5月7日,美国最大燃油运输管道商Colonial Pipeline公司因受勒索软件攻击,被迫临时关闭其美国东部沿海各州供油的关键燃油网络。为遏制威胁,公司已主动切断部分网络连接,暂停所有管道运营。为解除对燃料运输的各种限制,保障石油产品的公路运输,美国政府首次因网络攻击宣布18个州进入紧急状态。此次网络攻击是美国历史上针对公共事业的最大攻击之一,暴露美国能源安全行业的网络安全脆弱性,凸显了保护关键信息基础设施的必要性,同时也为全球关键信息基础设施行业敲响警钟。

一、事件概述

2021年5月7日,美国最大燃油运输管道商Colonial Pipeline公司遭受网络攻击。攻击者通过安装非法勒索软件,控制受害者的计算机系统或数据系统,以此要求受害者支付大笔赎金才能重新获得访问权限。该攻击暂时停止了所有管道的运行,并影响了某些IT系统。5月8日,Colonial Pipeline公司发布声明称,为防止病毒扩散,已主动将关键系统进行脱机。5月9日,美国政府宣18个州进入紧急状态,以应对勒索软件的攻击。

据外媒BBC报道,根据多个消息来源证实,此次勒索软件攻击是一个名为DarkSide(黑暗面)的勒索软件,这是首个非政府、非国家背景,纯网络犯罪、勒索背景的“APT”组织。DarkSide不同于早期勒索病毒通过僵尸网络利用漏洞自动植入目标系统的广撒网方式,而是有组织的实施攻击行动,通常会尝试拿下Windows AD域控制器从而实现整个AD域的横向渗透便于盗取数据和批量释放勒索软件。

在此次攻击事件中,DarkSide勒索软件仅两个小时的时间就从Colonial公司网络中窃取了近100 GB的数据。对DarkSide的历史入侵手段进行分析发现,DarkSide勒索软件组织性很强,攻击手段很新。DarkSide在整个入侵过程中,会在入侵的目标服务器上安装Tor客户端或者浏览器,并使用Tor进行RDP会话连接(RDP Over Tor),并且在远程控制方面会使用CobaltStrike进行后续操作。后续操作主要围绕获取域控权限而进行,其中使用内网渗透工具包括advanced_ip_scanner.exe、psexec、Mimikatz。

二、事件意义

此次勒索软件网络攻击事件,可以让我们看到现有网络安全的脆弱性。随着地缘政治和国际环境日趋复杂,全球网络攻击事件频发呈现出日益加剧的发展态势,关键信息基础设施已成为勒索软件网络攻击的焦点,勒索软件仍然是当前网络安全最大的威胁。此次事件,不仅是给美国一次惨痛的警钟,也是对其他各国关键信息基础设施建设保护的鞭策。

1、数字化背景下关键信息基础设施网络安全脆弱性日益凸显

2021年4月上旬,拜登政府刚刚出台一项提振能源供应体系网络安全的“百日计划”,可见关键信息基础设施的网络安全防御迫在眉睫。可在半个月后,DarkSide勒索软件攻击事件就发生了,随后,美国众议院提出要确保管道网络安全计划的成功,网络监管的有效性比以往任何时候都更为重要。5月12日,美国总统拜登签署一项行政命令以强化联邦网络安全能力,并鼓励曾发生黑客攻击事件的民间行业全面提升数字安全标准。同时提出建立网络安全事务安全审查委员会,在重大网络事件发生后召集会议,以分析事件情况并提出改善网络安全的具体建议等措施。早在2020年2月,美国网络安全与基础设施安全局就发布警报,强调关键基础设施目标(包括输送管线)已经成为黑客团伙的主要攻击目标。当时美国某天然气压缩设施(并未透露具体身份)遭遇勒索软件攻击,导致其业务被迫关停两天。

不难看出,随着云计算、物联网、5G、大数据、人工智能等新一代信息技术的飞速发展和普遍应用,“一切皆可编程、万物均要互联、大数据驱动业务、软件定义世界”的时代已悄然到来。

虽然美国政府层面为了应对关键信息基础设施的网络安全威胁,不断出台政策和行政命令,但关键信息基础设施的网络安全脆弱性还没得到明显改善。

2、勒索软件网络攻击目前仍然是网络安全最大的威胁

据彭博社报道,知情人士透露,美国最大燃油管道运输公司科洛尼尔(Colonial Pipeline)5月7日向勒索软件团伙DarkSide支付了近500万美元赎金,以期尽快恢复业务系统。此次勒索软件攻击事件,不仅使美国东海岸燃油供应受到影响,还将引发一系列连锁反应。本次针对美国管道公司的重大勒索软件攻击,暴露美国能源安全行业的网络脆弱性,同时也为全球能源行业敲响警钟。此次攻击导致美国主要的燃油管道关停,如果管道不能迅速恢复,部分地区将受到燃油紧缺影响,甚至产生多米诺骨牌效应。攻击已经导致美国油价上升,价格正在逼近2014年以来的最高水平。

放眼全球,勒索软件目前仍然是网络安全最大的威胁。2020年至今,全球爆发了多次重大关键信息基础设施行业的勒索软件攻击事件,例如跨国能源企业Enel Group连续遭遇两轮勒索软件攻击,美国马萨诸塞州电力公司RMLD遭勒索攻击,美国某天然气运营商遭受勒索攻击被迫关闭。黑客往往在盗取重要数据后,以此要挟支付巨额赎金。《华盛顿邮报》报道,仅2020年就有至少2400家机构受害,其中包括银行、医院、大学和市政当局等。此外,工业企业遭到网络攻击和勒索的案例也在快速增多,主要是因为这些企业往往更愿意支付赎金。

3、首个非政府、非国家背景,纯网络犯罪、勒索背景的“APT”组织涌现

据外媒BBC报道,根据多个消息来源证实,此次勒索软件攻击是一个名为DarkSide(黑暗面)的勒索软件。从目前已经知情来看,该组织并不具有政治性的,没有国家背景,主要目标是获取经济利益。它是一支新兴的RaaS(勒索即服务)犯罪团伙,以俄语为母语。自2020年年中以来,Darside一直保持活跃状态。DarkTracer的最新勒索软件统计, 2020年DarkSide的攻击数量位列TOP10行列。该组织开发了用于加密和窃取公司数据的勒索软件,然后提供给其“分支机构”,并从分支机构获得成功攻击的赎金分成。

根据DarkSide团伙的历史攻击数据分析,发现DarkSide主要呈现几个鲜明特点。第一,目标针对性极强且定向。该团伙曾公开表示,该团伙只会针对除医疗、政府、教育、非盈利组织和殡葬行业外的组织机构发起勒索攻击;第二,长期持续性“潜伏渗透”。为达到攻击目的,DarkSide会对目标进行长达数周乃至数月的技术分析工作,包括会计数据、执行数据、销售数据等核心价值数据;第三,勒索方式史无前例。除了加密数据外,为了确保成功勒索用户缴纳赎金,在进行加密前攻击者会在目标环境中进行渗透并安装后门程序以窃取重要的数据信息,当勒索目标拒绝缴纳赎金时,会将数据公开、放负面安全事件消息,以此做空而获利。

三、勒索软件的发展态势

如今,勒索软件已经成长为主流的安全威胁之一。勒索软件已经在全球范围内呈现爆发态势,美国、日本、中国、欧洲都成为勒索软件肆虐的“重灾区”。勒索软件商品化趋势日渐明显,勒索软件的商品化使得组织与个人面临的勒索软件风险大幅增加,而随着地下黑产市场的进一步演进,勒索软件的产业链将进更加细化、专业化,即使是毫无攻击经验的新手,也能够通过购买这些产品和服务,快速地发动攻击。此外,商品化也使得勒索软件攻击的方式更加灵活,对于安全防护提出了更高的要求。

1、发展历程

(1)2017年,勒索软件攻击日益流行

在2017年WannaCry大爆发之前,勒索病毒软件多为散在发生,影响很小,普遍当作恶作剧处理。WannaCry、Petya等勒索病毒让人印象深刻,此类病毒勒索更侧重破坏性,赎金并不算高。但由于WannaCry借助永恒之蓝在该年度的全球席卷攻击活动,使得勒索攻击事件制造了空前的影响力。WannaCry病毒成为一枚种子,引爆了隐藏在黑暗中的贪欲,勒索攻击从此日益流行。

(2)2018年,完整的勒索产业链形成

从2018年开始,勒索病毒迅速发展,进一步催生出完整的勒索产业链。其中勒索代理角色颇有新意,从业者利用国内用户不方便购买数字货币,不了解支付方式以及较低的代理价格,吸引受害者联系解密,在整个过程中赚取差价。

(3)2019年,勒索软件RaaS化运营

   小打小闹的勒索攻击者在面对法律和技术双重打击下已销声匿迹,而反过来,专业勒索家族团伙则越做越大,还采用了分级代理,RaaS化运营(勒索即服务),更多的不法分子卷入这个行业。实施攻击的门槛进一步降低,更多的流量参与者加入到勒索病毒产业链中。

(4)2020年,勒索软件攻击更有针对性

   尽管恶意软件使用者和网络罪犯仍忙于发动复杂的网络攻击,但是全球恶意软件总量在2020年继续稳步下降。与之形成鲜明对应的是,勒索软件攻击的态势没有任何减弱的迹象。勒索软件的攻击是全球性、广泛性发展的,并且勒索攻击呈现集聚化发展,主要的勒索攻击事件都来自少数几个勒索软件家族。Maze、REvil、Sodinokibi 、NetWalker、Ryuk 5种主要的勒索软件家族及变体进行的勒索攻击占所有勒索攻击事件的60%。

2、未来发展特点

2021年,勒索软件将继续迭代进化,攻击手段会更加复杂多样,攻击范围也将不断扩大并且更加难以防范。

(1)勒索软件攻击手法将会不断翻新

未来,Windows平台上基于无文件的勒索病毒攻击应该会增多,这种攻击可以逃避大量的终端安全软件的检测,未来会有更多新的攻击手法来传播勒索病毒。现在基于Windows服务器的勒索病毒变种非常多,这些网络犯罪团伙未来会向Linux等服务器平台进行转向,针对Linux平台进行勒索病毒攻击。鉴于网络犯罪分子对勒索软件以及与地下网络市场上的深度伪造(Deepfake)服务相关的廉价产品表现出兴趣,恶意行为者最终可能会将这两种威胁组合在一起,成为深度伪造勒索软件攻击。

(2)双重勒索和定向攻击将成为新常态

由于网络信息渠道和媒体传播速度提高,很多企业网络安全事件和信息泄露会在几分钟之内传遍整个世界。因此很多勒索组织就威胁企业,如果不及时支付赎金就将信息泄露出去。因为它不再与数据加密有关,而是与从受害者网络中泄露的信息有关。未来攻击将从随机的、投机性的攻击演变为具有针对性的攻击,并且每一次攻击都使得受害者付出相当大的代价。定向勒索是一种新常态,也是关键信息基础设施机构面临的主要威胁。攻击者根据受害者的支付能力、对加密数据的依赖以及攻击的影响,精心选择受害者。随着勒索软件团伙在寻求投资回报的最大化,这一攻击趋势可能会进一步深化发展。

(3)勒索软件攻击将向联盟模式集团化扩展

2020年,Maze和Sodinokibi两大团伙都率先提出一种“附属”模式,涉及团伙之间的合作。据欧洲刑警组织近期发布的有组织犯罪威胁评估报告指出,Emotet、Trickbot以及Ryuk勒索软件团伙之间的关系正愈发紧密,甚至有归于同一体系的趋势,或者至少会在合作当中建立起稳定且精准的配合关系。勒索软件正在从一点滋扰过渡到一种真正的战略问题。这种联盟模式日益扩展,不同威胁参与者结合在一起,导致整个流程专业化大幅提升。一些行为者开发勒索软件,并与专门获得初始访问和妥协后渗透的其他人合作,这都导致一个更广泛的犯罪生态系统。

四、启示建议

近年来,针对关键基础设施的勒索软件网络攻击事件不断增加,深刻展现了网络攻击可能造成的巨大、真实的破坏。全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。

1、加强完善关键信息基础设施保护制度体系

面对数字化时代如此严峻的网络安全形势,尤其是在此次勒索软件攻击事件前后,美国政府已经在逐步采取一系列措施,颁布法案或者行政命令,为维护关键信息基础设施的网络安全提供制度保障,这也给我们敲响了警钟。我们首先要完善关键信息基础设施保护制度体系,尽快制定出台关键信息基础设施保护相关法律法规,明确相关主体法律责任;其次要求网络安全企业在提供服务时,应秉持“建设+运维”两手都要抓的思维,提供网络安全保障最关键的安全运维环节服务,全面提供网络安全运维服务保障的业务模式;同时鼓励加强合作,建立面向整体保障的网络安全产业联盟,通过产业联盟,聚集产业优势资源和力量,博采众长,以武器装备协同攻关模式持续提升技术、产品与服务水平。

2、提升防范勒索软件攻击的整体防护水平

此次网络攻击由DarkSide勒索软件团伙发起,DarkSide可能已经购买了TeamViewer和Microsoft Remote Desktop等远程桌面软件的账户登录详细信息,其中包括工程师用来访问管道控制系统的账户信息,进而利用恶意软件窃取并挟持了Colonial Pipeline公司近100 GB的数据。据DarkSide组织称,其勒索软件配备了市场上最快的加密速度,并且包括Windows和Linux版本。当前,勒索软件迭代进化加速,攻击手段会更加复杂多样,攻击范围也将不断扩大并且更加难以防范。面对愈加强大的定向勒索攻击者,我们对网络安全防御需要提升整体的防护水平,要以面对APT组织攻击的策略进行防御体系建设,才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索软件攻击。要实现整体安全,必须加强技术升级换代,聚焦核心技术突破,在基础性技术、前沿性技术、颠覆性技术投入研发方面花大力气,尽早实现关键信息基础设施网络安全装备自主创新。

3、持续开展关键信息基础设施网络安全演练

此次网络攻击事件,表面即使技术最强的美国,其最大的输油管公司的网络依然存在着漏洞,可想而知,其他国家的网络的漏洞是否会更多?如今世界已经进入了物联网时代,随着5G建设的发展,万物均将互联。因此网络安全就显得越来越重要。网络安全演练是检验、锻炼和提高关键信息基础设施防护能力的重要手段。所以,在最后我们建议关键信息基础设施管理运营单位将开展常态化网络安全演练纳入管理制度和考核指标中。针对关键信息基础设施防护,引入现实社会因素,设置训练题目和训练流程,尽可能真实地模拟现实复杂情况,在演练中发现问题解决问题,不断提高网络安全防护水平。

从Colonial Pipeline公司遭受勒索软件攻击事件可以看出,网络攻击可以在不损坏设备的前提下破坏关键信息基础设施,给国家安全带来重大影响甚至灾难性后果。当前,勒索软件呈现变种多、针对性高、感染量上升快等特点,攻击正在肆虐全球,攻击态势愈演愈烈。随着云计算的快速普及,数字化转型升级的关键信息基础设施依旧是勒索软件攻击的重点目标。加强关键信息基础设施网络安全保障,已经刻不容缓。