起底入侵美國最大燃油管道的黑客組織

2021-05-12 15:03

來源：澎湃新聞·澎湃號·湃客

原創雪媚娘 iWeekly周末畫報

包括華盛頓在內的美國18個州因輸油管停用而陷入緊急狀態，當地時間10日，造成這一危機的幕后黑手——黑客組織“黑暗面”（DarkSide）終于現身，承認入侵美國最大的燃料管道運營商科洛尼爾公司（Colonial Pipeline），但自詡“一切為了錢，不為危害社會”。這個神秘組織究竟有何背景？它又是如何輕易劫持美國燃料命脈的？

黑客如何讓美國斷油？

故事要從6日說起。當天科洛尼爾公司表示自己遭到了俄羅斯網絡犯罪團伙DarkSide的攻擊，約有近100GB的數據被劫持，只有交付贖金才能重新拿回數據。但出于安全考慮，科洛尼爾公司直接關閉了公司部分系統，停止運營管道，從而導致美國東岸燃料短缺危機。

事件發生后，人們最大的疑惑是，黑客如何能挾持裝滿石油的管道？報道指出，其實科洛尼爾公司的運營高度數字化，他們使用壓力傳感器、恒溫器、閥門和泵來監測和控制柴油、汽油和噴氣燃料在數百英里長的管道中的流動。該公司甚至有一個高科技的“智能豬”（smart pig管道檢測儀）機器人，在管道中穿梭，檢查是否有異常情況。而以上這些設備都與中央系統相連。

有網絡連接的地方，就有遭受攻擊的風險，網絡安全公司Check Point的歐洲、中東、非洲和亞太地區事件響應負責人喬恩·尼克斯（Jon Niccolls）指出，所有用于運行現代管道的設備都由計算機控制，而不是由人實際控制。“如果它們連接到一個組織的內部網絡，那么管道本身就容易受到惡意攻擊。”

不過，目前還不清楚科洛尼爾公司究竟是因為哪種信息安全漏洞中招的。尼克斯猜測，黑客有可能通過行政管理部門進入公司的計算機系統，而非直接對運營系統進行攻擊。“我們看到一些攻擊都是從一封電子郵件開始的。例如，一名員工可能被騙下載了一些惡意軟件。也有黑客利用第三方軟件的弱點黑入系統的例子。他們會利用任何機會在網絡中獲得一個立足點。”尼克斯表示，在發動勒索攻擊之前，黑客可能已經在科洛尼爾公司的內網中潛伏了幾周甚至幾個月。

目前尚不清楚科洛尼爾公司是否支付了贖金，還是仍在和DarkSide談判，公司也沒有向聯邦政府尋求網絡支持。但該公司已表示，希望在本周末前使所有管道恢復運行。最新消息顯示，科洛尼爾公司在現有庫存可用的情況下，從北卡羅來納州格林斯伯勒到馬里蘭州伍德拜的4號線暫時由人工控制運行。目前，主要燃料管線仍然關閉，在終端和交付點之間的一些小型管線現在已恢復運作。能源部正在和該公司密切協商，交通部也發布了緊急命令，放寬對卡車司機的限制，以幫助協調燃料運輸盡快恢復正常。

“黑暗面”與“羅賓漢”

美國總統拜登于10日表示，美國將起訴DarkSide組織，并表示有證據表明該組織位于俄羅斯，因此“雖然沒有證據表明俄政府參與其中，但將與普京總統會面”。DarkSide隨后在其官網上發布聲明，證實自己為輸油管事故負責，但同時澄清黑客行為“不涉政治”。

“我們是非政治性的，我們不參與地緣政治，不需要把我們和一個確定的政府綁在一起，尋找我們的動機，”DarkSide在這份道歉聲明中寫道，“我們的目標是賺錢，而不是給社會制造麻煩。”該組織還檢討稱，它并不知道科洛尼爾公司已成為其組織中一個附屬機構的目標，在之后的運營中，“我們將對合作伙伴希望加密的每家公司進行審核，以避免在未來產生嚴重的社會后果”。

DarkSide于2020年首次出現在民眾的視野中，并策劃了多起網絡襲擊事件。外界普遍認為該組織發源于俄羅斯，因為它使用的軟件代碼會避開系統為俄語、烏克蘭語、白俄羅斯語的企業。據報道，DarkSide的勒索模式并不復雜。通過完成黑客入侵后，組織會列出其竊取的所有數據類型，并向受害者發送一個“個人泄露頁面”的URL（也就是網絡地址），其中的數據已經下載，如果公司或組織在截止日期之前不付款，數據就將被自動發布。此外，DarkSide會告知受害者，它將提供從公司官方獲取數據的證據，并將從受害者的計算機和服務器中刪除所有數據。DarkSide索要的贖金一般在20萬美元到200萬美元不等，受害者需要支付加密貨幣。

但與一般黑客組織不同的是，DarkSide一直致力于展現自己“善良”的一面，并試圖通過各種宣傳獲得支持者。他們有官網、受害者聯絡渠道、郵件聯絡方式、媒體中心，甚至還公示了“道德準則”。根據準則，DarkSide“只攻擊那些能夠支付所需金額的公司”，不會攻擊學校、醫院、政府機構和非營利組織等，以及有前蘇聯背景的公司，而英語國家的營利性公司則在“可攻擊”范圍之內。

DarkSide還標榜自己是“羅賓漢”，經常拿出網絡勒索所獲利益進行慈善捐贈。“無論你認為我們的工作有多糟糕，我們很高興知道我們幫助改變了某人的生活。”該組織曾在官網公布捐款收據，聲稱拿出部分贖金用于慈善事業“是公平的”。這種捐款動機尚不明確。網絡安全公司Emsisoft的威脅分析師布雷特·卡洛（Brett Callow）表示：“也許這有助于減輕他們的罪惡感，或者出于自我感覺良好的原因，他們希望被認為是羅賓漢式的人物，而不是無良的敲詐者。”卡巴斯基則認為，這里面可能暗藏陷阱：包括美國在內的一些國家禁止慈善組織接受非法獲得的錢，換句話說，這種款項實際上永遠不會到達他們手中，只不過裝裝樣子而已。

▲DarkSide給“國際兒童”的捐款收據。

網絡勒索變身新產業

“對損失的恐懼是通向黑暗面的道路。”《星球大戰》中尤達大師的話在如今看來頗有一番諷刺意味。DarkSide從2020年開始活躍，通過各種和媒體的“合作宣傳”與量身定做贖金金額，賺取了大量非法錢財。不少網絡分析師指出，DarkSide已經將黑客行為和網絡勒索，發展成系統的盈利模式。

和許多勒索軟件集團一樣，DarkSide并非一個單打獨斗的團伙，更像是運營著一個企業。他們開發用于加密和竊取公司數據的軟件，然后提供給“附屬機構”，這些機構會挑選目標進行黑客攻擊和勒索，一旦成功，將向DarkSide支付一定比例的提成。而拒絕交付贖金的企業信息和部分機密數據則會被公布在一個類似維基解密的網站上——DarkSide Leaks。

值得注意的是，DarkSide在挑選目標時就會進行市場調研，他們會分析目標企業的會計記錄，并根據凈收入來確定贖金定價。在盜取信息之后，他們還熱衷于公布手頭數據籌碼，讓受害者的客戶、合作伙伴、競爭對手都知悉，以便最大程度恐嚇受害者，刺激他們付款。此外，DarkSide特別設立了媒體中心，吸引記者關注。一方面，媒體的報道會加強DarkSide的影響力，另一方面，企業可能會擔心網絡讓事件進一步發酵，從而更快支付贖金。

卡巴斯基則指出，DarkSide的生意經里可能還包含了另一種潛規則——尋找提供合法數據解密服務的公司作為合作伙伴。目前，不少企業并沒有自己的專業信息安全部門，遭遇黑客攻擊時，需要依靠外部專家來幫忙解決。當DarkSide和這些技術公司聯手時，可以假借對方的名義恢復數據，讓受害企業以為通過合法途徑解決問題，從而支付傭金，但最終錢財還是落入了DarkSide的口袋。

新聞及圖片來源：紐約時報、DailyVoice、福布斯、卡巴斯基，部分圖片來源于網絡

iWeekly周末畫報獨家稿件，未經許可，請勿轉載