国华的世界

这是国华对读过的书, 看过的电视/电影, 听过的音乐, 访游过的地方, 经历过的事物, 和时事的感想或点评.
个人资料
国华P (热门博主)
  • 博客访问:
正文

关于Colonial输油管道关闭

(2021-05-12 09:53:30) 下一个

5月7日星期五,殖民地输油管道(Colonial Pipeline)(下图1 BISNOW)表示,一波由名为“黑社会”(DarkSide)发动的网络攻击迫使该公司为了预防起见主动关闭运营并冻结其IT系统。Colonial Pipeline“所有管道的运作”暂停,意味着旗下输送到东海岸的燃料停运(下图2 FOX BUSINESS)。由于这些燃料占东海岸所需的45%,因而兹事体大,知名网络安全公司Mandiant的网络取证团队FireEye迅即被派来协助。美国海军协会的国家安全专家比尔兹利(Beardsley)解释关闭管道的原因:“由于IT系统现在与运行核电站的操作技术、实际杠杆和传感器连接在一起,...。” Colonial Pipeline表示,目前公司仅有一条输气管道在人工控制下运行,但预计到5月14日周五时,可能会恢复大部分管道的服务。

尽管Colonial Pipeline和联邦政府官员没有解释DarkSide是如何侵入公司网络而未被发现的,网络安全专家分析认为,DarkSide勒索软件可能通过以下途径进入Colonial Pipeline系统中(下图 PAUBOX):使用网络钓鱼邮件成功欺骗IT员工;使用在其他地方购买或获得的先前被泄露的访问凭证;但可能性最大的是使用了勒索软件通过一个旧的、未修补的漏洞。在获取关键文件数据后,DarkSide将它们加密,向受害者发出支付勒索要求。DarkSide收到勒索款后,将软件密钥发给受害者解码。如果受害者拒绝支付勒索,DarkSide威胁将在线发布过滤后的数据,这意味着受害者未来仍得支付赎金,即便他们有数据备份的预防措施。

DarkSide(下图 Cybersecurity INSIDERS)最早在2020年8月出现。DarkSide开发者于2020年11月在流行的俄语黑客论坛XSS上“首次亮相”勒索软件,称他正在寻找合作伙伴,拟实施”勒索软件即服务”(RaaS)商业模式和分支计划。很快,DarkSide勒索软件就被发现是众多攻击的幕后黑手,其中包括几起针对欧美制造商和律师事务所的事件。值得注意的是DarkSide在此次勒索事件中主动表示,该组织不隶属于任何政府机构,此次Colonial Pipeline行动是一次严格意义上的“盈利”行为。而且,DarkSide将部分勒索赎金用来帮助慈善机构:“不管你认为我们的工作有多糟糕,我们很高兴知道我们帮助改变了某人的生活。”笔者将另文讨论DarkSide。

受害者私营公司Colonial Pipeline成立于1962年,总部位于佐治亚州阿尔法雷塔(Alpharetta, Georgia),是美国最大的管道运营商之一,提供东海岸大约45%的燃料,包括汽油、柴油、家用取暖油、喷气燃料和军事物资。Colonial Pipeline每天运输超过1亿加仑的燃料,横跨德克萨斯州到纽约的一个地区。COLONIAL Pipeline没有说赎金多少,也没有回答它是否支付了赎金的问题。尽管联邦调查局不鼓励支付赎金,有时公司除了支付赎金外别无选择,否则这些“毫无准备”的公司可能破产。

参考资料

Bajak, F. and Bussewitz, C. (2021). Colonial Pipeline Hack: What We Know About Shutdown of Largest Fuel Pipeline in US. NBC Los Angeles. 链接 https://www.nbclosangeles.com/news/national-international/colonial-pipeline-hack-what-we-know-and-how-will-it-impact-gas-prices/2592690/

Gregory, M. (2021). Things to know about the Colonial Pipeline shutdown. WUSA90. 链接 https://www.wusa9.com/article/news/verify/what-is-behind-the-shutdown-of-the-colonial-pipeline/65-5c155323-fab4-461f-921e-b757a4b9a775

Knake, R. K. (2021). The TSA Should Regulate Pipeline Cybersecurity. COUNCIL ON FOREIGN RELATIONS. 链接 https://www.cfr.org/blog/tsa-should-regulate-pipeline-cybersecurity?gclid=EAIaIQobChMI7aDc2aPE8AIV1OqzCh1iJQcxEAAYASAAEgIJ2fD_BwE

Osborne, C. (2021). Colonial Pipeline attack: Everything you need to know. ZDNet. 链接 https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/

[ 打印 ]
阅读 ()评论 (12)
评论
国华P 回复 悄悄话 回复 '古树羽音' 的评论 : 的确如此。感恩我们无恙。

“这个世界总是不太平啊,学习了,感谢分享”
国华P 回复 悄悄话 回复 'laopika' 的评论 : 前天晚些时候已开放,估计今天基本恢复。

"现在应该恢复了吧?"
古树羽音 回复 悄悄话 这个世界总是不太平啊,学习了,感谢分享
laopika 回复 悄悄话 现在应该恢复了吧?
国华P 回复 悄悄话 回复 '麦克老狼' 的评论 : 可能还是比较棘手的吧,要不然Colonial Pipeline 不会付$500万元的赎金,CNBC的消息 --》https://www.cnbc.com/2021/05/13/colonial-pipeline-paid-ransom-to-hackers-source-says.html 谢谢。

"唉,Ransomware没那么高深,十有八九是通过Spam邮件,接收人不小心点击/下载,然后就传播开来。。。"
麦克老狼 回复 悄悄话 唉,Ransomware没那么高深,十有八九是通过Spam邮件,接收人不小心点击/下载,然后就传播开来。。。

只能说这个Colonial Pipeline的IT太水了,系统没有分割
国华P 回复 悄悄话 回复 'chufang' 的评论 : 保不齐两种情况都存在。

"要就是Colonial Pipeline的网络安全程度还不够高,要就是DarkSide有内应。不然现在网络还是很难破入的。"
chufang 回复 悄悄话 要就是Colonial Pipeline的网络安全程度还不够高,要就是DarkSide有内应。不然现在网络还是很难破入的。
国华P 回复 悄悄话 回复 '井观天' 的评论 : 今天弗吉尼亚州一些加油站已因汽油售罄而暂时关闭。好在周五就会恢复运行。谢谢。

“美东南城市象封城一样冷清。二十个加油站一个有油就不错了。”
国华P 回复 悄悄话 回复 '笑薇.' 的评论 : 好问题。看来专家的确是很"砖"业啊。谢谢。

"...“由于IT系统现在与运行核电站的操作技术、实际杠杆和传感器连接在一起,...", 你认为这个解释符合实际状况吗?核电站和pipeline 是什么关系?"
井观天 回复 悄悄话 美东南城市象封城一样冷清。二十个加油站一个有油就不错了。
笑薇. 回复 悄悄话 ...“由于IT系统现在与运行核电站的操作技术、实际杠杆和传感器连接在一起,...", 你认为这个解释符合实际状况吗?核电站和pipeline 是什么关系?
登录后才可评论.