這兩天，「美國(guó)最大燃油管道運(yùn)營(yíng)商 Colonial Pipeline 遭勒索軟件攻擊」，毫無(wú)征兆上了熱搜。

看起來(lái)是個(gè)大事兒，可當(dāng)我抱著吃瓜心情點(diǎn)開(kāi)一看，發(fā)現(xiàn)只有寥寥數(shù)字，只說(shuō)美國(guó)時(shí)間 5 月 7 日，這家公司遭到勒索攻擊，為避免影響擴(kuò)大，公司暫停了所有的管道運(yùn)營(yíng)，美國(guó)因此宣布進(jìn)入緊急狀態(tài) (劃重點(diǎn)：文末有真相)，幕后黑手可能是 DarkSide。

沒(méi)了。。。了。。。字少事大。

我趕緊拿起手機(jī)，打給老朋友 ocean，他現(xiàn)在是深信服的終端安全技術(shù)負(fù)責(zé)人，一番暢聊后，我清晰了一件事：勒索病毒團(tuán)伙 DarkSide 目標(biāo)明確，觀點(diǎn)鮮明，采用雙重威脅 (不交贖金就泄密)，支持?jǐn)?shù)字貨幣交付，可以說(shuō)是當(dāng)今勒索行業(yè)的最高水準(zhǔn)，這并不是它第一次作案。

Colonial Pipeline 公司名直翻過(guò)來(lái)，叫做「殖民管線」，它的輸油管道每天要輸送 250 萬(wàn)桶原油，擔(dān)負(fù)著美國(guó)東岸近一半的燃油供應(yīng)。

[[398936]]

提到石油企業(yè)，很多人會(huì)想到繁密管道、巨大泵閥、黑色粘稠液體，以及灰頭土臉的工人。事實(shí)上，殖民管線這家公司的運(yùn)營(yíng)，是極端數(shù)字化的。

他們利用壓力傳感器、自動(dòng)溫度調(diào)節(jié)器等智能化設(shè)備，對(duì)燃油進(jìn)行實(shí)時(shí)的監(jiān)控和管理，甚至還使用了一種叫做“智能豬”(smart pig) 的管道檢測(cè)機(jī)器人，它可以在管道里快速穿行，發(fā)現(xiàn)異常。

這些智能化設(shè)備，都與一個(gè)中央系統(tǒng)相連，由計(jì)算機(jī)進(jìn)行控制。

正如那句已經(jīng)熟透了的話所說(shuō)：有網(wǎng)絡(luò)連接的地方，就有可能遭到網(wǎng)絡(luò)攻擊。作為美國(guó)關(guān)鍵基礎(chǔ)設(shè)施中的重要組成，殖民管線此次遭到攻擊，被美國(guó)媒體稱為“迄今為止針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)備最嚴(yán)重的網(wǎng)絡(luò)攻擊事件”，受此影響，美國(guó)宣布多州及華盛頓特區(qū)進(jìn)入緊急狀態(tài)。

根據(jù)多個(gè)消息來(lái)源證實(shí)，殖民管線此次遇襲，幕后黑手是一個(gè)叫做 DarkSide 的勒索軟件，根據(jù) FBI 的初步調(diào)查，這次攻擊來(lái)源于俄羅斯境內(nèi)。

DarkSide 勒索病毒團(tuán)伙隱秘的給目標(biāo)系統(tǒng)植入惡意軟件，劫持了殖民管線近 100GB 的數(shù)據(jù)，以此為資本索要贖金，還威脅稱：膽敢不給錢，那就索性鬧大，我們會(huì)把所有數(shù)據(jù)泄露到網(wǎng)上去。

勒索病毒攻擊，是“互聯(lián)網(wǎng)能賺錢”的又一力證，可回望源頭，你會(huì)發(fā)現(xiàn)，它原本只是一個(gè)泄憤之舉。

黑客領(lǐng)域中，有個(gè)叫做約瑟夫·波普 (JosephPopp) 的美國(guó)人，如果你查查資料，就會(huì)發(fā)現(xiàn)，他還是一名進(jìn)化生物學(xué)家。

波普曾在哈佛大學(xué)學(xué)習(xí)生物學(xué)，又去非洲研究狒狒，一呆就是 15 年，還在紐約建了一個(gè)蝴蝶保護(hù)區(qū)。他還寫(xiě)了一本書(shū)《流行的進(jìn)化》，在 2000 年自費(fèi)出版，其中一個(gè)觀點(diǎn)是：人類存活的唯一原因，就是最大化了生殖成功率。

就是這樣一位生物學(xué)家，卻于 1989 年在英國(guó)經(jīng)歷了一場(chǎng)審判，罪名是黑客攻擊。

當(dāng)時(shí)，黑客攻擊并不是一個(gè)新鮮詞，操作是：黑客竊取某人的保密信息后，將其泄露給第三人或公之于眾。

注意，只是泄露，沒(méi)有其他操作。而波普開(kāi)創(chuàng)了一種全新的黑客攻擊模式：向受害者索要贖金。

1989 年，世界衛(wèi)生組織正在招聘，波普前去參加面試，遺憾落選。得知這個(gè)消息后，波普滿臉不高興，準(zhǔn)備搞點(diǎn)動(dòng)作，結(jié)果搗鼓出了一個(gè)病毒軟件，也是世界上第一個(gè)勒索軟件。

當(dāng)時(shí)的互聯(lián)網(wǎng)還沒(méi)有普及，只有大學(xué)里的主機(jī)才能聯(lián)網(wǎng)，所以，他把自己制作的病毒軟件，刻進(jìn)了 2 萬(wàn)張印著“艾滋病介紹”的光碟，發(fā)給了當(dāng)年參加世界艾滋病大會(huì)的人，這場(chǎng)大會(huì)，正是由世界衛(wèi)生組織舉辦的。

隨光盤附贈(zèng)的，還有一個(gè)手冊(cè)，上面清楚的寫(xiě)著：這些程序?qū)?huì)影響計(jì)算機(jī)上的其他應(yīng)用程序，你可能會(huì)因此而支付一些費(fèi)用，而且你的電腦也會(huì)停止正常運(yùn)作。

可惜的是，說(shuō)明手冊(cè)這種東西，歷來(lái)就沒(méi)什么存在感。

來(lái)自全球各地的醫(yī)學(xué)研究者們看都不看，直接就把光碟塞進(jìn)了電腦，看著屏幕上出現(xiàn)一個(gè)程序安裝界面，上面友好的寫(xiě)著一行字：此程序旨在提供有關(guān)艾滋病的最新信息。

艾滋病作為一種聞?wù)呱兊募膊?，非常受到醫(yī)學(xué)研究者的關(guān)注，安裝一個(gè)軟件，就能及時(shí)獲取最新消息，這么高的性價(jià)比，沒(méi)理由拒絕，于是一個(gè)個(gè)都選擇了安裝。

安裝后沒(méi)多久，屏幕上跳出一個(gè)對(duì)話框：請(qǐng)支付軟件租賃費(fèi)用，189 美元 / 年。

激活后的信息界面

中招的那些人，關(guān)閉對(duì)話框后，發(fā)現(xiàn)什么都沒(méi)有發(fā)生，以為只是個(gè)惡作劇。其實(shí)，只是時(shí)機(jī)未到。

當(dāng)電腦重啟次數(shù)達(dá)到 90 次后，病毒軟件就會(huì)啟動(dòng)，通過(guò)重命名、加密和隱藏系統(tǒng)上的目錄和文件，達(dá)到攻擊電腦文件的目的。

也不知該說(shuō)幸還是不幸，波普在軟件編碼過(guò)程中犯了錯(cuò)，盡管加密方式是靠譜的，可他卻將執(zhí)行加密程序的密鑰存儲(chǔ)在了同一文件中。這一漏洞很快被殺毒軟件發(fā)現(xiàn)，所有受害者才免于損失。

正是因?yàn)檫@次攻擊，波普在家中被 FBI 逮捕，遭到起訴，后于 2006 年去世。

盡管這只是一個(gè)泄憤之舉，卻開(kāi)創(chuàng)了一種全新的黑客攻擊模式。

在此后的 30 多年里，全球都陷入了勒索軟件攻擊的威脅之中，2017 年的漏洞“永恒之藍(lán)”和進(jìn)一步開(kāi)發(fā)的勒索病毒“ Wannacry”，更是讓國(guó)內(nèi)眾多高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被要求支付高額贖金才能解密文件，引無(wú)數(shù)論文學(xué)子抱被痛哭。

在這 30 多年的發(fā)展中，勒索軟件攻擊喊著奧運(yùn)口號(hào)，一步步朝“更快、更高、更強(qiáng)”邁進(jìn)。

早期的勒索軟件攻擊，屬于通用攻擊，就像一張網(wǎng)撒海里，魚(yú)鯨蝦蟹抓著哪個(gè)算哪個(gè)，目標(biāo)性不強(qiáng)。

可一段時(shí)間之后，黑客發(fā)現(xiàn)，大企業(yè)不好搞，交個(gè)贖金還得層層審批，效率太低，還是小企業(yè)好欺負(fù)。于是，勒索軟件攻擊進(jìn)入中期階段。

中期的勒索軟件攻擊，摒棄了廣撒網(wǎng)的做法，專挑老弱病殘的企業(yè)發(fā)起攻擊，偶爾才弄個(gè)大企業(yè)。

過(guò)了一段時(shí)間，黑客又開(kāi)始復(fù)盤：好搞的企業(yè)，支付贖金的意愿和能力都偏弱，性價(jià)比太低，大企業(yè)和關(guān)鍵行業(yè)雖然難搞，卻有“單車變摩托”的收益，相比之下，還是大企業(yè)有搞頭。

于是，勒索軟件攻擊進(jìn)入成熟期：目標(biāo)明確;團(tuán)隊(duì)化分工操作;采用雙重威脅模式，提升成功幾率;新增數(shù)字貨幣支付，提升隱秘性。

這次攻擊殖民管線的 DarkSide 勒索病毒團(tuán)隊(duì)，就是其中高水準(zhǔn)的一大代表，怕是早已實(shí)現(xiàn)財(cái)富自由。

ocean 在電話里跟我說(shuō)，早在 2020 年 8 月，他們就監(jiān)測(cè)到了一個(gè)新的流行勒索軟件家族，自稱 DarkSide，通過(guò)定點(diǎn)攻擊來(lái)獲利。

當(dāng)時(shí)，市面上其他流行的勒索軟件家族，在成功感染目標(biāo)客戶后，首先會(huì)發(fā)一封勒索信，等有了一定的活躍時(shí)間和更多的攻擊成果后，才會(huì)啟動(dòng)數(shù)據(jù)泄露站點(diǎn)。

但 DarkSide 不按套路出牌，直接就在勒索信中寫(xiě)明：我們已經(jīng)拿到你們的數(shù)據(jù)了，這里是發(fā)布站點(diǎn)鏈接，不信的話，自己來(lái)驗(yàn)證。

受害企業(yè)將勒索信中提供的 Key 值輸入站點(diǎn)后，就能看到非常詳細(xì)的數(shù)據(jù)恢復(fù)方式及贖金金額，頁(yè)面還留有數(shù)字貨幣地址，以及溫馨提示：不按規(guī)定時(shí)間付款，贖金可是會(huì)漲價(jià)的喲~

更為驚人的是，DarkSide 還有著自己鮮明的原則和特色。

1、有四種目標(biāo)不會(huì)攻擊：

a) 醫(yī)院

b) 學(xué)校

c) 非盈利組織

d) 政府部門

2、開(kāi)設(shè)咨詢窗口：在支付贖金前，可以詢問(wèn)任何問(wèn)題，有專人進(jìn)行回答。

3、DarkSide 可以保證，收到贖金后，立刻恢復(fù)數(shù)據(jù)，并刪除所有已上傳的數(shù)據(jù)，保你毫無(wú)后顧之憂。

4、不會(huì)攻擊獨(dú)立國(guó)家聯(lián)合體 (CIS) 中的國(guó)家。

這是因?yàn)檫@些國(guó)家的政府，不太在意這些網(wǎng)絡(luò)犯罪，只要攻擊者針對(duì)的目標(biāo)是外國(guó)人就行，而且從法律層面來(lái)看，只要沒(méi)有損害國(guó)家利益，打擊力度都很弱，所以，包括 DarkSide 在內(nèi)的絕大多數(shù)惡意軟件家族，都傾向于不感染 CIS 成員國(guó)。

5、用收到的贖金做慈善。有證據(jù)顯示，DarkSide 多次給慈善組織捐款，如果這些慈善組織給力的話，應(yīng)該已經(jīng)有一部分人和地區(qū)從中受益了。

在過(guò)去的 30 年里，勒索軟件攻擊正在以驚人的速度推陳出新，不少攻擊堪稱完美犯罪：輕松獲得贖金，幾乎不會(huì)被追蹤。

所有的黑客攻擊都有兩面性，一面是受害企業(yè)和國(guó)家遭受損失，另一面則是全球正日益提高的安全意識(shí)。在勒索軟件攻擊來(lái)臨之前，一定要守好三道防線：

• 為設(shè)備做好安全防護(hù)；
• 提高安全意識(shí)；
• 給數(shù)據(jù)做好冷、熱備份。

支付贖金看似是個(gè)應(yīng)對(duì)辦法，但說(shuō)到底，只是個(gè)下下策。

對(duì)了，最后值得辟個(gè)謠：網(wǎng)傳，燃油管道運(yùn)營(yíng)商 Colonial Pipeline 被攻擊后，美國(guó)宣布進(jìn)入緊急狀態(tài)。

新聞一出，很多嘲諷的話語(yǔ)隨之而來(lái)：美國(guó)在新冠疫情的瘋狂蹂躪之下，都強(qiáng)撐著沒(méi)有宣布進(jìn)入緊急狀態(tài)，結(jié)果被一次黑客攻擊給推進(jìn)去了。

事實(shí)上，美國(guó)這次宣布的“緊急狀態(tài)”，是由美國(guó)交通運(yùn)輸部聯(lián)邦機(jī)動(dòng)車輛安全管理局發(fā)布的，這是一種臨時(shí)性措施，涉及多個(gè)州及華盛頓特區(qū)。

為啥要發(fā)布這個(gè)呢?很簡(jiǎn)單，文章開(kāi)頭已經(jīng)說(shuō)了，Colonial Pipeline 受到攻擊后，暫停了所有的管道運(yùn)營(yíng)，可它又身負(fù)重任，承擔(dān)著美國(guó)東岸近一半的燃油供應(yīng)。眾所周知，在美國(guó)，經(jīng)濟(jì)發(fā)展是頭號(hào)大事，管道運(yùn)營(yíng)停了，可油氣運(yùn)輸不能停。

油氣資源原本是禁止公路運(yùn)輸?shù)?，可現(xiàn)在是特殊情況，既然經(jīng)濟(jì)發(fā)展不能停，就得出動(dòng)汽車來(lái)運(yùn)輸了。

這才是正確的“緊急狀態(tài)”。

作為吃瓜群眾，瓜能吃，但得吃明白，否則跟人吹牛的時(shí)候，容易暴露。

參考資料：

1、https://abc7.com/cyberattack-on-us-pipeline-is-linked-to-criminal-gang/10604548/

2、https://mp.weixin.qq.com/s/PnOPAuZLAe5k8bmCkWbjjQ

3、https://www.bbc.com/news/technology-57063636

4、《網(wǎng)絡(luò)戰(zhàn)爭(zhēng)：顛覆商業(yè)世界的黑客事件》 查爾斯·亞瑟