5月上旬,来自虚拟世界的勒索软件攻陷了地球上号称最强大国家的运油管道系统,好莱坞灾难大片里的许多场景在现实世界上演。
成立于年、总部位于佐治亚州的科洛尼尔管道运输公司是美国最大的成品油管道运营商。其管道系统从得克萨斯州南部的休斯敦向东沿伸,至新泽西州的林登,总长度为英里(约合公里),每天输送万桶汽油、柴油、航空燃料等成品油,不仅服务于东海岸各州的加油站,还服务于繁忙的亚特兰大机场、夏洛特机场、纳什维尔机场等,承载着美国东海岸45%以上的燃料供应,覆盖人口达到万,堪称美国东部最重要的输油大动脉。
然而,正是这条大动脉,5月7日遭到网络攻击被迫暂停全部运营。
美国历史上针对石油基础设施目标的最大一次网络攻击就这样发生了。
5月8日,该公司称在勒索软件删除前,暂未看到修复系统的可能。
5月9日,美国佐治亚州、北卡罗来纳州、弗吉尼亚州等多州相继宣布进入紧急状态。
5月10日,白宫发言人普萨基说,总统拜登定期听取该事件进展的简报,对可能出现的燃料短缺情况进行监测评估。
5月12日晚间,该公司宣布已重启系统运行,但回归正常还需时日。
截至目前,美国东南部燃料短缺状况尚未完全缓解,许多加油站仍然无油可加。
紧急状态燃油告急
5月10日,灾难性的一周开始了。据美国消费者新闻与商业频道(CNBC)报道,科洛尼尔输油管道遭受网络攻击后,美国的航空公司和机场都在争抢燃油。亚特兰大哈茨菲尔德-杰克逊国际机场说,正在寻找其他燃料供应商,但运营尚未受到影响。美国航空公司在一份声明中表示,从5月10日开始,从夏洛特道格拉斯机场飞往夏威夷和英国伦敦的两个长途航班将由直达改为转机,飞机中途停留补充燃料,旅客换乘其他飞机。西南航空公司正在向包括纳什维尔国际机场在内的机场运送额外燃料,以补充当地的燃料供应。为了减少地面加油,航空公司在飞机上装载的燃料比平常要多。
随着输油管道关闭进入第四天,加油站开始出现燃料短缺,恐慌和焦虑开始传播。
对于生活在“汽车轮子上的国家”的美国民众来说,这种形势的确很严峻。新冠疫情刚刚缓和,民众开始恢复工作、社交、旅行等,油料告急不仅让回归正常生活变得困难,大量加油站关闭又造成新的失业人口。
社交媒体上,民众不断上传加油站无油、四处碰壁的消息,还有各种抢购燃料的图片和视频。恐慌和焦虑情绪通过人际传播和社交媒体不断弥漫。
为缓解燃料紧张,美国联邦政府、多个州政府分别采取减少对公路燃料运输的限制、停止征收燃油税等不同措施,试图鼓励更多的卡车运输来缓解燃眉之急。美国交通部长皮特·布蒂吉格表示,目前的首要任务是向需要燃料的社区运送燃料。美国能源部长格兰霍姆告诉公众,正在经历的不是汽油短缺,而是供应紧张;不要囤积汽油,不要恐慌性加油,任何哄抬油价的行为都应举报到州检察官处。美国消费产品安全委员会还建议民众不要使用任何不能盛装燃料的容器去加油,例如塑料袋等。
尽管美国政府禁止哄抬物价,但供应短缺造成价格水涨船高。美国汽车协会的数据显示,从5月7日管道关闭至5月13日早上,美国全国汽油价格平均上涨7美分,将该周的平均价格推高至3.02美元,这是7年以来的新高。
5月12日晚间,科洛尼尔公司发布声明表示,所有管道系统都将恢复运行。虽然回归正常可能还需要一些时日,但这显然对安抚民众情绪有积极作用。
美国汽车协会发言人珍妮特·麦吉表示,输油管道的重启对广大司机来说是一个非常积极的消息。虽然这不会立即改变目前的糟糕局面,受影响地区的驾车者预计还得捱过几天燃料供应紧缺的日子,但救援即将到来,在5月31日阵亡将士纪念日假期之前,加油站的油泵将充满燃料。
所谓远水解不了近渴,救援的油料还在路上,美国民众还得耐心等待。
黑客组织“阴暗面”阻击燃料巨头科洛尼尔
在恢复系统运营的声明中,科洛尼尔公司没有提及是否支付了勒索赎金。
这家燃料巨头在遭受网络勒索软件袭击后不得不停止管道运营,并立即聘请了一家外部网络安全公司调查攻击的性质和范围,联邦机构也介入提供协助。美国联邦调查局调查后确认,实施勒索据信是黑客组织“黑暗面”。
“黑暗面”用于网络袭击的所谓勒索软件,就是一种通过威胁发布敏感信息或锁定用户直到支付赎金来勒索受害者的恶意软件,只有当受害者支付赎金后才能用软件密钥解除锁定。这次,科洛尼尔公司就遭受这样的“双重勒索”式攻击,不仅管道运营系统的数据被以编码加密方式锁住,还被窃取了数据,如果不支付赎金,这些机密数据就将公之于众。
该不该支付赎金一直是一个激烈争论的问题。美国联邦调查局和美国网络安全和基础设施安全局的联合警报表示,不鼓励向犯罪分子支付赎金,因为这会鼓励其他不良行为者从事勒索软件的传播。据《华盛顿邮报》报道,勒索软件既是一种国家安全威胁,但也是个大生意。围绕勒索软件,保险公司、咨询公司、网络安全专家等相关行业组成了很大的生意链,还出现了谈判专家这一行业。据介绍,覆盖勒索软件风险的保单大约五六年前开始普及,保险行业因支付赎金而受到相当多的批评。保险公司为减少理赔支出,在客户报案后,往往会请谈判专家和黑客组织进行讨价还价。此次对科洛尼尔的攻击只不过暴露了这个产业的冰山一角。
这次,尽管白宫的跨部门工作小组一直在为科洛尼尔公司提供处理意见,但在是否支付赎金方面,拜登政府负责网络和新兴技术的副国家安全顾问安妮·纽伯格表示,网络攻击的受害者往往面临两难抉择。据CNBC5月13日报道,一名不愿透露姓名的美国官员证实,科洛尼尔公司向网络罪犯支付了近万美元的赎金。
庞大的网络脆弱的安全
一个勒索软件就瘫痪了整个美国东部的燃料大动脉,怎么看这都和所谓的“世界第一强国”不相符。
科洛尼尔公司和美国联邦政府官员都没有解释攻击者是如何侵入公司网络而未被发现的。网络安全专家认为,科洛尼尔可能没有采用最先进的防御技术,例如通过软件代理积极监控网络中的异常情况,并通过编程来检测像“黑暗面”的渗透工具这样一些已知的威胁。
美国总统国土安全与反恐助理伊丽莎白·舍伍德-兰德尔表示,黑客攻击事件暴露出美国关键能源基础设施主要由私营部门所有并运营而导致的脆弱性,即美国关键基础设施的安全取决于私营公司是否能有效抵御黑客攻击。
这次攻击也暴露了美国在能源基础设施上的监管问题。
美国运输安全管理局是管道安全的联邦监管机构。截至财年,该机构雇佣了大约5万名安检人员,但管道安全部门只有6名全职员工。年,美国政府问责局发布报告,对运输安全管理局管道安全部门的人员配备水平和有限的网络安全专业知识表示担忧。批评人士认为,运输安全管理局缺乏足够的专业知识来保护管道。
多年来,网络安全专家一直警告说,政府和私营企业未能充分保护美国关键的能源基础设施,因为一次重大攻击可能会在数周或数月内扰乱或破坏设施。
据美联社报道,美国联邦能源管制委员会已经为大型电力系统制定并实施了强制性的网络安全标准,但对于横跨美国的近万英里的天然气、石油和危险液体管道,却没有类似的标准。美国联邦能源管制委员会主席理查德·格利克和民主党委员埃里森·克莱门茨在一份联合声明中表示,仅仅鼓励输油管道自愿采用最佳做法,不足以应对日益增多和复杂的恶意网络行为,他们呼吁美国建立强制性的管道安全标准。
勒索软件的野蛮生长
因为疫情,居家办公、紧张的政治局势、加密货币交易大增都让网络“勒索”更加有机可乘。年,全球“勒索病毒”攻击事件较前一年增加了62%,北美的勒索软件增加了%。自今年年初以来,保险费上涨了50%,勒索软件索赔不断涌入。这种趋势让保险公司不得不作出调整。欧洲五大保险公司之一的安盛表示,将停止在法国承保网络保险以赔付客户因勒索软件犯罪而支付的费用。这显然是行业内的首例。
其实,勒索软件并非全新事物,它伴随着网络犯罪技术的发展而发展。从最初的零星恶作剧,到现在频发的恶意攻击,勒索病毒为何能够如野草般肆意生长?
根据上海社会科学院互联网研究中心研究员王滢波的文章,全球第一次勒索软件攻击最早可以回溯至年约瑟夫·波普所写的“艾滋木马(AIDSTrojan)”病毒。该病毒采用对称加密方式,但只加密文件名称,并将其隐藏在硬盘中,随后感染用户会收到某些软件授权已经到期的信息,被并要求通过付款的方式来获得修复工具。
然而,直到年代中期,这种勒索软件攻击才成为主流攻击方式。随着互联网和物联网的发展,网络规模越来越大,联网设备的种类越来越多,大量关键基础设施也都已经网络化,这就使得攻击的潜在影响力和收益能力越来越高,网络攻击只需要很小的成本就可以造成巨大的影响和损失。
据介绍,近年来的勒索软件肆虐事出有因。美国国家安全局漏洞武器库曾被黑客攻破,并在维基解密等平台发布,导致包括“永恒之蓝”等黑客攻击武器的外泄,这些军用和政府技术的泄露和泛滥,使得各类网络犯罪分子可以轻易掌握先进的网络犯罪武器,极大地降低了网络犯罪的门槛。
全球关键基础设施成勒索攻击重点目标
“如果把时间拨回年,勒索软件主要影响个人电脑,勒索金额为美元。”曾在奥巴马政府担任白宫网络协调员的丹尼尔在接受《华盛顿邮报》采访时说,“现在,勒索软件影响整个公司、学校系统和政府部门。平均来说,赎金是几十万美元,而那些知名公司的赎金则高达数百万美元。受影响的公司和组织面临的困境可能非常严重。”
费城天普大学的研究团队一直跟踪针对全球关键基础设施的勒索软件攻击。这个团队的监测数据显示,关键基础设施成勒索软件攻击的重要目标,年前8个月起勒索软件攻击中,被勒索的关键基础设施行业政府部门达到了次,成为勒索的重点;紧随其后的教育行业和医疗卫生行业,均为次。关键制造、应急服务、通信、效能系统、商业行业、金融行业、能源、食品和农业、水务和污水处理、化工、国防工业基础行业、核工业等都是勒索的高发区。
美国国土安全部长亚历杭德罗·马约卡斯在白宫记者会上说:“今年勒索软件攻击造成的损失超过3.5亿美元……我们的许多关键基础设施都掌握在私营部门手中。我们需要与私营部门合作,以保护美国人民的利益以及我们所依赖的服务。”
今年2月,美国佛罗里达州奥尔德斯马市水处理系统遭黑客攻击,网络入侵者用一个已休眠数月的远程访问软件平台来毒化佛罗里达州的供水系统。这一事件凸显出,一些关键的基础设施系统很容易受到黑客攻击,这引发了民众的担忧。
美国网络空间委员会前执行总监马克·蒙哥马利也指出,美国能源及其他基建公司,过去数十年大力投资于自动化,以期长远减省成本,但在网络安全上的投资比例却远远落后。虽然能源企业多年前已知悉相关风险,大部分公司其实直到最近才开始加强防范,如加装“防火墙”保护控制系统。而很多企业被勒索后都是支付赎金了事,未曾被报道。美国保险公司Resilience的首席理赔官迈克尔·菲利普斯说,遭受勒索软件攻击的公司恢复数据平均需要天,很多公司无法承受这样的损失,只能支付赎金。
一方面是私营企业掌握着大型关键基础设施,但在网络安全投入上远远不够,美国联邦政府显得力有不逮。另一方面是大规模网络勒索攻击频繁发生,已经严重影响了美国社会的正常运行。这似乎已成为美国社会的脆弱命门。
针对日益严峻的网络安全形势,一个包括微软、亚马逊、美国联邦调查局和特勤局在内的公私合作特别工作组向白宫提交了一份81页的紧急行动计划,指出支付赎金只会助长包括恐怖主义在内的更多全球犯罪,应强制披露赎金支付以防止向网络犯罪者支付赎金,同时建立一个美国联邦应对基金为受害者提供经济援助。同时,还应与同样深受其害的国家协同努力,对勒索软件的参与者和关联方予以惩罚。
5月12日,美国总统拜登签署了一项行政命令,旨在加强美国的网络安全防御能力。这项行政命令要求美国联邦政府和私营部门合作应对“持续不断且日益复杂的恶意网络活动”,要求私营企业和政府部门要分享信息,加强协作。一些议员则呼吁对IT资源短缺、系统脆弱的地方政府立即提供财政援助。
加强防范,无论是政府机构还是企业,这是此次科洛尼尔事件的最大教训。因此,国土安全部发布指南要求公司和组织加强防御,例如,要求员工登录系统时进行多因素身份验证,及时修补漏洞,将网络分段,保持备份离线并定期测试以确保其正常工作。
距离科洛尼尔管道公司被网络勒索已过去10多天,影响虽在减弱,但美国汽油零售价格在18日触及7年高点,东南部许多加油站仍无燃油供应。目前看来,燃油供应及运输系统要从这场网络打击中恢复过来,还需要些时间。(特约撰稿余伟利)
来源:央视新闻客户端