【NotPetya】史上破壞力最強的一次網絡攻擊（三）：小型核彈的破壞力

NotPetya 的名字，源自於勒索軟件 Petya 而來，它是 2016 年初浮出水面的一段惡意程式代碼，被感染的受害者必須交出贖金，才能拿到解鎖檔案的密鑰。不過，NotPetya 的勒索要求只是幌子：它的目標，純粹是搞破壞。

雖然發動網絡攻擊的目標是烏克蘭，但其影響範圍卻是全世界。前美國國土安全部顧問 Tom Bossert 說：「這就好比用原子彈來取得一次小型的戰術勝利。」 

無論按照哪一種定義方式，NotPetya 的釋放都是一種網絡戰爭行為，其爆炸性之大，甚至可能超出創建者的意圖。在起初出現的數小時內，蠕蟲就擴散到烏克蘭以外，受重創的公司包括馬士基、製藥巨頭默克、聯邦快遞歐洲分支公司 TNT Express、法國建築公司 Saint-Gobain、食品製造商Mondelēz 以及製造商 Reckitt Benckiser 等，每間公司都遭受 9 位數字金額的巨大損失。病毒甚至傳播回俄羅斯，給國營的俄羅斯石油造成打擊。據美國白宮估計，這次災難總損失超過 100 億美元。

要比較一下 NotPetya 造成破壞的規模，不妨回顧一下去年 3 月癱瘓了亞特蘭大市政局的勒索軟件攻擊：其損失為1,000萬美元，僅及 NotPetya 造成損失的千分之一。即使是 2017 年 5 月傳播的 WannaCry，所造成的損失亦只在 40 至 80 億美元之間。Tom Bossert 指出：「儘管這場戰爭並沒有人命損失，但效果已經相當於為了實現一場小型戰術勝利而投放的核彈，狂莽的程度是我們在世界舞台上所無法容忍的。」

被這個攻擊重創的企業馬士基，正好說明了網絡戰爭的危險性，現已威脅到全球現代基礎設施。 就像所有非烏克蘭受害者一樣，馬士基的高層也不願以官方身份發表任何評論，許多馬士基的員工和前員工也選擇保持匿名受訪。

然而，NotPetya 的故事主角，其實不是馬士基，也不是烏克蘭。這個故事要講的是一頭網絡凶獸，被釋放出來時會發生什麼事情，而且除了攻擊目標之外，還有可能牽連無辜的受害者，令其躺著也中槍。