petya勒索軟體開始看起來像是偽裝的網路攻擊

昨天大規模勒索軟體襲擊的陰霾正在散去，烏克蘭已經成為破壞的中心。卡巴斯基實驗室報告說，多達60%的被Petya勒索軟體感染的系統位於烏克蘭境內，遠遠超過其他任何地方。駭客攻擊的範圍觸及了該國一些最關鍵的基礎設施，包括央行、機場、地鐵運輸，甚至切爾諾貝利發電廠，後者被迫將輻射感應系統改為手動。...

昨天大規模勒索軟體襲擊的陰霾正在散去，烏克蘭已經成為破壞的中心。卡巴斯基實驗室報告說，多達60%的被Petya勒索軟體感染的系統位於烏克蘭境內，遠遠超過其他任何地方。駭客攻擊的範圍觸及了該國一些最關鍵的基礎設施，包括央行、機場、地鐵運輸，甚至切爾諾貝利發電廠，後者被迫將輻射感應系統改為手動。

所有這些損失錶面上的目的是為了賺錢，但卻幾乎找不到錢。大多數勒索軟體在雷達下飛行，悄悄地收集公司急於得到他們的資料回來，並解密系統付款進來。但Petya似乎無法解密受感染的機器，而且它的支付方法異常複雜，暗示著一個電子郵件地址，幾乎在惡意軟體登上頭條時就被關閉了。截至今天上午，與此次攻擊有關的比特幣錢包僅收到1萬美元，按照勒索軟體的標準，這是一筆相對微薄的支出。

這引出了一個令人不安的問題：如果錢不是重點呢？如果襲擊者只是想給烏克蘭造成損失呢？這不是中國第一次遭受網路攻擊(這些攻擊通常歸咎於俄羅斯。）但這將是第一次以勒索軟體為幌子的此類攻擊，並嚴重波及其他國家和公司。

由於該病毒在烏克蘭已被證明具有非同尋常的破壞性，一些研究人員開始懷疑更多的險惡動機在起作用。今天，Comae的Matthieu Suiche在一篇博文中分析了該程式解密失敗的原因，得出結論：民族國家攻擊是唯一合理的解釋“假裝是勒索軟體而實際上是民族國家的攻擊，”Suiche寫道，“在我們看來，攻擊者控制攻擊敘述的方式非常微妙。”

另一位著名的infosec人士更直言：“這他媽的不可能是罪犯。”

已經有越來越多的證據表明，佩蒂婭對烏克蘭的關註是故意的。佩蒂亞病毒非常擅長在網路中傳播，但最初的攻擊僅限於少數特定感染，所有這些似乎都是針對烏克蘭的。最引人註目的一個是烏克蘭的一個名為MeDoc的會計程式，該程式在週二早上發出了一個可疑的軟體更新，許多研究人員將最初的Petya感染歸咎於此。卡巴斯基的一位研究人員稱，攻擊者還在烏克蘭一家著名新聞機構的主頁上植入了惡意軟體。

在每一個案例中，感染者似乎都特別針對烏克蘭最重要的機構，而不是更廣泛地試圖尋找利潤豐厚的勒索軟體目標。這些最初的感染尤其能說明問題，因為它們是由啟動惡意軟體的人直接選擇的。計算機病毒的傳播距離往往超出其創造者的預期，一旦Petya逍遙法外，攻擊者就無法控制病毒的傳播距離。但襲擊者完全控制了他們最初種植佩蒂亞的地點。他們選擇在烏克蘭一些最核心的機構附近種植。

更廣泛的政治背景使俄羅斯成為一個可行的嫌疑人。自2014年前總統亞努科維奇下臺以來，俄羅斯一直在烏克蘭進行積極的軍事幹預。這包括吞併克裡米亞和在該國東部地區積極調動軍隊和裝備，但也包括一些更微妙的活動。2015年12月，烏克蘭電網遭到網路攻擊，這一攻擊被許多人解讀為俄羅斯針對該國基礎設施的混合攻擊的一部分。這種混合戰爭理論延伸到更為傳統的遊擊隊襲擊：就在佩蒂亞破壞網路基礎設施的同一天，烏克蘭上校馬克西姆·沙波瓦爾在基輔被汽車**襲擊身亡。

所有這些證據仍然是間接的，昨天的襲擊和任何一個民族國家之間都沒有必然聯絡。這可能是烏克蘭僅僅提出了一個軟目標，而攻擊者只是出於粗心大意而搞砸了他們的支付和解密系統。不管有沒有功能，涉案軟體仍然與傳統勒索軟體系統有著緊密的聯絡，即使攻擊者沒有從勒索款中賺到多少錢，Petya仍在從受感染的機器收集憑據和其他資料，這些資料可能是未來攻擊的寶貴素材。這使得像F-Secure的肖恩·沙利文（Sean Sullivan）這樣的研究人員推遲了民族國家的懷疑。”也許他們從金錢的角度出發有多種方式，但我認為歸根結底還是與金錢有關老虎的紋路是不會變的。”

不過，普通罪犯和國家工作人員之間的界限可能很難分析。最近，雅虎駭客案的一份起訴書指控俄羅斯官員與自由職業駭客並肩作戰，分工往往不明確。罪犯可以作為私掠者入伍，或者特工可以採取犯罪手段偽裝自己。如果佩蒂亞周圍的猜疑是正確的，那麼這條線可能會越來越細，因為跨越全球的攻擊在戰爭的迷霧中迷失了方向。由於沒有明確的歸屬途徑，我們可能永遠無法證明誰對本週的襲擊負責，或者他們希望實現什麼目標。對於任何一個挖出一個用磚塊砌成的電腦系統的人來說，這種乾凈的逃跑是雪上加霜。