据《纽约时报》报道,当地时间周一(5月10日),拜登总统表示,美国将“瓦解并起诉”一个名为DarkSide的黑客犯罪团伙,美国联邦调查局(FBI)正式指责该团伙实施了巨大的勒索软件攻击,使东海岸近一半的汽油和航空燃料供应中断。
FBI显然担心勒索软件的勒索范围可能会蔓延,他们向电力公司、天然气供应商和其他管道运营商发出了紧急警报,提醒他们注意类似于锁住Colonial Pipelines的代码,Colonial Pipelines是一家私营公司,控制着从德克萨斯海湾海岸向纽约港输送汽油、柴油和航空燃料的主要管道,此前该公司曾因遭受勒索软件袭击而被迫关闭了管道。
到5月10日时,该管道连续第四天处于关闭状态,这是一项先发制人的措施,以防止感染该公司计算机网络的勒索软件扩散到运行该管道的控制系统。不过到目前为止,勒索软件对汽油和其他能源供应的影响似乎微乎其微,Colonial Pipelines表示,它希望在本周末前使管道重新运行。
这次的攻击促使白宫在整个周末召开紧急会议,因为官员们试图了解这起事件是纯粹的犯罪行为——旨在锁定Colonial Pipelines的计算机网络,要求他们支付巨额赎金,还是俄罗斯或其他国家暗中利用犯罪集团所为。
情报官员说,到目前为止,所有的迹象都表明,这只是该组织的一种勒索行为,该组织去年8月首次开始部署此类勒索软件,而其操作地点可能是在东欧,或者俄罗斯。甚至该组织在自己5月10日发布的声明中也表示道,他们本来只是想向该公司勒索钱财,没想到最后却切断了东海岸的主要汽油和航空燃料供应。
随着黑客在攻击电网、管道、医院和水处理设施等关键基础设施方面变得更加肆无忌惮,这次攻击暴露了美国关键能源渠道显著的脆弱性。亚特兰大和新奥尔良市政府都曾遭到过攻击,最近几周的华盛顿特区警察局也受到了攻击。
网络保险和加密货币的兴起推动了勒索软件案件的爆炸性增长,网络保险使许多公司和政府成为犯罪团伙的成熟目标,这些犯罪团伙相信他们的目标会付钱,而加密货币则使勒索付款更难追踪。
联邦官员和私人调查员说,在这种情况下,勒索软件不是针对管道的控制系统,而是针对该公司的后台操作。尽管如此,出于对遭受更大损失的担忧,该公司还是关闭了系统,此举充分体现出了该公司的网络里存在着漏洞,而这些网络正维持着加油站、卡车站和机场的运作。
据熟悉调查的联邦和私人调查员称,初步调查显示,Colonial Pipelines的安全做法很糟糕。他们表示,这些失误很可能使闯入和锁定该公司系统的行为变得相当容易。
Colonial Pipelines没有回答关于它在保护其网络方面进行了何种投资的问题,并拒绝透露它是否正在支付赎金。而且,该公司似乎不愿意让联邦官员加强他们系统的防卫。
负责政府网络和新兴技术的国家安全副顾问安妮·纽伯格(Anne Neuberger)拒绝透露联邦政府是否会建议Colonial Pipelines支付赎金,但她在白宫的一次简报会上告诉记者:“现在,他们没有要求联邦政府提供网络支持,但如果公司的数据被加密,而他们又没有备份,无法恢复数据,那往往会将公司置于困难的境地。”
虽然安妮的措辞并不露骨,但这似乎基本上是Colonial Pipelines的情况。
预计在未来几天,拜登将宣布一项行政命令,以加强美国的网络防御,拜登表示,没有证据表明俄罗斯政府是这次攻击的幕后黑手。但他同时也表示,他计划很快与俄罗斯总统普京会面,他认为俄罗斯政府应该承担一些责任,因为据信DarkSide在俄罗斯有根基,而俄罗斯则为网络犯罪分子提供了一个庇护所。
Colonial Pipelines为东海岸上下的大型储油罐供油,供应似乎很充足,部分原因是疫情期间交通减少。5月10日,Colonial Pipelines发表声明说,其目标是在本周末前“基本”恢复服务,但同时该公司也警告说,这一过程需要时间。
伊丽莎白·舍伍德·兰德尔(Elizabeth Sherwood-Randall)是拜登政府的国土安全顾问,也是奥巴马政府的前能源部副部长。她表示,能源部正在领导联邦作出应对,并已“召集石油和天然气以及电力部门的公用事业合作伙伴,分享关于勒索软件攻击的细节,并讨论建议的措施,以减轻整个行业在将来遭遇类似事件的可能性”。她指出,联邦政府已经放宽了对用卡车运输汽油和航空燃料的司机的规定,以努力减轻影响。
她说:“现在我们并不存在供应短缺,而是在为多种可能的突发事件做准备。”她还表示,让管道重新上线是Colonial Pipelines的责任。
对于多年来致力于保护美国关键基础设施免受网络攻击的许多官员来说,过去几天的事件唯一令人惊讶的是,它们过了这么长时间才发生。当莱昂·帕内塔(Leon Panetta)还在奥巴马手下担任国防部长时,他就曾将此类事件称为“网络珍珠港”(cyber Pearl Harbor),他还曾警告说,对网络的袭击可能会导致电力和燃料供应渠道的关闭,而网络珍珠港的说法经常被用来努力说服国会和公司在网络防御方面投入更多费用。
在特朗普执政期间,美国国土安全部(Department of Homeland Security)发布了关于美国电网中存在俄罗斯恶意软件的警告。此外,美国还进行了一项并不隐秘的活动——在俄罗斯电网中投放恶意软件,以示警告。
但是,在政府机构和电力公司就美国能源部门遭受袭击的假设进行的多项模拟中,他们通常会将其设想为某种恐怖袭击,例如网络和物理攻击的混合,或者伊朗、中国或俄罗斯在更大的军事冲突的开始阶段进行的突击。
但这次的情况不同:一名罪犯试图从一家公司勒索钱财,却最终导致了系统的瘫痪。拜登政府的一位高级官员称这是“最终的混合威胁”,因为这是一种犯罪行为,是美国通常会以逮捕或起诉来应对的行为,但却对国家的能源供应链造成了重大威胁。
拜登先生威胁要“瓦解”该勒索软件集团,可能是在表明政府正在采取行动打击这些集团,而不仅仅是起诉他们。这正是美国网络司令部(United States Cyber Command)去年在11月总统选举前所做的事情,当时,他们属下的军事黑客闯入了另一个名为Trickbot的勒索软件集团的系统,并操纵其指挥和控制计算机服务器,使其无法用勒索软件锁定新的受害者。当时人们担心的是,该勒索软件集团可能会将其技能出售给包括俄罗斯在内的政府,这些政府试图冻结选举表格。
5月10日,DarkSide辩称它并未代表哪个国家运作,也许是为了与俄罗斯保持距离。
它在其网站上发布的一份声明中说:“我们是非政治性的,我们不参与地缘政治,不需要把我们与一个确定的政府联系起来,并寻找我们的动机。我们的目标是赚钱,而不是为社会制造问题。”
该组织似乎对其攻击行为导致一条主要管道的关闭感到有些惊讶,并暗示也许它将在未来避免此类目标。
该组织说:“从今天起,我们会进行节制,并检查我们的合作伙伴想要加密的每家公司,以避免未来可能会产生的社会后果。”但至于它如何定义“节制”,目前尚不清楚。
DarkSide是勒索软件领域一个相对较新的成员,在此类事件中,犯罪行为人会将其服务出租给出价最高的人,然后与勒索软件开发商分享“收益”。这基本上是一种商业模式,其中一些不义之财将被用于研究和开发更有效的勒索软件形式。
该组织经常把自己描述成数字领域劫富济贫的英雄,他们从公司窃取,然后给予他人。DarkSide说它避开了入侵医院、殡仪馆和非营利组织,但它瞄准了大公司,有时还会将其收益捐给慈善机构。但大多数慈善机构都拒绝了它提供的礼物。
关于DarkSide的起源的一个线索在于它的代码。私人研究人员注意到,DarkSide的勒索软件会询问受害者的计算机的默认语言设置,如果是俄语,该组织就会转向其他受害者。此外,它似乎还避开讲乌克兰语、格鲁吉亚语和白俄罗斯语的用户。
它的代码与REvil使用的代码有着惊人的相似之处,而REvil是第一批提供“勒索软件服务”的勒索软件组织之一。
DarkSide提出的赎金要求比REvil要求的八位数赎金要低,大约从20万美元(约合人民币128.32万元)到200万美元(约合人民币1283.2万元)。它在每张赎金条中都有一个独特的密钥,这表明DarkSide为每个受害者定制了攻击。由此可见,与其他大多数勒索软件组织相比,DarkSide的攻击是有选择性的。