一、概述

　　2021年5月7日（美國當?shù)貢r間），美國最大成品油管道運營商Colonial Pipeline遭到網(wǎng)絡攻擊，此次攻擊事件導致提供美國東部沿海主要城市45%燃料供應的輸送油氣管道系統(tǒng)被迫下線。安天CERT針對該事件進行持續(xù)關注和分析，分別在5月10日發(fā)布《關于美燃油管道商遭勒索攻擊關停事件的初步研判和建議》[1]和5月11日發(fā)布《關于美燃油管道商遭勒索攻擊事件樣本與跟進分析》[2]兩篇報告。安天CERT后續(xù)也在關注該事件始末，據(jù)彭博社報道，知情人士透露，Colonial Pipeline公司于5月7日就已向DarkSide勒索軟件組織支付了440萬美元贖金。該組織在收到贖金后，為Colonial Pipeline公司提供了解密工具，用以恢復內(nèi)部被加密的計算機系統(tǒng)。但是，解密工具恢復速度過慢，Colonial Pipeline公司最后使用備份數(shù)據(jù)恢復了系統(tǒng)。5月10日，Colonial Pipeline公司在與美國能源部磋商后，開始將部分管道系統(tǒng)重新上線，并逐步分階段恢復相關供應服務。17日，該公司的汽油、柴油及航空燃油供應恢復到正常水平。

　　據(jù)Exploit黑客論壇名為UNKN的用戶發(fā)帖稱，受執(zhí)法行動影響，DarkSide已經(jīng)無法訪問其數(shù)據(jù)泄露服務器、贖金支付服務器和CDN服務器。在DarkSide組織無法通過SSH訪問服務器的前一天，美國總統(tǒng)拜登在白宮新聞發(fā)布會上聲稱將追捕DarkSide組織，并強調(diào)，我們不相信俄羅斯政府卷入了這次攻擊。但是，我們確實有充分的理由相信，發(fā)動攻擊的罪犯就住在俄羅斯，攻擊的來源就是俄羅斯[3]。雖說美國執(zhí)法機構名正言順，但沒有充分的證據(jù)能夠表明DarkSide組織的基礎設施是被執(zhí)法機構查禁的，其中也不排除DarkSide組織迫于美國方面的壓力，卷款跑路，從此銷聲匿跡，或改名換姓卷土重來。這種猜測也并非毫無根據(jù)，在DarkSide組織稱無法訪問運營服務器后，其中一部分加密貨幣被轉移到未知身份的錢包地址中，但這個錢包地址歸屬于DarkSide組織還是執(zhí)法機構則無從知曉。眾所周知DarkSide組織采取的運營模式是RaaS（勒索軟件即服務），如果DarkSide組織無法訪問自身基礎設施并歸咎于美國執(zhí)法機構，那其順理成章的將所有贖金據(jù)為己有，自導自演一場“黑吃黑”的戲碼也不得而知。

　　此次事件被認為是迄今為止對美國關鍵基礎設施造成的最具破壞性的網(wǎng)絡攻擊。這一事件迅速引發(fā)美國國內(nèi)和全球的廣泛關注。一方面，它顯示了美國多年來關注和警惕的管道系統(tǒng)安全事件廣泛而嚴重的后果；另一方面，出現(xiàn)尚不足一年的DarkSide組織表現(xiàn)出復雜和成熟的技術和運營能力，它是真的僅以經(jīng)濟利益為目的進行勒索？還是謀求達成更深層的物理空間影響，或者有更大的政治目的驅動，依然需要更多的信息來支撐和后續(xù)判斷。Colonial Pipeline公司遭受DarkSide組織網(wǎng)絡攻擊的事件算是告一段落，安天CERT針對此次攻擊事件進行梳理和總結。

　　二、Colonial Pipeline公司遭受網(wǎng)絡攻擊事件整體時間線

　　圖 2-1 Colonial Pipeline遭受網(wǎng)絡攻擊事件整體時間線

　　5月7日，美國最大成品油管道運營商Colonial Pipeline遭受網(wǎng)絡攻擊，此次攻擊事件導致提供美國東部沿海主要城市45%燃料供應的輸送油氣管道系統(tǒng)被迫下線。5月9日，美國交通運輸部聯(lián)邦汽車運輸安全管理局（FMCSA）發(fā)布區(qū)域緊急狀態(tài)聲明，以便豁免使用汽車運輸油料。正常情況下，按規(guī)定只能通過管道運輸。緊接著美國政府發(fā)布豁免通知，允許汽車運輸石油產(chǎn)品，以緩解針對燃料運輸?shù)母鞣N限制。Colonial Pipeline官網(wǎng)聲明目前該公司運營人員正在制定系統(tǒng)重啟計劃。5月10日，聯(lián)邦調(diào)查局確認DarkSide勒索軟件是造成Colonial Pipeline公司網(wǎng)絡受損的原因，通過該組織在暗網(wǎng)上公布的數(shù)據(jù)信息顯示，也進一步證實了攻擊者為DarkSide組織。該組織在其暗網(wǎng)上宣稱，其組織不與任何政府牽連，其目的只為賺錢，并聲稱調(diào)查審核合作伙伴避免將來產(chǎn)生社會后果。該組織意識到該起攻擊事件的嚴重性，聲稱在今后會對他們的會員進行嚴格審查，以免造成嚴重的社會后果。Colonial Pipeline公司在與美國能源部磋商后，開始將部分管道重新上線，并計劃逐步分階段恢復服務。5月11日，聯(lián)邦調(diào)查局和網(wǎng)絡安全和基礎設施安全局（CISA）發(fā)布關于DarkSide聯(lián)合告警，對所有關鍵基礎設施發(fā)布預警，警惕DarkSide組織對其他關鍵基礎設施再次發(fā)起攻擊。5月12日，美國總統(tǒng)拜登簽署改善國家網(wǎng)絡安全行政命令。俄羅斯政府堅決否認其參與了針對美國Colonial Pipeline公司的勒索軟件攻擊活動。5月13日，據(jù)消息稱Colonial Pipeline公司在5月7日就已向黑客支付了440萬美元的贖金，值得一提的是，此事在13日才被內(nèi)部人員爆出，而且交付贖金后DarkSide組織提供了解密工具，但因其解密工具恢復效率過慢，Colonial Pipeline公司使用數(shù)據(jù)備份恢復了系統(tǒng)。可見，在企業(yè)遭到勒索攻擊后，數(shù)據(jù)備份對企業(yè)恢復數(shù)據(jù)起到關鍵性作用。同時也表明Colonial Pipeline公司在有數(shù)據(jù)備份的情況下還支付了贖金，說明該公司擔心DarkSide組織泄露其數(shù)據(jù)，也印證了被竊數(shù)據(jù)的重要性?；A能源設施運營等重要數(shù)據(jù)如果被曝光，肯定會帶來重大社會影響，也就是說Colonial Pipeline公司支付440萬美元買的只是DarkSide組織不曝光的承諾。5月13日，美國總統(tǒng)拜登表示將追捕DarkSide組織。5月14日，DarkSide發(fā)帖表示，無法連線其博客和付費用的特定服務器，那里的比特幣被轉移到一個陌生的錢包地址中，這個錢包地址歸屬于DarkSide組織還是美國執(zhí)法機構我們不得而知。5月17日，Colonial Pipeline公司汽油、柴油及航空燃油供應恢復到正常水平。

　　三、總結

　　2021年5月初，DarkSide組織相繼攻擊了Colonial Pipeline公司、東芝公司的歐洲業(yè)務部和德國的化學品分銷公司Brenntag。Colonial Pipeline公司和Brenntag公司都選擇支付贖金，一時間成為了全球網(wǎng)絡安全關注的對象，再次表明勒索軟件攻擊已經(jīng)是全球網(wǎng)絡安全主要威脅之一。

　　安天CERT預測，未來勒索軟件依舊是網(wǎng)絡安全主要威脅之一，繼從最早的破壞數(shù)據(jù)開始，逐漸演變至加密數(shù)據(jù)和勒索贖金，再到竊取數(shù)據(jù)、加密數(shù)據(jù)和勒索贖金。未來可能會在竊取數(shù)據(jù)、加密數(shù)據(jù)和勒索贖金“雙重勒索”的基礎上，利用所竊取的數(shù)據(jù)信息對有意向者出售或敲詐勒索竊密數(shù)據(jù)中涉及到的相關人員，以此獲得更多贖金，轉而演變?yōu)椤叭乩账鳌薄?/p>

　　“三重勒索”模式早在2020年10月已有先例，勒索軟件組織對芬蘭Vastaamo心理治療醫(yī)院的攻擊中，竊取了超過4萬名患者的數(shù)據(jù)。攻擊者要求醫(yī)院支付贖金并要求患者也提供數(shù)額相對較小的贖金。很多患者都收到了勒索的電子郵件，攻擊者聲稱，如果患者不支付贖金將會公布患者與醫(yī)師的談話治療記錄。Revil勒索軟件又稱Sodinokibi，于2019年4月出現(xiàn)，該勒索軟件組織此前先后對宏碁、廣達和蘋果等公司發(fā)起網(wǎng)絡攻擊，聲稱在規(guī)定期限內(nèi)不支付贖金則公開竊取到的數(shù)據(jù)，其攻擊目標多為全球大型企業(yè)機構，該組織在2021年2月宣布開始升級“雙重勒索”模式，增加DDoS攻擊與向受害人的合作伙伴和媒體的電話進行VoIP轟炸業(yè)務 [4]，逐步向“三重勒索”模式轉變。

　　后疫情時代，各公司、企業(yè)和政府部門或多或少都會采用線上辦公的方式，帶來便利的同時也增加了網(wǎng)絡安全隱患。部分黑客組織通過利用其他惡意軟件、漏洞以及網(wǎng)絡釣魚等方式發(fā)起針對關鍵信息基礎設施的攻擊，將對社會造成日益加劇的負面影響。在黑客組織多變的攻擊手段下，簡單的安全防護顯得相對薄弱，在做好基礎防護的前提下，提高員工個人安全意識和定期更新維護內(nèi)部安全設施尤為重要。

　　目前，勒索軟件攻擊仍然保持廣撒網(wǎng)與定向攻擊并存的趨勢，隨著經(jīng)濟利益的驅動，勒索軟件的變現(xiàn)能力越來越強，攻擊者可以攫取極大的直接收益。勒索軟件通常采用加密貨幣作為支付贖金的方式，利用暗網(wǎng)作為難以追蹤的支付鏈路，結合強加密算法，形成了勒索軟件所依賴的“鐵三角”高效組合。大部分政企機構依然固守依靠一道網(wǎng)絡邊界防護來御敵于城門之外的思想。防火墻等安全網(wǎng)關設備當然是安全的必備環(huán)節(jié)，部署成本低，易于維護，但也極容易被穿透。如果防護單點依賴安全網(wǎng)關，一旦載荷進入到端點側，就幾乎處于無檢測管控的狀態(tài)，可以恣意滲透，橫掃全網(wǎng)。因而，端點側需要選擇“EPP+EDR”組合能力產(chǎn)品，既能提升第一時間的阻斷成功率，又能有效支撐集中運維響應。同樣針對性免殺必然出現(xiàn)在定向攻擊中，因此，基于動態(tài)沙箱的分析設備也已經(jīng)成為安全的必選項目。

　　安天在2020年網(wǎng)絡安全威脅年報中曾提出：勒索軟件制作者開始關注攻擊成本和攻擊效率，勒索軟件的攻擊方式從最初的廣撒網(wǎng)尋找目標逐漸地變成對有價值的攻擊目標進行定向勒索。定向勒索和非定向勒索的攻擊面將擴大，非定向勒索攻擊者會繼續(xù)使用RaaS（勒索軟件即服務）模式以及通過僵尸網(wǎng)絡進行分發(fā)，預測仍將采用大面積廣撒網(wǎng)的方式進行傳播；定向勒索攻擊能力接近或達到“APT”水平，定向勒索攻擊組織多針對大型有價值目標，進行定制化攻擊，以期提高攻擊成功率的同時盡最大可能獲利。企業(yè)面對日益嚴峻的勒索攻擊，非定向勒索攻擊做到“有效防護”是應對勒索威脅的能力要求，盡量確保系統(tǒng)不被感染，數(shù)據(jù)不被加密是首要工作。企業(yè)需要具備APT級別的防御能力來防護定向勒索的攻擊，在非定向攻擊應對策略的安全運營基礎上，增加建立縱深防御、安全服務，使用多種數(shù)據(jù)設備備份等安全措施來提升安全水平。