概要

• 美國首次因網(wǎng)絡(luò)攻擊宣布多州進(jìn)入緊急狀態(tài)。
• 俄羅斯黑客被懷疑為背后元兇，事件或促使對俄制裁加碼。
• 燃油管道長時間停運(yùn)將對處在疫情復(fù)蘇期的美國經(jīng)濟(jì)造成打擊。
• 攻擊事件再次凸顯關(guān)鍵基礎(chǔ)設(shè)施的脆弱性。

美國多州因網(wǎng)絡(luò)攻擊進(jìn)入緊急狀態(tài)

5月9日，美國政府宣布，因美國最大燃油運(yùn)輸管道商科洛尼爾(Colonial Pipeline)公司遭網(wǎng)絡(luò)攻擊而暫停輸送業(yè)務(wù)，美國18個州進(jìn)入緊急狀態(tài)。

這是美國首次因網(wǎng)絡(luò)攻擊而宣布多州進(jìn)入國家緊急狀態(tài)。美國國家緊急狀態(tài)是賦予美國政府一項權(quán)力，這項權(quán)力可令美國政府實(shí)施通常情況下不允許發(fā)生的行為。

在上周六(5月8日)發(fā)布的一份聲明中，科洛尼爾(Colonial Pipeline)公司表示，5月7日發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊，后續(xù)調(diào)查確定為勒索軟件攻擊。為了預(yù)防事態(tài)進(jìn)一步擴(kuò)大，該公司主動將關(guān)鍵系統(tǒng)脫機(jī)，以避免勒索軟件的感染范圍持續(xù)蔓延，并聘請了第三方安全公司進(jìn)行調(diào)查。FBI、能源部、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局等多個聯(lián)邦機(jī)構(gòu)一起參與了事件調(diào)查。

白宮發(fā)言人稱，聯(lián)邦政府正在積極評估影響，避免供應(yīng)中斷，幫助科洛尼爾公司恢復(fù)運(yùn)營。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示，這次事件凸顯了勒索軟件對組織的威脅。

作為美國東海岸最重要的燃油運(yùn)輸管道商，科洛尼爾負(fù)責(zé)美國東海岸地區(qū)約45%的液體燃料管道運(yùn)輸供應(yīng)服務(wù)，每天向客戶提供超過1億加侖的燃油。分析認(rèn)為，管道停運(yùn)短期不會對油價造成影響，但如果超過3天，將引發(fā)油價上漲，將對正在疫情復(fù)蘇階段的美國經(jīng)濟(jì)造成打擊。

科洛尼爾的燃油運(yùn)輸管道

科洛尼爾公司稱，“我們正迅速行動以調(diào)查并解決這一重大問題。目前，我們的核心任務(wù)是安全、高效地恢復(fù)服務(wù)，盡一切可能讓設(shè)施再次運(yùn)轉(zhuǎn)起來。”

俄黑客組織疑為背后元兇

多個消息來源證實(shí)，此次勒索軟件攻擊是由一個名為DarkSide的網(wǎng)絡(luò)犯罪組織實(shí)施的。該組織被指在5月6日侵入了科洛尼爾的網(wǎng)絡(luò)。

BBC報道稱，名為DarkSide的俄羅斯犯罪組織可能是此次攻擊的發(fā)動者。DarkSide是去年新出現(xiàn)的勒索軟件組織，但攻擊手法非常老練，已經(jīng)攻擊了40多個受害組織，要求贖金一般在20萬-200萬美元。

彭博社則報道，在加密電腦、勒索贖金之前， DarkSide組織已竊取了近100GB的數(shù)據(jù)。這一體現(xiàn)攻擊組織特征的行為被稱為雙重勒索。攻擊組織宣稱，如果不能收到贖金，將會把數(shù)據(jù)在互聯(lián)網(wǎng)進(jìn)行公布。

網(wǎng)絡(luò)安全專家認(rèn)為，科洛尼爾的燃料運(yùn)輸管道遭網(wǎng)絡(luò)攻擊，主要原因是新冠疫情背景下遠(yuǎn)程辦公的興起——工程師在家中遠(yuǎn)程訪問管道控制系統(tǒng)。

DarkSide的暗網(wǎng)網(wǎng)站公布了其攻擊成績與行為準(zhǔn)則

安全公司Digital Shadows的聯(lián)合創(chuàng)始人兼首席創(chuàng)新官James Chappell認(rèn)為，DarkSide可能購買了TeamViewer和Microsoft Remote Desktop等遠(yuǎn)程桌面軟件帳戶的登錄信息。

據(jù)Digital Shadows公司的追蹤，DarkSide的運(yùn)作就像一家企業(yè)。該組織開發(fā)用于加密和竊取數(shù)據(jù)的軟件，然后對“會員”進(jìn)行訓(xùn)練。后者會接收包括加密軟件、勒索電子郵件模版以及攻擊培訓(xùn)的工具包，并把成功勒索的收入，按比例支付給DarkSide。據(jù)路透社一位頂級網(wǎng)絡(luò)安全記者稱，DarkSide甚至在暗網(wǎng)擁有網(wǎng)站，并透露已從網(wǎng)絡(luò)勒索攻擊中獲利數(shù)百萬美元。

Red Balloon Security公司CEO Ang Cui曾在美國國土安全部及國防部擁有豐富的嵌入式設(shè)備及工業(yè)控制系統(tǒng)(ICS)高級威脅研究經(jīng)驗，在他看來，此次攻擊很可能屬于網(wǎng)絡(luò)犯罪，而非民族國家行為。

但網(wǎng)絡(luò)公司CrowdStrike的聯(lián)合創(chuàng)始人Dmitri Alperovitch認(rèn)為：“鑒于俄羅斯明顯的窩藏和容忍網(wǎng)絡(luò)犯罪政策，這些犯罪組織是否為國家工作已經(jīng)無關(guān)緊要。”

鑒于美俄之間的網(wǎng)絡(luò)空間沖突日益嚴(yán)重，不排除此次攻擊事件促使美國繼續(xù)加碼對俄羅斯相關(guān)機(jī)構(gòu)的制裁。今年4月15日，美國政府以俄羅斯進(jìn)行網(wǎng)絡(luò)襲擊、干預(yù)美國選舉等惡意活動為由，對俄30多個機(jī)構(gòu)和實(shí)體實(shí)施大規(guī)模制裁。

巨大災(zāi)難暴露出關(guān)鍵基礎(chǔ)設(shè)施的脆弱性

網(wǎng)絡(luò)安全公司Illumio的首席執(zhí)行官兼聯(lián)合創(chuàng)始人安德魯·魯賓(Andrew Rubin)表示：“這可能是有史以來影響最大的勒索軟件攻擊——一場網(wǎng)絡(luò)禍害變成了現(xiàn)實(shí)世界的巨大災(zāi)難。”

Colonial Pipeline的管道每天從墨西哥灣沿岸煉油廠向亞特蘭大等市場每天運(yùn)輸250萬桶燃料。該公司在周日宣稱，四條主管道依然處于關(guān)閉狀態(tài)。

專家說，事件可能導(dǎo)致燃料價格上漲2～3%;如果持續(xù)更長的時間，其影響將更加嚴(yán)重。截至周日，燃油運(yùn)輸管道已停運(yùn)三天。美國燃油庫存下降，在其經(jīng)濟(jì)正擺脫困境之際，對石油，尤其汽車燃料的需求正在上升。

獨(dú)立石油市場分析師高拉夫·夏爾馬(Gaurav Sharma)認(rèn)為，現(xiàn)在很多燃料滯留在德克薩斯州的煉油廠。除非在星期二之前解決問題，否則將陷入大麻煩——首先受到影響的地區(qū)將是亞特蘭大和田納西州，然后多米諾骨牌效應(yīng)會波及到紐約。

自1960年代以來，科洛尼爾(Colonial Pipeline)公司的管道一直為美國東海岸提供燃油運(yùn)輸服務(wù)，這一重要管道被關(guān)閉，凸顯了直接或間接聯(lián)網(wǎng)的老化基礎(chǔ)設(shè)施的脆弱性。

早在2020年2月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局就發(fā)布警報，強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)(包括輸送管線)已經(jīng)成為黑客團(tuán)伙的主要攻擊目標(biāo)。當(dāng)時美國某天然氣壓縮設(shè)施(并未透露具體身份)遭遇勒索軟件攻擊，導(dǎo)致其業(yè)務(wù)被迫關(guān)停兩天。

根據(jù)Group-IB研究人員的報告，僅在過去一年，全球勒索軟件攻擊次數(shù)就增長150%以上，能源行業(yè)也遭受了較大打擊。比如美國某天然氣運(yùn)營商遭到勒索攻擊，被迫關(guān)閉2天，并被國土安全部通報;歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索軟件攻擊，多達(dá)5TB數(shù)據(jù)被竊取，被威脅索要1400萬美元贖金;臺灣最大兩家煉油廠遭到勒索攻擊，波及整個供應(yīng)鏈，甚至加油站的IT系統(tǒng)也無法使用。

美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示，攻擊者的橫向移動能力顯然源自基礎(chǔ)設(shè)施內(nèi)IT與OT之間缺少良好的網(wǎng)絡(luò)隔離。Cui認(rèn)為在這類關(guān)鍵基礎(chǔ)設(shè)施攻擊活動中，問題的關(guān)鍵在于運(yùn)營企業(yè)一方往往沒能事先隔離或保護(hù)這些系統(tǒng)：“供應(yīng)商在設(shè)計之初就沒有考慮到如何保證ICS設(shè)備安全，這就給后續(xù)補(bǔ)救造成了巨大的障礙。”

Dave White表示，“美國經(jīng)濟(jì)高度依賴于能源管道基礎(chǔ)設(shè)施。這種至關(guān)重要的能源輸送資產(chǎn)會影響到每一位民眾的正常生活;聯(lián)邦政府必須開展風(fēng)險分析與經(jīng)濟(jì)量化研究，在了解此類攻擊事件的影響規(guī)模的同時調(diào)撥專項資金為這類設(shè)施提供必要保護(hù)。”

科洛尼爾攻擊事件表明，網(wǎng)絡(luò)攻擊造成的基礎(chǔ)設(shè)施中斷和破壞是真實(shí)存在的，主管機(jī)構(gòu)和行業(yè)從業(yè)者必須積極應(yīng)對此類網(wǎng)絡(luò)威脅，以有力保護(hù)國民經(jīng)濟(jì)的關(guān)鍵基礎(chǔ)設(shè)施。