因最大燃油管道商遭網(wǎng)絡(luò)攻擊暫停運(yùn)營，美國宣布進(jìn)入國家緊急狀態(tài)。

受到勒索軟件攻擊影響，美國最大燃油運(yùn)輸管道商科洛尼爾(Colonial Pipeline)公司被迫暫停輸送業(yè)務(wù)，對美國東海岸燃油供應(yīng)造成了嚴(yán)重影響。次日，美國政府因此宣布進(jìn)入緊急狀態(tài)。

這是美國首次因網(wǎng)絡(luò)攻擊而宣布進(jìn)入國家緊急狀態(tài)，此前公布的緊急狀態(tài)大多是美國政府實(shí)施國家制裁或軍隊(duì)及公共衛(wèi)生相關(guān)。美國國家緊急狀態(tài)是賦予美國政府一項(xiàng)權(quán)力，這項(xiàng)權(quán)力可令美國政府實(shí)施通常情況下不允許發(fā)生的行為。拜登任期以來，已經(jīng)宣布三次緊急狀態(tài)，上一次是2021年4月15日，拜登政府宣布針對俄羅斯聯(lián)邦政府的特定危害國家安全的活動(dòng)(包括對美國大選造成嚴(yán)重影響的行為)實(shí)施制裁。

在上周六(5月8日)發(fā)布的一份聲明中，該公司表示，5月7日發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊，后續(xù)調(diào)查確定為勒索軟件攻擊。為了預(yù)防事態(tài)進(jìn)一步擴(kuò)大，該公司主動(dòng)將關(guān)鍵系統(tǒng)脫機(jī)，以避免勒索軟件的感染范圍持續(xù)蔓延，并聘請了第三方安全公司進(jìn)行調(diào)查。FBI、能源部、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局等多個(gè)聯(lián)邦機(jī)構(gòu)一起參與了事件調(diào)查。

白宮發(fā)言人稱，拜登總統(tǒng)在上周六早上被通報(bào)此事，聯(lián)邦政府正在積極評估影響，避免供應(yīng)中斷，幫助科洛尼爾公司恢復(fù)運(yùn)營。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示，這次事件凸顯了勒索軟件對組織的威脅。

作為美國東海岸最重要的燃油運(yùn)輸管道商，科洛尼爾負(fù)責(zé)美國東海岸地區(qū)約45%的液體燃料管道運(yùn)輸供應(yīng)服務(wù)，每天向客戶提供超過1億加侖的燃油。分析認(rèn)為，管道停運(yùn)短期不會(huì)對油價(jià)造成影響，但如果超過3天，將引發(fā)油價(jià)上漲，將對正在疫情復(fù)蘇階段的美國經(jīng)濟(jì)造成打擊。

科洛尼爾公司稱，“我們正迅速行動(dòng)以調(diào)查并解決這一重大問題。目前，我們的核心任務(wù)是安全、高效地恢復(fù)服務(wù)，盡一切可能讓設(shè)施再次運(yùn)轉(zhuǎn)起來?！?/p>

OT系統(tǒng)是否中招仍未知

關(guān)于此次攻擊，仍有許多未解的謎團(tuán)。例如，科洛尼爾公司關(guān)閉全部管線究竟是為了預(yù)防感染蔓延、還是設(shè)施已然整體淪陷?攻擊的幕后黑手究竟是誰?攻擊者在入侵及感染科洛尼爾公司的系統(tǒng)時(shí)，到底采取了哪些攻擊手段和路徑?

Axio公司總裁Dave White在接受郵件采訪時(shí)表示，“目前還不清楚科洛尼爾關(guān)閉管線是出于阻止勒索軟件持續(xù)傳播的謹(jǐn)慎考量，還是運(yùn)營技術(shù)(OT)系統(tǒng)或相關(guān)IT系統(tǒng)已經(jīng)遭受到嚴(yán)重影響。”

Red Balloon Security公司CEO Ang Cui曾在美國國土安全部及國防部擁有豐富的嵌入式設(shè)備及工業(yè)控制系統(tǒng)(ICS)高級威脅研究經(jīng)驗(yàn)，在他看來，此次攻擊很可能屬于網(wǎng)絡(luò)犯罪，而非民族國家行為。

Cui稱，“雖然科洛尼爾公司關(guān)閉了運(yùn)營系統(tǒng)，但并不一定代表其ICS已經(jīng)受到影響或損害。這也許是因?yàn)樵摴镜腎T與OT系統(tǒng)之間缺少充分的隔離機(jī)制，因此搶在攻擊者進(jìn)一步訪問敏感系統(tǒng)之間就斷開了連接。畢竟一旦攻擊者再深入一些，贖金要求很可能大大增加、公司奪回控制權(quán)的難度也會(huì)顯著提高?！?/p>

勒索軟件：一個(gè)老大難問題

據(jù)路透社引用一名美國前官員和兩位行業(yè)消息人士稱，已經(jīng)鎖定科洛尼爾公司被攻擊的嫌疑人DarkSide組織。DarkSide是去年新出現(xiàn)的勒索軟件組織，攻擊手法非常老練，已經(jīng)攻擊了40多個(gè)受害組織，要求贖金一般在20萬-200萬美元。NBC新聞稱是俄羅斯黑客組織進(jìn)行的網(wǎng)絡(luò)攻擊，并且在加密前，已有近100GB數(shù)據(jù)被竊取。

時(shí)至今日，大家對于勒索軟件攻擊早已不感到陌生。根據(jù)Group-IB研究人員的報(bào)告，僅在過去一年，全球勒索軟件攻擊次數(shù)就增長150%以上，能源行業(yè)因此也遭受了較大打擊。比如美國某天然氣運(yùn)營商遭到勒索攻擊，被迫關(guān)閉2天，并被國土安全部通報(bào);歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索軟件攻擊，多達(dá)5TB數(shù)據(jù)被竊取，被威脅索要1400萬美元贖金;臺(tái)灣最大兩家煉油廠遭到勒索攻擊，波及整個(gè)供應(yīng)鏈，甚至加油站的IT系統(tǒng)也無法使用。

面對這波新的攻勢，全球各方也開始在抗擊與應(yīng)對方面開展協(xié)同努力。上個(gè)月，美國司法部等全球60家實(shí)體共同組成聯(lián)盟，提出全面打擊計(jì)劃，要求通過追究財(cái)務(wù)運(yùn)作線索以追捕并瓦解勒索軟件團(tuán)伙。

矛頭直指關(guān)鍵基礎(chǔ)設(shè)施

2020年2月，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布警報(bào)，強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)(包括輸送管線)已經(jīng)成為黑客團(tuán)伙的主要攻擊目標(biāo)。而發(fā)布此項(xiàng)警報(bào)的契機(jī)，正是美國某天然氣壓縮設(shè)施(并未透露具體身份)遭遇的勒索軟件攻擊，并導(dǎo)致其業(yè)務(wù)被迫關(guān)停兩天。

在成功入侵IT網(wǎng)絡(luò)之后，攻擊者往往會(huì)部署“商業(yè)勒索軟件”以加密IT與OT網(wǎng)絡(luò)上的數(shù)據(jù)。網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局當(dāng)時(shí)表示，攻擊者的這種橫向移動(dòng)能力顯然源自基礎(chǔ)設(shè)施內(nèi)IT與OT之間缺少良好的網(wǎng)絡(luò)隔離。

Dave White表示，“美國經(jīng)濟(jì)高度依賴于能源管道基礎(chǔ)設(shè)施。這種至關(guān)重要的能源輸送資產(chǎn)會(huì)影響到每一位民眾的正常生活;因此聯(lián)邦政府必須開展風(fēng)險(xiǎn)分析與經(jīng)濟(jì)量化研究，在了解此類攻擊事件的影響規(guī)模的同時(shí)調(diào)撥專項(xiàng)資金為這類設(shè)施提供必要保護(hù)?！?/p>

Cui認(rèn)為在這類關(guān)鍵基礎(chǔ)設(shè)施攻擊活動(dòng)中，問題的關(guān)鍵在于運(yùn)營企業(yè)一方往往沒能事先隔離或保護(hù)這些系統(tǒng)。他總結(jié)道，“供應(yīng)商在設(shè)計(jì)之初就沒有考慮到如何保證ICS設(shè)備安全，這就給后續(xù)補(bǔ)救造成了巨大的障礙?！?/p>

參考信息：

https://threatpost.com/pipeline-crippled-ransomware/165963/

https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

https://en.wikipedia.org/wiki/List_of_national_emergencies_in_the_United_States#cite_note-3

來源：互聯(lián)網(wǎng)安全內(nèi)參