神秘的“海莲花”

“海莲花”这个名字听起来很美很静，不容易引起人们的注意。但在信息安全界，海莲花却是个令人闻风丧胆的黑客组织。

FireEye是位于美国加州的一个信息安全公司，他们在研究了近期的黑客活动后，发现了一个神秘的组织——海莲花。海莲花的主要攻击对象是中国，从中国的教育网站、大学，到中国的政府部门网站和国企网站，海莲花都不放过。

海莲花的攻击方式有几种，一个是发带有木马的邮件，引诱人去点击下载。还有一种方法就是邮件里做一个假的网站，引诱人去输入真的用户名和密码。第三种方法叫做“水坑攻击”，它把一个常用的网站黑掉，让进入网站的人自动下载病毒。这个被黑掉的网站就是做出来的“水坑”，海莲花就这么蹲在水坑边上，等着人栽进来。

海莲花这个组织从2012年开始活跃，一直潜伏自己的行踪，难以知道它的背后到底有谁操控。FireEye发现，海莲花使用的病毒不是一般在市场上卖的，而是自己写的。自己写这些病毒需要投入大量的人力，和上百万的资金。

360追日团队给“海莲花”病毒配的图

在分析海莲花受害者的时候，FireEye惊奇地发现，海莲花除了攻击中国人以外，还攻击越南人。不过攻击中国的时候，目标常常是政府、高校、医院；而攻击越南的时候，目标往往是驻扎在越南的国外企业，越南的记者，还有在越南的民主人士。

海莲花对中国网站的伤害很大。奇虎360的天眼实验室曾对海莲花做过一个报告，认定海莲花为“境外黑客组织”，报告说它“对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击”。海莲花被360捕获的木马就有100余种，它攻击的对象遍布中国29个省和境外36个国家，被攻击最多的地区就是北京和天津。

最初，海莲花用的木马很简单，360很容易就把它们扫出来了。可到了2014年以后，海莲花学会了文件伪装、随机加密、自我销毁等技术，它们的木马越来越难识别了。

如此长时间、有组织、高技术、大规模的攻击，绝对不可能是某个黑客的恶作剧。种种蛛丝马迹把凶手指向了海莲花背后真正的凶手——越南政府。

奇虎360天眼实验室的“海莲花病毒评估报告”

越南政府攻击中国网络的原因主要是想窃取有关中国南海的情报，比如军舰的活动安排，建岛造礁的进程等等。越南称南海为“越南东海”，认为南海是越南的领海。近期中方在南海活动频繁，越南方面比较紧张。

用网络攻击来窃取情报，性价比最高。越南政府只需要在短时间内招募训练一些黑客来写病毒，就能得到价值上百万的军事信息。窃取情报还有几种传统手段，比如派驻身份为间谍的驻华大使，比如收买中国人为越南政府提供情报。可这些传统手段风险大，成本高。另外，越南训练间谍的经验，不如中国反间谍的经验丰富。在被逼无奈下，越南只能用“海莲花”这种组织来探听中国的一举一动。

越南外交部发言人黎氏秋恆（纽约时报图）

FireEye的报告一出，越南政府立刻和海莲花撇清了关系。越南外交部发言人黎氏秋恆（Lê Thị Thu Hằng）说FireEye的报告“毫无根据”。她称越南“并不允许任何针对平民和组织的网络攻击”。黎氏在一篇邮件声明中说，越南“谴责黑客行为，也会依法惩处一切网络攻击”。

不过虽然政府这么说，越南的新闻媒体却是另一个画风。不少新闻觉得越南对中国的网络攻击激动人心，让越南人颇有成就感。越南的“每日安全”网上，记者称赞越南的黑客“勇于向中国的欺凌说不”，并表示“中国对我们的霸凌是没有用的！”

朝鲜的“银行黑客”

比起越南人的明目张胆，朝鲜黑客显得就很小心翼翼，闷声大发财。

2017年，几家波兰银行受到大规模网络攻击。网络攻击的方式跟“海莲花”一样，也是邮件木马+水坑攻击。这次充当“水坑”的是波兰的金融管理机构网站。黑客把这个网站黑掉以后，任何来查波兰金融规定的银行家都会中毒。尽管几个粗心的波兰人中了招，波兰的这几家银行仍反应迅速，阻止了病毒的扩散。

事后，波兰人分析了黑客的行踪，发现凶手竟然是个朝鲜的黑客组织。朝鲜人这次针对了20家波兰银行，攻击规模巨大。除了这次攻击以外，朝鲜人还曾攻击墨西哥银行、乌拉圭银行、德意志银行美国分行、委内瑞拉银行、智利银行、捷克银行等等。朝鲜人也侵犯过世界银行和欧盟央行，估计是希望把这两个央行搞成“水坑”，让全世界的银行都中毒。

网络安全公司Symantec推测，一次针对孟加拉国银行的攻击可能也是朝鲜的黑客干的。当时孟加拉国银行的钱直接少了8100万。孟加拉国本来就不富裕，还被朝鲜人偷了一大笔钱。

万景台革命学院的一名朝鲜军官（纽约时报图）

有些读者可能会感到疑惑：朝鲜不是全国局域网吗？互联网都封了，怎么当黑客？

没错，朝鲜的确屏蔽了世界上绝大部分网站，只留了一些朝鲜政府的宣传网站。但朝鲜政府的黑客是可以随便上网的。韩国报告称，朝鲜官方早在上世纪90年代就开始培训黑客。在学校里，政府就会挑选计算机成绩优秀的孩子，培训成国家级战略黑客。从2009年开始，朝鲜的黑客力量就排在世界前列了。

朝鲜的黑客数量众多，超过1700人。除此以外，还有训练员、监督员、后勤部门约5000人，简直就是一个“黑客军团”。因为朝鲜的基建不好，所以网速很慢，朝鲜的黑客一般都在国外工作。他们藏身在中国、东南亚、欧洲，工作时身边都有一个监管人员防止他们叛变革命。

在朝鲜，当黑客是个令人羡慕的职业。他们能享受资本主义优渥的生活条件，还能随便上网。一旦完成了政府布置的任务，朝鲜的黑客就可以在闲暇时间去各处游玩儿。不过他们一般更喜欢坐在家里，做非法赌博网站，赚取巨额利润。

黑客和监管员有着深厚的友谊，因为赌博网站的利润他们可以一起分享，政府对此也是睁一只眼闭一只眼。

2011年，韩国一家银行被朝鲜黑客攻击。这次攻击的方法很巧妙：朝鲜人先是把病毒植入一个电脑维修工的电脑，然后暗中观察。等到维修工来修理韩国银行服务器的时候，把病毒感染到银行。

在韩国人进行事后取证的过程中，取证人员被朝鲜黑客的认真态度所折服。这个朝鲜黑客连续几天昼夜不停地观察着那个维修工的电脑。就在维修工把电脑接入银行服务器的一瞬间，黑客激活了病毒。如此耐心，如此果断，令韩国警方都自叹不如。

“朝鲜人早期只是在网络上搞破坏，试图在韩国社会中引起困惑，”首尔大学信息安全学院教授金城桥说，“现在他们变成偷钱了。朝鲜主要攻击外国银行和企业，然后获得巨额收入。原因很简单，美国的禁运政策让朝鲜很缺钱。”

朝鲜黑客一直走在科技的前沿，最近跟风玩儿起了网络勒索（Ransomware）。朝鲜黑客在2016年7月神不知鬼不觉地偷走了韩国购物网站Interpark的一千万用户数据，然后发邮件勒索270万美元。Interpark一分钱没交，立刻报了警。最后经调查，这些黑客都来自于朝鲜国家侦查总署。

微软的“网络日内瓦公约”

以上两个例子仅是冰山一角，政府资助的黑客攻击还有太多太多。

2016和2017年，俄罗斯为了影响美国大选和法国的结果，对大选候选人的邮箱进行过攻击，并把邮箱内容公之于众。事后普京狡辩说，这些攻击是“俄罗斯的爱国人士干的“，并不是政府干的。

2015年，朝鲜政府被电影“刺杀金正恩”激怒，盗窃并发布了索尼的未上映影片。索尼影视立刻撤回了“刺杀金正恩”，再也不敢放映。

2007年，爱沙尼亚政府计划拆除苏联时代的纪念铜像，激怒了俄罗斯。爱沙尼亚总统和议会网站、政府各部门、各政党、六大新闻机构中的三家、最大两家银行以及通讯公司均被俄罗斯黑客攻击致瘫痪。这次事件被军事家称为“史上第一场网络战争”。

FireEye公司的网络攻击地图，每时每刻都有国家间的黑客对决。

政府资助的黑客攻击，受害者不仅是各国政府，还有大量企业和平民百姓。越南的海莲花和朝鲜侦查总署，每次都是一黑黑一片，根本不管受害者是不是军事目标。有专家推测，到2020年时，全球因为黑客攻击导致的经济损失将达到3万亿。这3万亿的损失，全球的无辜百姓也要一起承担。

没有哪个人可以完全抵挡政府资助的黑客攻击，因力量对比太过悬殊。攻击者是几千人的黑客军团，防守方是几十个人的公司信息安全部门，或者是完全不懂编程的平民百姓。政府针对企业和平民的网络攻击，完全称不上是“网络战争”，只能叫做“网络屠杀”。

微软董事会主席布拉德·史密斯（Brad Smith）在2017年RSA论坛上呼吁“网络日内瓦公约”

http://www.bankinfosecurity.com/microsoft-legal-chief-advocates-digital-geneva-convention-a-9712

2017年的RSA论坛上，微软董事会主席布拉德·史密斯（Brad Smith）尖锐地提出，网络安全最大的威胁，是各国政府资助的网络攻击（Nation State Attacks）。

“网络成了新的战场”，史密斯讲到，“而我们互联网公司就是战场的第一反应人。”

“每个公司都有一个什么都敢点的员工，这也是为什么邮件木马永远防不胜防。90%的网络攻击都是由邮件木马引起，所以我们微软的防护重点就在邮件扫描和杀毒。可这个远远不够，各国政府永远都会设法越过我们的防火墙。”

“国家级网络攻击，是在和平年代对平民的网络攻击。这就是为什么我们需要一个‘网络日内瓦公约’（Digital Geneva Convention）。”

日内瓦公约的精神，是防止军队在战时对百姓有针对性地袭击。而布拉德·史密斯希望，把日内瓦公约扩大范围，让平民和企业避免称为网络战争的受害者。

布拉德·史密斯的“网络日内瓦公约”内容

布拉德·史密斯的“网络日内瓦公约”一共有六条：

1. 各国政府不能袭击私人公司和关键基础设施。

2. 政府须协助互联网公司侦查、控制、应对袭击，协助袭击灾后重建。

3. 政府若发现漏洞，须公之于众，不能据此私自囤积、利用、售卖病毒。

4. 各国的网络攻击武器必须精确、一次性，使用要有限制。

5. 各国须保证网络攻击武器不扩散。

6. 限制攻击规模，避免大规模平民伤害。

这六条公约或许太理想了，可布拉德·史密斯对此却很有信心。布拉德·史密斯认为，这些公约的内容各国已经达成共识，现在缺少的只是监管机构。他希望各国协助成立一个国际互联网监管机构。这个机构有各国各行业的代表，主要目标是防止网络病毒的扩散和蔓延。

“1949年，各国政府携手签署了日内瓦公约，意在保护平民不受战争伤害。2015年联合国20个成员国承认了美国制定的互联网公约。同年，中美双方同意，双方不再进行网络盗窃。”

布拉德相信，互联网不会在国与国之间筑起高墙。

“IT产业是最国际化的产业。我们微软西雅图总部的员工来自超过100个国家，我们的微软产品遍及全球各地。”布拉德在RSA论坛上讲到，“在今天，在这个民族主义在各国崛起的年代，我们希望互联网产业将成为商业界的中立国瑞士，不受大国的波及，成为可以依赖的一片乐土。”

参考资料

• The need for a Digital Geneva Convention https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/#sm.0000dgari41ejbcrpr8g88hg2ahfx

• Microsoft Is Right: We Need a Digital Geneva Convention https://www.wired.com/2017/05/microsoft-right-need-digital-geneva-convention/

• Hacker Trung Quốc phủ nhận cáo buộc tấn công website Vietnam Airlines http://tinhhoa.net/hacker-trung-quoc-phu-nhan-cao-buoc-tan-cong-website-vietnam-airlines.html

• Hàng trăm hacker thế giới tấn công Trung Quốc http://securitydaily.net/hang-tram-hacker-the-gioi-tan-cong-trung-quoc/

• North Korea’s Rising Ambition Seen in Bid to Breach Global Banks https://www.nytimes.com/2017/03/25/technology/north-korea-hackers-global-banks.html