微軟怪美政府「私藏漏洞訊息」 勒索病毒肆虐「才剛開始」

勒索軟體WannaCry從上星期五開始發威,很多人開電腦時不免也心驚膽戰。電腦資安專家說,這次的網路勒索只是個開始,類似行動未來還會層出不窮。微軟公司則把矛頭對向政府,批評情報部門收集系統弱點,大大提高了網路安全的風險。

你也「想哭」(WannaCry)了嗎?勒索軟體的風暴,透過電腦網絡從星期五晚上開始席捲全球150個國家,估計有二十萬部電腦受到影響。

面對這次受破壞的視窗系統,微軟公司發出聲明向美國政府喊話,強調這次的攻擊事件是資訊安全的「一記警鐘」。微軟說,各國政府收集電腦軟體的安全漏洞做為網路武器,可能引發廣泛的損害。

微軟:勒索病毒等同「戰斧飛彈被偷了」

這次的勒索病毒,利用的是美國國安局最先發現的視窗系統安全漏洞。駭客組織「影子掮客」(Shadow Brokers)駭入美國國安局之後,在今年四月在網路上釋出,成為這次攻擊者使用的工具。

美國情報部門,往往會收集電腦系統弱點的訊息,藉以囤積自己網路武器的「軍火庫」,以備針對特定目標發動攻擊。

微軟總裁兼法務長史密斯(Brad Smith)發表聲明,對各國政府收集電腦系統安全漏洞訊息的方式提出批評。

我們過去已見過美國中情局(CIA)收藏的安全漏洞訊息出現在Wikileaks。而這次美國國安局(NSA)被竊取的安全漏洞資訊,則對全球消費者造成了影響 。

微軟總裁兼法務長史密斯

史密斯說,用傳統武器來做比喻的話,這次的情況就好比是「美軍的戰斧巡弋飛彈被人偷走了。」 「全世界各國政府,都應把這次事件當成一記警鐘。」

微軟說,他們在三月份就釋出了視窗系統的安全性更新程式來處理這個問題。不過,許多使用者並未進行更新的動作。

微軟強調,隨著網路犯罪手法越來越細緻,消費者除了更新他們的系統之外,幾乎別無他法可以保護自己不受威脅。

疏於事先防範 微軟資安難辭其咎

一些公部門機構或大企業這次受到勒索軟體的攻擊,資訊部門或許應為安全系統未更新而負責。

不過,最有機會、也最容易阻止這場網路災難的,或許是美國的國安局和微軟公司。

長期以來,微軟公司批評美國情報部門私藏網路攻擊的工具。他們認為,如果視窗系統出現漏洞,最安全保險的做法當然是直接告訴他們的工程師來進行補救。

不過,微軟在怪罪他人的同時,似乎也應考慮自己對所有使用者更新版本的責任,而不只是對付錢加強舊版系統的人提供額外照顧。 畢竟,對個人的使用者來說,更新電腦是輕而易舉。但是,對於像英國醫療服務體系NHS這般規模的網絡,卻是既花錢、耗費時間、而且複雜的作業。

所以,BBC的科技記者Dave Lee就認為,像微軟這樣的一個公司,跟自己的客戶說「如果不再多花一點錢,我們就不能保護你的系統安全」其實本身也是一種勒索。

資安英雄:「很快會有新的攻擊!」

歐洲刑警組織(Europol)表示,這次的勒索軟體設計,是讓一部電腦感染之後,快速在網絡中擴散。這也是它受災數字不斷增加的原因。據英國BBC的估計,在星期一上午之前,已經有大約3萬8千美元左右的「贖金」,流入要求支付贖款的帳戶。由於攻擊者揚言如果三天之內沒有交付贖金,屆時解除文件封鎖的金額將會加倍,因此預估依照指示付出「贖金」的金額還會持續增加。

2017年5月15日,南韓國家網際網路與安全局(KISA)員工透過螢幕監控韓國遭勒索軟體攻擊情況。包括南韓最大電影連鎖公司CJ CGV也是這次WannaCry病毒的受害者。(東方IC)
2017年5月15日,南韓國家網際網路與安全局(KISA)員工透過螢幕監控韓國遭勒索軟體攻擊情況。包括南韓最大電影連鎖公司CJ CGV也是這次WannaCry病毒的受害者。(東方IC)

暫時的修復措施,雖然減慢了病毒蔓延的速率。不過。攻擊者已經釋出了新版本的病毒。

一名化名Malware Tech的英國資安專家,他在無意之間減緩了病毒擴散而成了這次網路災難的意外英雄(參見底下介紹)。他預測勒索軟體的攻擊行動會接踵而來,下一場攻擊很可能就是星期一。

英國網路安全公司數位影子Digital Shadows的專家平卡德(Becky Pincard)說,最初發動網路攻擊的人、或是有意效尤的模仿者,都可以很輕易修改病毒程式,而讓人防不勝防。 所以就算星期一沒有出現新的攻擊行動,我們也不能因此喘口氣掉以輕心,因為類似的攻擊行動不難預期很快就會再出現。

英國資訊安全專家Malware Tech描述自己如何在無意間遏阻了勒索軟體的攻擊:

  • 據網路博客「英國那些事兒」,Malware Tech在攻擊大規模爆發後分析病毒代碼,發現一個特殊的域名網址:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

  • 這個看似隨意打出的域名,在病毒爆發前一天完全沒有人聞問。但是從星期五開始,這個域名的訪問數激增。

  • Malware Tech發現這個網址無人註冊,出於職業習慣他順手付費註冊了這個域名,註冊成功之後他瞬間接到了來自全世界各國電腦的連結

  • 事後發現,這個域名應該是病毒的攻擊者當初預防行動失控,而給自己預留的緊急停止開關。

  • 安全人員在代碼中發現一段語句,語法邏輯是:

「訪問這個域名

如果 這個域名存在

那麼 退出一切

反之如果這個域名不存在

那麼 開始繼續攻擊」

也就是說,每個感染了病毒的機器,發作前都會事先訪問這個域名。如果這個域名依舊不存在那就繼續傳播,如果已經被人註冊了,那就停止傳播。

  • 因此,可以說Malware Tech這位資安人員在無意間的註冊,觸發了病毒緊急停止的機制。

參考資料:BBC,The Guardian


延伸閱讀
勒索軟體入侵! 全球電腦大癱瘓