一、概述

　　2021年5月7日（美國(guó)當(dāng)?shù)貢r(shí)間），美國(guó)最大成品油管道運(yùn)營(yíng)商Colonial Pipeline遭到網(wǎng)絡(luò)攻擊，此次攻擊事件導(dǎo)致提供美國(guó)東部沿海主要城市45%燃料供應(yīng)的輸送油氣管道系統(tǒng)被迫下線。安天CERT針對(duì)該事件進(jìn)行持續(xù)關(guān)注和分析，分別在5月10日發(fā)布《關(guān)于美燃油管道商遭勒索攻擊關(guān)停事件的初步研判和建議》[1]和5月11日發(fā)布《關(guān)于美燃油管道商遭勒索攻擊事件樣本與跟進(jìn)分析》[2]兩篇報(bào)告。安天CERT后續(xù)也在關(guān)注該事件始末，據(jù)彭博社報(bào)道，知情人士透露，Colonial Pipeline公司于5月7日就已向DarkSide勒索軟件組織支付了440萬(wàn)美元贖金。該組織在收到贖金后，為Colonial Pipeline公司提供了解密工具，用以恢復(fù)內(nèi)部被加密的計(jì)算機(jī)系統(tǒng)。但是，解密工具恢復(fù)速度過(guò)慢，Colonial Pipeline公司最后使用備份數(shù)據(jù)恢復(fù)了系統(tǒng)。5月10日，Colonial Pipeline公司在與美國(guó)能源部磋商后，開(kāi)始將部分管道系統(tǒng)重新上線，并逐步分階段恢復(fù)相關(guān)供應(yīng)服務(wù)。17日，該公司的汽油、柴油及航空燃油供應(yīng)恢復(fù)到正常水平。

　　據(jù)Exploit黑客論壇名為UNKN的用戶(hù)發(fā)帖稱(chēng)，受執(zhí)法行動(dòng)影響，DarkSide已經(jīng)無(wú)法訪問(wèn)其數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器和CDN服務(wù)器。在DarkSide組織無(wú)法通過(guò)SSH訪問(wèn)服務(wù)器的前一天，美國(guó)總統(tǒng)拜登在白宮新聞發(fā)布會(huì)上聲稱(chēng)將追捕DarkSide組織，并強(qiáng)調(diào)，我們不相信俄羅斯政府卷入了這次攻擊。但是，我們確實(shí)有充分的理由相信，發(fā)動(dòng)攻擊的罪犯就住在俄羅斯，攻擊的來(lái)源就是俄羅斯[3]。雖說(shuō)美國(guó)執(zhí)法機(jī)構(gòu)名正言順，但沒(méi)有充分的證據(jù)能夠表明DarkSide組織的基礎(chǔ)設(shè)施是被執(zhí)法機(jī)構(gòu)查禁的，其中也不排除DarkSide組織迫于美國(guó)方面的壓力，卷款跑路，從此銷(xiāo)聲匿跡，或改名換姓卷土重來(lái)。這種猜測(cè)也并非毫無(wú)根據(jù)，在DarkSide組織稱(chēng)無(wú)法訪問(wèn)運(yùn)營(yíng)服務(wù)器后，其中一部分加密貨幣被轉(zhuǎn)移到未知身份的錢(qián)包地址中，但這個(gè)錢(qián)包地址歸屬于DarkSide組織還是執(zhí)法機(jī)構(gòu)則無(wú)從知曉。眾所周知DarkSide組織采取的運(yùn)營(yíng)模式是RaaS（勒索軟件即服務(wù)），如果DarkSide組織無(wú)法訪問(wèn)自身基礎(chǔ)設(shè)施并歸咎于美國(guó)執(zhí)法機(jī)構(gòu)，那其順理成章的將所有贖金據(jù)為己有，自導(dǎo)自演一場(chǎng)“黑吃黑”的戲碼也不得而知。

　　此次事件被認(rèn)為是迄今為止對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施造成的最具破壞性的網(wǎng)絡(luò)攻擊。這一事件迅速引發(fā)美國(guó)國(guó)內(nèi)和全球的廣泛關(guān)注。一方面，它顯示了美國(guó)多年來(lái)關(guān)注和警惕的管道系統(tǒng)安全事件廣泛而嚴(yán)重的后果；另一方面，出現(xiàn)尚不足一年的DarkSide組織表現(xiàn)出復(fù)雜和成熟的技術(shù)和運(yùn)營(yíng)能力，它是真的僅以經(jīng)濟(jì)利益為目的進(jìn)行勒索？還是謀求達(dá)成更深層的物理空間影響，或者有更大的政治目的驅(qū)動(dòng)，依然需要更多的信息來(lái)支撐和后續(xù)判斷。Colonial Pipeline公司遭受DarkSide組織網(wǎng)絡(luò)攻擊的事件算是告一段落，安天CERT針對(duì)此次攻擊事件進(jìn)行梳理和總結(jié)。

　　二、Colonial Pipeline公司遭受網(wǎng)絡(luò)攻擊事件整體時(shí)間線

　　圖 2-1 Colonial Pipeline遭受網(wǎng)絡(luò)攻擊事件整體時(shí)間線

　　5月7日，美國(guó)最大成品油管道運(yùn)營(yíng)商Colonial Pipeline遭受網(wǎng)絡(luò)攻擊，此次攻擊事件導(dǎo)致提供美國(guó)東部沿海主要城市45%燃料供應(yīng)的輸送油氣管道系統(tǒng)被迫下線。5月9日，美國(guó)交通運(yùn)輸部聯(lián)邦汽車(chē)運(yùn)輸安全管理局（FMCSA）發(fā)布區(qū)域緊急狀態(tài)聲明，以便豁免使用汽車(chē)運(yùn)輸油料。正常情況下，按規(guī)定只能通過(guò)管道運(yùn)輸。緊接著美國(guó)政府發(fā)布豁免通知，允許汽車(chē)運(yùn)輸石油產(chǎn)品，以緩解針對(duì)燃料運(yùn)輸?shù)母鞣N限制。Colonial Pipeline官網(wǎng)聲明目前該公司運(yùn)營(yíng)人員正在制定系統(tǒng)重啟計(jì)劃。5月10日，聯(lián)邦調(diào)查局確認(rèn)DarkSide勒索軟件是造成Colonial Pipeline公司網(wǎng)絡(luò)受損的原因，通過(guò)該組織在暗網(wǎng)上公布的數(shù)據(jù)信息顯示，也進(jìn)一步證實(shí)了攻擊者為DarkSide組織。該組織在其暗網(wǎng)上宣稱(chēng)，其組織不與任何政府牽連，其目的只為賺錢(qián)，并聲稱(chēng)調(diào)查審核合作伙伴避免將來(lái)產(chǎn)生社會(huì)后果。該組織意識(shí)到該起攻擊事件的嚴(yán)重性，聲稱(chēng)在今后會(huì)對(duì)他們的會(huì)員進(jìn)行嚴(yán)格審查，以免造成嚴(yán)重的社會(huì)后果。Colonial Pipeline公司在與美國(guó)能源部磋商后，開(kāi)始將部分管道重新上線，并計(jì)劃逐步分階段恢復(fù)服務(wù)。5月11日，聯(lián)邦調(diào)查局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布關(guān)于DarkSide聯(lián)合告警，對(duì)所有關(guān)鍵基礎(chǔ)設(shè)施發(fā)布預(yù)警，警惕DarkSide組織對(duì)其他關(guān)鍵基礎(chǔ)設(shè)施再次發(fā)起攻擊。5月12日，美國(guó)總統(tǒng)拜登簽署改善國(guó)家網(wǎng)絡(luò)安全行政命令。俄羅斯政府堅(jiān)決否認(rèn)其參與了針對(duì)美國(guó)Colonial Pipeline公司的勒索軟件攻擊活動(dòng)。5月13日，據(jù)消息稱(chēng)Colonial Pipeline公司在5月7日就已向黑客支付了440萬(wàn)美元的贖金，值得一提的是，此事在13日才被內(nèi)部人員爆出，而且交付贖金后DarkSide組織提供了解密工具，但因其解密工具恢復(fù)效率過(guò)慢，Colonial Pipeline公司使用數(shù)據(jù)備份恢復(fù)了系統(tǒng)。可見(jiàn)，在企業(yè)遭到勒索攻擊后，數(shù)據(jù)備份對(duì)企業(yè)恢復(fù)數(shù)據(jù)起到關(guān)鍵性作用。同時(shí)也表明Colonial Pipeline公司在有數(shù)據(jù)備份的情況下還支付了贖金，說(shuō)明該公司擔(dān)心DarkSide組織泄露其數(shù)據(jù)，也印證了被竊數(shù)據(jù)的重要性?；A(chǔ)能源設(shè)施運(yùn)營(yíng)等重要數(shù)據(jù)如果被曝光，肯定會(huì)帶來(lái)重大社會(huì)影響，也就是說(shuō)Colonial Pipeline公司支付440萬(wàn)美元買(mǎi)的只是DarkSide組織不曝光的承諾。5月13日，美國(guó)總統(tǒng)拜登表示將追捕DarkSide組織。5月14日，DarkSide發(fā)帖表示，無(wú)法連線其博客和付費(fèi)用的特定服務(wù)器，那里的比特幣被轉(zhuǎn)移到一個(gè)陌生的錢(qián)包地址中，這個(gè)錢(qián)包地址歸屬于DarkSide組織還是美國(guó)執(zhí)法機(jī)構(gòu)我們不得而知。5月17日，Colonial Pipeline公司汽油、柴油及航空燃油供應(yīng)恢復(fù)到正常水平。

　　三、總結(jié)

　　2021年5月初，DarkSide組織相繼攻擊了Colonial Pipeline公司、東芝公司的歐洲業(yè)務(wù)部和德國(guó)的化學(xué)品分銷(xiāo)公司Brenntag。Colonial Pipeline公司和Brenntag公司都選擇支付贖金，一時(shí)間成為了全球網(wǎng)絡(luò)安全關(guān)注的對(duì)象，再次表明勒索軟件攻擊已經(jīng)是全球網(wǎng)絡(luò)安全主要威脅之一。

　　安天CERT預(yù)測(cè)，未來(lái)勒索軟件依舊是網(wǎng)絡(luò)安全主要威脅之一，繼從最早的破壞數(shù)據(jù)開(kāi)始，逐漸演變至加密數(shù)據(jù)和勒索贖金，再到竊取數(shù)據(jù)、加密數(shù)據(jù)和勒索贖金。未來(lái)可能會(huì)在竊取數(shù)據(jù)、加密數(shù)據(jù)和勒索贖金“雙重勒索”的基礎(chǔ)上，利用所竊取的數(shù)據(jù)信息對(duì)有意向者出售或敲詐勒索竊密數(shù)據(jù)中涉及到的相關(guān)人員，以此獲得更多贖金，轉(zhuǎn)而演變?yōu)椤叭乩账鳌薄?/p>

　　“三重勒索”模式早在2020年10月已有先例，勒索軟件組織對(duì)芬蘭Vastaamo心理治療醫(yī)院的攻擊中，竊取了超過(guò)4萬(wàn)名患者的數(shù)據(jù)。攻擊者要求醫(yī)院支付贖金并要求患者也提供數(shù)額相對(duì)較小的贖金。很多患者都收到了勒索的電子郵件，攻擊者聲稱(chēng)，如果患者不支付贖金將會(huì)公布患者與醫(yī)師的談話治療記錄。Revil勒索軟件又稱(chēng)Sodinokibi，于2019年4月出現(xiàn)，該勒索軟件組織此前先后對(duì)宏碁、廣達(dá)和蘋(píng)果等公司發(fā)起網(wǎng)絡(luò)攻擊，聲稱(chēng)在規(guī)定期限內(nèi)不支付贖金則公開(kāi)竊取到的數(shù)據(jù)，其攻擊目標(biāo)多為全球大型企業(yè)機(jī)構(gòu)，該組織在2021年2月宣布開(kāi)始升級(jí)“雙重勒索”模式，增加DDoS攻擊與向受害人的合作伙伴和媒體的電話進(jìn)行VoIP轟炸業(yè)務(wù) [4]，逐步向“三重勒索”模式轉(zhuǎn)變。

　　后疫情時(shí)代，各公司、企業(yè)和政府部門(mén)或多或少都會(huì)采用線上辦公的方式，帶來(lái)便利的同時(shí)也增加了網(wǎng)絡(luò)安全隱患。部分黑客組織通過(guò)利用其他惡意軟件、漏洞以及網(wǎng)絡(luò)釣魚(yú)等方式發(fā)起針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊，將對(duì)社會(huì)造成日益加劇的負(fù)面影響。在黑客組織多變的攻擊手段下，簡(jiǎn)單的安全防護(hù)顯得相對(duì)薄弱，在做好基礎(chǔ)防護(hù)的前提下，提高員工個(gè)人安全意識(shí)和定期更新維護(hù)內(nèi)部安全設(shè)施尤為重要。

　　目前，勒索軟件攻擊仍然保持廣撒網(wǎng)與定向攻擊并存的趨勢(shì)，隨著經(jīng)濟(jì)利益的驅(qū)動(dòng)，勒索軟件的變現(xiàn)能力越來(lái)越強(qiáng)，攻擊者可以攫取極大的直接收益。勒索軟件通常采用加密貨幣作為支付贖金的方式，利用暗網(wǎng)作為難以追蹤的支付鏈路，結(jié)合強(qiáng)加密算法，形成了勒索軟件所依賴(lài)的“鐵三角”高效組合。大部分政企機(jī)構(gòu)依然固守依靠一道網(wǎng)絡(luò)邊界防護(hù)來(lái)御敵于城門(mén)之外的思想。防火墻等安全網(wǎng)關(guān)設(shè)備當(dāng)然是安全的必備環(huán)節(jié)，部署成本低，易于維護(hù)，但也極容易被穿透。如果防護(hù)單點(diǎn)依賴(lài)安全網(wǎng)關(guān)，一旦載荷進(jìn)入到端點(diǎn)側(cè)，就幾乎處于無(wú)檢測(cè)管控的狀態(tài)，可以恣意滲透，橫掃全網(wǎng)。因而，端點(diǎn)側(cè)需要選擇“EPP+EDR”組合能力產(chǎn)品，既能提升第一時(shí)間的阻斷成功率，又能有效支撐集中運(yùn)維響應(yīng)。同樣針對(duì)性免殺必然出現(xiàn)在定向攻擊中，因此，基于動(dòng)態(tài)沙箱的分析設(shè)備也已經(jīng)成為安全的必選項(xiàng)目。

　　安天在2020年網(wǎng)絡(luò)安全威脅年報(bào)中曾提出：勒索軟件制作者開(kāi)始關(guān)注攻擊成本和攻擊效率，勒索軟件的攻擊方式從最初的廣撒網(wǎng)尋找目標(biāo)逐漸地變成對(duì)有價(jià)值的攻擊目標(biāo)進(jìn)行定向勒索。定向勒索和非定向勒索的攻擊面將擴(kuò)大，非定向勒索攻擊者會(huì)繼續(xù)使用RaaS（勒索軟件即服務(wù)）模式以及通過(guò)僵尸網(wǎng)絡(luò)進(jìn)行分發(fā)，預(yù)測(cè)仍將采用大面積廣撒網(wǎng)的方式進(jìn)行傳播；定向勒索攻擊能力接近或達(dá)到“APT”水平，定向勒索攻擊組織多針對(duì)大型有價(jià)值目標(biāo)，進(jìn)行定制化攻擊，以期提高攻擊成功率的同時(shí)盡最大可能獲利。企業(yè)面對(duì)日益嚴(yán)峻的勒索攻擊，非定向勒索攻擊做到“有效防護(hù)”是應(yīng)對(duì)勒索威脅的能力要求，盡量確保系統(tǒng)不被感染，數(shù)據(jù)不被加密是首要工作。企業(yè)需要具備APT級(jí)別的防御能力來(lái)防護(hù)定向勒索的攻擊，在非定向攻擊應(yīng)對(duì)策略的安全運(yùn)營(yíng)基礎(chǔ)上，增加建立縱深防御、安全服務(wù)，使用多種數(shù)據(jù)設(shè)備備份等安全措施來(lái)提升安全水平。