网络勒索愈演愈烈 信息安全日益严峻

七天记者 颜宏

photo

5月7日,美国主要燃油、燃气管道运营商Colonial Pipeline受到黑客攻击,被迫关闭其管道运营,导致美国东海岸输油“大动脉”被掐断,包括阿拉巴马、阿肯色等18个州和地区宣布进入紧急状态,放宽部分路面运油的限制,支持燃料运输企业利用运油车等替代管道措施以协助纾缓东岸的燃油供应紧张。这起迄今美国基础设施遭到的最严重的网络袭击发生后,美国政府表示恢复管道运营是拜登政府的重中之重,正全力和Colonial Pipeline公司紧密合作,以帮助其尽快恢复运营。一些网络专家也表示这次黑客袭击再次为网络安全敲响了警钟,暴露了即使在发达国家,其油气、电力和水供应等重要基础设施都面临严重的网络安全隐患,应该引起运营公司和政府有关部门的警惕。

事件回顾

Colonial Pipeline输油管道全长超过8850公里,贯穿了德州墨西哥湾沿岸的炼油厂,一直到美国东岸的新泽西。每天的平均输油量超过250万桶,为东部地区提供了超过45%的汽油、柴油、飞机燃料和家庭取暖用油等,客户包括美国中东部的各主要机场以及多个军事基地。5月6日,有黑客侵入Colonial Pipeline的电脑系统,在两个小时内盗取了近100GB的数据,并且植入恶意程序锁住整个系统。随后黑客提出了勒索要求,否则不但无法解锁系统,那些被黑客掌握的数据也可能被公之于众。攻击发生后,Colonial Pipeline公司发布声明指出“为了避免威胁扩大,公司主动关闭了部分系统,这导致所有管线暂时停运,也影响到部分IT系统,公司正在积极研究重启系统。”但拒绝透露是否会支付赎金,只强调目前的工作重心是“安全且高效地重启服务、恢复正常运营”,不过没有提到何时可重启。同时,公司聘请了一家第三方网络安全公司开展调查,并与美国能源部合作、研究恢复运营。美国联邦调查局、国土安全部也都参与到这起黑客攻击的调查中来。

图片

Colonial Pipeline输油管道示意图

就在这起黑客攻击事件发生不久,相关的调查还在进行时,多家媒体就根据知情人士的消息将怀疑目标指向了一家新兴的网络黑客团伙“黑暗面”(DarkSide)。也许是看到造成的后果太过严重,“黑暗面”组织在5月10日主动发声解释,强调“我们的目的就是为了钱,绝非为社会制造麻烦。”

黑暗面的声明

“黑暗面”组织在其“暗网”主页发布的声明中没有直接承认发动了此次攻击,而仅以“关于最近的新闻”这一标题带过,文中指出“我们政治中立,不参与地缘政治,不需要把我们与特定政府联系起来,或者是寻找其他的动机。我们的目的就是为了要钱,而不是为社会制造麻烦。从今天开始,我们将调整方案,在合作伙伴发动袭击前,会检查每一家目标公司的背景,以避免未来给社会制造负面影响。”文中还有好几处地方明显不符合英文语法及用词习惯。

谁是黑暗面

这个组织去年8月才刚刚成立,号称“劫富济贫”,称他们从不袭击学校、医院和公益组织,还会邀请记者查阅被袭击公司的数据,也会将赎金中的一部分捐献给慈善组织,甚至设有客服。

“黑暗面”的组织性很强,不单有联络信箱,受害人联络热线,更有新闻中心和“行动准则”。他们会用软件给目标公司的数据库加密,威胁对方缴纳数十万至数百万美元不等的赎金来换取网络秘钥,否则就公布数据。如果对方拒绝,“黑暗面”就会越来越多地威胁泄露机密数据来给企业施压。这个组织还在暗网上建立了一个“展览会”,展示拒不缴纳赎金的公司数据和文件。他们还相当重视公关,承诺24小时内回复媒体的问题。

为了能够获得更好的施压效果,“黑暗面”会特别针对那些已经在纳斯达克或者其他股票市场上市的公司。他们事先在暗网上放出消息,提前告知一些股票交易员,然后在网站上公布目标公司之前做空该公司的股票价格。只要是受攻击的公司,就能通过网络攻击手段让其股价下跌,从而让投机者获利。

虽然这个组织刚刚成立不久,但有网络安全专家指出,该组织由黑客老手组成,非常职业化。“黑暗面”自己也承认,至今他们已经袭击了80多家欧美企业,从中勒索了数百万美元。而据美国媒体的统计,过去几年,像“黑暗面”这样的网络勒索团伙带来的损失超过数百亿美元。

“黑暗面”非常善于使用“胡萝卜加大棒”的手法敲诈勒索,通过挟持一部分受害者的文件资料(如人事、财务与个人信息等),以威胁曝光来阻止对方重启系统。去年8月,美国《连线》杂志曾以“勒索成为生意,且越发残酷”为题,报道“黑暗面”等黑客组织如何像企业一样行事,包括为勒索对象提供资金周转期限、实时聊天支持,甚至承担“企业责任”,承诺不会攻击学校、医院、非营利组织等,攻击对象只限“付得起赎金”的目标。有网络安全公司的专家认为,以“黑暗面”为代表的一批黑客组织正朝“无情的高效率”方向发展,向受害者传递“我们是专业人士,抗衡是没有用的,付钱吧”的潜台词。去年10月蒙特利尔公交公司STM就被黑客攻击,勒索280万美元,虽然STM宣称没有支付赎金,但为了重启系统还是花费了200多万元修复,同时承担了系统瘫痪带来的其他损失。

网络勒索由来

随着网络信息技术的发展,涉及网络安全的事件也层出不穷,有盗窃信息的,有恶意篡改数据的,有瘫痪系统的,不一而足。但过去十多年来,网络勒索可以说是市面上最多产和最普遍的网络威胁。根据美国政府公布的到2018年的数据,自2005年以来的勒索病毒攻击次数就已经超过在线数据泄露风险的次数了。

所谓勒索病毒就是专门用来获取金钱利益的恶意软件,它不像其他专门设计用来侵入计算机或信息系统来盗取数据的软件,而是通过妨害计算机系统的操作程序,使其无法使用来达到勒索的目的。从本质上讲勒索病毒就是一段恶意代码,能够通过锁定设备或者加密文件来阻止受害者的正常访问,要想解锁就必须支付赎金。一般来说,当勒索软件被成功安装在受害者的电子设备上之后,会自动搜索更多敏感文件和数据,包括财务数据、数据库和个人文件等。换句话来说,开发勒索病毒的目的就是为了让受害者的设备无法正常使用。受害者最终只有两种选择:在并不能保证获取原始文件的情况下支付赎金,或者断开设备与互联网的连接。

最早的勒索病毒——艾滋木马(AIDS Trojan)可以追溯到1989年,哈佛大学的生物学教授鲍普(Joseph Popp)受邀出席世界卫生组织的艾滋病研讨会。在为出席大会的准备过程中,他制作了20000张名为“艾滋信息磁盘”(Aids Info Disk)但包含了计算机病毒的软盘分发给与会者。不知内情的人在操作了软盘后,病毒就会隐藏在受害者的电脑里,在电脑被重启了90次以后,这个病毒就会被激活,很快将电脑里的文档加密以及将目录隐藏起来。屏幕上则会显示一个通知信息,只有向一个位于巴拿马的邮政信箱打款189美元,系统才会恢复正常。虽然最后的调查确定了这个勒索病毒的制造者是鲍普,但他虽被捕却因为精神状况异常而从未受审。这起最早的计算机病毒勒索事件过去16年后的互联网时代才再次出现了继任者。

2005年,GPCoder木马程序第一次被确认,随后TROJ.RANSOM.A、Archiveus、Krotten等勒索软件陆续现身江湖,而2008年底出现匿名支付方式(如比特币)更让电脑黑客看到了勒索病毒“变现”的巨大前景,从此勒索病毒袭击如涓涓细流汇成了滚滚洪流,逐渐成为网络安全的重要威胁之一。

2017年5月爆发的WannaCry蠕虫病毒至今依然是规模最大的勒索病毒袭击事件,全球150多个国家的30万名用户中招,中招者被要求以比特币支付赎金,损失高达80亿美元。这种加密蠕虫病毒以攻击已知的系统漏洞作为目标,一旦感染网络中的一台计算机,就会快速找出其他一样的漏洞自动复制及散播开来。不仅快速传播还专门攻击大公司机构,包括银行、运输机构、大专院校及公共健保服务机构等。这个WannaCry病毒之所以能大行其道,是利用了美国国家安全局(NSA)泄露的漏洞“永恒之蓝”(EternalBlue)。俄罗斯的网络安全公司卡巴斯基当时就透露,在2017年4月,黑客组织“影子经纪人”在网上发布了一批NSA的黑客工具,其中就包括这个漏洞工具。这之前,“维基揭秘”网站也披露过,一批据称是来自NSA的黑客工具已经失控,其中大部分黑客工具“似乎正在前美国政府的黑客与承包商之间未被授权地传播”,存在“极大的扩散风险”。WannaCry以及之后更加有效的Petya勒索病毒其实都是NSA开发的网络武器,美国政府曾经做过的恶正在被反噬,还连带上全球的其他国家。

首先,勒索病毒加密手段复杂,解密成本高;其次,使用电子货币支付赎金,变现快、追踪难;最后,勒索软件服务化的出现,让攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,大大降低了勒索软件的门槛,推动了勒索软件大规模暴发。

防不胜防

这次事件再次给各国政府、各个机构甚至个人敲响了警钟,在网络攻击面前,信息化程度越高越危险,越低越安全。事实是,只要有网络,连上了互联网,就有可能被攻击。这次黑客很可能就是通过网络办公系统,攻击了Colonial Pipeline公司的运营系统。而且发动攻击的可能是个组织,甚至就是某个“天才黑客”,根本不讲究什么规则,讲什么人道,只要存在细小的漏洞就会成为被攻击的目标。比如今年2月5日,一名黑客就侵入到美国佛罗里达州Oldsmar市供水系统的一台电脑,将具有腐蚀性的氢氧化钠的投入浓度调高到100倍以上,从100ppm增加到了11100ppm(ppm是浓度单位,即百万分比浓度),幸亏被水厂的一名敏锐主管发现,立即撤销了这一变更,才保证了1.5万当地居民的用水安全,否则后果不堪设想。

尽管勒索病毒贻害无穷,但它的特性使之不仅发展迅猛,还很难得到控制,可以说网络空间军事化、网络武器平民化、网络攻击常态化的态势日趋明显。政府层面、机构层面需要提高网络安全意识,完善信息基础设施,更需要对关键信息基础设施的安全给予实时全面的监测保护。个人层面则应以防范为主,目前大部分被勒索病毒加密后的文件都无法解密,而支付赎金则会进一步鼓励作恶者,可能招来更多的勒索,所以在日常生活中就要严加防范,主要措施可以包括:

1. 及时升级系统和应用,修复常见高危漏洞;

2. 对重要的数据文件定期进行异地多介质备份;

3. 不要点击来源不明的邮件附件,不要从不明网站下载软件;

4. 尽量关闭不必要的文件共享权限;

5. 更改账户密码,设置强密码,不要使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6. 如果业务上无需使用RDP的,建议关闭RDP,尽量避免直接对外网映射RDP服务。