美國時間2021年5月7日,美國最大燃油運輸管道商科洛尼爾(Colonial Pipeline)公司遭受勒索軟體攻擊,導致5500英里輸油管系統被迫停運。該輸油管系統從得克薩斯州到新澤西州,每天輸送250萬桶燃油到東海岸和紐約,供應東海岸45%的燃料。由於網路攻擊,美國東海岸燃油供應受到嚴重影響,美國國內汽油價格達到七年來的最高水平,引發了人們對汽油、柴油短缺的擔憂,5月9日美國宣佈多州進入交通運輸進入為期至少1個月的應急狀態,以應對事件對燃油運輸產生的影響。
美國國土安全部網路安全與基礎設施安全域性表示,這次事件凸顯了網路攻擊的巨大威脅。網路安全公司Illumio的執行長兼聯合創始人安德魯·魯賓(Andrew Rubin)認為:“這可能是有史以來影響最大的勒索軟體攻擊——一場網路禍害變成了現實世界的巨大災難。”據專家分析,當前美國燃油庫存下降,在美國經濟正擺脫疫後困境之際,對石油、尤其汽油的需求正在上升,現在很多燃料滯留在德克薩斯州的煉油廠,如果問題不能儘快解決,將對美國油料供應和經濟增長產生重大影響。
一、對於事件的初步研判
1.關於攻擊者
據美國聯邦調查局(FBI)5月10日宣告稱, DarkSide組織的勒索軟體造成了科洛尼爾公司輸油管道網路的癱瘓,但並未直接說明發動此次網路攻擊者為何人。
儘管如此,美國政界、產業界將此次事件歸咎於俄羅斯的聲音不絕於耳。美國總統拜登則在接受記者提問時表示,“到目前為止,沒有證據表明俄羅斯參與了此事,但俄羅斯對處理此事負有一定責任”。眾議院軍事委員會成員、亞利桑那州的民主黨人加耶戈(Ruben Gallego)說:“俄羅斯政府不能庇護這些網路恐怖分子而不承擔後果。”
DarkSide是一支新興的RaaS(勒索即服務)犯罪團伙,根據360釋出的《2021年1月勒索病毒流行態勢分析》報告,該勒索病毒家族最早出現於2020年8月,目前被公開的有81個企業遭遇該勒索病毒家族的攻擊。
2. 關於攻擊動機
由於關於攻擊者尚無確切定論,所以對於攻擊動機和目的目前尚無統一看法。
分析者基於事件攻擊效果懷疑俄羅斯在攻擊事件中扮演了幕後操縱者的角色。美國陸軍網路研究所的顧問布萊森·伯特(Bryson Bort)指出:“DarkSide使用的惡意程式碼在勒索電腦之前,會主動檢查主機上是否裝載了俄語包,顯然這麼做是有原因的”,暗指此勒索軟體專門選擇非俄語地區作為攻擊目標,並且懷疑科洛尼爾遭攻擊並非孤立事件,而是針對美國能源機構有預謀網路攻擊的一部分。
但在另一方面,也不乏有人認為這一攻擊事件與政治無關。5月10日,Darkside組織發表宣告稱,他們發動攻擊的目的是“賺錢,而不是給社會製造問題”,指出說該組織“不涉及政治”,不需要與任何特定的政府掛鉤。
綜合目前錯綜複雜的各種資訊,雖然不能認定這一攻擊事件是國家背景駭客組織的定向攻擊,但也不能排除此次事件是一起打著商業勒索軟體名義的APT攻擊。
3.關於攻擊手法
根據有關網路安全專家分析,此次攻擊是一次針對IT網路的勒索軟體攻擊,由於疫情期間該公司職員在家辦公遠端訪問輸油管道控制系統,可能導致遠端桌面軟體賬戶登陸資訊洩漏所致。出於謹慎考慮,Colonial關閉了部分或全部工業控制系統,以防止攻擊擴散到這些裝置。另據美國全國廣播公司訊息,科洛尼爾公司不僅大量資料被加密,而且有近100GB資料在被加密前遭到竊取。
根據DarkSide團伙的歷史攻擊資料分析,該團伙有別於其他勒索團伙,在針對相關組織機構釋放安裝勒索病毒攻擊前會先竊取大量的資料,其在伊朗還建立了一個分散式儲存系統用於儲存受害者資料。
二、此次事件帶來的啟示
(一)網路安全就是國家安全
沒有網路安全就沒有國家安全,本次攻擊事件以及今年以來發生的太陽風供應鏈攻擊、美國佛羅里達水處理廠網路攻擊事件等重大網路安全事件的反覆發生,深刻詮釋了網路安全對國家安全的重要性,即使是在網路安全實力最強的美國,如果網路安全出現薄弱之處,社會運轉就會被打亂,國家安全就受到巨大影響。
(二)數字時代極其脆弱,網路安全是數字化的基座
數字時代三大特徵:一切皆可程式設計、萬物均可互聯、大資料驅動業務,整個世界構築在軟體之上。美國輸油管線遭受攻擊再次驗證了軟體的脆弱性不可避免,網路安全、資料安全風險遍佈在數字時代的所有場景之中,包括工業生產、能源、交通、醫療、金融,以及城市和社會治理。因此,必須保證網路安全,築牢數字化的基座。特別是在產業數字化的程式中,隨著工業網際網路在能源、電力、製造等基礎設施行業的發展應用,大量過去部署在生產網路中的工業控制裝置暴露在網際網路之中,生產作業流程高度依賴資料驅動,為勒索攻擊、工控攻擊提供了可乘之機。
(三)基礎設施是網路攻擊的重點,產業鏈癱瘓是網路攻擊的典型效果
能源是工業的命脈,在數字時代,能源基礎設施成為了重點攻擊目標。本次科洛尼爾公司遭受勒索軟體攻擊以及前不久美國的太陽風供應鏈網路攻擊、佛羅里達水處理廠網路攻擊、某天然氣運營商遭到勒索攻擊等一系列基礎設施網路攻擊事件表明:基礎設施一旦遭受網路攻擊,將嚴重威脅生產安全和社會穩定,甚至導致整個產業鏈的癱瘓。類似地基礎設施網路攻擊事件還有:去年歐洲能源巨頭Enel Group曾兩次遭遇網路攻擊,多達5TB資料被竊取;臺灣最大兩家煉油廠也遭到勒索攻擊,波及整個供應鏈,甚至加油站的IT系統也無法使用。
(四)專業化高階駭客組織是網路安全主要對手
多個訊息來源證實,此次勒索軟體攻擊很可能是由俄羅斯犯罪組織DarkSide實施的。DarkSide是去年新出現的勒索軟體組織,但攻擊手法非常老練,已經攻擊了40多個受害組織,要求贖金一般在20萬-200萬美元。實際上,專業化高階駭客組織早已成為網路安全主要對手,據報導,2020年全球網路犯罪黑灰產高達6000億美元,勒索軟體攻擊次數增長150%以上,其中大部分攻擊都是專業駭客組織完成的。
(五)網路攻擊不分平時和戰時,必須要未雨綢繆
科洛尼爾公司勒索軟體攻擊事件凸顯了美國基礎設施對國家級網路罪犯對手的脆弱性,網路攻擊往往是不宣而戰,不分平時和戰時。相對於美國軍隊和聯邦政府的網路安全投入,美國關鍵基礎設施由私營經濟承建,網路安全投入不足、傳統的安全檢測難以奏效、碎片化的安全防禦形同虛設,導致美國能源等關鍵基礎設施安全能力低下,成為網路空間安全的短板。因此,即使是美國這樣的網路強國,如果缺乏足夠的網路安全準備和防範,也會在網路攻擊面前敗下陣來,網路安全必須做到未雨綢繆。
(六)網路攻擊不分軍用民用,不分國家、企業、個人,每個節點都可以成為攻擊跳板
網路攻擊具有普適性,隨著國家和軍隊數字化程度提高,所有軍用和民用設施都逐步遷移到軟體之上,軟體的漏洞在所難免,導致網路攻擊面顯著增大;數字時代萬物互聯導致每一個節點都可能成為攻擊跳板。與此同時,現代社會分工細緻使得網路攻擊的級聯效果也更加明顯,可謂牽一髮而動全身。本次網路攻擊使輸油管系統被迫停運,影響了美國東海岸將近一半的燃油供應,因此,無論是軍用還是民用設施,無論國家、企業還是個人,所有需要科洛尼爾公司供應燃油的使用者都會要承擔後果。
三、應對建議
科洛尼爾公司勒索軟體攻擊事件暴漏出美國數字化關鍵基礎設施安全威脅情報的缺失和安全檢測能力的不足,碎片化各自為戰的網路防禦已經無力應對新型網路攻擊,單個企業力量無力對抗專業化高階駭客組織,必須要依靠國家賦能、透過協同聯防才能建立起新的整體防護體系。此次事件發生後,美國總統拜登表示將透過採取公私合作計劃,整合政府和企業資源,提升電力、天然氣管道、供水等關鍵能源基礎設施的保護。
據報導,攻擊者僅在實施攻擊的前一天(即5月6日)進入科洛尼爾公司輸油管線控制網路,可見在此之前攻擊者早已完成了偵察踩點工作,對目標網路環境瞭如指掌。試想,如果科洛尼爾公司的安全系統採集了攻擊者早期偵察時的檢測資料,或者共享了俄羅斯犯罪組織DarkSide之前慣用的行為特徵情報,是完全有可能防範網路攻擊的。
我國十四五規劃已經將產業數字化轉型作為發展數字經濟的重要抓手,把智慧能源作為十大典型數字化應用場景之一,科洛尼爾公司勒索軟體攻擊事件對我加強數字化發展安全有著較強的啟示意義,我們應該充分發揮舉國優勢,以整體思維應對新型高階網路攻擊威脅,才能降低安全風險。那麼為了做到這一點,就必須廣泛採集網路安全資料,利用大資料技術進行統一分析,構建基於安全大腦的國家級/區域級/行業級網路安全基礎設施,重點建設威脅情報中心、地圖測繪中心、漏洞管理中心等,支援網路威脅情報查詢和共享,從而實現網路安全情報的互聯互通和全行業、跨區域的整體聯防,抵禦各類高階別網路攻擊。