一個名不見經傳的新勒索軟體,引發一場物理界與思想界的“滔天巨浪”!
【導讀】前段時間,智庫曝出印度、涉美CIA、東亞半島等多個國家級APT組織針對我國發起定向攻擊,震驚譁然;前兩天,就又被一種名為“WannaRen”新型比特幣勒索病毒鬧得“滿城風雨”。然而,安全圈的世界裡又從來不太平。或大或小的攻擊,仍在每天每時每分鐘上演。今天,智庫再帶來一起新勒索病毒DoppelPaymer案例,而事件的關鍵點在於:它勒索的是一家名為Visser Precision的精密零件製造商,沒有拿到贖金的幕後操盤手選擇“撕票”後,導致的卻是特斯拉、波音、洛克希德·馬丁公司和SpaceX等行業巨頭公司的機密檔案瞬間被公之於眾。勒索的“炮火”似乎不亞於一場APT的襲擊,它能爆發的威力似乎比我們想象的還要嚴重。
DoppelPaymer勒索軟體:是一種相對較新的檔案加密和資料竊取惡意軟體。2019年中期以來一直活躍,曾被其勒索過的組織包括墨西哥國有石油公司Pemex和智利政府。DopelPaymer受到Maze勒索軟體的極大啟發,但其勒索資訊並不會提示受害組織資料已被盜,僅提供支付贖金的網站地址。
而就是這麼一個名不見經傳的新軟體,近期在安全圈掀起不小風浪。
勒索零件製造商不成,果斷“撕票” 巨頭公司機密檔案慘遭洩露,緣何?
今年3月初,總部位於美國科羅拉多州丹佛的一家名為Visser Precision的精密零件製造商遭受勒索軟體攻擊。關於Visser Precision或許你不太知曉,但它下游服務的客戶你一定熟知。據資料顯示,Visser Precision一直是特斯拉、波音、洛克希德·馬丁公司、SpaceX等行業巨頭的零件服務商。而此次駭客組織,也正是抓住它深處汽車、航空、工業製造業巨頭公司關鍵供應商的地位,揚言威脅:如果Visser不支付贖金,就會將這些巨頭公司的敏感檔案公之於眾。
Visser會如何選擇與應對呢?訊息顯示,面對強勢勒索,Visser的官方回應:拒不向駭客組織繳納贖金,宣佈已在著手進行全面調查,以找出導致攻擊的安全漏洞,並表示勒索不會影響其公司業務的正常執行。
官方如此“冷處理”的行為,全然激怒了駭客組織。沉寂一個月後,駭客從Visser竊取的重要服務商資料公之於眾。其內容不僅涉及Visser Precision與特斯拉和SpaceX簽署的保密協議資訊;還包括如反迫擊炮防禦系統中天線的規格等洛克希德-馬丁設計的重要軍事裝備細節。(索要贖金記錄螢幕)
一場關於被勒索方,似乎又不關於被勒索方的勒索事件,就這樣被冷處理下,“撕票”了。上游公司被“綁架”,下游公司出來“買單”。這不得不令我們深思。然而,這並不是DopelPayMer駭客第一次公然撕票,公開分享被盜機密資料。事實上,該黑組織有一個定期更新的網站,裡面存有大量未支付贖金公司的內部檔案。這一內幕,又為我們提供了更多思索的可能性。可以說,DopelPayMer雖是勒索圈的新興“選手”,但其充分抓住了製造承包商與重要關鍵行業存在的千絲萬縷之關聯,一旦對方不予兌現贖金,立刻展開報復,以達到“致命級”效果。
如此一來,即使是一場小型勒索軟體的“炮火”,也不亞於一場國家級APT組織的攻擊,它能爆發的威力似乎比我們想象的還要嚴重,還要恐怖。
從青銅到王者,勒索軟體在進化升級 如今早已成大國網路戰之“尖鋒利器”
史上第一起:單純性勒索之“錢貨交易 完事大吉”
史上最早的一起勒索病毒事件出現在1989年。它名為“AIDS Trojan”意為愛滋病特洛伊木馬,象徵著一旦感染此木馬病毒,就如同愛滋病一般幾乎無法治癒。愛滋病特洛伊木馬採用加密檔案或是進一步威脅公開使用者隱私等方式,惡意利用程式碼干擾目標計算機正常使用。當時,面對這位“全新的勁敵”,繳納贖金似乎是唯一擺脫它的方式。
不難發現,勒索病毒問世之初,目的就是“求財”。利用網路病毒加密目標計算機軟體,不交納贖金就被攻擊者就沒有辦法重獲被勒索的資料資訊,可以說,這是一場以“錢貨交易“的手段謀取利益的攻擊。
進階性攻擊:高傷害勒索之“血洗”網際網路
品嚐過“勒索”帶來的巨大且輕而易舉的收穫後,勒索病毒的演變與發展更加猛烈異常。這裡不得不再次重提:“史無前例”級別的“WannaCry”事件。2017年,WannaCry勒索病毒以迅雷不及掩耳之勢橫掃全球,150多個國家慘遭淪陷,全球30多萬家機構的計算機紛紛中毒,直接損失達80億美元,更是波及金融,能源,醫療等眾多行業……值得注意的是,它的強勢來襲,與以往單純盜號和資料的病毒完全不同。這一次,即使被攻擊者支付了贖金,駭客也不一定釋放檔案。它的目的儼然是一場“血洗”全球網際網路的“遊戲”。
隨著網際網路在人們生產生活中越發不可或缺,利用此製造世界恐慌,也成為某些駭客樂此不疲的動力。然而,這裡還隱藏著一個更為深層內容:WannaCry是利用“永恆之藍”的漏洞進行傳播的,而“永恆之藍”是美國國家安全域性NSA大量軍用級別網路武器之一,只因其被“影子經紀人” (Shadow Brokers)洩露才流到世面上,被“民間”駭客組織利用。國家級軍用“武器”被普通駭客牛刀小試了一下,就能達到如此境地,倘若被國家級駭客利用發動攻擊呢?而上面的擔憂,來的又是如此的迅猛。高段位攻擊:國家級勒索之攻堅“利器“就在“WannaCry”事件發生的幾周後, 俄羅斯軍方被指利用偽裝成NotPetya的勒索病毒發動了一次針對針對烏克蘭政府、金融和能源機構發起攻擊。幾個小時內,該軟體從其烏克蘭政府辦公室開始一直擴散到全球公司的網路,超過200000臺計算機被感染。而針對此事件,英國國家網路安全部中心曾在宣告中表示:
“國家惡意軟體的攻擊並非旨在進行解密,而是一次再也無法恢復資料的國家級打擊。”
無獨有偶,去年9月,Malware Hunter Team也曾披漏過一起竊取情報相關的勒索軟體攻擊。該勒索軟體不僅會加密受害者的檔案進而索要贖金,還會搜尋受害機器中的財務、軍事、執法檔案等機密資訊以及類似於“艾瑪”、“利亞姆”等疑似美國社會保障部列出的嬰兒名字。
由此可見,勒索病毒早已從最初的求財牟利、製造恐慌,升級成為國際間諜偽裝攻擊的手段,成為大國網路戰之“尖鋒利器”,並直接劍指國防、軍隊等一國要害。
前有“WannaCry”後有偽裝成NotPetya的勒索病毒,勒索病毒的一次次演變與升級,比我們預想的還要快,還要快,而其段位也在逐步從青銅進階到王者實力。而此時此刻,你還說勒索病毒只是勒索病毒嗎?
文章參考連結:
THE REGISTER-《承包商拒絕付款後,勒索軟體卑鄙的人洩露了波音,洛克希德·馬丁,SpaceX的檔案》