组为例，该组织很可能也是震网病毒的始作俑者。震网病毒曾经被视为美国和以色列阻止伊朗核计划的关键武器之一，2010年伊朗核设施的离心机在异常状态下超负荷工作了数十个小时后，彻底报废且不可修复，而监控系统没有检测到任何异常状况。当时，伊朗布什尔核电站1/5的离心机严重损坏，根据俄罗斯专家的统计，这次攻击导致伊朗的核计划至少被推迟了两年。伊朗身为受害者，却并非首先发现震网病毒的国家。该病毒由于意外被传播到互联网（伊朗核电站是孤立的内部网络），而被其他国家的网络安全专家所发现，才将其公之于众，且根据其传播途径和用途推测出这是针对伊朗核设施而设计的病毒。NSA的黑客团队最初设计震网病毒的目的，并不是在互联网扩散病毒，而是持续让伊朗核设施无法正常运作且很难找到原因，震网病毒被设计成专门针对某款特定的工业配件。如果不是意外被扩散到互联网上，伊朗很可能需要花费更多的时间才能知道自己遭到前所未有的网络攻击。震网病毒的内情被外界逐渐了解后，对于NSA这种针对特定工业配件的病毒攻击手法，感到非常震惊。

震网并非唯一针对伊朗核问题而研发的网络攻击武器，另一款Dupu病毒同样非常狡猾和危险。该病毒最早被著名网络安全公司卡巴斯基发现，并且确认曾经大量出现于伊朗核问题会谈现场的酒店电脑系统中。Dupu并不像震网病毒一样能够造成物理伤害，而是一款可以长期潜伏在电脑系统内的病毒。dupu病毒的具体作用至今并不明确，可能系间谍病毒，也可能是为了方便后续网络攻击而潜伏的后门程序。Dupu除了部分源代码与震网病毒相通之外，也利用了windows的零日漏洞（未被发现的计算机系统漏洞），甚至使用了从富士康等电子厂家盗用的数字证书来骗过网络安全系统。从震网和Dupu病毒都可以看出NSA黑客团队的一些行事手法，其网络攻击武器主要针对特定目标、利用零日漏洞、针对特定工业零部件、使用盗取来的安全数字证书、编程语言精练流畅专业程度高。

此类军用级的网络战武器，一旦流入民间造成的损失将会是巨大的。然而从历史发展来看，NSA的网络战战法虽然也讲究精确打击和谨慎使用，却并非是可靠且万无一失的手段。如其他的现代武器在战争中的误伤一样，造成所谓“附带伤害”几乎是难以避免的状况。至于此类附带伤害如何确认和评估损失，恐怕是个更复杂的问题。尽管几乎全世界都认定震网病毒源自NSA，该机构却对此一如既往的保持沉默。在数字世界中，暗战几乎每天都在进行，外界却几乎无从知晓内幕。