2010年10月，美国联邦调查局监控美国互联网流量的一部系统收到报警，信号来自纳斯达克。看起来恶意软件已经浸入了纳斯达克的中央服务器。迹象显示入侵者并非是某个地方的小孩子，而是某国的情报机构。更糟糕的在后面：当美国计算机专家仔细查看了入侵的软件之后，他们意识到这是一个攻击程序，目的就是要造成破坏。

虽然黑客行动已经成为每天都有的烦心事，但是大部分都是在公众不知情的情况下发生的。中国、法国、以色列——还有许多其他不知名的对手——都会以这样或那样的方式黑客入侵。他们窃取导弹计划、化学方程式、电力管道结构图还有经济数据。这是一种间谍行为；攻击程序是一种军事打击。有报道的行动部署很少，最著名的要数Stuxnet蠕虫，被广泛认为是美国和以色列的合作项目。2010年，Stuxnet曾经导致伊朗位于纳坦兹镇铀浓缩设施的临时瘫痪。Stuxnet关闭了该设施的安全机制，导致位于精炼厂核心的分离机失去了控制。两年后，伊朗摧毁了沙特阿美石油公司（Saudi Aramco）三分之二的计算机网络，使用的是一种相对简单但是传播极快的“擦拭者”（wiper）病毒。美方某资深官员表示，在美国关键电脑系统内植入的数字武器，他只见过一例——在纳斯达克的系统里。

十月份的这次警报让国家安全局（NSA）也牵扯了进来，2011年初，NSA调查结论认为存在巨大的危险。华盛顿郊外一栋11层高的办公楼里，紧急行动小队通过安全线路进行了视频会议。这栋楼正是美国国家数字按群和通讯整合中心（NCCIC, National Cybersecurity and Communications Integration Center）的总部，该机构的任务是聚焦并协调美国政府针对数字攻击的应对措施。他们评估了FBI的数据以及来自NSA的补充资料，迅速决定需要扩大行动规模。

于是，一场长达五个月的调查开始了，严苛程度让美国的数字反应能力都经受了挑战，直接将美国总统牵入其中。情报和执法机构承受着解码复杂黑客入侵的压力，即便是向立法机构提供一份稍显清晰的报告都有些力不从心。在几个月的努力之后，政府不同部门对于谁是幕后主使这一问题仍旧存在基本分歧。“我们观察到某个国家获取了进入至少一家美国股票交易所的权限，这么说吧，目前仍不清楚他们的最终目的到底是什么，”众议院情报委员会（House Intelligence Committee）主席、密歇根州民主党议员麦克罗杰斯（Mike Rogers）这样说道，他在采访时仅同意发表一般观点，因为细节部分仍旧处于保密状态。“这种情况糟糕的地方在于，直到最后一刻来临否则我无法确认真的弄清楚了。而你又永远不希望这一刻的来临。”

彭博商业周刊花费几个月的时间，就纳斯达克入侵及其后续事件采访了超过二十位相关人士。其中有九个人直接参与了调查和国家安全审核；所有人都没有获得接受采访的授权。“纳斯达克入侵事件的调查仍旧在进行中，”FBI纽约助理行动首长（Assistant Director in Charge）乔治维尼泽罗斯（George Venizelos）表示，“和所有的数字犯罪案情一样，情况是复杂的，证据和事实会随着时间发生变化。”

虽然黑客入侵被成功中断了，但却揭示出金融交易所——还有银行、化学精炼厂、水处理厂以及电力系统——在数字攻击面前的不堪一击。亲身体验了这次事件的某官员认为，这次攻击将会改变一切，迫使美国认真对待，准备好迎接计算机冲突的新时代。不过这一点他说错了。

NCCIC电话会议的成员都是来自国防部、财政部、国土安全部、NSA还有FBI的专家。最初的评估结果给紧急行动小队提供的只是一些关于黑客身份的粗略资料，但是几分钟之后他们就一致同意，入侵情况非常严重，必须通知白宫。

第二天，电话会议成员又在白宫集结，参加会议的还有来自司法部和中央情报局的官员。小组罗列了几个方案，要汇报给来自白宫、司法部、五角大楼以及其他部门的高级国家安全人员。这些官员来判断哪些问题是调查人员不得不回答的：黑客们是否能操纵或者破坏交易平台？这次入侵是否只是大规模攻击美国金融基础设施计划的一部分？

美国特勤局（The U.S. Secret Service）被推选来领导此次调查。特勤局代表指出，他们已经在几个月之前去过纳斯达克，并携带了几个俄罗斯数字犯罪嫌疑人的证据，为首的是圣彼得堡人加里宁（Aleksandr Kalinin），犯罪嫌疑人曾经入侵了纳斯达克，这两起事件或许有关联。但是，特勤局未能在辩论中占上风，退出了调查行动。

当FBI通知纳斯达克入侵事件的存在时，却发现纳斯达克自己已经检测到异常情况，但是并没有公布受攻击的消息。在就保密方面的问题讨教还价一番之后，纳斯达克公司允许政府工作人员使用他们的计算机网络。调查小队分别抵达了纳斯达克位于纽约城自由广场（One Liberty Plaza）的总部和位于新泽西卡特雷特（Carteret）的数据中心，在那里他们发现了某国情报机构或军方的多处行动迹象。

黑客使用了两个“零日漏洞”（zero-day），这是一种计算机代码中的未知漏洞——程序员称其为“零日”——允许黑客轻松地远程控制一台计算机。该漏洞已经成为一种很有价值的通货，有时候在地下黑市能够卖到上万美元。使用一个零日漏洞意味着某个经验丰富的黑客在操纵；一个以上则是政府在支撑。Stuxnet曾经安置了四个——这意味着代码编写者曾经做过高水平的侦测，并且熟悉不同的系统如何协调工作。

攻击纳斯达克的人也曾经做过类似的功课，拥有同等级的资源支持。关键的一点是从纳斯达克电脑集群中取出的黑客恶意软件。NSA之前曾经见到过一个版本，是由俄罗斯联邦安全局（Federal Security Service of the Russian Federation）设计开发的，也就是该国的主要间谍机构。这款恶意软件不仅仅是窃听：虽然也能够用于窃取数据，同样可以在电脑网络里实施大规模的颠覆操作。NSA认为这款软件有能力清除整个交易所的数据。

一月初，NSA向国家安全部门的高层报告：俄罗斯精英黑客已经入侵了纳斯达克股票交易所，并且植入了数字炸弹。最好的情况是黑客将其设置为破坏模式，被侦测到的时候在纳斯达克的电脑网络中制造破坏，以便甩掉追踪者。最糟糕的情况是，制造破坏就是这些黑客的目的。这一发现结果汇报给了美国总统奥巴马。

在之后的调查中，一些美国官员质疑NSA是否对证据做了过度解读。恶意软件通常会被买卖交易——被出售、被窃取或者被分享。攻击代码和不那么具有毁灭效果的代码，两者之间在技术上的

关注天下网吧微信,了解网吧网咖经营管理，安装维护: