为什么俄罗斯这个神秘组织动动手指就把输油管道搞瘫痪了……
“如果你在街上遇到我们,你永远也不会意识到我们的身份。看起来,我们和其他人一样都是普通人,有家庭和孩子,我们没有仇恨,也不希望伤害谁,我们的业务和其他业务一样,最终的目标是利润。”
俄罗斯一个名为“DarkSide”组织的神秘发言人如是介绍他们。
然而,事实证明,这些普通人,隔着千万里,只是动了动手指,就差点把美国搞瘫痪了。
半壁江山差点塌了
美国人意识到出了问题,是从5月10日开始的。各个州都陆续出现了汽油短缺。
平时空空荡荡的加油站,现在排满了车辆。以前去Costco加一次油平时只需要五分钟,现在需要排两个小时。很多人拿着各种容器去囤油,有桶、有箱子,甚至是塑料袋。
北卡罗莱纳州一个加油站,汽油标出了每加仑9.98美元的天价。要知道就在两天前,这个价格才不过两美元左右。
弗吉尼亚州超过7%的加油站、北卡罗来纳州8%的加油站以及佐治亚州5%的加油站已经没有燃油。
佛罗里达州、阿拉巴马州和南卡罗来纳州的许多加油站也报告燃油用尽。
在亚特兰大,每5个加油站中就有1个在11日傍晚已经用尽燃油。
美国汽车协会称,11日,全美汽油零售价上升至2.985美元,刷新了近六年来的最高水平。
美国是个车轮上的国家,对于美国普通人来说,汽油和食物一样重要,缺油迅速造成了恐慌。很多人在推特上痛骂拜登,痛骂政府,痛骂这个世界上最大的石油出口国居然保证不了自己国家的供油安全。
是的,这个世界最强大的国家,最重要的生活必需品,居然被一群远在千里之外的黑客劫持了。
坐在白宫椭圆办公室的拜登,被震惊了。
拜登好震惊
要知道,因其两面大洋环绕的特殊地形,美国本土极少能受到物理攻击。
这些网络上的黑帮份子,是怎么做到的?网站受到黑客攻击可以理解,但输油管道和互联网有什么关系,遭到了什么样的攻击才能导致缺油?
这个供应商叫殖民地管线(Colonial Pipeline),输油管道每天要输送 250 万桶原油,担负着美国东岸近45%的燃油供应——堪称石油界的半壁江山。因为它的管线主要供应美国最初的殖民地13州,因此得名。
这个管线从1961年开始建造,当时的承建方是菲利普斯石油公司,辛克莱管道公司和美国大陆石油公司等。目前,该公司最大的股东有两家,壳牌公司,以及特朗普的最大支持者,科赫兄弟公司。
自尼克松政府以来,白宫就一直以“能源独立”为目标。随着页岩勘探和生产在2005年左右开始蓬勃发展,这个目标终于实现了。
殖民地管线将德州产出的石油,直接输送到了东海岸,让东海岸各州可以减少石油存储。2005年之后,东部各州的炼油厂都陆续关门,殖民地管线成为东部各州的生命线。
殖民管线这家公司的运营,是极端数字化的。
特朗普:这事儿终于和我没关系了。
他们利用压力传感器、自动温度调节器等智能化设备,对燃油进行实时的监控和管理,甚至还使用了一种叫做“智能猪”(smart pig) 的管道检测机器人,它可以在管道里快速穿行,发现异常。
这些智能化设备,都与一个中央系统相连,由计算机进行控制。
事实表明,有联网就有被入侵的危险,越是自动化,风险就越大。
第一个紧急状态
5月6日,黑客组织Darkside对殖民地管线发动入侵。
两个小时之内,该组织就从殖民管线公司在佐治亚州的服务器中窃取了近100 GB的数据。第二天,该组织告知殖民地管线,这些数据已经被锁定,除非支付赎金,否则将会把这些数据公布在互联网上。
一个女黑客正在工作中。
网络安全公司Digital Shadows认为,Darkside之所以能够得手是因为新冠疫情。
因为疫情影响,殖民地管线的工程师在家中远程访问管道控制系统,从而被黑客趁虚而入。
该公司的首席创新官James Chappell认为,DarkSide购买了诸如TeamViewer和Microsoft Remote Desktop之类的远程桌面软件有关的帐户登录详细信息,然后黑客仅仅尝试使用用户名和密码,就可以成功进入管道控制系统。
简单来说,技术含量其实没那么高。
实际上,黑客并没有直接控制石油运输管道,但殖民管线为了安全,关闭了最大的一条输油管道,而该管道是东海岸汽油、柴油和飞机燃料的最重要来源。
刚开始,殖民管线还想自己处理此事,请了一个第三方安全公司Fireye来对付黑客,忙了一段发现无法解决,才上报了FBI和美国政府。
5月8日早晨,美国总统拜登才得知此事,此时距离数据劫持已经接近48个小时,整个东海岸的石油供应开始受到了影响。
夏洛特道格拉斯国际机场的燃料短缺,美国航空暂时更改了航班时刻表。加油站也开始出现短缺,北卡罗莱纳州、佛罗里达州和阿拉巴马州均出现司机四处找油的情况。
5月9日,美国东部燃油短缺进一步加剧,亚特兰大市区以及北卡罗来纳州罗利和夏洛特的近三分之一的加油站没有燃料供应。佛罗里达州、北卡罗来纳州、弗吉尼亚州和佐治亚州同联邦监管机构一起放宽了对司机和燃料的限制,以加快物资的运送。
当晚,拜登宣布美国进入区域紧急状态,这是拜登执政后的第一个紧急状态。
勒索 黑客的大生意
让美国进入紧急状态的Darkside是个什么样的黑客组织呢?这要从2017年说起。
2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了。然而,从当天下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭。一场大规模、全球性的计算机病毒事件就这样悄然来到了。
黑客组织Shadow Brokers利用美国美国国家安全局掌控的漏洞武器“永恒之蓝”,开发出了新一代的蠕虫病毒WannaCry,有着超强的渗透力,释放出来后进行了大规模感染。Shadow Brokers要求对方支付比特币约合300美元才能解锁被感染的电脑。
至少有99个国家的目标在同一时间遭到WanaCry的攻击,其中包括多国政府部门的电脑系统。事后跟踪,Shadow Brokers总共获得了约合3.2万美元的比特币。
此次事件后,网络勒索成为黑客的朝阳产业。
从2019年下半年开始,越来越多的黑客组织开始从事于勒索软件的部署。根据勒索软件事件响应公司Coveware的调查,部署勒索软件后勒索软件运营者将继续勒索机构,平均每年收入将达到近18万美元。
Darkside于去年8月出现后,随即成为网络勒索行业的佼佼者。他们对多家大型企业进行勒索攻击,入侵并挟持这些公司的信息技术系统,等到这些公司支付赎金后才放手离开。
打劫 最重要的是信誉
根据美国网络安全公司CrowdStrike的说法,以俄罗斯为基地DarkSide,是俄罗斯组织Carbon Spider的转型分支。Carbon Spider是俄罗斯APT(高级可持续性威胁)组织的一员。APT是俄罗斯军方建立的网络部队,主要分为四个。
FSO:联邦警卫局,主管俄罗斯境内黑产抓捕和敌对势力的网络攻击防护。
FSB:俄罗斯联邦安全局(简称FSB),是负责俄罗斯联邦国内的反间谍工作,Turla为其专属队伍。
SVR:对外情报局是俄罗斯联邦的情报机关之一,专责俄境外的情报活动。与FSB共享APT29资源。
GRU:格勒乌(GRU)创建于1918年10月21日,是俄罗斯联邦最大也是最为秘密的情报机构,专属队伍APT28,也是最活跃的队伍,到处都有其身影。
爱沙尼亚情报机对俄罗斯APT网军的归类
Carbon Spider在APT部队的正式编号为FIN7,又名Carbanak、Annuak等,隶属SVR,最早活跃于2015年,其主要针对美国和欧洲的零售、餐饮和酒店业和金融业进行攻击。他们使用名为Carbanak的恶意软件,从银行等金融实体盗走大量的金钱。
该组织还使用针对目标金融机构员工的带有恶意附件的鱼叉式网络钓鱼电子邮件,受害者一旦打开附件,设备就会被感染并下载其恶意软件,从而渗透进企业内部。
脱胎于Carbon Spider的Darkside在勒索方面更加专业。
DarkSide会把其窃取的机密数据存放在被称为“个人泄露页面(personal leak page)”的网页上,然后向被勒索的公司或组织发送该网页的网址。
如果被勒索者按时交付赎金,DarkSide会向受害者提供获取加密数据的“钥匙”。而如果未在截止日期前付钱,这些数据将会被自动公布,并永远从受害者的电脑中消失。
DarkSide还与“访问中间人(access broker)”合作。访问中间人收集了大量用户的账户和相关信息,但他们不会侵入这些账户,也不会向用户或服务运营商提出警告,而是将这些信息出售给出价最高的网络犯罪团伙,而像DarkSide这样的黑客组织能利用这些信息实施更大规模的犯罪,从而渔利更多。由此,一条网络犯罪的产业链就形成了。
DarkSide从不吝于宣传和吹捧自己。该团伙专门在暗网(dark web)上详细地介绍自己的工作,罗列黑过的所有公司,声称已从网络攻击中获利数百万美元。DarkSidede还设有公关项目,邀请记者查看其泄露的数据。
此外,这个黑客组织还有官方发言人。当然,是匿名的。
“黑客搞勒索,最重要的是信誉。”这位发言人接受媒体databreaches采访时说,受害者要相信,只要付钱就能解决问题。“我们的准则就是要好好服务那些掏腰包的企业,绝不能杀鸡取卵、搞坏自己的‘行规名声’。”
22岁的黑客卡里姆·巴拉托夫(Karim Baratov),他在美国法庭认罪,声称曾受雇于俄罗斯国家安全局,进行黑客行动。
这个黑客组织有意树立自己劫富济贫的形象,不仅声明不会攻击医疗、教育或政府机构,并将从企业攫取的部分利益捐赠给慈善机构。
去年10月,DarkSide向两家慈善组织、“儿童国际(Children International)”和“水项目(The Water Project)”分别捐赠了0.88比特币,相当于10,000美元,并在暗网上张贴了他们用比特币捐款给两家慈善组织的税务收据。但“儿童国际”表示,他们不要来源是非法所得的捐款。
如果拜登看到DarkSide这个组织自我吹嘘的话,估计会骂一句:我信你个鬼。
毕竟现在美国都被他们搞乱了。美国国土安全部和FBI,迅速就把DarkSide这个罪魁祸首挖了出来,而且称他们是“恶名昭彰的俄罗斯数位犯罪集团DarkSide”。
DarkSide估计也没想到,自己本来想找个大公司勒索点钱,结果提到美国政府这块铁板上了。
5月10日,意识到已经捅了天大漏子的Darkside似乎认怂了。他们在其网站上公布了一条声明:“我们不是政治组织,我们不参与地缘政治。不要把我们和特定的政府联系到一起,不要猜测我们的动机。我们的目的就是赚钱,而不是给社会造成麻烦。从今天开始,我们将仔细审查,以免在未来造成更大问题。”
同时,他们还痛定思痛,决定之后要严格审查勒索对象,“以避免社会再次付出类似的代价”。
此辩解颇有此地无银三百两的意思。对于这个让半个美国进入瘫痪状态的黑客组织,对于这个冒充侠客的劫匪,拜登政府会放过他们吗?让我们拭目以待。
目前,殖民地管线已经重启输油管道,预计本周末(美东时间5月15日),东海岸的石油供应才能恢复正常。
朋友们如觉得这篇文章不错,欢迎朋友们转发!
生活小常识|生活小窍门|健康小常识|生活小妙招小常识