5月7日星期五,殖民地输油管道(Colonial Pipeline)(下图1 BISNOW)表示,一波由名为“黑社会”(DarkSide)发动的网络攻击迫使该公司为了预防起见主动关闭运营并冻结其IT系统。Colonial Pipeline“所有管道的运作”暂停,意味着旗下输送到东海岸的燃料停运(下图2 FOX BUSINESS)。由于这些燃料占东海岸所需的45%,因而兹事体大,知名网络安全公司Mandiant的网络取证团队FireEye迅即被派来协助。美国海军协会的国家安全专家比尔兹利(Beardsley)解释关闭管道的原因:“由于IT系统现在与运行核电站的操作技术、实际杠杆和传感器连接在一起,...。” Colonial Pipeline表示,目前公司仅有一条输气管道在人工控制下运行,但预计到5月14日周五时,可能会恢复大部分管道的服务。
尽管Colonial Pipeline和联邦政府官员没有解释DarkSide是如何侵入公司网络而未被发现的,网络安全专家分析认为,DarkSide勒索软件可能通过以下途径进入Colonial Pipeline系统中(下图 PAUBOX):使用网络钓鱼邮件成功欺骗IT员工;使用在其他地方购买或获得的先前被泄露的访问凭证;但可能性最大的是使用了勒索软件通过一个旧的、未修补的漏洞。在获取关键文件数据后,DarkSide将它们加密,向受害者发出支付勒索要求。DarkSide收到勒索款后,将软件密钥发给受害者解码。如果受害者拒绝支付勒索,DarkSide威胁将在线发布过滤后的数据,这意味着受害者未来仍得支付赎金,即便他们有数据备份的预防措施。
DarkSide(下图 Cybersecurity INSIDERS)最早在2020年8月出现。DarkSide开发者于2020年11月在流行的俄语黑客论坛XSS上“首次亮相”勒索软件,称他正在寻找合作伙伴,拟实施”勒索软件即服务”(RaaS)商业模式和分支计划。很快,DarkSide勒索软件就被发现是众多攻击的幕后黑手,其中包括几起针对欧美制造商和律师事务所的事件。值得注意的是DarkSide在此次勒索事件中主动表示,该组织不隶属于任何政府机构,此次Colonial Pipeline行动是一次严格意义上的“盈利”行为。而且,DarkSide将部分勒索赎金用来帮助慈善机构:“不管你认为我们的工作有多糟糕,我们很高兴知道我们帮助改变了某人的生活。”笔者将另文讨论DarkSide。
受害者私营公司Colonial Pipeline成立于1962年,总部位于佐治亚州阿尔法雷塔(Alpharetta, Georgia),是美国最大的管道运营商之一,提供东海岸大约45%的燃料,包括汽油、柴油、家用取暖油、喷气燃料和军事物资。Colonial Pipeline每天运输超过1亿加仑的燃料,横跨德克萨斯州到纽约的一个地区。COLONIAL Pipeline没有说赎金多少,也没有回答它是否支付了赎金的问题。尽管联邦调查局不鼓励支付赎金,有时公司除了支付赎金外别无选择,否则这些“毫无准备”的公司可能破产。
参考资料
Bajak, F. and Bussewitz, C. (2021). Colonial Pipeline Hack: What We Know About Shutdown of Largest Fuel Pipeline in US. NBC Los Angeles. 链接 https://www.nbclosangeles.com/news/national-international/colonial-pipeline-hack-what-we-know-and-how-will-it-impact-gas-prices/2592690/
Gregory, M. (2021). Things to know about the Colonial Pipeline shutdown. WUSA90. 链接 https://www.wusa9.com/article/news/verify/what-is-behind-the-shutdown-of-the-colonial-pipeline/65-5c155323-fab4-461f-921e-b757a4b9a775
Knake, R. K. (2021). The TSA Should Regulate Pipeline Cybersecurity. COUNCIL ON FOREIGN RELATIONS. 链接 https://www.cfr.org/blog/tsa-should-regulate-pipeline-cybersecurity?gclid=EAIaIQobChMI7aDc2aPE8AIV1OqzCh1iJQcxEAAYASAAEgIJ2fD_BwE
Osborne, C. (2021). Colonial Pipeline attack: Everything you need to know. ZDNet. 链接 https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/
“这个世界总是不太平啊,学习了,感谢分享”
"现在应该恢复了吧?"
"唉,Ransomware没那么高深,十有八九是通过Spam邮件,接收人不小心点击/下载,然后就传播开来。。。"
只能说这个Colonial Pipeline的IT太水了,系统没有分割
"要就是Colonial Pipeline的网络安全程度还不够高,要就是DarkSide有内应。不然现在网络还是很难破入的。"
“美东南城市象封城一样冷清。二十个加油站一个有油就不错了。”
"...“由于IT系统现在与运行核电站的操作技术、实际杠杆和传感器连接在一起,...", 你认为这个解释符合实际状况吗?核电站和pipeline 是什么关系?"