您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
美國(guó)首次因遭遇網(wǎng)絡(luò)攻擊宣布進(jìn)入國(guó)家緊急狀態(tài)
因最大燃油管道商遭網(wǎng)絡(luò)攻擊暫停運(yùn)營(yíng),美國(guó)宣布進(jìn)入國(guó)家緊急狀態(tài)。
受到勒索軟件攻擊影響,美國(guó)最大燃油運(yùn)輸管道商科洛尼爾(Colonial Pipeline)公司被迫暫停輸送業(yè)務(wù),對(duì)美國(guó)東海岸燃油供應(yīng)造成了嚴(yán)重影響。次日,美國(guó)政府因此宣布進(jìn)入緊急狀態(tài)。
這是美國(guó)首次因網(wǎng)絡(luò)攻擊而宣布進(jìn)入國(guó)家緊急狀態(tài),此前公布的緊急狀態(tài)大多是美國(guó)政府實(shí)施國(guó)家制裁或軍隊(duì)及公共衛(wèi)生相關(guān)。美國(guó)國(guó)家緊急狀態(tài)是賦予美國(guó)政府一項(xiàng)權(quán)力,這項(xiàng)權(quán)力可令美國(guó)政府實(shí)施通常情況下不允許發(fā)生的行為。拜登任期以來,已經(jīng)宣布三次緊急狀態(tài),上一次是2021年4月15日,拜登政府宣布針對(duì)俄羅斯聯(lián)邦政府的特定危害國(guó)家安全的活動(dòng)(包括對(duì)美國(guó)大選造成嚴(yán)重影響的行為)實(shí)施制裁。
在上周六(5月8日)發(fā)布的一份聲明中,該公司表示,5月7日發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊,后續(xù)調(diào)查確定為勒索軟件攻擊。為了預(yù)防事態(tài)進(jìn)一步擴(kuò)大,該公司主動(dòng)將關(guān)鍵系統(tǒng)脫機(jī),以避免勒索軟件的感染范圍持續(xù)蔓延,并聘請(qǐng)了第三方安全公司進(jìn)行調(diào)查。FBI、能源部、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局等多個(gè)聯(lián)邦機(jī)構(gòu)一起參與了事件調(diào)查。
白宮發(fā)言人稱,拜登總統(tǒng)在上周六早上被通報(bào)此事,聯(lián)邦政府正在積極評(píng)估影響,避免供應(yīng)中斷,幫助科洛尼爾公司恢復(fù)運(yùn)營(yíng)。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局表示,這次事件凸顯了勒索軟件對(duì)組織的威脅。
作為美國(guó)東海岸最重要的燃油運(yùn)輸管道商,科洛尼爾負(fù)責(zé)美國(guó)東海岸地區(qū)約45%的液體燃料管道運(yùn)輸供應(yīng)服務(wù),每天向客戶提供超過1億加侖的燃油。分析認(rèn)為,管道停運(yùn)短期不會(huì)對(duì)油價(jià)造成影響,但如果超過3天,將引發(fā)油價(jià)上漲,將對(duì)正在疫情復(fù)蘇階段的美國(guó)經(jīng)濟(jì)造成打擊。
科洛尼爾公司稱,“我們正迅速行動(dòng)以調(diào)查并解決這一重大問題。目前,我們的核心任務(wù)是安全、高效地恢復(fù)服務(wù),盡一切可能讓設(shè)施再次運(yùn)轉(zhuǎn)起來。”
OT系統(tǒng)是否中招仍未知
關(guān)于此次攻擊,仍有許多未解的謎團(tuán)。例如,科洛尼爾公司關(guān)閉全部管線究竟是為了預(yù)防感染蔓延、還是設(shè)施已然整體淪陷?攻擊的幕后黑手究竟是誰?攻擊者在入侵及感染科洛尼爾公司的系統(tǒng)時(shí),到底采取了哪些攻擊手段和路徑?
Axio公司總裁Dave White在接受郵件采訪時(shí)表示,“目前還不清楚科洛尼爾關(guān)閉管線是出于阻止勒索軟件持續(xù)傳播的謹(jǐn)慎考量,還是運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)或相關(guān)IT系統(tǒng)已經(jīng)遭受到嚴(yán)重影響。”
Red Balloon Security公司CEO Ang Cui曾在美國(guó)國(guó)土安全部及國(guó)防部擁有豐富的嵌入式設(shè)備及工業(yè)控制系統(tǒng)(ICS)高級(jí)威脅研究經(jīng)驗(yàn),在他看來,此次攻擊很可能屬于網(wǎng)絡(luò)犯罪,而非民族國(guó)家行為。
Cui稱,“雖然科洛尼爾公司關(guān)閉了運(yùn)營(yíng)系統(tǒng),但并不一定代表其ICS已經(jīng)受到影響或損害。這也許是因?yàn)樵摴镜腎T與OT系統(tǒng)之間缺少充分的隔離機(jī)制,因此搶在攻擊者進(jìn)一步訪問敏感系統(tǒng)之間就斷開了連接。畢竟一旦攻擊者再深入一些,贖金要求很可能大大增加、公司奪回控制權(quán)的難度也會(huì)顯著提高。”
勒索軟件:一個(gè)老大難問題
據(jù)路透社引用一名美國(guó)前官員和兩位行業(yè)消息人士稱,已經(jīng)鎖定科洛尼爾公司被攻擊的嫌疑人DarkSide組織。DarkSide是去年新出現(xiàn)的勒索軟件組織,攻擊手法非常老練,已經(jīng)攻擊了40多個(gè)受害組織,要求贖金一般在20萬-200萬美元。NBC新聞稱是俄羅斯黑客組織進(jìn)行的網(wǎng)絡(luò)攻擊,并且在加密前,已有近100GB數(shù)據(jù)被竊取。
時(shí)至今日,大家對(duì)于勒索軟件攻擊早已不感到陌生。根據(jù)Group-IB研究人員的報(bào)告,僅在過去一年,全球勒索軟件攻擊次數(shù)就增長(zhǎng)150%以上,能源行業(yè)因此也遭受了較大打擊。比如美國(guó)某天然氣運(yùn)營(yíng)商遭到勒索攻擊,被迫關(guān)閉2天,并被國(guó)土安全部通報(bào);歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索軟件攻擊,多達(dá)5TB數(shù)據(jù)被竊取,被威脅索要1400萬美元贖金;臺(tái)灣最大兩家煉油廠遭到勒索攻擊,波及整個(gè)供應(yīng)鏈,甚至加油站的IT系統(tǒng)也無法使用。
面對(duì)這波新的攻勢(shì),全球各方也開始在抗擊與應(yīng)對(duì)方面開展協(xié)同努力。上個(gè)月,美國(guó)司法部等全球60家實(shí)體共同組成聯(lián)盟,提出全面打擊計(jì)劃,要求通過追究財(cái)務(wù)運(yùn)作線索以追捕并瓦解勒索軟件團(tuán)伙。
矛頭直指關(guān)鍵基礎(chǔ)設(shè)施
2020年2月,美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布警報(bào),強(qiáng)調(diào)關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)(包括輸送管線)已經(jīng)成為黑客團(tuán)伙的主要攻擊目標(biāo)。而發(fā)布此項(xiàng)警報(bào)的契機(jī),正是美國(guó)某天然氣壓縮設(shè)施(并未透露具體身份)遭遇的勒索軟件攻擊,并導(dǎo)致其業(yè)務(wù)被迫關(guān)停兩天。
在成功入侵IT網(wǎng)絡(luò)之后,攻擊者往往會(huì)部署“商業(yè)勒索軟件”以加密IT與OT網(wǎng)絡(luò)上的數(shù)據(jù)。網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局當(dāng)時(shí)表示,攻擊者的這種橫向移動(dòng)能力顯然源自基礎(chǔ)設(shè)施內(nèi)IT與OT之間缺少良好的網(wǎng)絡(luò)隔離。
Dave White表示,“美國(guó)經(jīng)濟(jì)高度依賴于能源管道基礎(chǔ)設(shè)施。這種至關(guān)重要的能源輸送資產(chǎn)會(huì)影響到每一位民眾的正常生活;因此聯(lián)邦政府必須開展風(fēng)險(xiǎn)分析與經(jīng)濟(jì)量化研究,在了解此類攻擊事件的影響規(guī)模的同時(shí)調(diào)撥專項(xiàng)資金為這類設(shè)施提供必要保護(hù)。”
Cui認(rèn)為在這類關(guān)鍵基礎(chǔ)設(shè)施攻擊活動(dòng)中,問題的關(guān)鍵在于運(yùn)營(yíng)企業(yè)一方往往沒能事先隔離或保護(hù)這些系統(tǒng)。他總結(jié)道,“供應(yīng)商在設(shè)計(jì)之初就沒有考慮到如何保證ICS設(shè)備安全,這就給后續(xù)補(bǔ)救造成了巨大的障礙?!?/p>
參考信息:
https://threatpost.com/pipeline-crippled-ransomware/165963/
https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/
https://en.wikipedia.org/wiki/List_of_national_emergencies_in_the_United_States#cite_note-3
來源:互聯(lián)網(wǎng)安全內(nèi)參