网络勒索 2.0 为何频频得手

工业互联深化,叠加虚拟货币勃兴,全球网络犯罪瞄准关键基础设施运行

2021 年 5 月 7 日凌晨 5 点,美国东海岸大部分居民还在酣睡,美国最大的输油管道运营商之一——科洛尼尔管道公司(Colonial Pipeline,下称「科洛尼尔公司」)一名员工却在控制室的电脑上发现了一封勒索信,并立即通知一名运营主管。

未知的发信人要求该公司支付 75 个比特币作为赎金,否则就会将部分盗取的数据泄露到网上。彼时,75 个比特币的法币价值高达 400 多万美元。

不确定勒索者是谁,也不确定后果能有多严重,运营主管随即决定按应急流程开始关闭输油管道。这条长达 8850 公里的输油管道,堪称美东能源输送大动脉,连接美国墨西哥湾沿岸的炼油厂与纽约、华盛顿等美国东部人口稠密的地区,承载着美国东海岸 45% 的汽油供应。

油管被迫停运的五天里,美国东海岸大部地区汽油、柴油、喷气燃料和精炼产品运输受阻,并最终将该地区油价推高至六年来最高水平。直至 5 月 12 日下午,在向黑客支付了比特币赎金后,该公司才终于宣布管道开始重启。即便如此,截至 5 月 13 日上午 7 点,美国北卡罗来纳州 71%、弗吉尼亚州 55% 以及佐治亚州 49% 的加油站汽油依然断供,美国东海岸多个加油站排起了长队。

科洛尼尔公司运营的这条管道,1964 年开始全面运营。而 2021 年 5 月 7 日这天,是其 57 年来首次全部关闭。该公司首席执行官布朗特(Joseph Blount)在 6 月 9 日的国会听证会上解释道,关闭管道是由公司多个高管一同商议后决定的。他们相信,如果没有及时关闭运输管道,一旦攻击者通过网络入侵操作机械的系统,后果或将不堪设想。布朗特同时为支付赎金辩护称,尽管公司最终依赖备用系统恢复了输油业务,但不支付赎金将延缓业务恢复过程。

事实上,一个名为「暗面」(Dark Side)的东欧黑客组织早在 4 月 29 日就已悄然入侵该公司的网络系统。尽管美国联邦调查局(FBI)事后成功追回 63.7 个比特币,但由于币值震荡,查获的 63.7 个比特币目前仅约合 230 万美元,这也意味着科洛尼尔公司整体损失仍然超过了 200 万美元。

科洛尼尔公司遭遇的勒索软件攻击事件,是公开披露的、至少第二起针对美国能源管道运营商的勒索软件攻击事件。

2020 年,美国国土安全部下属的网络安全和基础设施安全局曾发布报告称,一家天然气管道运营商的天然气压缩设施也曾遭到勒索软件攻击,导致该设施关闭了两天。

美国以外,能源基础设施遭受网络攻击同样屡见不鲜:例如,2015 年 12 月,乌克兰电网曾因被黑客攻陷,导致 140 万居民断电数小时;2019 年 11 月,墨西哥石油公司也因遭受网络攻击勒索而一度瘫痪。

不光是能源企业,大宗商品供应链上不同类型的运营商似乎都被网络攻击者盯上了。

科洛尼尔公司遇袭大约三周后,全球肉企巨头 JBS 也因勒索软件攻击,被迫关停了其位于北美及澳大利亚的多处生产线。

JBS 是美国第一大牛肉生产商、第二大猪肉和禽肉生产商,其在美国停运的五大牛肉工厂每天共可处理约 2.25 万头牛,相当于全美总产量的五分之一。这意味着,整个美国市场约五分之一的肉类供应皆因这次攻击而受到干扰。吃紧的供应推高了当地牛肉和猪肉的批发价格。美国农业部的最新数据显示,6 月 2 日当天,「盒装精选牛肉」的批发价由每一百磅 334.56 美元上涨至 340.16 美元,涨幅约为 1.7%,是过去一个月以来的最高涨幅。

除了科洛尼尔公司和 JBS,公共交通等基础设施系统,都曾在最近几周沦为黑客攻击的对象。JBS 的系统遇袭仅三天后,当地时间 6 月 2 日,美国纽约市和马萨诸塞州的交通系统相继披露,它们也遭到了勒索软件攻击。马萨诸塞州轮船管理局的网络系统被黑客入侵后,订票系统一度失灵,乘客无论从网上还是通过电话均无法订票或改期,前往波士顿附近景点「玛莎葡萄园」和南塔基特岛的渡轮服务因此受到影响。

纽约市大都会运输署(MTA)直到 6 月 2 日才披露,其网络系统今年 4 月也遭攻到击。黑客入侵了 MTA 所用 18 个电脑系统中的 3 个,好在攻击随后迅速得以修复,并没有影响到地铁等公共交通系统的正常运行,但该机构并未明确是否向黑客支付赎金。

MTA 是纽约市公共交通的管理机构,负责运营包括纽约地铁、长岛铁路、大都会北方铁路、斯塔滕岛铁路在内的诸多线路,也是美国最大的交通管理网络。

疫情下的「完美风暴」

从大宗商品供应链到公共交通运营商,重要基础设施的网络系统频遭网络攻击,引发美国各界对关键商品和服务安全的担忧。种种迹象表明,过去黑客关注的焦点可能是类似金融机构、保险公司、消费零售商这样拥有大量用户数据的公司;而今,全球网络犯罪的方向正向威胁关键基础设施运行、进而成功实施勒索这一方向发展。

这类软件通常能够将运营商系统锁定,并以此相要挟,索要不菲的赎金。比起黑产链条中较为传统的「偷数据」、卖数据,勒索软件攻击对供应链企业造成的威胁则要大得多。

自 2020 年初开始的新冠疫情全球大流行,让众多企业和系统过去一年多以来不得不大幅调整作业方式,「远程办公」成为疫情严重时期的主流工作模式。与此相关的是网络犯罪案件的迅速上升,而作为其中一种的勒索病毒活跃度上升尤为明显。

据新加坡安全情报公司 Group-IB 的监测,仅 2020 年,此类攻击数量就上升了 150%,平均支付的赎金价格则大涨超过 3 倍。

形势所迫,不少企业开始意识到网络攻击面前系统的脆弱,网络安全行业随之水涨船高。数据显示,在美国,企业 2018 年花在网络安全上的费用大约是 1130 亿美元,而在今年,JBS 等事件还未发生前的预期是,这一数字有望突破 1500 亿美元。

美国最大的三家网安公司 CrowdStrike、Cloudflare 和 Palo Alto Networks 最新一季的财报则显示,上季度营收分别增长了 74%、51% 和 25%。在资本市场上,它们也受到投资者热捧,三家公司的股价在 2021 年都创下新高。

网络保险公司似乎也同样获益。尽管保险公司的合同条款愈发严苛,保费蹭蹭上涨,客户群却在不断扩张。即使它们现在赔付的钱比以前多,市场的快速扩张和上涨的保费也让它们稳赚不赔。一些分析甚至质疑:攻击频发中的隐藏获利者——网安公司和保险公司们,是否一定程度上助推了攻击频发的趋势?

财新采访的多名行业专家,均不认同这种可能性。硅谷区块链公司 Deeper Network 首席执行官 Russell Liu 曾在 Palo Alto Networks 担任管理层,现已离职数年。他告诉财新,美国头部网络安全公司不会通过从事网络攻击来提高自己的股价,原因很简单——「美国政府是这些公司的大客户,而美国政府所掌握的网络安全技术其实是远高于这些网络安全公司的,一旦被查出来了,后果很严重。」

作为国内从业者,腾讯安全威胁情报高级安全专家李铁军也认同该说法。他认为,网络攻击泛滥,安全服务业务必然会上升,在国内也是如此,因此,「安全厂商不是推动网络犯罪增长的原因,而是结果」。

总部位于美国的咨询公司 Teneo 分管安全风险咨询业务的总裁 Courtney Adante 还向财新补充,虽然专门从事危险识别、提供网安技术、响应安全威胁事件的网安公司和网络保险公司的确有从服务需求的增长中获益,但对想要主动预防和缓解网络攻击的企业来讲,它们是保持良好网络健康必要的一环。

那么,真正的原因和推手有哪些?关键基础设施网络为何成为近期多起攻击事件的靶标?

黑客的胃口

面对这一疑问,Russell Liu 和李铁军的回应十分一致:「本质上还是利益驱动。」

引发各国媒体高度关注的科洛尼尔公司和 JBS 遇袭事件,都涉及高昂的赎金。美东时间 6 月 9 日,JBS 发布最新声明并披露,在咨询过内部技术人员和外部网安专家后,为了「防止任何潜在风险」,该公司决定向勒索者支付价值约合 1100 万美元的赎金,尽管做出这个决定时大部分厂房已经恢复了运营。

Russell Liu 告诉财新,勒索软件从几年前的 WannaCry(一种「蠕虫式」的勒索病毒)开始就一直存在,从个人到企业,很多都受到了勒索软件的骚扰。这种软件制作的门槛不高,而且根据之前个别被捕的软件作者所透露的材料,其利润非常可观。

2017 年 5 月 12 日,WannaCry 通过美国国家安全局(NSA)泄露的一个危险漏洞在全球范围内传播,感染了大量的计算机,至少 150 个国家和地区、30 万名用户中招,影响到金融、能源、医疗等众多行业,造成的损失高达 80 亿美元。

WannaCry 感染计算机后会在系统中植入勒索软件,导致电脑大量文件被加密。受害者电脑被黑客锁定后,需支付当时价值相当于 300 美元(约合人民币 1917 元)的比特币才可解锁。而这 4 年,每比特币的价格已经翻了 30 倍。

勒索软件造成的破坏只有攻击者自己能够解密,被攻击的数据一旦被加密,如果用户没有备份,数据就无法挽回,只能缴纳赎金或永久放弃数据。专业勒索病毒团伙收益巨大,譬如,2019 年勒索病毒团伙 GandCrab 仅一年多的时间就获利 20 亿美元。

活跃于硅谷币圈的 Mask Network 创始人兼 CEO 阎晗还认为,由于疫情,东欧等黑客活跃的地区经济不太好,「很多人就想搞事情」。正如人们看到的那样,近期发生的勒索病毒攻击案例几乎都针对大型企业,勒索金额动不动就数千万美元。

Russell Liu 分析称,关键基础设施逐渐成为黑客的主要目标,也侧面说明从事这种勒索攻击的个人或者组织的事业发展得非常顺利,几乎没有失手过,所以「胃口越来越大」。「就像勒索病毒攻击者自己说的,他们只对有钱人感兴趣。」李铁军说。

另一方面,李铁军认为,加密货币的流行、比特币市值的暴涨,也是勒索软件攻击加速流行的推手。同时,加密货币匿名性、难追踪的特点对攻击者形成天然的庇护,一定程度上助长了网络勒索的发展。

Russell Liu 解释,除了匿名性,各种比特币交易平台提供的混币服务也让比特币的账本更加难以分析和追查,这为勒索软件攻击者变现提供了足够的安全保证。此外,尽管也有比比特币更不易追踪的小众币种,但由于比特币更容易买到,也更容易交易,相对而言价值比较稳定,合适变现,因此仍是黑客们的主流选择。

那么,为什么黑客开始盯上基础设施系统?阎晗直言,「因为它们(基础设施企业)更愿意付钱」。他解释,通常,被勒索者不付赎金的后果可以有多种:轻则数据泄露,甚至被删除和毁坏,重则可导致系统瘫痪。能源企业较高的数据价值、一旦瘫痪后广泛的社会影响,使其往往被攻击者捏住了命门。

李铁军也认为,黑客选择的攻击对象不限于基础设施,但攻击对准高价值目标。对于追求经济利益的攻击者,工业能源等行业中越敏感、越有价值的数据在黑市或暗网的价格也越高。

以电力行业为例,李铁军称,电力系统是国家的经济命脉和基础,数据价值高,如果攻击者获取了国内的输用电数据,相应地可以分析国家的经济运转形势,带来国家安全风险。如果碰巧入侵了关键基础设施系统,能够制造更大的社会影响,对攻击者而言意味着更大的收益。

工业互联的时代,牵一发而动全身,一旦系统被侵入,后果比以前更难以承受。

Teneo 公司的 Adante 强调,相比赎金,基础设施服务部门受到的运营打击更值得被关注。她指出,在最近这两起案件里,无论 JBS 还是科洛尼尔公司,它们遭到攻击后都不得不暂时关闭关键系统,结果分别导致美国肉类供应一度吃紧、美东地区的加油站排起了长队,显示出对供应链和消费者意想不到的影响。

李铁军表示,实际上,中国也出现过多次类似的破坏行动:比如,某医院因被勒索病毒攻击,整个业务系统瘫痪,可能危及病人生命;亦曾有某网约车公司因被勒索病毒攻击,导致所有用户无法使用叫车服务。

李铁军回顾,WannaCry 病毒大暴发时,就有大量公共服务完全瘫痪。随着当前社会日益依赖信息技术,信息系统的崩溃对社会各方面产生的影响,「以后只会更大」。

工业网络相对普通消费者能接触到的网络环境,也更加脆弱。李铁军坦言,基础设施建设在网络安全方面的设计往往存在不足或弱点,因为安全并不是系统设计的目的。

据 IBM 发布的一份报告,2020 年,能源公司遭受的攻击在所有行业中排名第三,2019 年则排名第九。该报告分析,网络犯罪分子加大了对使用运营控制系统软件的公司的攻击,而能源设施安装的操作控制平台往往相对老旧,对网络攻击威胁也准备不足,许多能源公司甚至直到最近才开始实施防火墙等保护控制系统的安全措施。

亦有分析认为,公共服务的运营企业和机构由于缺乏网络安全方面的保护能力和高技能人才,而成为黑客「盯上」的新目标。据阎晗的观察,尽管国内传统行业正在迈向现代化、数字化转型,但安全意识仍然较差,企业的投入也不够。在他看来,安全的事情是「养兵千日,用兵一时」,不到被攻击的时候,企业往往不够重视。

「勒索软件即服务」(RaaS)

值得注意的是,通过网络攻击进行勒索,或已在暗网世界里形成一种颇为成熟的「商业模式」。

5 月 14 日,区块链分析与监测机构 Elliptic 发布的文章就曾指出,与传统黑客组织不同,Dark Side 通过一种「勒索软件即服务」(Ransomware-as-a-Service,RaaS)的模式盈利,在这种模式下,开发者(即勒索软件的作者)负责创建勒索软件,加盟者(即前者的商业伙伴)则负责感染目标计算机系统,并与受害者组织协商赎金支付事宜,受害者支付的赎金则将在加盟者和开发者之间分配。这种新的商业模式彻底改变了勒索软件「产业链」,为那些不具备创建恶意软件技术能力、但愿意并能够渗透到目标组织的人提供了途径。

耶鲁大学访问学者、研究区块链安全的「安比实验室」创始人郭宇阐述了相似的观点。他告诉财新,网络攻击者通过共享或交易系统漏洞,形成了一种产业链短、变现速度快的盈利手段,而勒索软件正是最易于变现的网络攻击手段之一。他预估,在没有干预的情况下,勒索软件攻击的频率仍会持续增长。

阎晗表示,以他的了解,RaaS 作为一种商业模式是具体什么时候出现的难有定论,但至少到 2017、2018 年,就已颇为成熟和「专业」;加密货币的发展、比特币规模的扩大,都为攻击者准备了更为方便的变现条件。他认为,企业必须意识到,对于网络安全问题,光是重视还不够,对方是有强大利益驱动的、有组织的「商业犯罪团伙」。

Russell Liu 认为,美国政府此次把科洛尼尔公司付的部分赎金追回,并且扬言要加强这方面的犯罪打击,一定程度上或会对这一黑色产业链条有震慑作用,让黑客组织把目标从美国转移到别的国家。但网络攻击往往是跨国进行的,执法难度很大,所以,他觉得,政策制定者能做的主要是要加大宣传网络安全的重要性,推广网络安全人才教育和市场发展。

「黑产其实一直都是有成熟的商业模式的。」他直言。这类事件还会越来越多,「只是未必都会像美国一样公布出来」。

据阎晗解释,之所以看到的相关案件多集中在美国,除了相对富裕的西方企业更容易成为黑客的目标,部分原因还在于美国有类似「信息公开法案」(Freedom of Information Act)这样的法律规定,除非被认定为涉及国家安全事宜,否则公众享有知情权,企业不得不选择披露。

阎晗也认为,政策制定者应当考虑建立机制,鼓励企业做更多信息公开,从而施压藏在暗处的攻击者。他认为,不公开不但会助长犯罪气焰,专业人士和研究学界也无法提出更多有效的解决方案。

据了解,在此次美国科洛尼尔管道等公司受到攻击后,中国国内一些传统工业企业也开始相应的自查,排查自身网络安全漏洞。

对于企业,李铁军的建议是,应当在各个层面部署安全检测、防御系统,保护关键服务器和业务终端,重要数据需要完善的备份系统。在条件允许的情况下,应当有专业的安全技术团队对网络运营状况进行风险检测和处置,同时,还应对员工进行必要的安全意识培训。

冲击国家安全

网络攻击不仅威胁企业安全,在近期的屡次事件中,已俨然上升到能源安全、粮食安全,甚至国家安全的高度。

美国全国广播公司(NBC)援引美国相关官员表示,目前,拜登政府正在采取行动,将勒索软件攻击视为国家安全的威胁。在接受 NBC 采访时,一位匿名的政府工作者认为,拜登政府就网络攻击提出解决方案已经迫在眉睫。

实际上,输油管道设施因勒索软件袭击遭遇停摆之前,美国的医疗系统、警察系统以及法院等公共部门就已经曝出网络攻击事件,美国公共部门的信息泄露风险当时就已存在。但值得注意的是,在基础设施领域遭遇网络袭击后,美国政府对这一事件的态度才陡然升温。

作为此次事件的主要调查机构,美国司法部将对勒索软件攻击的调查提高到与恐怖主义类似的优先等级。司法部前代理副部长卡林(John Carlin)对路透社表示,司法部决定将勒索软件相关事件划入部门内部的特殊调查程序中,该程序将会让美国各个地区检察官的相关案件信息共享。此前,应用这一集中管理和内部跟踪程序模型的案件,主要集中在恐怖主义与国家安全领域。卡林解释称:「由于勒索软件已经对整个国家造成日益增长的威胁,所以我们必须加强内部集中和跟踪,以确保国家和国际(勒索软件)案件能够建立必要的联系。」

为应对全国范围的软件勒索调查骤然启动,美国司法部也设立了勒索软件和数字勒索专责小组,以负责整合全国信息。

而为了应对勒索软件形式的多样化特点,司法部亦不断扩大这一优先程序的案件适用范围,目前,涉及网络反病毒服务、非法在线论坛或市场、加密货币交易所、在线洗钱服务等网络的调查,也都需要地方检察机关与司法部共享信息。

这一严格的报告制度并不常见,前美国律师、网络犯罪专家卡利法诺(Mark Califano)向路透社解释道,高度报告能够让司法部更有效的部署资源,从而识别网络罪犯常见的漏洞。

郭宇对财新分析称,科洛尼尔公司遭勒索软件袭击后,美国政坛的强烈反应,是由于基础设施部门对民生影响力大,而且会迅速在社会造成后果。「包括保险在内的美国金融公司,曾经也遭遇过相似的袭击,但是这类行业具有一定的数据恢复能力和缓冲时间,但对能源行业来说,影响直接体现在油量上,对美国社会的基础打击更大。」

然而,即便拜登政府已将勒索软件视为「国家安全问题」,由于美国遭遇的网络袭击并未直指某一国家政府,故勒索软件调查多集中于负责刑事案件的美国司法部。

勒索软件攻击这一问题如何拉升至国家安全层面以作考虑,背后的国际影响几何,有待观察。

实际上,负责国家安全问题的美国国家安全局在 2019 年夏天就开始监视一些外国黑客组织。但有观察者和媒体分析称,由于这些索要赎金的勒索软件与政府没有直接相关性,即使是包括科洛尼尔公司和 JBS 在内的袭击基础设施网络的行为,大多不会直接触碰到国家安全的边界。

但是,在拜登就职总统前,美国以勒索软件形式出现的网络攻击就有不断增加的趋势。

与美国政府交流密切的战略与国际研究中心网络专家刘易斯(James Lewis)对 NBC 表示,在 2020 年年底,几乎所有知情人员都认为网络攻击已经上升到威胁国家安全的程度。

但对国家安全负责的美国国家安全局和美国网络司令部代表却并未就此事进行详细评论,网络司令部发言人解释称,虽然司令部不会公开具体计划或行动,但会通过国防部向总统提供选择权。

有分析者认为,国家安全部门的保守态度,与美国不同安全部门的技术掌握程度存在一定关系。

知情人士认为,美国司法部及其管辖的 FBI 在信息技术方面的能力与包括中情局(CIA)、国家安全局在内的国家安全部门或存在不小的差距,所以,以目前这一事件的技术难度与影响程度来说,国家安全部门存在技术暴露的风险,以此进行调查,时机尚未成熟。

郭宇则对财新分析称,美国国家安全部门在这一事件的调查上行事保守的原因,有可能是因为安全部门在事件调查过程中需要遵守更多保密性。与之相反,FBI 与司法部则有义务向民众公开其调查过程与结果。

然而,网络攻击问题在美国发酵已久,虽然美国国家安全局仍就这一问题持保守回应,但司法部成立的专责小组,以及勒索软件事件的优先级举措,都预示着拜登政府正在将以赎金为目的的刑事犯罪与国家安全与国际安全问题结合的趋势;国际层面,拜登与盟友及竞争对手就网络安全的合作与博弈,也证明了这一点。

6 月 7 日,美国国家安全顾问沙利文在白宫记者会上表示,拜登希望七国集团(G7)能够拿出一个「行动计划」,以加强对勒索软件攻击的机体防御,并应对包括比特币在内的加密货币带来的挑战。

拜登称:「网络安全和审查,加密货币在网络攻击中的作用必须是北约和 G7 国家的『优先事项』。」一位拜登政府官员在接受 CNBC(美国消费者新闻与商业频道)采访时说,美国政府希望看到一个能够监管加密货币的国际标准,从而解决目前勒索软件规模不断扩大的行为。

6 月 8 日,G7 各国财政部长联合声明,在过去两年来,勒索软件攻击规模扩大,这与加密货币监管有着直接关系。联合声明呼吁谨慎使用与部署加密货币,「勒索软件攻击往往涉及支付加密资产,危及我们的集体安全和繁荣」

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

Project Che

我们应该学会去理解别人的观点,不仅仅是服从和被告知。

我们应该学会去理解别人的观点,不仅仅是服从和被告知。
我们应该学会去理解别人的观点,不仅仅是服从和被告知。
时代的水流漫过了每一只筏子,浸湿了我们的脚,而大雨迟早要来。

开门见山,明知山有虎

所有火中取栗、蹈火赴汤和洞若观火的报道,都是易燃品。

Continue Reading