起底入侵美國最大燃油管道的黑客組織

2021-05-12 15:03

來源：澎湃新聞·澎湃號·湃客

聽全文

原創(chuàng) 雪媚娘 iWeekly周末畫報

包括華盛頓在內(nèi)的美國18個州因輸油管停用而陷入緊急狀態(tài)，當?shù)貢r間10日，造成這一危機的幕后黑手——黑客組織“黑暗面”（DarkSide）終于現(xiàn)身，承認入侵美國最大的燃料管道運營商科洛尼爾公司（Colonial Pipeline），但自詡“一切為了錢，不為危害社會”。這個神秘組織究竟有何背景？它又是如何輕易劫持美國燃料命脈的？

黑客如何讓美國斷油？

故事要從6日說起。當天科洛尼爾公司表示自己遭到了俄羅斯網(wǎng)絡犯罪團伙DarkSide的攻擊，約有近100GB的數(shù)據(jù)被劫持，只有交付贖金才能重新拿回數(shù)據(jù)。但出于安全考慮，科洛尼爾公司直接關閉了公司部分系統(tǒng)，停止運營管道，從而導致美國東岸燃料短缺危機。

事件發(fā)生后，人們最大的疑惑是，黑客如何能挾持裝滿石油的管道？報道指出，其實科洛尼爾公司的運營高度數(shù)字化，他們使用壓力傳感器、恒溫器、閥門和泵來監(jiān)測和控制柴油、汽油和噴氣燃料在數(shù)百英里長的管道中的流動。該公司甚至有一個高科技的“智能豬”（smart pig管道檢測儀）機器人，在管道中穿梭，檢查是否有異常情況。而以上這些設備都與中央系統(tǒng)相連。

有網(wǎng)絡連接的地方，就有遭受攻擊的風險，網(wǎng)絡安全公司Check Point的歐洲、中東、非洲和亞太地區(qū)事件響應負責人喬恩·尼克斯（Jon Niccolls）指出，所有用于運行現(xiàn)代管道的設備都由計算機控制，而不是由人實際控制?！叭绻鼈冞B接到一個組織的內(nèi)部網(wǎng)絡，那么管道本身就容易受到惡意攻擊?！?p>

不過，目前還不清楚科洛尼爾公司究竟是因為哪種信息安全漏洞中招的。尼克斯猜測，黑客有可能通過行政管理部門進入公司的計算機系統(tǒng)，而非直接對運營系統(tǒng)進行攻擊?！拔覀兛吹揭恍┕舳际菑囊环怆娮余]件開始的。例如，一名員工可能被騙下載了一些惡意軟件。也有黑客利用第三方軟件的弱點黑入系統(tǒng)的例子。他們會利用任何機會在網(wǎng)絡中獲得一個立足點。”尼克斯表示，在發(fā)動勒索攻擊之前，黑客可能已經(jīng)在科洛尼爾公司的內(nèi)網(wǎng)中潛伏了幾周甚至幾個月。

目前尚不清楚科洛尼爾公司是否支付了贖金，還是仍在和DarkSide談判，公司也沒有向聯(lián)邦政府尋求網(wǎng)絡支持。但該公司已表示，希望在本周末前使所有管道恢復運行。最新消息顯示，科洛尼爾公司在現(xiàn)有庫存可用的情況下，從北卡羅來納州格林斯伯勒到馬里蘭州伍德拜的4號線暫時由人工控制運行。目前，主要燃料管線仍然關閉，在終端和交付點之間的一些小型管線現(xiàn)在已恢復運作。能源部正在和該公司密切協(xié)商，交通部也發(fā)布了緊急命令，放寬對卡車司機的限制，以幫助協(xié)調(diào)燃料運輸盡快恢復正常。

“黑暗面”與“羅賓漢”

美國總統(tǒng)拜登于10日表示，美國將起訴DarkSide組織，并表示有證據(jù)表明該組織位于俄羅斯，因此“雖然沒有證據(jù)表明俄政府參與其中，但將與普京總統(tǒng)會面”。DarkSide隨后在其官網(wǎng)上發(fā)布聲明，證實自己為輸油管事故負責，但同時澄清黑客行為“不涉政治”。

“我們是非政治性的，我們不參與地緣政治，不需要把我們和一個確定的政府綁在一起，尋找我們的動機，”DarkSide在這份道歉聲明中寫道，“我們的目標是賺錢，而不是給社會制造麻煩?！痹摻M織還檢討稱，它并不知道科洛尼爾公司已成為其組織中一個附屬機構的目標，在之后的運營中，“我們將對合作伙伴希望加密的每家公司進行審核，以避免在未來產(chǎn)生嚴重的社會后果”。

DarkSide于2020年首次出現(xiàn)在民眾的視野中，并策劃了多起網(wǎng)絡襲擊事件。外界普遍認為該組織發(fā)源于俄羅斯，因為它使用的軟件代碼會避開系統(tǒng)為俄語、烏克蘭語、白俄羅斯語的企業(yè)。據(jù)報道，DarkSide的勒索模式并不復雜。通過完成黑客入侵后，組織會列出其竊取的所有數(shù)據(jù)類型，并向受害者發(fā)送一個“個人泄露頁面”的URL（也就是網(wǎng)絡地址），其中的數(shù)據(jù)已經(jīng)下載，如果公司或組織在截止日期之前不付款，數(shù)據(jù)就將被自動發(fā)布。此外，DarkSide會告知受害者，它將提供從公司官方獲取數(shù)據(jù)的證據(jù)，并將從受害者的計算機和服務器中刪除所有數(shù)據(jù)。DarkSide索要的贖金一般在20萬美元到200萬美元不等，受害者需要支付加密貨幣。

但與一般黑客組織不同的是，DarkSide一直致力于展現(xiàn)自己“善良”的一面，并試圖通過各種宣傳獲得支持者。他們有官網(wǎng)、受害者聯(lián)絡渠道、郵件聯(lián)絡方式、媒體中心，甚至還公示了“道德準則”。根據(jù)準則，DarkSide“只攻擊那些能夠支付所需金額的公司”，不會攻擊學校、醫(yī)院、政府機構和非營利組織等，以及有前蘇聯(lián)背景的公司，而英語國家的營利性公司則在“可攻擊”范圍之內(nèi)。

DarkSide還標榜自己是“羅賓漢”，經(jīng)常拿出網(wǎng)絡勒索所獲利益進行慈善捐贈?！盁o論你認為我們的工作有多糟糕，我們很高興知道我們幫助改變了某人的生活。”該組織曾在官網(wǎng)公布捐款收據(jù)，聲稱拿出部分贖金用于慈善事業(yè)“是公平的”。這種捐款動機尚不明確。網(wǎng)絡安全公司Emsisoft的威脅分析師布雷特·卡洛（Brett Callow）表示：“也許這有助于減輕他們的罪惡感，或者出于自我感覺良好的原因，他們希望被認為是羅賓漢式的人物，而不是無良的敲詐者?！笨ò退够鶆t認為，這里面可能暗藏陷阱：包括美國在內(nèi)的一些國家禁止慈善組織接受非法獲得的錢，換句話說，這種款項實際上永遠不會到達他們手中，只不過裝裝樣子而已。

▲DarkSide給“國際兒童”的捐款收據(jù)。

網(wǎng)絡勒索變身新產(chǎn)業(yè)

“對損失的恐懼是通向黑暗面的道路?！薄缎乔虼髴?zhàn)》中尤達大師的話在如今看來頗有一番諷刺意味。DarkSide從2020年開始活躍，通過各種和媒體的“合作宣傳”與量身定做贖金金額，賺取了大量非法錢財。不少網(wǎng)絡分析師指出，DarkSide已經(jīng)將黑客行為和網(wǎng)絡勒索，發(fā)展成系統(tǒng)的盈利模式。

和許多勒索軟件集團一樣，DarkSide并非一個單打獨斗的團伙，更像是運營著一個企業(yè)。他們開發(fā)用于加密和竊取公司數(shù)據(jù)的軟件，然后提供給“附屬機構”，這些機構會挑選目標進行黑客攻擊和勒索，一旦成功，將向DarkSide支付一定比例的提成。而拒絕交付贖金的企業(yè)信息和部分機密數(shù)據(jù)則會被公布在一個類似維基解密的網(wǎng)站上——DarkSide Leaks。

值得注意的是，DarkSide在挑選目標時就會進行市場調(diào)研，他們會分析目標企業(yè)的會計記錄，并根據(jù)凈收入來確定贖金定價。在盜取信息之后，他們還熱衷于公布手頭數(shù)據(jù)籌碼，讓受害者的客戶、合作伙伴、競爭對手都知悉，以便最大程度恐嚇受害者，刺激他們付款。此外，DarkSide特別設立了媒體中心，吸引記者關注。一方面，媒體的報道會加強DarkSide的影響力，另一方面，企業(yè)可能會擔心網(wǎng)絡讓事件進一步發(fā)酵，從而更快支付贖金。

卡巴斯基則指出，DarkSide的生意經(jīng)里可能還包含了另一種潛規(guī)則——尋找提供合法數(shù)據(jù)解密服務的公司作為合作伙伴。目前，不少企業(yè)并沒有自己的專業(yè)信息安全部門，遭遇黑客攻擊時，需要依靠外部專家來幫忙解決。當DarkSide和這些技術公司聯(lián)手時，可以假借對方的名義恢復數(shù)據(jù)，讓受害企業(yè)以為通過合法途徑解決問題，從而支付傭金，但最終錢財還是落入了DarkSide的口袋。

新聞及圖片來源：紐約時報、DailyVoice、福布斯、卡巴斯基，部分圖片來源于網(wǎng)絡

iWeekly周末畫報獨家稿件，未經(jīng)許可，請勿轉(zhuǎn)載