6.全面战争

Company那一年末遭遇的勒索性攻击并非意外，而是源自一个严重的漏洞。Opsec建议Compnay秘密采取行动。攻击者应该已经知道自己未能窃取Company的数据。这个勒索软件只是采用了现成的模块，并不算复杂，大概是在被发现前的两三天刚刚实施的。

问题在于，这个勒索软件是如何渗透进来的。令Opsec惊讶的是，他很快发现这其实是一次大型攻击中附带的一场小型攻击——虽然这次大型的攻击活动直到当时才刚刚被发现，但距离攻击发生的时间已经过去整整一年。这次大型攻击才是真正的主角，但规模依然未知，但Company的网络其实早已被秘密控制。

Opsec发现，攻击者先是入侵了一家分包商，这是一家全球性的离岸支付处理商，专门处理各种信用卡交易。之后，他们便获得了这个网络的控制权，并通过一个合法后门进入了Company的网络。这次攻击堪称一件艺术品。攻击者专门为这项任务编写了软件，然后借助木马加载了很多恶意模块。而此次攻击之所以能够成功，很大程度上是因为Company为了提升运营效率而不顾Opsec的建议，忽视了网络安全问题。

攻击者的目的十分明确。首先，他们使用网络内的“反转点”来进一步隐藏自己的踪迹，然后潜入中央域名控制器，在那里获得了自己的管理员帐号，相当于破解了1亿个用户名和密码，然后便可在整个网络内推送软件包。

然后，攻击者进入了网络的“建设”系统，在这里，软件变动会被汇总起来，然后上传到内容分发网络，以供用户下载更新之用。通过这种方式，他们便可捆绑自己的软件包，并将其插入到常规流程中，有可能借此入侵7000万台PC。但他们当时并没有采取这一措施，而是在3台独立的网络电脑中安装了3个空的回调木马，使之原地待命，等待进一步的指令。Opsec和他的团队认定，攻击者是在为快速构建巨型僵尸网络打基础。

僵尸网络指的是大量受感染的电脑组成的非法网络，这些电脑表面看起来很正常，但实际上已经被黑客秘密控制，可以整合起来获得强大的计算能力。世界上最大的僵尸网络包含了数百万台电脑。

僵尸网络很久之前就已经诞生，虽然没有人知道具体活跃的僵尸网络有多少，但数字肯定很大。有的僵尸网络可以实现自我传播，但多数都需要主动（可能是无意的）下载。但无论如何，这都大大加强了暗网的力量。有些僵尸网络具有商业目的，在黑市上提供各种服务。还有的则归私人所有。

僵尸网络最简单的用途就是帮助黑客发动DoS攻击，迫使网站瘫痪。除此之外，它们还可用于执行各种各样的目的——身份盗窃、信用卡欺诈、银行欺诈、情报搜集、高速解码、企业间谍、商业破坏、基础设施攻击（包括工业控制网络、电话系统和互联网本身）。

通过网络攻击造成物理破坏的情况很罕见——伊朗离心机在2010年被震网病毒破坏；德国的一家炼钢厂也在2014年遭到破坏：乌克兰电网于2015年因为黑客攻击而停电——但只要是单一电脑能够造成的破坏，僵尸网络都可以实现更高的效率。

僵尸网络价值极大，但也可能非常短命，所以它们的创造者通常会在建设完成后尽快使用。正因如此，Company遭到的攻击才变得十分古怪。攻击者不遗余力地插入了木马，但却并没有采取进一步的行动。原因何在？

攻击者完全可以创造规模巨大的僵尸网络，如果他们借助同样的支付路径——他们很有可能已经这么做了——那就有可能创造迄今为止规模最大的僵尸网络，控制约2亿台电脑。

Opsec认为，攻击者唯一可能的目的就是提前埋伏，等到万不得已时再使用。这就像是一个为全面网络战争而准备的核武器。而整个世界似乎的确在向着这个方向发展。有人甚至认为，全球化的网络战争已经爆发，因为所有人都遭到了黑客入侵。

倘若不是因为这个勒索软件失败了，这一潜伏行动很有可能永远不会被人发现。Opsec认为，攻击者显然想要为自己赚点外快，所以才通过其主管团队之前开辟的路径发出了勒索要求，但却无意间暴露了整个行动。倘若此人身份泄露，他的未来恐怕不容乐观。

在谈到此次潜伏行动的未来时，Opsec很难进行推测。但他透露，美国国家安全局已经介入此事，只是没有直接毁掉这个僵尸网络，而是对其展开秘密监视，以便在必要时采取行动。

Opsec本人的应对方式则是另外一个问题。他表示，自己完全有能力入侵对手的网络，然后找到负责控制恶意软件的大脑，入侵他们的C2服务器，并了解其获取了哪些信息，再在基础设施中插入一条命令，让所有恶意软件自我删除。于是，这个僵尸网络就会毁灭。或者，作为礼物，他也可以把那个偷偷安装勒索软件的人的身份告知对方。

那么，Opsec是否这样做了呢？

“当然没有。”他说，因为这有违Company的政策。