勒索病毒拷问②｜警惕！勒索病毒获利颇丰或招来更多网络攻击

【编者按】

上周末席卷全球的“勒索”病毒——电脑蠕虫病毒——至少让150个国家的企业、医院，甚至是政府机构受到感染，网络安全问题一时间再度引发全球关注。欧洲刑警组织负责人将其称为一次前所未见的攻击，在全球的波及范围史无前例。

短短的两天时间里究竟发生了什么？跨越“网络战”的模糊边界了吗？谁是幕后黑手？美国的网络武器真是“元凶”？是技术漏洞，还是监管不力？各国在网络安全威胁上的应对得力吗？暴露了社会大众的网络安全意识薄弱？这场病毒会持续多久，未来发生的频率会不会提升？

带着这一系列重要的待解谜团，澎湃国际栏目推出“勒索病毒拷问”系列报道，通过与国内外知名网络安全公司、专家学者及重要国际机构的采访，深入评估、探索这场网络病毒爆发的原因、影响、教训和启示。

一场覆盖全球的网络病毒攻击，让普通人实实在在地感受到了网络安全的重要性。然而，这一切可能还只是开始。

全球最大的互联网安保企业赛门铁克公司大中华区首席运营官罗少辉（Victor Law）告诉澎湃新闻（www.thepaper.cn），由于勒索病毒在网络犯罪中获利颇丰，因此类似的网络攻击在未来将持续；同时，勒索病毒的利润正在吸引更多的网络犯罪。

根据该机构的研究，全球范围内，勒索攻击在2016年发生了463841起，在2015年是340665起，同比增长了36%；人均损失在2016年高达1077美元，同样的数据在2015年仅294美元，增长了266%。在2016年，赛门铁克发现超过100个新的恶意软件发布出来，这数量超过了以前的三倍。

在业内人士看来，5月12日席卷全球多国的勒索病毒的影响范围和影响力“将载入史册”，但这也并非不可避免。

“这次勒索病毒席卷全球的教训是深刻的，政府、企业、社会机构和个人都要从这次大规模攻击中吸取教训。”安天实验室的主要创始人兼首席技术架构师肖新光对澎湃新闻表示。

微软公司说，世界各国政府应把此次攻击事件视为警报。

“这种攻击会变得越来越频繁”

“在个人层面，此次攻击事件暴露了很多普通大众网络安全意识和知识都比较薄弱，不及时安装补丁、漠视杀毒软件升级等现象还是比较常见，因此，普通大众一定要提高网络安全的意识，网络攻击无处不在，甚至网络战都离我们不远。”安天实验室的主要创始人兼首席技术架构师肖新光认为。

相比于个人，引发更广泛关注的是，一些政府机构、企业和教育机构的内网也遭遇了大面积的感染。赛门铁克公司大中华区首席运营官罗少辉认为，这次勒索病毒攻击突出的一点是，即便是网络安全防护良好的机构也会落入刻意准备的袭击陷阱中。

但澳大利亚新南威尔士大学教授、澳大利亚网络安全中心成员克雷格·奥斯汀（Greg Austin）认为，在减缓病毒感染方面，政府所能发挥的作用很有限。“作用仅限于对人们和机构做出警告，以及协调信息的收集。（病毒）一旦被释放，这种勒索攻击在足够长的时间内是不可阻挡的，（例如这一次）超过30万台独立电脑或者网络受到感染。”他告诉澎湃新闻。

在此之前，多个网络安全机构表示，人们原本有两次机会可以避免遭到这次勒索病毒的攻击。

3月14日，微软发布安全公告MS17-010，Microsoft Windows SMB服务器安全更新(4013389)，等级为严重。漏洞说明是：如果攻击者向Windows SMBv1服务器发送特殊设计的消息，那么其中最严重的漏洞可能允许远程执行代码。

一个月后，影子经纪人（Shadow Brokers）对外公布了从美国国家安全局（NSA）盗取的多个Windows渗透工具。此次用于攻击的勒索蠕虫攻击代码部分即基于这些攻击武器库中的“永恒之蓝”升级而来，这也未能引起人们的太多关注。

据悉，这款蠕虫勒索式恶意软件除Windows 10系统外，所有未及时安装MS17-010补丁的Windows系统都可能被攻击。肖新光表示，尽管有些网络号称是隔离网络，但实际上由于这些内网规模较大，若要承载起任务，必然有大量人员、设备、信息的交换，事实上很难做到真正的隔离。但恰恰因为采用了所谓的隔离或内网策略，很可能出现没有按时补丁升级、主机策略优化等防范措施没做到位的情况，只要一个节点被攻击后，病毒就会大规模在内网扩散。

“这次袭击有一个特点，就是某个网络的一个节点攻击成功后，这个网络内的计算机就很快被感染。”他说。

在5月12日勒索病毒爆发三天之后，外界将关注度瞄准了袭击背后的嫌疑国家行为体。赛门铁克(Symantec)的安全专家发现这种勒索软件的早期版本所用的一些工具，曾被用于攻击索尼影业，还曾在去年被用于攻击孟加拉国央行，在今年2月被用于攻击波兰的一家银行。但该机构的研究人员也表示，这些线索远远谈不上具有决定性，可能要再过数周乃至数月，调查人员才会对它们的结论有足够的信心。

“没有办法预测这次攻击会持续多久，或者什么时候会再次发生。要阻止攻击就必须逮捕刑事责任人，查获他们的电脑。这种攻击会变得越来越频繁。”克雷格·奥斯汀说。

不过，奥斯汀也表示这轮网络攻击创造了国与国之间不同寻常的合作，例如中国和美国，以及欧盟。这将会是更紧密合作的有用的基础，但是在主要国家之间的网络空间仍然存在非常紧张的关系。

美国网络武器中粗糙的衍生品

从目前信息来看，勒索病毒的目标主要还是指向谋利，未提出政治诉求，而从目前造成的物理损害和严重程度来看，此次袭击尚未与网络恐怖主义挂起钩来。

“像交通、医院、电力等比较特殊的行业，如果遭受以制造混乱为目的的攻击，出现人员伤亡也不是不可能的。”网络安全研究学者、上海国际问题研究院全球治理研究所副研究员鲁传颖告诉澎湃新闻说。事实上，此次勒索病毒攻击了英国数十家医院，在国内，医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

所谓网络恐怖主义，必须包括几大基本要素：行为者抱有明确的政治目的、把信息网络作为攻击目标、采用暴力手段、目的是要引发社会恐慌。1997年，美国加州情报与安全研究所首度提出“网络恐怖主义”一词，认为它是“网络与恐怖主义相结合的产物。”美国政府此前公布的一份国家安全报告认为，21世纪对美国国家安全威胁最严重的是网络恐怖主义。

而随着网络武器化趋势的加剧，物理破坏的一面也不再只存在于想象之中，美国国家安全局前雇员斯诺登就证实了美国使用网络武器攻击伊朗核设施的事例。2009年，奥巴马政府下令使用代号为“震网”的病毒攻击伊朗核设施，病毒爆发后，控制并破坏了伊朗核设施的关键设备——离心机，造成1000多台离心机永久性物理损害。

与网络武器物理攻击关系更为密切的是近年来风头正劲的物联网。“目前，物联网是一个比较时髦的名词，但是物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展的网络。此次勒索病毒大范围攻击警示我们，物联网的信息安全应该更加重视，因为黑客已经展示了通过网络手段控制物理硬件的能力。”网络安全研究学者、国防科技大学人文与社会科学学院副教授刘杨钺15日向澎湃新闻表示。

对于这款被广泛认为由美国网络武器库流出的勒索病毒，一位不愿透露姓名的中国网络安全分析师向澎湃新闻指出，这只是美国网络武器库中比较粗糙武器的衍生品，如果是战时，网络攻击的猛烈程度将是此次勒索病毒攻击的几倍甚至十几倍，破坏程度也会远远超过勒索病毒。

但美国官方否认是勒索病毒的源头。15日在美国白宫的新闻发布会上，美国国家安全顾问汤姆.波塞特说，“勒索赎金的代码不是由美国国家安全局（NSA）的工具开发出来的，这种工具是由犯罪方开发的，也就是潜在的罪犯或外国国家。”