5月上旬,來自虛擬世界的勒索軟件攻陷了地球上號稱最強大國家的運油管道系統,好萊塢災難大片裏的許多場景在現實世界上演。
成立於1961年、總部位於佐治亞州的科洛尼爾管道運輸公司是美國最大的成品油管道運營商。其管道系統從得克薩斯州南部的休斯敦向東沿伸,至新澤西州的林登,總長度為5500英里(約合8851公里),每天輸送250萬桶汽油、柴油、航空燃料等成品油,不僅服務於東海岸各州的加油站,還服務於繁忙的亞特蘭大機場、夏洛特機場、納什維爾機場等,承載着美國東海岸45%以上的燃料供應,覆蓋人口達到5500萬,堪稱美國東部最重要的輸油大動脈。
然而,正是這條大動脈,5月7日遭到網絡攻擊被迫暫停全部運營。
美國曆史上針對石油基礎設施目標的最大一次網絡攻擊就這樣發生了。
5月8日,該公司稱在勒索軟件刪除前,暫未看到修復系統的可能。
5月9日,美國佐治亞州、北卡羅來納州、弗吉尼亞州等多州相繼宣佈進入緊急狀態。
5月10日,白宮發言人普薩基説,總統拜登定期聽取該事件進展的簡報,對可能出現的燃料短缺情況進行監測評估。
5月12日晚間,該公司宣佈已重啓系統運行,但迴歸正常還需時日。
截至目前,美國東南部燃料短缺狀況尚未完全緩解,許多加油站仍然無油可加。
緊急狀態 燃油告急
5月10日,災難性的一週開始了。據美國消費者新聞與商業頻道(CNBC)報道,科洛尼爾輸油管道遭受網絡攻擊後,美國的航空公司和機場都在爭搶燃油。亞特蘭大哈茨菲爾德-傑克遜國際機場説,正在尋找其他燃料供應商,但運營尚未受到影響。美國航空公司在一份聲明中表示,從5月10日開始,從夏洛特道格拉斯機場飛往夏威夷和英國倫敦的兩個長途航班將由直達改為轉機,飛機中途停留補充燃料,旅客換乘其他飛機。西南航空公司正在向包括納什維爾國際機場在內的機場運送額外燃料,以補充當地的燃料供應。為了減少地面加油,航空公司在飛機上裝載的燃料比平常要多。
隨着輸油管道關閉進入第四天,加油站開始出現燃料短缺,恐慌和焦慮開始傳播。
對於生活在“汽車輪子上的國家”的美國民眾來説,這種形勢的確很嚴峻。新冠疫情剛剛緩和,民眾開始恢復工作、社交、旅行等,油料告急不僅讓迴歸正常生活變得困難,大量加油站關閉又造成新的失業人口。
社交媒體上,民眾不斷上傳加油站無油、四處碰壁的消息,還有各種搶購燃料的圖片和視頻。恐慌和焦慮情緒通過人際傳播和社交媒體不斷瀰漫。
為緩解燃料緊張,美國聯邦政府、多個州政府分別採取減少對公路燃料運輸的限制、停止徵收燃油税等不同措施,試圖鼓勵更多的卡車運輸來緩解燃眉之急。美國交通部長皮特·布蒂吉格表示,目前的首要任務是向需要燃料的社區運送燃料。美國能源部長格蘭霍姆告訴公眾,正在經歷的不是汽油短缺,而是供應緊張;不要囤積汽油,不要恐慌性加油,任何哄抬油價的行為都應舉報到州檢察官處。美國消費產品安全委員會還建議民眾不要使用任何不能盛裝燃料的容器去加油,例如塑料袋等。
儘管美國政府禁止哄抬物價,但供應短缺造成價格水漲船高。美國汽車協會的數據顯示,從5月7日管道關閉至5月13日早上,美國全國汽油價格平均上漲7美分,將該周的平均價格推高至3.02美元,這是7年以來的新高。
5月12日晚間,科洛尼爾公司發佈聲明表示,所有管道系統都將恢復運行。雖然迴歸正常可能還需要一些時日,但這顯然對安撫民眾情緒有積極作用。
美國汽車協會發言人珍妮特·麥吉表示,輸油管道的重啓對廣大司機來説是一個非常積極的消息。雖然這不會立即改變目前的糟糕局面,受影響地區的駕車者預計還得捱過幾天燃料供應緊缺的日子,但救援即將到來,在5月31日陣亡將士紀念日假期之前,加油站的油泵將充滿燃料。
所謂遠水解不了近渴,救援的油料還在路上,美國民眾還得耐心等待。
黑客組織“陰暗面”阻擊燃料巨頭科洛尼爾
在恢復系統運營的聲明中,科洛尼爾公司沒有提及是否支付了勒索贖金。
這家燃料巨頭在遭受網絡勒索軟件襲擊後不得不停止管道運營,並立即聘請了一家外部網絡安全公司調查攻擊的性質和範圍,聯邦機構也介入提供協助。美國聯邦調查局調查後確認,實施勒索據信是黑客組織“黑暗面”。
“黑暗面”用於網絡襲擊的所謂勒索軟件,就是一種通過威脅發佈敏感信息或鎖定用户直到支付贖金來勒索受害者的惡意軟件,只有當受害者支付贖金後才能用軟件密鑰解除鎖定。這次,科洛尼爾公司就遭受這樣的“雙重勒索”式攻擊,不僅管道運營系統的數據被以編碼加密方式鎖住,還被竊取了數據,如果不支付贖金,這些機密數據就將公之於眾。
該不該支付贖金一直是一個激烈爭論的問題。美國聯邦調查局和美國網絡安全和基礎設施安全局的聯合警報表示,不鼓勵向犯罪分子支付贖金,因為這會鼓勵其他不良行為者從事勒索軟件的傳播。據《華盛頓郵報》報道,勒索軟件既是一種國家安全威脅,但也是個大生意。圍繞勒索軟件,保險公司、諮詢公司、網絡安全專家等相關行業組成了很大的生意鏈,還出現了談判專家這一行業。據介紹,覆蓋勒索軟件風險的保單大約五六年前開始普及,保險行業因支付贖金而受到相當多的批評。保險公司為減少理賠支出,在客户報案後,往往會請談判專家和黑客組織進行討價還價。此次對科洛尼爾的攻擊只不過暴露了這個產業的冰山一角。
這次,儘管白宮的跨部門工作小組一直在為科洛尼爾公司提供處理意見,但在是否支付贖金方面,拜登政府負責網絡和新興技術的副國家安全顧問安妮·紐伯格表示,網絡攻擊的受害者往往面臨兩難抉擇。據CNBC5月13日報道,一名不願透露姓名的美國官員證實,科洛尼爾公司向網絡罪犯支付了近500萬美元的贖金。
龐大的網絡 脆弱的安全
一個勒索軟件就癱瘓了整個美國東部的燃料大動脈,怎麼看這都和所謂的“世界第一強國”不相符。
科洛尼爾公司和美國聯邦政府官員都沒有解釋攻擊者是如何侵入公司網絡而未被發現的。網絡安全專家認為,科洛尼爾可能沒有采用最先進的防禦技術,例如通過軟件代理積極監控網絡中的異常情況,並通過編程來檢測像“黑暗面”的滲透工具這樣一些已知的威脅。
美國總統國土安全與反恐助理伊麗莎白·舍伍德-蘭德爾表示,黑客攻擊事件暴露出美國關鍵能源基礎設施主要由私營部門所有並運營而導致的脆弱性,即美國關鍵基礎設施的安全取決於私營公司是否能有效抵禦黑客攻擊。
這次攻擊也暴露了美國在能源基礎設施上的監管問題。
美國運輸安全管理局是管道安全的聯邦監管機構。截至2018財年,該機構僱傭了大約5萬名安檢人員,但管道安全部門只有6名全職員工。2018年,美國政府問責局發佈報告,對運輸安全管理局管道安全部門的人員配備水平和有限的網絡安全專業知識表示擔憂。批評人士認為,運輸安全管理局缺乏足夠的專業知識來保護管道。
多年來,網絡安全專家一直警告説,政府和私營企業未能充分保護美國關鍵的能源基礎設施,因為一次重大攻擊可能會在數週或數月內擾亂或破壞設施。
據美聯社報道,美國聯邦能源管制委員會已經為大型電力系統制定並實施了強制性的網絡安全標準,但對於橫跨美國的近300萬英里的天然氣、石油和危險液體管道,卻沒有類似的標準。美國聯邦能源管制委員會主席理查德·格利克和民主黨委員埃裏森·克萊門茨在一份聯合聲明中表示,僅僅鼓勵輸油管道自願採用最佳做法,不足以應對日益增多和複雜的惡意網絡行為,他們呼籲美國建立強制性的管道安全標準。
勒索軟件的野蠻生長
因為疫情,居家辦公、緊張的政治局勢、加密貨幣交易大增都讓網絡“勒索”更加有機可乘。2020年,全球“勒索病毒”攻擊事件較前一年增加了62%,北美的勒索軟件增加了158%。自今年年初以來,保險費上漲了50%,勒索軟件索賠不斷湧入。這種趨勢讓保險公司不得不作出調整。歐洲五大保險公司之一的安盛表示,將停止在法國承保網絡保險以賠付客户因勒索軟件犯罪而支付的費用。這顯然是行業內的首例。
其實,勒索軟件並非全新事物,它伴隨着網絡犯罪技術的發展而發展。從最初的零星惡作劇,到現在頻發的惡意攻擊,勒索病毒為何能夠如野草般肆意生長?
根據上海社會科學院互聯網研究中心研究員王瀅波的文章, 全球第一次勒索軟件攻擊最早可以回溯至1989年約瑟夫·波普所寫的“艾滋木馬(AIDS Trojan)”病毒。該病毒採用對稱加密方式,但只加密文件名稱,並將其隱藏在硬盤中,隨後感染用户會收到某些軟件授權已經到期的信息,被並要求通過付款的方式來獲得修復工具。
然而,直到2010年代中期,這種勒索軟件攻擊才成為主流攻擊方式。隨着互聯網和物聯網的發展,網絡規模越來越大,聯網設備的種類越來越多,大量關鍵基礎設施也都已經網絡化,這就使得攻擊的潛在影響力和收益能力越來越高,網絡攻擊只需要很小的成本就可以造成巨大的影響和損失。
據介紹,近年來的勒索軟件肆虐事出有因。美國國家安全局漏洞武器庫曾被黑客攻破,並在維基解密等平台發佈,導致包括“永恆之藍”等黑客攻擊武器的外泄,這些軍用和政府技術的泄露和氾濫,使得各類網絡犯罪分子可以輕易掌握先進的網絡犯罪武器,極大地降低了網絡犯罪的門檻。
全球關鍵基礎設施成勒索攻擊重點目標
“如果把時間撥回2013年,勒索軟件主要影響個人電腦,勒索金額為100美元。”曾在奧巴馬政府擔任白宮網絡協調員的丹尼爾在接受《華盛頓郵報》採訪時説,“現在,勒索軟件影響整個公司、學校系統和政府部門。平均來説,贖金是幾十萬美元,而那些知名公司的贖金則高達數百萬美元。受影響的公司和組織面臨的困境可能非常嚴重。”
費城天普大學的研究團隊一直跟蹤針對全球關鍵基礎設施的勒索軟件攻擊。這個團隊的監測數據顯示,關鍵基礎設施成勒索軟件攻擊的重要目標,2020年前8個月241起勒索軟件攻擊中,被勒索的關鍵基礎設施行業政府部門達到了199次,成為勒索的重點;緊隨其後的教育行業和醫療衞生行業,均為106次。關鍵製造、應急服務、通信、效能系統、商業行業、金融行業、能源、食品和農業、水務和污水處理、化工、國防工業基礎行業、核工業等都是勒索的高發區。
美國國土安全部長亞歷杭德羅·馬約卡斯在白宮記者會上説:“今年勒索軟件攻擊造成的損失超過3.5億美元……我們的許多關鍵基礎設施都掌握在私營部門手中。我們需要與私營部門合作,以保護美國人民的利益以及我們所依賴的服務。”
今年2月,美國佛羅里達州奧爾德斯馬市水處理系統遭黑客攻擊,網絡入侵者用一個已休眠數月的遠程訪問軟件平台來毒化佛羅里達州的供水系統。這一事件凸顯出,一些關鍵的基礎設施系統很容易受到黑客攻擊,這引發了民眾的擔憂。
美國網絡空間委員會前執行總監馬克·蒙哥馬利也指出,美國能源及其他基建公司,過去數十年大力投資於自動化,以期長遠減省成本,但在網絡安全上的投資比例卻遠遠落後。雖然能源企業多年前已知悉相關風險,大部分公司其實直到最近才開始加強防範,如加裝“防火牆”保護控制系統。而很多企業被勒索後都是支付贖金了事,未曾被報道。美國保險公司Resilience的首席理賠官邁克爾·菲利普斯説,遭受勒索軟件攻擊的公司恢復數據平均需要287天,很多公司無法承受這樣的損失,只能支付贖金。
一方面是私營企業掌握着大型關鍵基礎設施,但在網絡安全投入上遠遠不夠,美國聯邦政府顯得力有不逮。另一方面是大規模網絡勒索攻擊頻繁發生,已經嚴重影響了美國社會的正常運行。這似乎已成為美國社會的脆弱命門。
針對日益嚴峻的網絡安全形勢,一個包括微軟、亞馬遜、美國聯邦調查局和特勤局在內的公私合作特別工作組向白宮提交了一份81頁的緊急行動計劃,指出支付贖金只會助長包括恐怖主義在內的更多全球犯罪,應強制披露贖金支付以防止向網絡犯罪者支付贖金,同時建立一個美國聯邦應對基金為受害者提供經濟援助。同時,還應與同樣深受其害的國家協同努力,對勒索軟件的參與者和關聯方予以懲罰。
5月12日,美國總統拜登簽署了一項行政命令,旨在加強美國的網絡安全防禦能力。這項行政命令要求美國聯邦政府和私營部門合作應對“持續不斷且日益複雜的惡意網絡活動”,要求私營企業和政府部門要分享信息,加強協作。一些議員則呼籲對IT資源短缺、系統脆弱的地方政府立即提供財政援助。
加強防範,無論是政府機構還是企業,這是此次科洛尼爾事件的最大教訓。因此,國土安全部發布指南要求公司和組織加強防禦,例如,要求員工登錄系統時進行多因素身份驗證,及時修補漏洞,將網絡分段,保持備份離線並定期測試以確保其正常工作。
距離科洛尼爾管道公司被網絡勒索已過去10多天,影響雖在減弱,但美國汽油零售價格在18日觸及7年高點,東南部許多加油站仍無燃油供應。目前看來,燃油供應及運輸系統要從這場網絡打擊中恢復過來,還需要些時間。(特約撰稿 餘偉利)
更多資訊或合作歡迎關注中國經濟網官方微信(名稱:中國經濟網,id:ourcecn)