美國最大燃油管道遭網絡攻擊 多州進入緊急狀態

瑪麗-安·盧森(Mary-Ann Russon) - BBC商業事務記者
·6 分鐘 (閱讀時間)

當地時間5月9日,在美國最大燃油管道遭遇勒索軟件攻擊後,美國政府啟動緊急法。

遭到攻擊的美國殖民管道(Colonial Pipeline)公司每天輸送250萬桶汽油、柴油及航空燃油和其他精煉產品,其運送量佔美國東海岸供應量的45%。

上周五(5月7日),殖民管道公司在遭遇一個網絡犯罪團伙攻擊後中斷網絡運營,目前該公司仍在試圖恢復服務。

美國政府宣佈進入緊急狀態後,使得燃油可以通過道路進行運輸。

目前美國共有18州獲得臨時工作時間豁免,以運輸汽油、柴油、航空燃料和其他精煉石油產品。

這18個州分別是阿拉巴馬、阿肯色、哥倫比亞特區、特拉華、佛羅里達、喬治亞、肯塔基、路易斯安那、馬里蘭、密西西比、新澤西、紐約、北卡羅來納、賓夕法尼亞、南卡羅來納、田納西、得克薩斯與弗吉尼亞。

專家稱,燃油價格可能會在10日上漲2-3%,但如果這種情況持續更長時間,將會帶來比目前嚴重得多的影響。

獨立石油市場分析師夏爾馬(Gaurav Sharma)向BBC表示,目前還有許多燃油滯留在得克薩斯州的煉油廠。

「如果他們在周二之前不能解決問題,他們將面臨大麻煩,」夏爾馬說。「最先受影響的地區將是亞特蘭大(Atlanta)和田納西(Tennessee),之後多米諾效應將延伸至紐約。」

他表示,目前美國消費者正在重返道路,美國經濟也在試圖走出新冠疫情帶來的陰影,面對美國正在下降的庫存,和正在上升的需求(尤其是對汽車燃油的需求),石油期貨交易員們目前正「爭先恐後地」滿足市場需求。

夏爾馬警告稱,雖然由美國交通部發出的此次臨時豁免使得石油產品可以用油車最遠運送至紐約,但這遠遠不及遭到攻擊的輸油管道的運送量。

已有多個消息源確認,進行此次勒索軟件攻擊的網絡犯罪團伙名叫「黑暗面」(DarkSide)。他們於5月6日滲透進入殖民管道的網絡,取走了近100GB的數據並提出贖金要求。

獲取這些數據後,這些黑客將數據鎖定在一些電腦及服務器上,要求在周五得到贖金。如果沒有收到贖金,他們威脅將會把這些數據洩漏到互聯網上。

殖民管道公司稱,他們目前正與執法部門、網絡安全專家及美國能源部合作,試圖恢復服務。

該公司於9日晚間表示,儘管目前仍有四條主要管線仍處於離線狀態,但一些位於終端與支付點之間的小型管線目前已恢復運作。

「在得知攻擊發生後,殖民管道立即主動將一些系統下線,以遏制面臨的威脅。這些行動使得所有管道運作臨時中止,並對我們的一些IT系統造成了影響,我們目前正在積極恢復這些系統,」殖民管道表示。

「我們正在恢復其他小型管線的服務,並只有在我們認為安全、且完全符合所有聯邦規定允許的情況下,才會全面恢復線上系統。」

企業性運作的勒索軟件團伙

雖然「黑暗面」並非這一領域的最大團伙,但這起事件凸顯了勒索軟件不止威脅商業領域,其對關鍵國家級工業基礎設施構成的風險也正與日俱增。

同時,這也標誌著一種隱秘而有害的IT犯罪生態系統的興起,這一系統價值數億美元,且是網絡安全行業此前可能從未見過的一種存在。

「黑暗面」的受害者們會在電腦屏幕上看到一封通知,還會收到一個信息包,告訴他們,他們的電腦與服務器已被加密。

這個團伙會列出所有已被偷竊的數據的類型,併發送一個「私人洩露頁面」網址給受害者們,在那個頁面上,被盜竊的數據均已被上傳,只等如果被勒索的公司或組織不在最終期限前付款,這些信息將會被自動發佈。

「黑暗面」還告訴受害者,他們會提供自己已經獲得這些數據的證據,且已凖備好將它們從受害者的網絡中刪除。

總部設立在倫敦的網絡安全公司「數字陰影」(Digital Shadows)追蹤全球多個網絡犯罪集團,從而幫助企業控制他們在網絡上的曝光。根據這所公司提供的信息,「黑暗面」以企業的方式運作。

該團伙開發出用於加密及竊取數據的軟件,之後對「下線」進行培訓,這些下線會收到一份工具包,其中包括該組織開發的軟件、一份索取贖金的郵件模板,以及教他們實施攻擊的教程。

每次成功實施網絡攻擊後,這些下線網絡犯罪者都會從贖金中拿出一定比例的收入,支付給「黑暗面」。

今年3月,「黑暗面」推出了一款新型軟件,可以比以前更快對數據進行加密。該組織舉行了一場記者會,邀請記者進行採訪。

他們甚至在暗網上擁有一個網站,在那裏詳細地吹噓其所為,列出他們攻擊過的所有公司,偷走的內容,以及一個「道德」頁面,在上面列出了他們不會攻擊的組織名稱。

他們還與「訪問權限中間商」們合作。「訪問權限中間商」是一類邪惡的黑客,他們在不同服務系統上努力收集盡可能多的工作用戶賬號登錄信息。

這些中間商們並沒有入侵這些賬號,提醒用戶或服務提供商,他們會把這些用戶名和密碼放在一旁,然後把它們賣給出價最高的人,通常這些人是希望利用這些信息實施更大規模犯罪的網絡犯罪團伙。

這次攻擊是如何發生的?

數字陰影公司認為,殖民管道公司遭遇的攻擊是因為新冠全球大流行引起的。受疫情影響,越來越多的工程師在家中遠程進入控制系統,操作管道網。

數字陰影共同創建者、首席創新官詹姆士·查貝爾(James Chappell)認為,「黑暗面」購買了TeamViewer及微軟遠程桌面(Microsoft Remote Desktop)等遠程控制軟件相關的用戶登錄信息。

他表示,在「Shodan」等搜索引擎上,任何人都可以查找連接互聯網的計算機的登錄門戶,然後抱著「試一試」心理的黑客們只需要一直「試用」用戶名和密碼,直到他們發現可以突破的組合。

「我們看到現在出現許多受害者,這是一個嚴重的大問題,」查貝爾說。

「每天都有新的受害者出現。有相當數目的小企業正在成為這種模式的受害者,這正在成為一個事關全球經濟的大問題。」

查貝爾還表示,數字陰影公司研究顯示,從這個網絡犯罪團伙試圖避免攻擊獨聯體國家(Commonwealth of Independent States)企業的表現來看,這個團伙可能位於俄語國家。獨聯體國家包括俄羅斯、烏克蘭、白羅斯(白俄羅斯)、格魯吉亞、亞美尼亞、摩爾多瓦、阿塞拜疆、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、土庫曼斯坦及烏茲別克斯坦。