【環球時報-環球網報道 記者 郭媛丹】當地時間5月9日,美國政府啓動緊急法,事由是因為美國最大燃油管道公司遭遇勒索軟件攻擊。什麼是勒索軟件攻擊?為什麼一次網絡攻擊能產生如此巨大後果?對此,接受《環球時報》採訪的網絡安全專家表示,2006年中國就曾發生過通過勒索軟件進行敲詐的案件,有的勒索攻擊並不僅僅為了斂財。同時,專家也不建議受害者交納贖金,因為這從效果上形成了對網絡勒索犯罪活動的激勵。
當地時間5月7日,美國科洛尼爾管道運輸公司(Colonial Pipeline)公司遭遇一個網絡犯罪團伙攻擊後中斷網絡運營,這家公司每天輸送250萬桶汽油、柴油及航空燃油和其他精煉產品,其運送量佔美國東海岸供應量的45%。美國交通部下屬機構宣佈進入緊急狀態後,燃油可以通過道路進行運輸。
中國網絡空間安全協會副理事長、安天科技集團首席技術架構師肖新光接受《環球時報》採訪時表示,本次事件再次證明了關鍵基礎設備因網絡攻擊遭到破壞,可能會轉化成對國家整體運轉以及社會生產生活的影響,因此,需要從總體國家安全觀層面全面分析各種安全風險,特別是網絡安全風險向其他傳統安全和非傳統安全風險的滲透、傳遞、轉化、疊加;不能孤立的看待網絡安全問題。
勒索攻擊在我國最早出現於2006年
發生在科洛尼爾管道運輸公司的攻擊事件與勒索軟件有關,聽起來和現實世界中綁匪通過綁架人質勒索錢財類似。肖新光稱,勒索軟件是近年來非常活躍的一類惡意代碼和攻擊行為。攻擊者通過廣泛傳播或定向植入等方式,將勒索軟件植入到被攻擊方系統中,將文檔或數據庫等信息加密,導致用户無法使用,要求用户支付贖金(多為比特幣等虛擬貨幣)獲得解密密鑰後,才能解密使用。
勒索軟件最早出現於1989年,而國內首個勒索軟件出現在2006年,肖新光描述,“該攻擊者通過隱藏用户的文檔、數據庫、壓縮包等文件,形成用户文檔丟失的假象,向用户敲詐70-200元不等的贖金,後來攻擊者被公安機關查獲。”
由於可經濟獲利,勒索攻擊快速進化蔓延,導致對抗難度不斷增加。2017年全球大規模爆發的勒索蠕蟲“魔窟”,曾導致我國大量行業企業內網遭受大規模感染,這是一種能快速主動傳播的勒索軟件。2018年我國台灣地區的台積電,其12英寸晶圓廠和營運總部,曾因勒索軟件攻擊導致生產線癱瘓數小時。
勒索攻擊僅僅是為了錢嗎?
目前已有多個消息源確認,進行此次勒索軟件攻擊的網絡犯罪團伙名叫“黑暗面”(DarkSide),他們於5月6日滲透進入殖民管道的網絡,盜取了近100GB的數據並提出贖金要求。
路透社11日稱,“黑暗面”當天在官網發佈的一份聲明中表示,“我們的目的是要錢,而不是為社會製造麻煩”。
對此,肖新光認為:“勒索攻擊是以獲利為目的。當前根據FBI等機構公開的初步調查結果,鎖定了‘黑暗面’組織。但類似事件依然還需要深度的關聯分析研判。由於勒索軟件對數據和文件加密會導致系統或業務失能的效果,此前也出現過偽裝成勒索攻擊,但實際目標是破壞系統運行,實現網絡空間攻擊轉化為物理空間影響的事件。”
事實上,一些勒索攻擊是有意被模仿的,一些攻擊者發動網絡攻擊破壞事件卻故意偽裝成勒索攻擊,比較典型的是針對烏克蘭的“偽必加”攻擊,其目的就是為了破壞信息系統運行而不是勒索贖金。肖新光表示,“類似‘偽必加’式的偽裝勒索攻擊行為提醒我們,對重要目標,當表面現象是勒索軟件時,還需要進行結合動機和場景進行技術分析,來判別是否屬於信息戰式的破壞攻擊。”
專家:面對勒索攻擊,不建議受害者繳納贖金
肖新光對《環球時報》記者表示:“竊取用户數據威脅曝光,是近幾年勒索攻擊的一個新特點。”
根據介紹,這種行為多見於定向的勒索攻擊活動,在原有加密鎖定用户數據之前,增加了竊取數據的攻擊動作。這種攻擊增加了對用户的要挾籌碼,此前如果用户拒付贖金,用户面對的只是數據無法恢復的損失,但在升級型攻擊中,用户還要揹負類似商業秘密、技術成果、個人隱私等被曝光的影響。具體到本次發生在美國的攻擊事件中被竊數據,目前並沒有公開報道指出這被竊取的100G數據內容是什麼。肖新光説,“基礎能源設施運營等重要數據如果曝光,肯定是有重大社會影響的。”
肖新光説,“作為網絡安全工作者,我們不建議受害者交納贖金,因為這從客觀效果上形成了對網絡勒索犯罪活動的激勵。”
報道表示,美國白宮10日沒有就遭到黑客攻擊的公司是否應該向攻擊者支付贖金一事發表看法,但一名國家安全官員説,白宮可能會在今後就此提供一些建議。負責網絡事務的美國副國家安全顧問安妮·紐伯格稱,“這通常是私營部門的決定,行政當局此刻沒有就此提供進一步的建議。”
網絡攻擊事件中政府應扮演全局統籌角色
當前白宮成立了一個跨部門工作小組,在週末期間就這起黑客事件舉行會議,並向美國總統拜登通報情況。相關部門官員正在討論應對這起黑客攻擊的方案,以及在網絡攻擊導致輸油管道中斷後,如何確保穩定的汽油供應。
網絡攻擊事件對現實世界產生巨大影響後,政府應該扮演何種角色?肖新光認為,政府要扮演全局策略統籌、資源調撥協調等作用,包括指定整體應對方案,調度和協同各種社會資源,組織職能部門和企業力量進行相關分析調查、溯源響應,啓動後續反應機制等,也包括進行有效輿論引導和公眾教育,既要避免社會恐慌,也要推動提升機構和個人對網絡安全意識和技能水平。
此外,肖新光建議,作為基礎設施運營者,一定要立足於建立有效防護的安全體系,構建系統的可恢復彈性,盡力避免出現被勒索攻擊後出現兩難抉擇的情況。而一旦發生情況,就要快速決策,制定預案,快速止損和量損。同時通過分析勒索機理、基於備份數據恢復,系統數據恢復等多種手段找到是否有存在補救應對方案。