【NotPetya】史上破壞力最強的一次網絡攻擊（七）：跨國接力賽

NotPetya 一經發動，即時透過網絡進擊全球。馬士基能夠從絕望中復活，原來一切都多得斷電事件，但其後的拯救工作，卻變成一場跨國接力賽。

馬士基哥本哈根分部辦公室嘅電腦死機後數天，一個早上，IT 員工 Henrik Jensen（假名）正待在家中享受著荷包蛋、果醬多士，突然間，他的手機響了起來。 接通來電後，他才知道這是一次多人電話會議，另一邊還有 3 個人，他們都是馬士基梅登黑德辦事處的員工，說極需 Jensen 的幫忙。梅登黑德是倫敦西部一個小鎮，是馬士基馬士基集團基礎設施服務所在地，他們均要求 Jensen 放下一切立即去到那裡幫忙。

兩小時後，Jensen 已在一架飛往倫敦的飛機上，抵達梅登黑德後匆匆換了一輛車駛到目的地大樓。這時大樓的 4、5 層樓已經被改造為 24/7 應急指揮中心。該中心的目的只有一個：立即重建馬士基全球網絡。

不計代價全力搶修

Jensen 了解到，部分馬士基員工自周二 NotPetya 發出第一波攻擊以來，就一直呆在恢復中心搶救，累了就倒在桌下或會議室角落，而且似乎每分鐘都有其他人從世界各地提著行李趕來。馬士基幾乎將大樓方圓十英哩內的所有酒店房都包下來，員工則靠後勤同事從附近超市買來的小食填肚。

梅登黑德應急中心由德勤管理，馬士基基本上給這間英國會計師事務所開了一張空頭支票，給多無限的支援，所以任何時候都有多達 200 名德勤員工駐紮在梅登黑德辦事處，另外還有 400 名馬士基員工。因為害怕 NotPetya 會感染新系統，所以被感染的電腦設備均被收繳，而且還貼出告示，任何人要是違反規定使用的話將會被紀律處分；所以員工們紛紛跑到梅登黑德每一家電子商店購買新手提電腦，並且預付了 Wi-Fi 熱點費用。就像數百名馬士基 IT 人員一樣，Jensen 也被分配了一台新的手提電腦來工作。

搶修行動開始後，IT 人員很快發現了一件令人厭惡的事情，雖然大部分伺服器的備份都能夠找出來，但公司網絡的關鍵備份卻失去蹤影，這些域控制器相當於馬士基網絡的詳細地圖，還記錄了各職級員工的儲取權限。原本約 150 個域控制器事已經編程好要相互同步數據，所以理論上找到其中一個已有其他的備份，但這去中心化的備份策略今次卻不管用，一位馬士基 IT 人員記得當時是這麼想的：「如果我們不能恢復域控制器，那就任何東西都失救了。」

倖存的活路

召來全球各地 IT 人員後，絕望的管理層終於在遙遠的加納分部找到唯一存活的域控制器。能夠倖免於難，全因它在 NotPetya 攻擊發動時突然斷電離線，因此保留了世上唯一一份未受感染的域控制器數據——這一切都要感謝斷電事件。一位馬士基的管理員說：「當我們找到它時，整個辦公室都響起歡呼。」

不過，事情並未簡單完結，當置身梅登黑德嘅 IT 人員希望直接從加納讀取數據，卻發現當地的頻寬太差，要將幾百 GB 的域控制器數據備份回英國大概需要好幾天。為免節外生枝，管理層決定讓加納員工趕最早的班機到倫敦，但問題是，西非辦事處的員工竟然沒有一人持有英國護照！

於是梅登黑德中心就安排了一次接力賽，讓加納辦事處一位員工先飛到尼日利亞，在機場將那塊極其珍貴的硬盤轉交另一位馬士基員工。那位員工然後攜著這件恢復馬士基網絡的重要基石，再坐六個半小時飛機降落倫敦希斯路機場。

當拯救工作結束，梅登黑德辦事處成功將馬士基核心服務恢復上線，令到馬士基港口運營重新獲得讀取貨船存貨文件的能力，這樣操作員對抵達其港口的巨型貨櫃船裡裝載著什麼貨物，就不再一無所知了。但是，馬士基要想從 Maerskline.com 接受新訂單，還需要幾天的時間，而全球各地轉運站回復正常營運，則至少還需要一個多星期。

與此同時，馬士基的員工便只好利用手頭上一切現有的工具，他們發紙質文檔給停留在 APM 港口的貨櫃船，通過個人 Gmail 賬號、WhatsApp 以及 Excel 電子表格接受訂單。一位馬士基客戶說：「我可以告訴你，通過 WhatsApp 訂 500 個海運貨櫃是一次相當離奇的體驗，但這就是我們做過的事。」

相關文章：【NotPetya】史上破壞力最強的一次網絡攻擊（六）：凍結的俄羅斯方塊遊戲