摸不着的“危险”

在经济和政治因素的交织下,网络安全防护就像一场没有硝烟的战争



美国最大成品油管线的运用者科洛尼尔遭勒索事件的余波仍在扩散。7月15日,在距科洛尼尔成品油管道遭勒索的两个多月后,美国国务院宣布公开悬赏1000万美元,征集可以识别或定位恶意网络行为者的信息和线索。这些线索主要是指那些在外国政府的支持下,以美国的关键基础设施为攻击目标的恶意网络行为。为了配合这项行动,美国称已建立了一个“暗网”举报渠道,以保护潜在消息来源的安全。  


这是美国两个月来继《改善国家网络安全行政令》和《输油管道网络安全条例》以来,又一个针对重要基础设施网络安全的重要举措。


毫无疑问,科洛尼尔成品油管道遭网络勒索暴露了美国关键基础设施体系网络安全防护的严重不足。成品油管道作为重要基础设施遭网络勒索引起的连锁反应让美国“痛彻心扉”,誓要在重要基础设施网络安全方面“痛改前非”。


其实,人们在享受着万物联网的“狂欢”背后,“危险”也会悄然降临。


美国敲响警钟


多年来,一向乐于逼迫企业开“后门”的美国,万万没想到一次针对成品油管线的网络勒索事件差点让全国进入紧急状态。


5月7日,美国的老牌私人管道运营公司科洛尼尔管道运输公司突然宣布暂时“无限期”关闭全部的输油管线。消息一出,美国乃至全球哗然。


为什么呢?这家名为“Colonial”的管道运输公司运营着美国最大的成品油运输管线。该管线建成于1963年,从得克萨斯州休斯敦出发,一路北上抵达纽约港,全长5500英里(约合8900公里),途经12个州,是美国最大的成品油运输管道。   


8900公里有多长?意味着我们从河北出发,一路向南沿着沿海各省份到海南绕一圈再转到西南的四川这么长。对于一个“坐在车轮上的国家”来说,美国突然暂停东海岸45%的燃油供应意味着什么,结果显而易见。


被切断东海岸供油“大动脉”后的美国加油站,可以称为“一片混乱”:长长的车队堵在加油站的门口,恐慌性抢购带来的焦躁情绪,让前来加油的人大打出手,暴力事件层出不穷……虽然4号管线已人工恢复部分,美国交通部下属联邦汽车运输安全管理局也发布区域紧急状态声明,临时给予18个州汽油、柴油、航空燃料和其他成品油的临时运输豁免(按照此前规定只能通过管道运输),以确保通过公路运输维持燃料供应,但美国首都华盛顿在遭到攻击后的第七天仍出现汽油短缺,使得华盛顿加油站的断供率攀升至88%。美国汽车协会说,全美平均汽油价格已突破3美元/加仑(1加仑约合3.8升),创下了2014年10月以来的新高。


而造成这一切混乱让美国颇为“头疼”的原因,既不是武力袭击也不是人为破坏,而是一个被称为“Darkside”的“神秘”组织。这个组织仅仅使用了一串旧的VPN密码,就对科洛尼尔管道公司的网络进行了远程“访问”。它“访问”的目的很简单,不是扰乱社会秩序,而纯粹是想要“赎金”。


或许没有前车之鉴,或许是对自己应对网络勒索能力的肯定,一开始科洛尼尔坚定地回应“不会向黑客妥协”。随着情况的危急,在管道关闭5天后,科洛尼尔不得不向黑客支付了当时总价接近500万美元的比特币。也是在这一天,科洛尼尔的管道全线恢复。这次事件也成了美国目前最严重的油气管网勒索事件。


撕开冰山一角


虽然美国后来追回相当于230万美元的比特币,但面对黑客攻击时的“无力感”已让科洛尼尔和美国政府深深领教。事实上,这并不是石油行业第一次与勒索软件“较量”。


“所谓的勒索软件,是通过网络勒索金钱的常用方法。它是一种网络攻击行为,可以立即锁定目标用户的文件、应用程序、数据库信息和业务系统相关的重要信息,直到受害者支付赎金才能通过攻击者提供的密钥恢复访问。”关键基础设施安全应急响应中心研究员邹佳信说。说直白一点,有点像我们的手机突然间“被挂失”了,然后攻击者打来电话索要赎金,然后才帮你解锁。而勒索软件攻击的这个“手机”,则是系统、服务器。


安全机构统计显示,2020年初全球每39秒就会发生一起勒索攻击。截至2021年4月,全球每11秒就会发生一起勒索软件攻击事件。被勒索软件攻击的企业和组织,在2020年至少支付了3.5亿美金的赎金。


网络技术在石油行业的应用已有多年历史,石油公司遭到网络攻击的事件在近年来屡见不鲜。石油行业历史上最知名的一起“被黑事件”的受害者,就是全球最大的石油公司——沙特阿美。


2012年,一款叫作Shamoon的病毒袭击了沙特阿美石油公司。袭击导致数小时内该公司3.5万台电脑上的数据被部分或完全删除。由于2012年的原油价格正处于100美元/桶左右的高位,所以该网络攻击事件一度引发沙特乃至全球原油市场的恐慌。据沙特阿美方面称,这次攻击的主要目的是干扰沙特的原油生产。业内分析师称,网络攻击是一种新型的战争。随后,2017年1月,沙特一家化学公司也遭到了网络攻击。沙特发出警告,Shamoon病毒可能卷土重来。


欧洲第一大原油生产国挪威在2014年也遭到了网络黑客的攻击。据挪威政府部门称,当时该国约有300家石油能源公司沦为黑客的攻击目标,有50家公司确认遭到网络攻击。此后,能源咨询公司DNVGL和壳牌石油、挪威石油、西门子、霍尼韦尔等知名企业曾建立过工程项目合约,共同应对石油行业的网络威胁。


“针对关键基础设施的网络攻击不胜枚举,能源行业尤其成为‘重灾区’。”盘古智库高级研究员吕晶华说。西门子公司的一项研究表明,在过去12个月的时间里,68%的美国石油和天然气公司至少经受过一次网络攻击。2020年以来,就有葡萄牙EDP公司、意大利EnelGroup公司、巴基斯坦K-Electric电力公司等遭受过类似攻击。2019年底,美国另一家天然气管道公司的网络也被植入勒索软件。电力、医疗以及其他公共设施等,都是网络攻击的对象。


在网络勒索浪潮下,没有一个幸存者。油气管道作为能源行业的基础设施,一旦遭到破坏将带来连锁性反应,更容易成为勒索软件组织的攻击目标。“石油管道,肯定是网络攻防对抗的前沿阵地,也是对手攻击的主要目标。”北京安帝科技有限公司董事长周磊说,“研究人员发现,能源行业是受工业控制系统(ICS)漏洞影响最大的行业之一。以色列工业网络安全公司CLAROTY 2020年下半年(2H)披露的ICS漏洞,比2018年下半年增加了74%。针对Colonial Pipeline的勒索攻击,只是未来网络攻击的一个试探。当网络罪犯和外国对手寻找机会获得经济利益和投射权力时,国家的关键基础设施就很容易成为攻击的目标。”





困难的反勒索


在科洛尼尔管道运输公司遭到勒索的1个月后,美国司法部在6月7日证实,调查人员已经成功追回科洛尼尔管道运输公司先前向“黑客”支付的、总价大约230万美元的比特币。为应对黑客利用勒索软件攻击重要实体产业,美国司法部成立了一个专门应对勒索软件攻击的工作小组。按照美联社说法,这是工作小组首次追回赎金。但遗憾的是,虽然后来有国家出面——美国联邦调查局的调查,从黑客如何成功入侵的深层原因来看目前仍没有明确消息。


有相关人士分析认为,此次勒索事件并没有对OT运营系统进行攻击。由于防御力度较强,针对OT运营技术的直接攻击非常少,黑客更有可能是通过企业管理部门访问了科洛尼尔的计算机系统即IT系统进行攻击。在对科洛尼尔的IT系统进行攻击的同时,“Darkside”顺便拿走了科洛尼尔运输公司大量的数据。这些数据成为攻击者勒索的“筹码”。


同科洛尼尔一样,很多企业通常会认为支付赎金是取回数据最划算的办法。但尴尬的是,这些支付出去的赎金通常会被直接用于下一代勒索软件的开发。所以,很多企业正在无奈地用“金钱浇灌着勒索软件的花朵”。正因如此,勒索攻击正以惊人的速度不断发展,勒索软件家族也正在不断的进化。


如果不交赎金呢?那么,恢复数据就需要很高的成本。安全和IT员工需要全天候进行工作,将系统恢复至运行状态,这个过程中需要支出设备、运营成本等。如果数据恢复成本大于赎金成本,那么受害组织很有可能会付钱。否则,攻击者会“撕票”,或者把数据拿到“暗网”上出售。然而,这里面也可能有支付完赎金被骗的情况发生。


即使无奈交了“赎金”,这些“赎金”通常很难被追回。“由于黑客要求的赎金通过数字加密货币支付,导致警方难以追踪和取证。”邹佳信说。黑客利用勒索软件发动攻击如今演化为“高度分工合作的行当”,黑客网络由勒索软件供应商、赎金谈判人员、攻击执行人员及话务员等组成。“这让反勒索难上加难,很多遭受勒索的公司最后只能乖乖‘花钱消灾’。”邹佳信说。


科洛尼尔公司首席执行官约瑟夫·布朗特认为:“追究网络攻击者的责任、扰乱让黑客得手的‘生态系统’,是挫败并防止今后发生类似网络攻击的最佳方式。”但事实告诉我们,挫败黑客组织并不是一件易事。


下一个是谁


有的黑客组织为钱,有的黑客组织实施勒索则含有政治的意味。近年来,全球市场对网络攻击的恐慌情绪愈加升温。此前,股神巴菲特表达了对网络攻击的担忧。巴菲特认为,网络攻击是人类最大威胁,甚至比核战争还可怕。他曾在伯克希尔哈撒韦股东大会上表示:“我十分憎恨大规模杀伤武器,但我认为发生核战争的可能性要低于网络攻击。虽然我对网络攻击知道的不多,但我真的认为这是人类目前所面临的第一大问题。”


这句话的含义,被2010年的“震网”事件充分体现。2006年,伊朗重启核计划的消息一出,震惊了美国与以色列。不愿以武力解决的美国联合以色列,对伊朗发动了互联网史上第一对工控系统的袭击——“震网”行动,真正拉开了网络病毒作为“超级破坏性武器”并且改变战争模式的序幕。


具体来说,作为完全由代码组成的网络武器,“震网”病毒以伊朗核设施使用的西门子监控与数据采集系统为进攻目标,通过控制离心机转轴的速度来破坏伊朗的核设施。“震网”病毒潜入伊朗核设施后,先记录系统正常运转的信息,等待离心机注满核材料。潜伏13天后,它一边向控制系统发布此前记录的正常运转的信息,一边指挥离心机非常态运转,突破其最大转速造成其物理损毁。


于是,在感染“震网”病毒后,伊朗上千台离心机直接发生损毁或爆炸。这同时导致了放射性元素铀的扩散和污染,造成了严重的环境灾难。


根据媒体报道,“震网”病毒毁坏了伊朗近1/5的离心机,感染了20多万台计算机,导致1000台机器物理退化,并使得伊朗核计划倒退了两年。此外,鉴于“震网”病毒的扩散程度,要清除铀浓缩过程中涉及的所有计算机设备的病毒将非常困难。也许正是这些忧虑,伊朗2010年11月全面暂停了纳坦兹的铀浓缩生产。


然而,真正令人吃惊的事情是:伊朗在开始排查核设施之后,竟一直没能发现核设施内工业控制系统出现的问题。直到2010年6月,国际网络安全公司“赛门铁克”发布“震网”病毒的报告,伊朗才知晓自己被“黑”。


赛门铁克2010年8月指出,全球60%的受感染计算机在伊朗。俄罗斯网络安全公司卡巴斯基实验室指出,如此复杂的攻击只能在“国家支持下”才可进行。这也进一步证实了发起“震网”攻击的幕后主使,即伊朗的宿敌美国。


“震网”病毒在瘫痪伊朗核设施时所呈现出的隐蔽性、复杂性与巨大的杀伤力,不仅“弄懵”了伊朗,而且震撼了世界。美国并未派遣一兵一卒进入伊朗,以色列也不用派遣F-16来进行高风险的跨境打击任务。美以两国只需要坐等伊朗核设施自行崩溃即可。


真正更为可怕之处,在于伊朗本身并未有像样的反制能力。如果说,伊拉克战争向世人展现了美国只用空中打击就能灭亡一国的军事实力,那么“震网”病毒所呈现的就是美国在互联网时代强大的攻击能力,以及与他国之间的能力“代差”。美国凭借着这种“代差”又一次打赢了一场“战争”,成功逼迫伊朗在谈判桌前与美国对话。


而下一个又会是谁呢?长期以来,美国黑客组织持续对我国实施网络攻击。在7月初的我国外交部例行记者会上,外交部发言人汪文斌指出,通过监测分析,目前已发现多个美国黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标,实施漏洞扫描攻击、暴力破解、DDoS攻击等攻击行为。


互联网下,谁都有可能是下一个被攻击的目标。