铝业巨头遭勒索陷落至暗时刻，“老学校”破黑客彰显英雄本色

挪威海德鲁公司利用传真、便签纸和旧电脑战胜了网络犯罪分子。

图中人物：Michael Hammer，挪威海德鲁公司宾夕法尼亚州克雷索纳工厂的经理摄影：William Mebane，《彭博商业周刊》奥斯陆时间 2019 年 3 月 19 日午夜，铝业巨头挪威海德鲁公司（Norsk Hydro ASA）的电脑突然开始加密文件并集体离线。两小时后，海德鲁匈牙利分公司的一名工作人员才意识到大事不妙。他按照预设的安保程序关闭了整个公司的网络，包括公司网站、电子邮件系统、工资单系统等等。但此时巨额损失已成事实，海德鲁的 500 台服务器和 2,700 台个人电脑已经无法正常运转，员工电脑的屏幕上闪现着勒索留言。“你好！”字条开头写道，“贵公司的安全系统出现了重大漏洞。你们应该庆幸钻这个漏洞的人是专业人士而不是一群菜鸟，他们会因粗心大意或玩心大发而破坏掉所有数据。”字条还指示收件人发电邮到一个指定的地址，以进一步商量赎金问题，虽然金额未定，但黑客表示赎金必须用比特币支付；作为交换，黑客将提供一个密钥以扭转损失。作为一家大型跨国公司，海德鲁至少已意识到他们可能被黑客攻击了。该公司购买了网络保险，而且已经与“白帽黑客”（闯入自己的防御系统以检测其安全性的网络安全顾问）一起测试了公司的网络。“我不敢说我们能拦住国家安全局，”首席信息官 Jo De Vliegher 说，“但我们是一家安全设施齐全的公司。”

De Vliegher挪威海德鲁供图然而，如此齐全的措施并不足以抵御这次攻击。约 35,000 名员工被锁在了公司的网络之外，而海德鲁也不得不关闭了欧洲和美国的几家工厂。公司财报显示，这次攻击将最终导致超过 6000 万美元的损失，远远超过保险单迄今赔付的 360万美元。调查此次事故的检察官称，这是挪威历史上最严重的网络攻击事件。尽管如此，海德鲁从来没有想过支付赎金，因为匿名黑客可能一拿到比特币就销声匿迹了。即使他们如约提供了密钥，而且密钥有效，支付赎金也会传递出一个信息：海德鲁是一个易于攻击的目标。这样一来，海德鲁以后会遭受更多的攻击和勒索。因此，De Vliegher 监督了公司运作的恢复工作，用旧 PC、传真机、便签纸和其他类似的工具临时处置危机。他的应急方案反映了安全顾问和执法官员经常提及的一个残酷事实：就算你千方百计地躲避网络攻击，也还是会让顽固的敌人得逞。换句话说，与其想应该怎样阻止黑客侵入，不如想在损失无法避免时及时止损，化险为夷。网络攻击当晚，De Vliegher 刚乘机抵达巴西贝伦市，那里有一个规模庞大的海德鲁分公司。他一听说电脑被加密了，就坐上最近一班飞机回国。当他回到海德鲁奥斯陆总部时，由五名微软专家组成的团队正在诊断问题，并想办法恢复公司的数据。员工们在门上贴了手写的纸条，警告其他人千万不要打开连接到公司网络的手机。海德鲁需要给客户、供应商、员工和投资人发出警告，但公司网站已经瘫痪了。于是在黑客攻击后的第二天上午 9 点 42分，通讯团队的一名员工用个人手机在公司的 Facebook 页面上发布了一条消息：“海德鲁目前遭受了网络攻击。若有最新情况，我司会发布在 Facebook 上。”接下来，海德鲁必须确保员工拿到了薪水。银行拒绝与海德鲁进行网络通信，因为他们担心不明病毒会通过受感染的网络传染给他们。巴西的发薪日还有两天就要到了，那里的 5,000 名员工正等着签收工资发票。De Vliegher 想出了一个办法：他从一个外部工资系统中复制了上个月的工资单，并剔除了在此期间被解雇或辞职的员工姓名。“这份名单的准确率达到 90%。”他说。

位于克雷索纳的海德鲁收发货地摄影：William Mebane，《彭博商业周刊》海德鲁各分公司在世界各地业务广泛，从巴西的铝土矿到挪威的水力发电（海德鲁“Hydro”因此而得名）均有涉足，但在美国宾夕法尼亚州克雷索纳，海德鲁的最大铝厂损失最为严重。克雷索纳工厂是美国政府在二战期间为生产武器用铝而建造的，它的锯齿形屋顶是为了迷惑敌方轰炸机，让他们以为自己看到的是湖面的水波。该工厂由 Michael Hammer 管理，自 25 年前担任工厂会计以来，他就一直在那里工作，见证了工厂几度易主（海德鲁在 2017 年收购了该厂）。3月18日宾州晚餐时分，Hammer 接到了负责风险管理的海德鲁副总裁的来电。“快让你的员工到工厂去，”他记得副总裁说，“在他们拔掉服务器插头之前，尽可能打印出你们的资料。”Hammer 以前也经历过短暂的停电。他想，也许有人把车撞到了路边电线上，估计不到几个小时工厂就恢复正常了。但他一到才发现事情不对劲。他看到员工们疯狂拔下电脑插头，接着就读到了勒索留言。“我甚至都不知道比特币是什么玩意儿。”他说。

克雷索纳工厂摄影：William Mebane，《彭博商业周刊》正常情况下，他的工厂有 1,180 名员工，每天 24 小时不间断运转，每年生产的铝成品超过 260 万磅。穿过厂房的人都能感受到熔炉的炙热扑面而来，在那里回收的金属被熔炼成为巨大圆筒。这些圆筒在加热后会被压进 60 磅重的圆形模具，变成窗框和地板等产品的部件，这个过程就像将橡皮泥推入饼干切割器中。该厂的客户包括特斯拉和福特。这种制造业诞生于计算机问世之前，但计算机使它更加复杂了。海德鲁有 5 万多个模具，并且使用软件来追踪正在生产的产品，指示员工应该从货架上挑选哪个模具。但现在由于无法获得客户订单，技工们不知道该生产什么。于是，海德鲁员工开始给客户打电话，要求他们发短信或写电邮将订单发送到个人电子邮件账户。在公司电邮系统瘫痪的情况下，工厂员工互相交换电话号码，通过群发短信进行沟通。

克雷索纳的“临时作战室”摄影：William Mebane，《彭博商业周刊》订单开始慢慢而纷纷地发了过来，车间工人只能查看每份订单的纸质副本，才知道该做什么。所幸工厂的仓库里有一批旧电脑，Hammer 将它们摆在“作战室”，用来打印表格。“我们去了史泰博（Staples，美国办公用品零售企业），把他们的打印机、纸张和墨盒几乎购买一空。”销售人员的电脑也被入侵了，所以他们无事可做，于是哈默让他们系上安全装备，给车间工人传送纸质订单。

网络瘫痪之后，纸质工作指令维持了工厂的正常运转摄影：William Mebane，《彭博商业周刊》第一周，Hammer 住在工厂里，偶尔在办公室的沙发上眯上一觉。他无法访问海德鲁的网络，也就无法向供应商支付月度账单，而他们也来电询问付款的去向。于是 Hammer 从柜子里拿出一台旧传真机，让供应商将付款明细传真过来，然后他再转发给海德鲁的银行，有传真机的供应商最先拿到了付款。Hammer 还在追查攻击了工厂并逃之夭夭的人到底是谁。“追查过程很费工夫，也很费时间，”他说，“我们这么痛苦全拜恶人所赐，这人根本就是个恐怖分子，而更恐怖的是他的姓名不详、样貌不明。你不知道他从哪里来，又是怎么到那儿的。"

Hammer摄影：William Mebane，《彭博商业周刊》没有人知道是谁攻击了海德鲁，但种种迹象指向了一个有组织的东欧网络犯罪集团，目前他们仍逍遥法外。该组织去年入侵了销售点系统并窃取了信用卡号码，登上了各大报纸头条，安全研究人员称之为 FIN6。FIN6 此前常索取价值数十万美元的比特币赎金。“FIN”意为“以金钱为目的（financially motivated）”，取这个名字是为了将它和其他军事黑客集团区分开来。FIN6的标志性武器是一种名为 LockerGoga 的病毒。该病毒以其恶意软件中的一个文件命名，有多达几十种变体。海德鲁认为攻击者在其网络中部署了不止一种，因此也更难从公司系统中清除出去。勒索软件黑客的侵入一般或多或少带有随机性，他们会利用一个能自我复制的蠕虫软件程序深入企业网络。但在海德鲁事件中，攻击者劫持了一封意大利客户的合法电子邮件，并对附件进行了修改，从而获得访问权限。12 月 5 日，这个附件一打开，恶意代码便开始执行，入侵者得以访问整个网络。但他们一直等到 3 月份才发动攻击。海德鲁不知道黑客是一开始就攻击了客户电脑，还是在邮件传输过程中进行了拦截和更改。海德鲁并不是第一家被 LockerGoga 病毒袭击的工业公司。2019 年 1 月，法国工程公司欧创科技（Altran Technologies SA）中招。同年，美国化工公司瀚森（Hexion Inc.）和迈图（Momentive Performance Materials Inc.）也收到了病毒副本。大型工业公司并不是过去常见的勒索软件攻击目标，因此一些计算机安全研究人员怀疑黑客攻击它们的目的是造成破坏，而不是勒索钱财。勒索病毒不仅加密了海德鲁的电脑，还更改了每个管理员的账户密码，然后注销了这些账户，并重新启动了电脑，因此员工很难看到赎金字条，也无法获知具体赎金金额和比特币钱包地址，只看到一个电子邮件地址。网络安全公司曼迪安特（Mandiant）的高级副总裁 Charles Carmakal 表示，FIN6 的确可能为了让挪威海德鲁高管更加被动才故弄玄虚。但挪威海德鲁总部表示，没有证据表明黑客想要的不是钱，而是其他东西。挪威国家刑事调查局克里波的调查人员仍在筛查来自黑客的海量数据。他们认为逮捕罪犯的可能性不大，因为网络犯罪集团使用加密的应用程序，并采取加密货币支付，这使窃听装置和搜查令等传统侦查工具毫无用武之地。除此之外，调查跨境犯罪的文书工作异常繁琐，警方要递交重重申请才能检索可能存储在外国服务器上的证据。“犯罪分子可以自由交流，执法人员却无法读取他们的对话。”领导此次调查的检察官 Knut Van Jostein 说。在海德鲁总部，应急小组花了好几周时间，把自己关在会议室里重建整个网络。组员们害怕黑客的再次入侵，因此处于高度戒备状态，连清洁人员也不能进会议室。De Vliegher 在奥斯陆接受采访说：“房间里乱糟糟的，但这是最安全的房间，所以我们不希望有人留下偷拍笔和麦克风之类的东西。”

图中设备连接了公司网络，为了提醒员工不要开机，上面贴着“禁止使用”标语摄影：William Mebane，《彭博商业周刊》海德鲁要恢复正常运转，首先要建立一个完全没有病毒的电脑安全区，并将其他确认安全的机器慢慢转移到新网络上。恢复进度相当缓慢，勒索事件三周后，海德鲁在全美总共只有四台电脑可用。法国的员工建立了一条临时装配线来组装未受感染的新电脑，并组成了“接力队伍”，将新电脑运送到欧洲各地。工人们开车到法国中部的加油站，将受感染的电脑换成安全的电脑。在奥斯陆以东的芒努尔工厂，住在附近的退休工人临时“出山”，帮忙打印和整理订单。海德鲁高管们很庆幸公司只损失了 6000 万美元。遭到攻击后那些至暗时日里，一些人担心他们会拖欠太多订单，整个公司会因此陷入低谷。“我们之所以走出困境，愈发强大，是因为有 3.5 万人无怨无悔地加班，牺牲了周末休息时间，干着其他岗位的活，”德·弗利格说，“但如果一个公司里没有人愿意这么干，那么这家公司也快倒闭了。”去年 9 月，《彭博商业周刊》的记者发现海德鲁公司一切基本恢复正常，但仍未完全恢复过来。在芒努尔，员工们仍无法访问控制生产线的软件。所幸一家产品类型相似的丹麦分厂幸免于难，那里的一名员工用U盘拷了一份程序副本，交给了芒努尔公司。芒努尔公司的电工身兼IT人员的职位，想办法安装了新的副本。虽然软件是丹麦语的，但它在芒努尔的工作表现也很不错。 END