首次公开！上级官员要求政府机构掩盖勒索事件“灾难性”影响

图：UNSPLASH/LUKE STACKPOOLE

两年前，一位英国政府大臣曾要求某地区议会领导人，对勒索软件攻击带来的“灾难性”影响保持沉默。

2月1日消息，日前，英国议会委员会获悉，某位英国政府大臣曾经要求雷德卡与克利夫兰自治市议会的领导人，对两年前勒索软件攻击带来的“灾难性”影响保持沉默。

自2019年以来一直领导该自治市议会的玛丽·拉尼根（Mary Lanigan），在英国国家安全战略联合委员会（JCNSS）举行的听证会上表示，来自中央政府的不讨论压力“给我们带来了很多问题”。

JCNSS正在调查，英国的国家安全战略能否有效应对勒索软件引发的威胁。

拉尼根向JCNSS证实，中央政府的某位部长告诉她，“无论如何，我们都会承担成本”。但事实并非如此，自治市议会最终承受了约700万英镑（约合人民币5821万元）损失，比该机构的全部现金储备还高出数百万英镑。

针对该自治市议会的攻击发生于2020年1月，当时新冠疫情刚刚爆发，英国各地方政府都承受着巨大的资源压力。

雷德卡与克利夫兰自治市位于英格兰东海岸的北约克郡，人口略超过13万，是英国较为贫困的地区之一。

拉尼根表示，“面向儿童和成年人的服务都被彻底摧毁了。所以可以想象，公众在此期间上报的儿童和政务问题均被遗漏，引发了毁灭性的影响。”

拉尼根补充称，此次攻击不仅锁死了议会记录，还破坏了对电话线路、电子邮件、计算机、打印机及其他电子设备的访问权限，“我们甚至无法收取商业税率和账单。”

“上面的建议是，我们不要探究得太深。公众都知道我们遭受了勒索攻击，但不清楚情况有多严重……情况是灾难性的，对于市议会、市镇居民乃至我们服务的每一位对象都是灾难性的。”

图：玛丽·拉尼根

国家网安力量入驻议会大楼，保障儿童服务恢复运行

这位地区议会领导人感谢英国政府通信总局（GCHQ）下辖国家网络安全中心的工作人员及时伸出援手，帮助其优先恢复运行了儿童服务。这些专家与市议会内部IT员工“那段时间一直待在大楼里，我们专门为他们安排了床位，协同调查攻击事态及如何尽快恢复服务。”

“遭受勒索攻击是种不幸，但GCHQ专家们的支援对我们来说又是种幸运，他们尽一切努力让儿童服务恢复了运作。如果没有他们，寄养家庭可能会受到更严重的影响，就这一点上我们确实非常幸运。GCHQ的帮助让我们率先解决了这个难题。”

部分服务在几周之后就恢复了运作，但市议会前后花了8个多月，才重新回到攻击前状态。在此期间，英国开始疫情封控，市议会的收入和服务也遭遇到更多挑战。

除了网络响应团队的参与，雷德卡与克利夫兰自治市议会还发现，“尽管我们向中央政府上报了攻击事件，但在前一周左右还是只能依靠自有设备。由于中央政府不管不顾，我们不得不求助于私营安全公司。我这里有文件。”

拉尼根回忆道，“当时中央政府给我的答复是‘什么都别说’，这让处置工作变得非常困难。内阁已经明确知晓发生了什么，但却要求我们严格保密。也许是出于安全考虑，我完全理解这一点。可事后来看，这种消极的态度给我们带来了很多问题，因为我们没办法对外公布当时究竟发生了什么。”

截至本文发布时，政府发言人仍未回复置评请求。

“不清楚”Conti团伙为何公布解密密钥

图：约翰·沃德

除了拉尼根，JCNSS还听取了爱尔兰共和国卫生服务执行局（HSE）临时首席技术与转型官约翰·沃德（John Ward），就2021年5月导致国家卫生服务瘫痪的攻击事件做出的证词。

沃德称，公开透明是HSE应对措施中的一大亮点。“虽然攻击者公开了勒索信息，但HSE和爱尔兰政府在攻击当天就明确表示，我们不会直接或通过第三方向攻击者支付赎金。可奇怪的是，在攻击事件发生一周之后，恶意黑客在暗网上发布了解密密钥。”

HSE的事件响应供应商测试了发布的密钥，确认真实有效。不过沃德提到，即便是有了解密密钥，HSE的整体网络恢复工作仍是“一项艰巨的任务”。

“我们根据患者管理系统、放射科、诊断科等方面对系统进行了优先级排序。即便有了密钥，我们仍用了4个月才成功恢复99%的系统。如果没有公布的密钥，我根本无法想象恢复工作要花掉多长时间。”

沃德向委员会坦言，他不清楚Conti勒索软件团伙为什么会发布解密密钥。

“我想说的是，在攻击发生之时，我们很可能是首个受勒索软件影响的国家医疗系统目标。”这样的特殊身份可能迫使对方“手下留情”，毕竟当时很多勒索软件团伙都宣称，不想因攻击造成任何意外伤害。

“我认为爱尔兰政府做得最好的一点，就是始终保持公开。他们对公众实话实说，明确表示不会支付赎金，并强调此次攻击会对民众的生命构成威胁。也许这改变了勒索黑客的心意，总之我们非常感激……但也必须承认，即使是拿到了解密密钥，我们还是花了几个月时间才真正恢复。”