入侵美燃油管道黑客自诩“罗宾汉” 边勒索边捐款
来源:倍可亲(backchina.com)包括华盛顿在内的美国18个州因输油管停用而陷入紧急状态,当地时间10日,造成这一危机的幕后黑手——黑客组织“黑暗面”(DarkSide)终于现身,承认入侵美国最大的燃料管道运营商科洛尼尔公司(Colonial Pipeline),但自诩“一切为了钱,不为危害社会”。这个神秘组织究竟有何背景?它又是如何轻易劫持美国燃料命脉的?
黑客如何让美国断油?
故事要从6日说起。当天科洛尼尔公司表示自己遭到了俄罗斯网络犯罪团伙DarkSide的攻击,约有近100GB的数据被劫持,只有交付赎金才能重新拿回数据。但出于安全考虑,科洛尼尔公司直接关闭了公司部分系统,停止运营管道,从而导致美国东岸燃料短缺危机。
事件发生后,人们最大的疑惑是,黑客如何能挟持装满石油的管道?BBC指出,其实科洛尼尔公司的运营高度数字化,他们使用压力传感器、恒温器、阀门和泵来监测和控制
柴油、汽油和喷气燃料在数百英里长的管道中的流动。该公司甚至有一个高科技的“智能猪”(smart pig管道检测仪)机器人,在管道中穿梭,检查是否有异常情况。而以上这些设备都与中央系统相连。
有网络连接的地方,就有遭受攻击的风险,网络安全公司Check Point的欧洲、中东、非洲和亚太地区事件响应负责人乔恩·尼克斯(Jon Niccolls)指出,所有用于运行现代管道的设备都由计算机控制,而不是由人实际控制。“如果它们连接到一个组织的内部网络,那么管道本身就容易受到恶意攻击。”
不过,目前还不清楚科洛尼尔公司究竟是因为哪种信息安全漏洞中招的。尼克斯猜测,黑客有可能通过行政管理部门进入公司的计算机系统
,而非直接对运营系统进行攻击。“我们看到一些攻击都是从一封电子邮件开始的。例如,一名员工可能被骗下载了一些恶意软件。也有黑客利用第三方软件的弱点黑入系统的例子。他们会利用任何机会在网络中获得一个立足点。”尼克斯表示,在发动勒索攻击之前,黑客可能已经在科洛尼尔公司的内网中潜伏了几周甚至几个月。
目前尚不清楚科洛尼尔公司是否支付了赎金,还是仍在和DarkSide谈判,公司也没有向联邦政府寻求网络支持。但该公司已表示,希望在本周末前使所有管道恢复运行。最新消息显示,科洛尼尔公司在现有库存可用的情况下,从北卡罗来纳州格林斯伯勒到马里兰州伍德拜的4号线暂时由人工控制运行。目前,主要燃料管线仍然关闭,在终端和交付点之间的一些小型管线现在已恢复运作。能源部正在和该公司密切协商,交通部也发布了紧急命令,放宽对卡车司机的限制,以帮助协调燃料运输尽快恢复正常。
“黑暗面”与“罗宾汉”
美国总统拜登于10日表示,美国将起诉DarkSide组织,并表示有证据表明该组织位于俄罗斯,因此“虽然没有证据表明俄政府参与其中,但将与普京总统会面”。DarkSide随后在其官网上发布声明,证实自己为输油管事故负责,但同时澄清黑客行为“不涉政治”。
“我们是非政治性的,我们不参与地缘政治,不需要把我们和一个确定的政府绑在一起,寻找我们的动机,”DarkSide在这份道歉声明中写道,“我们的目标是赚钱,而不是给社会制造麻烦。”该组织还检讨称,它并不知道科洛尼尔公司已成为其组织中一个附属机构的目标,在之后的运营中,“我们将对合作伙伴希望加密的每家公司进行审核,以避免在未来产生严重的社会后果”。
DarkSide于2020年首次出现在民众的视野中,并策划了多起网络袭击事件。外界普遍认为该组织发源于俄罗斯,因为它使用的软件代码会避开系统为俄语、乌克兰语、白俄罗斯语的企业。据报道,DarkSide的勒索模式并不复杂。通过完成黑客入侵后,组织会列出其窃取的所有数据类型,并向受害者发送一个“个人泄露页面”的URL(也就是网络地址),其中的数据已经下载,如果公司或组织在截止日期之前不付款,数据就将被自动发布。此外,DarkSide会告知受害者,它将提供从公司官方获取数据的证据,并将从受害者的计算机和服务器中删除所有数据。DarkSide索要的赎金一般在20万美元到200万美元不等,受害者需要支付加密货币。
但与一般黑客组织不同的是,DarkSide一直致力于展现自己“善良”的一面,并试图通过各种宣传获得支持者。他们有官网、受害者联络渠道、邮件联络方式、媒体中心,甚至还公示了“道德准则”。根据准则,DarkSide“只攻击那些能够支付所需金额的公司”,不会攻击学校、医院、政府机构和非营利组织等,以及有前苏联背景的公司,而英语国家的营利性公司则在“可攻击”范围之内。
DarkSide还标榜自己是“罗宾汉”,经常拿出网络勒索所获利益进行慈善捐赠。“无论你认为我们的工作有多糟糕,我们很高兴知道我们帮助改变了某人的生活。”该组织曾在官网公布捐款收据,声称拿出部分赎金用于慈善事业“是公平的”。这种捐款动机尚不明确。网络安全公司Emsisoft的威胁分析师布雷特·卡洛(Brett Callow)表示:“也许这有助于减轻他们的罪恶感,或者出于自我感觉良好的原因,他们希望被认为是罗宾汉式的人物,而不是无良的敲诈者。”卡巴斯基则认为,这里面可能暗藏陷阱:包括美国在内的一些国家禁止慈善组织接受非法获得的钱,换句话说,这种款项实际上永远不会到达他们手中,只不过装装样子而已。
网络勒索变身新产业
“对损失的恐惧是通向黑暗面的道路。”《星球大战》中尤达大师的话在如今看来颇有一番讽刺意味。DarkSide从2020年开始活跃,通过各种和媒体的“合作宣传”与量身定做赎金金额,赚取了大量非法钱财。不少网络分析师指出,DarkSide已经将黑客行为和网络勒索,发展成系统的盈利模式。
和许多勒索软件集团一样,DarkSide并非一个单打独斗的团伙,更像是运营着一个企业。他们开发用于加密和窃取公司数据的软件,然后提供给“附属机构”,这些机构会挑选目标进行黑客攻击和勒索,一旦成功,将向DarkSide支付一定比例的提成。而拒绝交付赎金的企业信息和部分机密数据则会被公布在一个类似维基解密的网站上——DarkSide Leaks。
值得注意的是,DarkSide在挑选目标时就会进行市场调研,他们会分析目标企业的会计记录,并根据净收入来确定赎金定价。在盗取信息之后,他们还热衷于公布手头数据筹码,让受害者的客户、合作伙伴、竞争对手都知悉,以便最大程度恐吓受害者,刺激他们付款。此外,DarkSide特别设立了媒体中心,吸引记者关注。一方面,媒体的报道会加强DarkSide的影响力,另一方面,企业可能会担心网络让事件进一步发酵,从而更快支付赎金。
卡巴斯基则指出,DarkSide的生意经里可能还包含了另一种潜规则——寻找提供合法数据解密服务的公司作为合作伙伴。目前,不少企业并没有自己的专业信息安全部门,遭遇黑客攻击时,需要依靠外部专家来帮忙解决。当DarkSide和这些技术公司联手时,可以假借对方的名义恢复数据,让受害企业以为通过合法途径解决问题,从而支付佣金,但最终钱财还是落入了DarkSide的口袋。
