这两天,「美国最大燃油管道运营商 Colonial Pipeline 遭勒索软件攻击」,毫无征兆上了热搜。
看起来是个大事儿,可当我抱着吃瓜心情点开一看,发现只有寥寥数字,只说美国时间 5 月 7 日,这家公司遭到勒索攻击,为避免影响扩大,公司暂停了所有的管道运营,美国因此宣布进入紧急状态 (划重点:文末有真相),幕后黑手可能是 DarkSide。
没了。。。了。。。字少事大。
我赶紧拿起手机,打给老朋友 ocean,他现在是深信服的终端安全技术负责人,一番畅聊后,我清晰了一件事:勒索病毒团伙 DarkSide 目标明确,观点鲜明,采用双重威胁 (不交赎金就泄密),支持数字货币交付,可以说是当今勒索行业的最高水准,这并不是它第一次作案。
Colonial Pipeline 公司名直翻过来,叫做「殖民管线」,它的输油管道每天要输送 250 万桶原油,担负着美国东岸近一半的燃油供应。
提到石油企业,很多人会想到繁密管道、巨大泵阀、黑色粘稠液体,以及灰头土脸的工人。事实上,殖民管线这家公司的运营,是极端数字化的。
他们利用压力传感器、自动温度调节器等智能化设备,对燃油进行实时的监控和管理,甚至还使用了一种叫做“智能猪”(smart pig) 的管道检测机器人,它可以在管道里快速穿行,发现异常。
这些智能化设备,都与一个中央系统相连,由计算机进行控制。
正如那句已经熟透了的话所说:有网络连接的地方,就有可能遭到网络攻击。作为美国关键基础设施中的重要组成,殖民管线此次遭到攻击,被美国媒体称为“迄今为止针对美国关键基础设备最严重的网络攻击事件”,受此影响,美国宣布多州及华盛顿特区进入紧急状态。
根据多个消息来源证实,殖民管线此次遇袭,幕后黑手是一个叫做 DarkSide 的勒索软件,根据 FBI 的初步调查,这次攻击来源于俄罗斯境内。
DarkSide 勒索病毒团伙隐秘的给目标系统植入恶意软件,劫持了殖民管线近 100GB 的数据,以此为资本索要赎金,还威胁称:胆敢不给钱,那就索性闹大,我们会把所有数据泄露到网上去。
勒索病毒攻击,是“互联网能赚钱”的又一力证,可回望源头,你会发现,它原本只是一个泄愤之举。
黑客领域中,有个叫做约瑟夫·波普 (JosephPopp) 的美国人,如果你查查资料,就会发现,他还是一名进化生物学家。
波普曾在哈佛大学学习生物学,又去非洲研究狒狒,一呆就是 15 年,还在纽约建了一个蝴蝶保护区。他还写了一本书《流行的进化》,在 2000 年自费出版,其中一个观点是:人类存活的唯一原因,就是最大化了生殖成功率。
就是这样一位生物学家,却于 1989 年在英国经历了一场审判,罪名是黑客攻击。
当时,黑客攻击并不是一个新鲜词,操作是:黑客窃取某人的保密信息后,将其泄露给第三人或公之于众。
注意,只是泄露,没有其他操作。而波普开创了一种全新的黑客攻击模式:向受害者索要赎金。
1989 年,世界卫生组织正在招聘,波普前去参加面试,遗憾落选。得知这个消息后,波普满脸不高兴,准备搞点动作,结果捣鼓出了一个病毒软件,也是世界上第一个勒索软件。
当时的互联网还没有普及,只有大学里的主机才能联网,所以,他把自己制作的病毒软件,刻进了 2 万张印着“艾滋病介绍”的光碟,发给了当年参加世界艾滋病大会的人,这场大会,正是由世界卫生组织举办的。
随光盘附赠的,还有一个手册,上面清楚的写着:这些程序将会影响计算机上的其他应用程序,你可能会因此而支付一些费用,而且你的电脑也会停止正常运作。
可惜的是,说明手册这种东西,历来就没什么存在感。
来自全球各地的医学研究者们看都不看,直接就把光碟塞进了电脑,看着屏幕上出现一个程序安装界面,上面友好的写着一行字:此程序旨在提供有关艾滋病的最新信息。
艾滋病作为一种闻者色变的疾病,非常受到医学研究者的关注,安装一个软件,就能及时获取最新消息,这么高的性价比,没理由拒绝,于是一个个都选择了安装。
安装后没多久,屏幕上跳出一个对话框:请支付软件租赁费用,189 美元 / 年。
激活后的信息界面
中招的那些人,关闭对话框后,发现什么都没有发生,以为只是个恶作剧。其实,只是时机未到。
当电脑重启次数达到 90 次后,病毒软件就会启动,通过重命名、加密和隐藏系统上的目录和文件,达到攻击电脑文件的目的。
也不知该说幸还是不幸,波普在软件编码过程中犯了错,尽管加密方式是靠谱的,可他却将执行加密程序的密钥存储在了同一文件中。这一漏洞很快被杀毒软件发现,所有受害者才免于损失。
正是因为这次攻击,波普在家中被 FBI 逮捕,遭到起诉,后于 2006 年去世。
尽管这只是一个泄愤之举,却开创了一种全新的黑客攻击模式。
在此后的 30 多年里,全球都陷入了勒索软件攻击的威胁之中,2017 年的漏洞“永恒之蓝”和进一步开发的勒索病毒“ Wannacry”,更是让国内众多高校校内网、大型企业内网和政府机构专网中招,被要求支付高额赎金才能解密文件,引无数论文学子抱被痛哭。
在这 30 多年的发展中,勒索软件攻击喊着奥运口号,一步步朝“更快、更高、更强”迈进。
早期的勒索软件攻击,属于通用攻击,就像一张网撒海里,鱼鲸虾蟹抓着哪个算哪个,目标性不强。
可一段时间之后,黑客发现,大企业不好搞,交个赎金还得层层审批,效率太低,还是小企业好欺负。于是,勒索软件攻击进入中期阶段。
中期的勒索软件攻击,摒弃了广撒网的做法,专挑老弱病残的企业发起攻击,偶尔才弄个大企业。
过了一段时间,黑客又开始复盘:好搞的企业,支付赎金的意愿和能力都偏弱,性价比太低,大企业和关键行业虽然难搞,却有“单车变摩托”的收益,相比之下,还是大企业有搞头。
于是,勒索软件攻击进入成熟期:目标明确;团队化分工操作;采用双重威胁模式,提升成功几率;新增数字货币支付,提升隐秘性。
这次攻击殖民管线的 DarkSide 勒索病毒团队,就是其中高水准的一大代表,怕是早已实现财富自由。
ocean 在电话里跟我说,早在 2020 年 8 月,他们就监测到了一个新的流行勒索软件家族,自称 DarkSide,通过定点攻击来获利。
当时,市面上其他流行的勒索软件家族,在成功感染目标客户后,首先会发一封勒索信,等有了一定的活跃时间和更多的攻击成果后,才会启动数据泄露站点。
但 DarkSide 不按套路出牌,直接就在勒索信中写明:我们已经拿到你们的数据了,这里是发布站点链接,不信的话,自己来验证。
受害企业将勒索信中提供的 Key 值输入站点后,就能看到非常详细的数据恢复方式及赎金金额,页面还留有数字货币地址,以及温馨提示:不按规定时间付款,赎金可是会涨价的哟~
更为惊人的是,DarkSide 还有着自己鲜明的原则和特色。
1、有四种目标不会攻击:
a) 医院
b) 学校
c) 非盈利组织
d) 政府部门
2、开设咨询窗口:在支付赎金前,可以询问任何问题,有专人进行回答。
3、DarkSide 可以保证,收到赎金后,立刻恢复数据,并删除所有已上传的数据,保你毫无后顾之忧。
4、不会攻击独立国家联合体 (CIS) 中的国家。
这是因为这些国家的政府,不太在意这些网络犯罪,只要攻击者针对的目标是外国人就行,而且从法律层面来看,只要没有损害国家利益,打击力度都很弱,所以,包括 DarkSide 在内的绝大多数恶意软件家族,都倾向于不感染 CIS 成员国。
5、用收到的赎金做慈善。有证据显示,DarkSide 多次给慈善组织捐款,如果这些慈善组织给力的话,应该已经有一部分人和地区从中受益了。
在过去的 30 年里,勒索软件攻击正在以惊人的速度推陈出新,不少攻击堪称完美犯罪:轻松获得赎金,几乎不会被追踪。
所有的黑客攻击都有两面性,一面是受害企业和国家遭受损失,另一面则是全球正日益提高的安全意识。在勒索软件攻击来临之前,一定要守好三道防线:
1、为设备做好安全防护;
2、提高安全意识;
3、给数据做好冷、热备份。
支付赎金看似是个应对办法,但说到底,只是个下下策。
对了,最后值得辟个谣:网传,燃油管道运营商 Colonial Pipeline 被攻击后,美国宣布进入紧急状态。
新闻一出,很多嘲讽的话语随之而来:美国在新冠疫情的疯狂蹂躏之下,都强撑着没有宣布进入紧急状态,结果被一次黑客攻击给推进去了。
事实上,美国这次宣布的“紧急状态”,是由美国交通运输部联邦机动车辆安全管理局发布的,这是一种临时性措施,涉及多个州及华盛顿特区。
为啥要发布这个呢?很简单,文章开头已经说了,Colonial Pipeline 受到攻击后,暂停了所有的管道运营,可它又身负重任,承担着美国东岸近一半的燃油供应。众所周知,在美国,经济发展是头号大事,管道运营停了,可油气运输不能停。
油气资源原本是禁止公路运输的,可现在是特殊情况,既然经济发展不能停,就得出动汽车来运输了。
这才是正确的“紧急状态”。
作为吃瓜群众,瓜能吃,但得吃明白,否则跟人吹牛的时候,容易暴露。
参考资料:
1、
https://abc7.com/cyberattack-on-us-pipeline-is-linked-to-criminal-gang/10604548/2、
https://mp.weixin.qq.com/s/PnOPAuZLAe5k8bmCkWbjjQ3、
https://www.bbc.com/news/technology-570636364、《网络战争:颠覆商业世界的黑客事件》 查尔斯·亚瑟
文 | 木子Yanni
嗨,这里是浅黑科技,在未来面前,我们都是孩子。
想看更多科技故事,欢迎戳→微信公众号:浅黑科技。
