概要

• 美國首次因網絡攻擊宣布多州進入緊急狀態。
• 俄羅斯黑客被懷疑為背后元兇，事件或促使對俄制裁加碼。
• 燃油管道長時間停運將對處在疫情復蘇期的美國經濟造成打擊。
• 攻擊事件再次凸顯關鍵基礎設施的脆弱性。

美國多州因網絡攻擊進入緊急狀態

5月9日，美國政府宣布，因美國最大燃油運輸管道商科洛尼爾(Colonial Pipeline)公司遭網絡攻擊而暫停輸送業務，美國18個州進入緊急狀態。

這是美國首次因網絡攻擊而宣布多州進入國家緊急狀態。美國國家緊急狀態是賦予美國政府一項權力，這項權力可令美國政府實施通常情況下不允許發生的行為。

在上周六(5月8日)發布的一份聲明中，科洛尼爾(Colonial Pipeline)公司表示，5月7日發現遭受網絡攻擊，后續調查確定為勒索軟件攻擊。為了預防事態進一步擴大，該公司主動將關鍵系統脫機，以避免勒索軟件的感染范圍持續蔓延，并聘請了第三方安全公司進行調查。FBI、能源部、網絡安全與基礎設施安全局等多個聯邦機構一起參與了事件調查。

白宮發言人稱，聯邦政府正在積極評估影響，避免供應中斷，幫助科洛尼爾公司恢復運營。美國網絡安全與基礎設施安全局表示，這次事件凸顯了勒索軟件對組織的威脅。

作為美國東海岸最重要的燃油運輸管道商，科洛尼爾負責美國東海岸地區約45%的液體燃料管道運輸供應服務，每天向客戶提供超過1億加侖的燃油。分析認為，管道停運短期不會對油價造成影響，但如果超過3天，將引發油價上漲，將對正在疫情復蘇階段的美國經濟造成打擊。

科洛尼爾的燃油運輸管道

科洛尼爾公司稱，“我們正迅速行動以調查并解決這一重大問題。目前，我們的核心任務是安全、高效地恢復服務，盡一切可能讓設施再次運轉起來。”

俄黑客組織疑為背后元兇

多個消息來源證實，此次勒索軟件攻擊是由一個名為DarkSide的網絡犯罪組織實施的。該組織被指在5月6日侵入了科洛尼爾的網絡。

BBC報道稱，名為DarkSide的俄羅斯犯罪組織可能是此次攻擊的發動者。DarkSide是去年新出現的勒索軟件組織，但攻擊手法非常老練，已經攻擊了40多個受害組織，要求贖金一般在20萬-200萬美元。

彭博社則報道，在加密電腦、勒索贖金之前， DarkSide組織已竊取了近100GB的數據。這一體現攻擊組織特征的行為被稱為雙重勒索。攻擊組織宣稱，如果不能收到贖金，將會把數據在互聯網進行公布。

網絡安全專家認為，科洛尼爾的燃料運輸管道遭網絡攻擊，主要原因是新冠疫情背景下遠程辦公的興起——工程師在家中遠程訪問管道控制系統。

DarkSide的暗網網站公布了其攻擊成績與行為準則

安全公司Digital Shadows的聯合創始人兼首席創新官James Chappell認為，DarkSide可能購買了TeamViewer和Microsoft Remote Desktop等遠程桌面軟件帳戶的登錄信息。

據Digital Shadows公司的追蹤，DarkSide的運作就像一家企業。該組織開發用于加密和竊取數據的軟件，然后對“會員”進行訓練。后者會接收包括加密軟件、勒索電子郵件模版以及攻擊培訓的工具包，并把成功勒索的收入，按比例支付給DarkSide。據路透社一位頂級網絡安全記者稱，DarkSide甚至在暗網擁有網站，并透露已從網絡勒索攻擊中獲利數百萬美元。

Red Balloon Security公司CEO Ang Cui曾在美國國土安全部及國防部擁有豐富的嵌入式設備及工業控制系統(ICS)高級威脅研究經驗，在他看來，此次攻擊很可能屬于網絡犯罪，而非民族國家行為。

但網絡公司CrowdStrike的聯合創始人Dmitri Alperovitch認為：“鑒于俄羅斯明顯的窩藏和容忍網絡犯罪政策，這些犯罪組織是否為國家工作已經無關緊要。”

鑒于美俄之間的網絡空間沖突日益嚴重，不排除此次攻擊事件促使美國繼續加碼對俄羅斯相關機構的制裁。今年4月15日，美國政府以俄羅斯進行網絡襲擊、干預美國選舉等惡意活動為由，對俄30多個機構和實體實施大規模制裁。

巨大災難暴露出關鍵基礎設施的脆弱性

網絡安全公司Illumio的首席執行官兼聯合創始人安德魯·魯賓(Andrew Rubin)表示：“這可能是有史以來影響最大的勒索軟件攻擊——一場網絡禍害變成了現實世界的巨大災難。”

Colonial Pipeline的管道每天從墨西哥灣沿岸煉油廠向亞特蘭大等市場每天運輸250萬桶燃料。該公司在周日宣稱，四條主管道依然處于關閉狀態。

專家說，事件可能導致燃料價格上漲2～3%;如果持續更長的時間，其影響將更加嚴重。截至周日，燃油運輸管道已停運三天。美國燃油庫存下降，在其經濟正擺脫困境之際，對石油，尤其汽車燃料的需求正在上升。

獨立石油市場分析師高拉夫·夏爾馬(Gaurav Sharma)認為，現在很多燃料滯留在德克薩斯州的煉油廠。除非在星期二之前解決問題，否則將陷入大麻煩——首先受到影響的地區將是亞特蘭大和田納西州，然后多米諾骨牌效應會波及到紐約。

自1960年代以來，科洛尼爾(Colonial Pipeline)公司的管道一直為美國東海岸提供燃油運輸服務，這一重要管道被關閉，凸顯了直接或間接聯網的老化基礎設施的脆弱性。

早在2020年2月，美國網絡安全與基礎設施安全局就發布警報，強調關鍵基礎設施目標(包括輸送管線)已經成為黑客團伙的主要攻擊目標。當時美國某天然氣壓縮設施(并未透露具體身份)遭遇勒索軟件攻擊，導致其業務被迫關停兩天。

根據Group-IB研究人員的報告，僅在過去一年，全球勒索軟件攻擊次數就增長150%以上，能源行業也遭受了較大打擊。比如美國某天然氣運營商遭到勒索攻擊，被迫關閉2天，并被國土安全部通報;歐洲能源巨頭Enel Group年內兩次遭遇不同勒索軟件攻擊，多達5TB數據被竊取，被威脅索要1400萬美元贖金;臺灣最大兩家煉油廠遭到勒索攻擊，波及整個供應鏈，甚至加油站的IT系統也無法使用。

美國網絡安全與基礎設施安全局表示，攻擊者的橫向移動能力顯然源自基礎設施內IT與OT之間缺少良好的網絡隔離。Cui認為在這類關鍵基礎設施攻擊活動中，問題的關鍵在于運營企業一方往往沒能事先隔離或保護這些系統：“供應商在設計之初就沒有考慮到如何保證ICS設備安全，這就給后續補救造成了巨大的障礙。”

Dave White表示，“美國經濟高度依賴于能源管道基礎設施。這種至關重要的能源輸送資產會影響到每一位民眾的正常生活;聯邦政府必須開展風險分析與經濟量化研究，在了解此類攻擊事件的影響規模的同時調撥專項資金為這類設施提供必要保護。”

科洛尼爾攻擊事件表明，網絡攻擊造成的基礎設施中斷和破壞是真實存在的，主管機構和行業從業者必須積極應對此類網絡威脅，以有力保護國民經濟的關鍵基礎設施。