美国多州进入紧急状态，石油大动脉瘫痪，谁是网络袭击黑手？

　　美国最大输油管道运营商Colonial Pipeline公司的储油罐（资料图）
　　美国多州进入＂紧急状态＂，石油大动脉瘫痪，谁是网络袭击＂黑手＂？
　　文/田邨
　　5月7日，美国最大输油管道运营商Colonial Pipeline公司遭到网络攻击，被迫关闭了长达5500英里的燃油管道。作为美国本土石油运输的一条＂能源大动脉＂，这条漫长的管道线负责运送美国东海岸45%的燃料供给 。Colonial Pipeline公司与美国政府、第三方专家合作应对攻击三天后，相关管网仍未恢复运作。
　　Colonial Pipeline公司遭受黑客攻击后，有消息称美国政府宣布了紧急状态。这种说法并不完全准确。美国总统或联邦政府并没有宣布进入＂国家紧急状态＂，而是由美国交通部下属的联邦汽车运输安全管理局发布了＂区域紧急状态声明＂ ，给予受影响的17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免，以使有关燃料可以通过公路运输。
　　作为美国本土石油运输的一条＂能源大动脉＂，这条漫长的管道线负责运送美国东海岸45%的燃料供给
　　并不太紧急的＂紧急状态＂
　　＂紧急状态＂的层级，其实反映了本次事件的严重程度。一方面，这次黑客攻击本身并未造成美国东部能源管网瘫痪。这种黑客攻击的模式是侵入受害机构的网络系统，加密其数据，然后告知受害方需要交纳赎金以获得密钥、重新解锁数据 。根据Colonial Pipeline公司的公告，是公司在发现系统遭到入侵后主动关闭系统，才导致了管网运行中断。
　　美国国家广播公司（NBC）援引网络安全专家的分析指出，能源和电力行业公司在网络安全上的投入往往超过其他行业，如果目前管网运行中断是因为预防性关闭，证明该公司及时发现了勒索软件攻击，并做好了充分的准备，所以黑客入侵本身不会对管网运行造成严重影响。
　　但另一方面，Colonial Pipeline公司的数据已经泄露。据英国广播公司（BBC）的消息，黑客团伙已经对目标系统植入了恶意软件，＂劫持＂了该公司近100GB的数据，索要的赎金可能达到百万美元级别。
　　如果是在黑客攻击未得手时就预防性关闭系统，则管网运输在一两天之内就应该得到恢复。目前攻击已经进入第三天，这似乎说明Colonial Pipeline公司的数据确已泄露 ，且公司和美国政府尚未找到有效的应对方案，为保证系统安全还不能恢复管网运行。
　　有石油分析师表示，本次事件对能源市场的影响取决于输油管道被切断的时间长短。一两天的中断只是小事，但五六天以上的中断可能导致燃油供应短缺和价格上涨，进而危及美国经济最活跃的东海岸地区的其他产业。高盛也预警称，超过五天的中断确会影响美国东部的燃油供应 。
　　分析人士指出，除能源市场异动外，目前还需预防两种动向：一是美国最大民航机场亚特兰大机场的燃油供应依赖于Colonial Pipeline公司的管网，如果不能及时提供替代保障，将对美国乃至全球的民航运输造成严重影响；二是发动攻击的新兴黑客组织往往会与金融犯罪团伙合作，与网络攻击配合＂做空＂，造成股市动荡。
　　Darkside2020年时的赎金界面（图：Bleepingcomputer）
　　不要幻想黑客有＂骑士精神＂
　　有美国媒体报道称，这次针对Colonial Pipeline公司的黑客攻击可能来自俄罗斯，亦有媒体因此猜测俄罗斯政府需要对此负责。但一位相关行业的高级工程师对笔者表示，从现有报道看，这次黑客攻击更像是犯罪集团所为，而非外国政府对美国的网络攻击 。
　　＂政府和舆论经常渲染外国政府背书的网络攻击，但事实上更常见的是黑客团伙出于经济目的发起的攻击。＂这位工程师指出，两类攻击的区别是，黑客团伙的技术能力相对较弱，且手法就是通过＂劫持＂对方数据勒索赎金，并不以彻底瘫痪对方网络系统为目标。此外，目前世界上真正由政府发动的、对主权国家的基础设施进行的大规模网络攻击很罕见，其根源是各国尚未对＂网络战＂的性质达成广泛共识。
　　以制订《塔林网络战手册》的北约为代表的技术发达国家，支持将网络战作为一种合法战争手段，设立具体规则；但更多的发展中国家希望制定一个网络安全国际公约，直接将网络战列为一种非法的战争手段禁用。＂而且通过网络战攻击美国，很容易查证其源头，很少有国家会真的发动这种攻击 。＂
　　美国联邦网络安全基础设施和安全局(cybersecurity Infrastructure and Security Agency)也在声明中初步判定这是一起黑客组织的勒索活动。其部门主管埃里克·戈尔茨坦(Eric Goldstein)表示，这证明了黑客勒索对任何规模和层级的机构都会造成威胁。
　　BBC的消息源显示，此次攻击美国公司的黑客组织可能是Darkside。这个2020年8月刚刚＂上新＂的团伙在自己的网站上发布声明称，他们是一群经验丰富的黑客，在此之前已经通过在其他团队的＂业务＂获得百万美元级的＂营收＂，但因为＂找不到最适合的软件＂所以独立研发了Darkside。前述工程师披露，目前针对源自该团伙软件的网络攻击，还没有合适的破解之道。
　　与此前流行的黑客软件、团伙不同，Darkside宣称自己的目标不是＂黑客攻击重灾区＂高校、政府等防御薄弱的非盈利机关，而是＂只攻击能够支付所要求金额的公司＂，并已攻击过市值数十亿美元的房地产商和建筑企业 。
　　Darkside并不像它的某些＂前辈＂那样只寻求较低的赎金，其一贯的风格是＂狮子大开口＂，动辄提出百万美元级的要求。该组织宣称，如果受害方没有在限定时间内支付赎金，它将公开所＂劫持＂的数据，并将数据泄露情况通报给媒体及受害方的合作伙伴，同时＂绝对不会再提供解密服务＂。
　　＂黑客组织的公开说法有时不足为据，但Darkside确实表明了一些与此前活跃的黑客组织不同的特性。＂前述工程师表示，＂最重要的是，黑客犯罪团伙已经离所谓‘骑士精神’越来越远，网络安全工作者万不能存侥幸心理。＂
　　针对Darkside团伙，潜在受害者并非束手无策。目前已经有分析表明，该软件会自动筛查受害对象，以确保对方不是来自独联体国家的计算机，因为黑客组织通常不攻击自己所在地的网络系统，这说明Darkside团伙可能隐藏于独联体国家中，相关国家可以采取行动 。技术上，也有一些网络安全运营者通报成功防御了Darkside的攻击，＂黑客组织的技术水平毕竟不是政府网络战部队，及时填补安全漏洞，并非不能预防。＂
　　【版权声明】本文著作权归【地球相对论】所有，今日头条已获得信息网络传播权独家授权，任何第三方未经授权，不得转载。