台积电病毒事件的凶手是谁?
扫描二维码
随时随地手机看文章
8月,正是全球工厂都开足马力,为旺季备货的关键时候,而一场突如其来的病毒事件,让全球最大的芯片代工厂台积电,在台湾的北、中、南三大厂区停摆了两三天。
24小时昼夜不停的产线一旦停摆,麻烦立马浮现。
01一场“地震”损失10亿
有人说,台积电打了个喷嚏,苹果可能就得感冒。台积电正在为苹果9月发布的新iPhone手机的芯片赶工。事实上,经过几年的考验和折腾后,台积电才被苹果钦点。今年1月,苹果拖到最后才对外宣布,把自己的iPhone处理器全部交给台积电独家生产。捧着烫手订单没半年,台积电就逢此一难。
除了苹果,全球最知名的芯片大厂,像华为旗下海思半导体、因人工智能大热的英伟达、手机芯片巨头高通、因挖矿机赚得盆满钵满的比特大陆,都是台积电的客户。有统计说,台积电的营收占据整个芯片代工制造的56%,特别是在高端芯片上,更是占据了70%。台积电可是芯片产业的一个基石。
除了生产延迟,还有我们普通人无法想象的麻烦。
芯片工厂的生产线类似医院的手术室,都处于“真空状态”,要11个9的洁净度,才能保障芯片的良品率。这样优越条件下生产的东西,你就不难想象,一颗英伟达25毫米*25毫米大小的芯片,可以卖到几万美元。
“11个9是个什么概念呢?北京菜市口百货和上海老庙卖的黄金,是4个9的纯度”,芯片设备专家莫大康对AI财经社打比方说,工厂一旦停工,大气进入设备和厂房,清理工作将变得很复杂。
这样看来,这场事故的损失是综合性的。台积电预计,事故将让公司第三季的营收损失百分之二,毛利率损失约一个百分点。台积电此前展望,第三季度营收84.5亿-85.5亿美元,营业毛利率48%-50%。照此计算,它将减少1.69亿-1.71亿美元的收入,折合人民币大约10亿元。
这些年,病毒事件的影响越来越超乎老百姓的想象了,2010年,美国和以色列用病毒瘫痪了伊朗的铀浓缩厂,使伊朗核计划就此搁浅。2015年,乌克兰大面积断电,在圣诞夜举国陷入黑暗。黑客事先研究了乌克兰电网,策划了一次“完美”的攻击。2017年,法国雷诺、日本的日产和本田工厂,受到病毒感染相继停工。
这次台积电事故,让人联想起几年前泰国洪水和日本地震冲击了全球供应链。从某种意义上说,病毒可能将被认为是“一场新地震”。
02谁干的?
谁攻击了台积电?流言在第一时间就甚嚣尘上。
“是不是要打压台积电的股价?”“是不是黑客针对性的行动?”“有没有勒索?””会不会是内鬼?”
就在病毒事件后,台积电在台湾证劵交易所内的说明会上,现场记者最关注的就是——这是谁干的?他或她的目的到底是什么?
各种阴谋论随之而来。有人猜测,台积电的竞争对手三星最有嫌疑,毕竟几个月前台积电是从三星手里硬生生地把iPhone大单抢跑了。要知道为了苹果这一单,三星特地跑到美国开了工厂,当年还是三星太子的李在镕多次专程赴美,与乔布斯和库克建立“深厚友谊”。
也有人怀疑是苹果和华为的友商。每年8月正是苹果最紧张的备货期,华为的Mate旗舰机也要在第四季度发布了,处理器延误肯定要影响手机新品发布。
有人甚至想到了美国情报组织。前一阵的中美芯片大战,就是围绕禁运芯片角力。
难怪台积电总裁魏哲家亲自“上阵救火”。在连环发问下,魏哲家不得不一遍又一遍地解释,这既不是外部攻击,也不是内鬼,还不涉及勒索,这就是自家工厂人员操作不按规范,造成的乌龙事件。
原来事情是这样的,台积电的某个工厂安装新设备,没成想,新设备内潜藏着病毒。而偏偏台积电员工未按照操作规范,与内网隔离开杀毒,连着网就开启了查杀病毒的程序。
由于台积电所有设备都联着网,病毒由此感染了三个工厂的全部设备,被感染设备宕机或重复开机,工厂被迫停工。
“没有人绑架,这纯粹是我们自己的一个疏忽。”魏哲家不认为这是针对台积电的攻击,尽管他也回应说,新设备中有病毒绝非正常情况。
所幸的是,病毒并不具备对电脑文件的加密勒索功能。这让台积电能快速恢复生产。
事实上,企业安全人士反而对这次台积电的快速处理赞不绝口。要知道,法国雷诺去年被病毒攻击后,停工整整一个月。但台积电很快切换到备用生产系统。360工业互联网安全事业部副总经理李航透露,这套架构的设计,得益于今年2月刚退休的安全架构师左小川。
03潘多拉魔盒
让台积电停产的,正是去年肆虐全球的WannaCry的变种病毒。在消声匿迹一年后,它又重回热搜榜。
WannaCry是什么?有人比喻说,它就像一个网络世界的核弹,但发射器被交到了民间。在它核爆以前,外界甚至不相信有这样的大杀器存在。
去年5月,WannaCry被第一次放出笼子后,仅仅5个小时,就攻陷了全球99个国家的上万台电脑。俄罗斯、英国、欧洲、中国的企业、校园和政府机构网络均出现故障。“现在只是冰山一角,接下去会愈演愈烈。”前任以色列军方网络安全情报官 Zohar Pinhasi 告诫说,这就是让小罪犯得到大规模杀伤性武器的后果。
这次核武器泄露始于一次黑客行动。早些时候,一个黑客组织“影子经纪人”,声称入侵了“黑客方程式组织(Equation Group)”,并窃取到大量文件。
当时,没有几个人相信。因为“黑客方程式组织”几乎是一个传说。它是美国国家安全局(NSA)内的一个机构,专门寻找各类系统的“高价值漏洞”。这些漏洞还没人发现过,更没有补丁修复。它们就像暗道,能悄悄通到网络世界各处的隐秘角落,发动突然袭击。
这个组织的技术“超越任何已知情报”。甚至有分析称,2001年,美国和以色列联合攻击伊朗核设施时,所用的震网病毒Stuxnet就源自他们。当时,这种“专攻军用级漏洞”的神秘组织也一度被认为是杜撰。
但影子经纪人信心满满,决定拍卖这些偷来的“漏洞”,大发一笔横财。他们放出了两份文件,一份价值较低,挂在网上免费展示。另一份标价100万个比特币竞拍,也就是当时的5.78亿美元。
谁会花近6亿美元买一件传说中的宝物?两个月后,这份文件仍无人问津。黑客决定降价到1万个比特币。再后来,他们不断降价甩卖,被全世界都当作了笑话。没人知道,自己错过了一份可能黑掉全世界的武器。
2017年4月,愤怒的黑客决定,公开其中数十个漏洞,让人们瞧瞧厉害。这些漏洞被挂在全球开源项目平台GitHub上,供所有人免费浏览。“永恒之蓝”漏洞就在其中。
人们第一次发现,漏洞是真的。永恒之蓝是针对Windows的漏洞,尽管微软在去年3月赶紧发布了补丁,但大部分人并未重视,更何况还有7%的电脑在用XP系统,已被停止维护。永恒之蓝覆盖多个Windows版本,时间跨度超过十年。这样的大杀器一代人也难得一见。
很快,漏洞被改造成“蠕虫病毒”,像个虫一样在网络当中自行爬动、繁衍、传播,这让病毒的扩散比之前的钓鱼邮件可要快多了。“蠕虫病毒”再与早先存在的一款勒索软件结合,就变成了WannaCry。
2017年5月12日,人们打开电脑,发现桌面文件被加密,再也打不开。屏幕上只有一个血红的窗口,告诉你:打钱。
WannaCry爆发了。
英国16家医院首先沦陷,医疗系统瘫痪,大量手术被迫取消。5个小时内,德国铁道系统、印尼医院、印度警察局、罗马尼亚外交部、俄罗斯内政部、法国雷诺汽车、中国的大学,这些豪不相干的名字第一次一起滚动在同一个视频报道中。
最终,WannaCry蔓延到全世界,只有“无网之国”朝鲜是一片净土。病毒攻击4天内,全球累计损失超过80亿美元。
人们的第一反应是互相指责。微软负责法务的总裁称,美国国家安全局(NSA)发现了漏洞却隐瞒不报,私下囤积漏洞才酿成惨剧。NSA则指责黑客,我们只是发现了漏洞,又没有直接开发攻击代码。
很快,他们决定一起甩锅给朝鲜。他们说,这次病毒的代码与朝鲜黑客团队“拉撒路组”出奇地相似。美国政府甚至要求,所有“可靠的国家”联合反击朝鲜,还要求联合国安理会对朝鲜实施制裁。
在大机构互相甩锅时,一个英国小哥却意外拯救了世界。22岁的Marcus Hutchins发现,被病毒感染的计算机,会反复访问一个域名。奇怪的是,这个域名并不存在。他出于好奇心注册了这个域名,然后全世界的WannaCry突然停止了传播。
原来,这是黑客给这个病毒设定的一个“自杀开关”:如果病毒能访问这个域名,获得回传的数据包,就停止感染下一台电脑。看来,黑客也心虚,怕事件像僵尸或生化危机一样,发展到难以控制的地步。公布此事后,Marcus Hutchins被奉为全民英雄,Twitter上暴涨3万粉丝。
讽刺的是,这个救世主3个月后被捕了。他去参加世界黑客大会Defcon,在回国途中被英国警方抓获。理由是他自己就是黑客,曾开发了针对银行系统的木马病毒。
在这场灾难中,中国其实是幸运儿。事发时,超过22个省的运营商在使用一种“错误域名重定向”的系统。它原本为阻拦钓鱼网站而设计,当用户访问不存在的域名时,会被引导到预设的网址。由此,病毒就获得了返回数据包,停止攻击下一台电脑。在中国,疫情并未像国外一样蔓延。
让黑客掉泪的是,尽管造成80亿美元的损失,他们却只收到14万美元赎金。比特币被打到3个钱包地址,因数量太少很容易追踪,无数执法机构在盯着资金流向。到了末期,黑客甚至销声匿迹,“给钱也不要了”。
也许攻击者的目的不是为了钱?也有人猜测,推动比特币价格暴涨才是这次事件发动的真实动机。在去年5月12日当天,比特币仅1800美元一枚,到了年底已世人皆知,卖到1.3万美元一个,年内最高还涨到过1.8万美元,暴涨9倍。
在这场攻击背后,或许比特币的庄家们才是最大赢家。
04攻击还会蔓延吗?
台积电病毒事故后,无数工厂跑到安全厂商那里咨询:这种企业攻击会蔓延吗?
答案是两面的。“针对个人的勒索已赚不到钱,但企业生产中断是大事,很愿意破财免灾。”一位资深信息安全专家对AI财经社说,如今的黑客肯定把企业放在攻击的第一位。
戏剧化的是,企业最初苦恼的,甚至不是被勒索,而是到哪儿去买比特币。“后来,淘宝上能买比特币了。再后来,都有一条龙服务了:不仅帮你买币,还帮你去暗网联系黑客,一手交钱,一手了事。”
但另外一面,针对企业的攻击并不会愈演愈烈。
通常,黑客并不想把事情搞大,一次勒索三五万,就像养羊一样不会赶尽杀绝。
真正“良心”的勒索攻击,根本不会闹得沸沸扬扬。有业内人士指出,大规模的自动感染病毒爆发很少见,上次可能还是2008年。“以前是为了炫技,现在是低调的、定向的攻击,闷声发大财。”即使企业报案,也难查黑客线索。乱甩核弹的事情其实是少数情况。
一位资深安全专家还发现,工厂的系统很复杂。早期工厂的工控系统,没有网络,根本没有被攻击的可能。“就像你在无菌罩里,即使抵抗力很弱,也不会得病。”
后来,一些制造厂将系统升级成了Windows。但只要做好内外网隔离,类似进里屋前,中间有个小隔间,先穿上防护服,查杀一遍,只要严格执行管理规范,当病毒在外网肆虐时,企业内网能凭借封闭性,躲过第一波攻击。
令很多人意外的是,工厂里的大量工控机是裸奔或带病工作,而且还是常态。原来工厂几乎都是24小时生产,这些设备一般不能停。“要是杀毒软件杀掉了生产系统,算谁的?像石化炼油厂,流水线一停,熔炉都废了。”出于生产的连续性考虑,没有人敢碰这一块。安全企业更多的是在网络、网关上提供方案。
但不可否认,企业遭受攻击的危险正向我们走来。资深信息安全专家对AI财经社说,智能制造可能恰恰是原因。
愈来愈多的全球大厂,为了实现时髦的用户订单和个性化制造,企业的工控系统正与外部IT网络迅速融合。在协同的大潮下,急于提高效率的企业未曾料到,病毒攻击的威胁也越来越近。
对此未有感知的企业,还在临时抱佛脚。这次台积电事故后,信息安全公司顾客盈门,很多工厂的安全预算终于获批。但他们大多“头痛医头,脚痛医脚,缺乏系统性规划。”
面对智能制造的大潮,上述安全专家认为,国外有几点思路可以借鉴:把事想通透,逻辑搞明白;不必要的资源不暴露;工控安全和物联网安全通盘考虑。
目前,工厂担心生产中断,工控系统还很少让信息安全企业碰。“网络安全是小生意,我们可负不起这么大责任。”在业内人士看来,很多网上的讨论还停留在外围,是用IT的眼光看待工业网络。而企业的安全意识却是内生的,不可一蹴而就。