臺積電病毒事件的兇手是誰？

8月，正是全球工廠都開足馬力，為旺季備貨的關(guān)鍵時候，而一場突如其來的病毒事件，讓全球最大的芯片代工廠臺積電，在臺灣的北、中、南三大廠區(qū)停擺了兩三天。

24小時晝夜不停的產(chǎn)線一旦停擺，麻煩立馬浮現(xiàn)。

01一場“地震”損失10億

有人說，臺積電打了個噴嚏，蘋果可能就得感冒。臺積電正在為蘋果9月發(fā)布的新iPhone手機的芯片趕工。事實上，經(jīng)過幾年的考驗和折騰后，臺積電才被蘋果欽點。今年1月，蘋果拖到最后才對外宣布，把自己的iPhone處理器全部交給臺積電獨家生產(chǎn)。捧著燙手訂單沒半年，臺積電就逢此一難。

除了蘋果，全球最知名的芯片大廠，像華為旗下海思半導(dǎo)體、因人工智能大熱的英偉達、手機芯片巨頭高通、因挖礦機賺得盆滿缽滿的比特大陸，都是臺積電的客戶。有統(tǒng)計說，臺積電的營收占據(jù)整個芯片代工制造的56%，特別是在高端芯片上，更是占據(jù)了70%。臺積電可是芯片產(chǎn)業(yè)的一個基石。

除了生產(chǎn)延遲，還有我們普通人無法想象的麻煩。

芯片工廠的生產(chǎn)線類似醫(yī)院的手術(shù)室，都處于“真空狀態(tài)”，要11個9的潔凈度，才能保障芯片的良品率。這樣優(yōu)越條件下生產(chǎn)的東西，你就不難想象，一顆英偉達25毫米*25毫米大小的芯片，可以賣到幾萬美元。

“11個9是個什么概念呢?北京菜市口百貨和上海老廟賣的黃金，是4個9的純度”，芯片設(shè)備專家莫大康對AI財經(jīng)社打比方說，工廠一旦停工，大氣進入設(shè)備和廠房，清理工作將變得很復(fù)雜。

這樣看來，這場事故的損失是綜合性的。臺積電預(yù)計，事故將讓公司第三季的營收損失百分之二，毛利率損失約一個百分點。臺積電此前展望，第三季度營收84.5億-85.5億美元，營業(yè)毛利率48%-50%。照此計算，它將減少1.69億-1.71億美元的收入，折合人民幣大約10億元。

這些年，病毒事件的影響越來越超乎老百姓的想象了，2010年，美國和以色列用病毒癱瘓了伊朗的鈾濃縮廠，使伊朗核計劃就此擱淺。2015年，烏克蘭大面積斷電，在圣誕夜舉國陷入黑暗。黑客事先研究了烏克蘭電網(wǎng)，策劃了一次“完美”的攻擊。2017年，法國雷諾、日本的日產(chǎn)和本田工廠，受到病毒感染相繼停工。

這次臺積電事故，讓人聯(lián)想起幾年前泰國洪水和日本地震沖擊了全球供應(yīng)鏈。從某種意義上說，病毒可能將被認為是“一場新地震”。

02誰干的?

誰攻擊了臺積電?流言在第一時間就甚囂塵上。

“是不是要打壓臺積電的股價?”“是不是黑客針對性的行動?”“有沒有勒索?””會不會是內(nèi)鬼?”

就在病毒事件后，臺積電在臺灣證劵交易所內(nèi)的說明會上，現(xiàn)場記者最關(guān)注的就是——這是誰干的?他或她的目的到底是什么?

各種陰謀論隨之而來。有人猜測，臺積電的競爭對手三星最有嫌疑，畢竟幾個月前臺積電是從三星手里硬生生地把iPhone大單搶跑了。要知道為了蘋果這一單，三星特地跑到美國開了工廠，當年還是三星太子的李在镕多次專程赴美，與喬布斯和庫克建立“深厚友誼”。

也有人懷疑是蘋果和華為的友商。每年8月正是蘋果最緊張的備貨期，華為的Mate旗艦機也要在第四季度發(fā)布了，處理器延誤肯定要影響手機新品發(fā)布。

有人甚至想到了美國情報組織。前一陣的中美芯片大戰(zhàn)，就是圍繞禁運芯片角力。

難怪臺積電總裁魏哲家親自“上陣救火”。在連環(huán)發(fā)問下，魏哲家不得不一遍又一遍地解釋，這既不是外部攻擊，也不是內(nèi)鬼，還不涉及勒索，這就是自家工廠人員操作不按規(guī)范，造成的烏龍事件。

原來事情是這樣的，臺積電的某個工廠安裝新設(shè)備，沒成想，新設(shè)備內(nèi)潛藏著病毒。而偏偏臺積電員工未按照操作規(guī)范，與內(nèi)網(wǎng)隔離開殺毒，連著網(wǎng)就開啟了查殺病毒的程序。

由于臺積電所有設(shè)備都聯(lián)著網(wǎng)，病毒由此感染了三個工廠的全部設(shè)備，被感染設(shè)備宕機或重復(fù)開機，工廠被迫停工。

“沒有人綁架，這純粹是我們自己的一個疏忽。”魏哲家不認為這是針對臺積電的攻擊，盡管他也回應(yīng)說，新設(shè)備中有病毒絕非正常情況。

所幸的是，病毒并不具備對電腦文件的加密勒索功能。這讓臺積電能快速恢復(fù)生產(chǎn)。

事實上，企業(yè)安全人士反而對這次臺積電的快速處理贊不絕口。要知道，法國雷諾去年被病毒攻擊后，停工整整一個月。但臺積電很快切換到備用生產(chǎn)系統(tǒng)。360工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理李航透露，這套架構(gòu)的設(shè)計，得益于今年2月剛退休的安全架構(gòu)師左小川。

03潘多拉魔盒

讓臺積電停產(chǎn)的，正是去年肆虐全球的WannaCry的變種病毒。在消聲匿跡一年后，它又重回熱搜榜。

WannaCry是什么?有人比喻說，它就像一個網(wǎng)絡(luò)世界的核彈，但發(fā)射器被交到了民間。在它核爆以前，外界甚至不相信有這樣的大殺器存在。

去年5月，WannaCry被第一次放出籠子后，僅僅5個小時，就攻陷了全球99個國家的上萬臺電腦。俄羅斯、英國、歐洲、中國的企業(yè)、校園和政府機構(gòu)網(wǎng)絡(luò)均出現(xiàn)故障。“現(xiàn)在只是冰山一角，接下去會愈演愈烈。”前任以色列軍方網(wǎng)絡(luò)安全情報官 Zohar Pinhasi 告誡說，這就是讓小罪犯得到大規(guī)模殺傷性武器的后果。

這次核武器泄露始于一次黑客行動。早些時候，一個黑客組織“影子經(jīng)紀人”，聲稱入侵了“黑客方程式組織(Equation Group)”，并竊取到大量文件。

當時，沒有幾個人相信。因為“黑客方程式組織”幾乎是一個傳說。它是美國國家安全局(NSA)內(nèi)的一個機構(gòu)，專門尋找各類系統(tǒng)的“高價值漏洞”。這些漏洞還沒人發(fā)現(xiàn)過，更沒有補丁修復(fù)。它們就像暗道，能悄悄通到網(wǎng)絡(luò)世界各處的隱秘角落，發(fā)動突然襲擊。

這個組織的技術(shù)“超越任何已知情報”。甚至有分析稱，2001年，美國和以色列聯(lián)合攻擊伊朗核設(shè)施時，所用的震網(wǎng)病毒Stuxnet就源自他們。當時，這種“專攻軍用級漏洞”的神秘組織也一度被認為是杜撰。

但影子經(jīng)紀人信心滿滿，決定拍賣這些偷來的“漏洞”，大發(fā)一筆橫財。他們放出了兩份文件，一份價值較低，掛在網(wǎng)上免費展示。另一份標價100萬個比特幣競拍，也就是當時的5.78億美元。

誰會花近6億美元買一件傳說中的寶物?兩個月后，這份文件仍無人問津。黑客決定降價到1萬個比特幣。再后來，他們不斷降價甩賣，被全世界都當作了笑話。沒人知道，自己錯過了一份可能黑掉全世界的武器。

2017年4月，憤怒的黑客決定，公開其中數(shù)十個漏洞，讓人們瞧瞧厲害。這些漏洞被掛在全球開源項目平臺GitHub上，供所有人免費瀏覽。“永恒之藍”漏洞就在其中。

人們第一次發(fā)現(xiàn)，漏洞是真的。永恒之藍是針對Windows的漏洞，盡管微軟在去年3月趕緊發(fā)布了補丁，但大部分人并未重視，更何況還有7%的電腦在用XP系統(tǒng)，已被停止維護。永恒之藍覆蓋多個Windows版本，時間跨度超過十年。這樣的大殺器一代人也難得一見。

很快，漏洞被改造成“蠕蟲病毒”，像個蟲一樣在網(wǎng)絡(luò)當中自行爬動、繁衍、傳播，這讓病毒的擴散比之前的釣魚郵件可要快多了。“蠕蟲病毒”再與早先存在的一款勒索軟件結(jié)合，就變成了WannaCry。

2017年5月12日，人們打開電腦，發(fā)現(xiàn)桌面文件被加密，再也打不開。屏幕上只有一個血紅的窗口，告訴你：打錢。

WannaCry爆發(fā)了。

英國16家醫(yī)院首先淪陷，醫(yī)療系統(tǒng)癱瘓，大量手術(shù)被迫取消。5個小時內(nèi)，德國鐵道系統(tǒng)、印尼醫(yī)院、印度警察局、羅馬尼亞外交部、俄羅斯內(nèi)政部、法國雷諾汽車、中國的大學，這些豪不相干的名字第一次一起滾動在同一個視頻報道中。

最終，WannaCry蔓延到全世界，只有“無網(wǎng)之國”朝鮮是一片凈土。病毒攻擊4天內(nèi)，全球累計損失超過80億美元。

人們的第一反應(yīng)是互相指責。微軟負責法務(wù)的總裁稱，美國國家安全局(NSA)發(fā)現(xiàn)了漏洞卻隱瞞不報，私下囤積漏洞才釀成慘劇。NSA則指責黑客，我們只是發(fā)現(xiàn)了漏洞，又沒有直接開發(fā)攻擊代碼。

很快，他們決定一起甩鍋給朝鮮。他們說，這次病毒的代碼與朝鮮黑客團隊“拉撒路組”出奇地相似。美國政府甚至要求，所有“可靠的國家”聯(lián)合反擊朝鮮，還要求聯(lián)合國安理會對朝鮮實施制裁。

在大機構(gòu)互相甩鍋時，一個英國小哥卻意外拯救了世界。22歲的Marcus Hutchins發(fā)現(xiàn)，被病毒感染的計算機，會反復(fù)訪問一個域名。奇怪的是，這個域名并不存在。他出于好奇心注冊了這個域名，然后全世界的WannaCry突然停止了傳播。

原來，這是黑客給這個病毒設(shè)定的一個“自殺開關(guān)”：如果病毒能訪問這個域名，獲得回傳的數(shù)據(jù)包，就停止感染下一臺電腦?？磥?，黑客也心虛，怕事件像僵尸或生化危機一樣，發(fā)展到難以控制的地步。公布此事后，Marcus Hutchins被奉為全民英雄，Twitter上暴漲3萬粉絲。

諷刺的是，這個救世主3個月后被捕了。他去參加世界黑客大會Defcon，在回國途中被英國警方抓獲。理由是他自己就是黑客，曾開發(fā)了針對銀行系統(tǒng)的木馬病毒。

在這場災(zāi)難中，中國其實是幸運兒。事發(fā)時，超過22個省的運營商在使用一種“錯誤域名重定向”的系統(tǒng)。它原本為阻攔釣魚網(wǎng)站而設(shè)計，當用戶訪問不存在的域名時，會被引導(dǎo)到預(yù)設(shè)的網(wǎng)址。由此，病毒就獲得了返回數(shù)據(jù)包，停止攻擊下一臺電腦。在中國，疫情并未像國外一樣蔓延。

讓黑客掉淚的是，盡管造成80億美元的損失，他們卻只收到14萬美元贖金。比特幣被打到3個錢包地址，因數(shù)量太少很容易追蹤，無數(shù)執(zhí)法機構(gòu)在盯著資金流向。到了末期，黑客甚至銷聲匿跡，“給錢也不要了”。

也許攻擊者的目的不是為了錢?也有人猜測，推動比特幣價格暴漲才是這次事件發(fā)動的真實動機。在去年5月12日當天，比特幣僅1800美元一枚，到了年底已世人皆知，賣到1.3萬美元一個，年內(nèi)最高還漲到過1.8萬美元，暴漲9倍。

在這場攻擊背后，或許比特幣的莊家們才是最大贏家。

04攻擊還會蔓延嗎?

臺積電病毒事故后，無數(shù)工廠跑到安全廠商那里咨詢：這種企業(yè)攻擊會蔓延嗎?

答案是兩面的。“針對個人的勒索已賺不到錢，但企業(yè)生產(chǎn)中斷是大事，很愿意破財免災(zāi)。”一位資深信息安全專家對AI財經(jīng)社說，如今的黑客肯定把企業(yè)放在攻擊的第一位。

戲劇化的是，企業(yè)最初苦惱的，甚至不是被勒索，而是到哪兒去買比特幣。“后來，淘寶上能買比特幣了。再后來，都有一條龍服務(wù)了：不僅幫你買幣，還幫你去暗網(wǎng)聯(lián)系黑客，一手交錢，一手了事。”

但另外一面，針對企業(yè)的攻擊并不會愈演愈烈。

通常，黑客并不想把事情搞大，一次勒索三五萬，就像養(yǎng)羊一樣不會趕盡殺絕。

真正“良心”的勒索攻擊，根本不會鬧得沸沸揚揚。有業(yè)內(nèi)人士指出，大規(guī)模的自動感染病毒爆發(fā)很少見，上次可能還是2008年。“以前是為了炫技，現(xiàn)在是低調(diào)的、定向的攻擊，悶聲發(fā)大財。”即使企業(yè)報案，也難查黑客線索。亂甩核彈的事情其實是少數(shù)情況。

一位資深安全專家還發(fā)現(xiàn)，工廠的系統(tǒng)很復(fù)雜。早期工廠的工控系統(tǒng)，沒有網(wǎng)絡(luò)，根本沒有被攻擊的可能。“就像你在無菌罩里，即使抵抗力很弱，也不會得病。”

后來，一些制造廠將系統(tǒng)升級成了Windows。但只要做好內(nèi)外網(wǎng)隔離，類似進里屋前，中間有個小隔間，先穿上防護服，查殺一遍，只要嚴格執(zhí)行管理規(guī)范，當病毒在外網(wǎng)肆虐時，企業(yè)內(nèi)網(wǎng)能憑借封閉性，躲過第一波攻擊。

令很多人意外的是，工廠里的大量工控機是裸奔或帶病工作，而且還是常態(tài)。原來工廠幾乎都是24小時生產(chǎn)，這些設(shè)備一般不能停。“要是殺毒軟件殺掉了生產(chǎn)系統(tǒng)，算誰的?像石化煉油廠，流水線一停，熔爐都廢了。”出于生產(chǎn)的連續(xù)性考慮，沒有人敢碰這一塊。安全企業(yè)更多的是在網(wǎng)絡(luò)、網(wǎng)關(guān)上提供方案。

但不可否認，企業(yè)遭受攻擊的危險正向我們走來。資深信息安全專家對AI財經(jīng)社說，智能制造可能恰恰是原因。

愈來愈多的全球大廠，為了實現(xiàn)時髦的用戶訂單和個性化制造，企業(yè)的工控系統(tǒng)正與外部IT網(wǎng)絡(luò)迅速融合。在協(xié)同的大潮下，急于提高效率的企業(yè)未曾料到，病毒攻擊的威脅也越來越近。

對此未有感知的企業(yè)，還在臨時抱佛腳。這次臺積電事故后，信息安全公司顧客盈門，很多工廠的安全預(yù)算終于獲批。但他們大多“頭痛醫(yī)頭，腳痛醫(yī)腳，缺乏系統(tǒng)性規(guī)劃。”

面對智能制造的大潮，上述安全專家認為，國外有幾點思路可以借鑒：把事想通透，邏輯搞明白;不必要的資源不暴露;工控安全和物聯(lián)網(wǎng)安全通盤考慮。

目前，工廠擔心生產(chǎn)中斷，工控系統(tǒng)還很少讓信息安全企業(yè)碰。“網(wǎng)絡(luò)安全是小生意，我們可負不起這么大責任。”在業(yè)內(nèi)人士看來，很多網(wǎng)上的討論還停留在外圍，是用IT的眼光看待工業(yè)網(wǎng)絡(luò)。而企業(yè)的安全意識卻是內(nèi)生的，不可一蹴而就。