圖片來源@視覺中國

文 | BT財(cái)經(jīng)

現(xiàn)實(shí)版的“黑客帝國”正在美國上演。

工作人員在電腦面前為了修補(bǔ)漏洞加班加點(diǎn)，油箱耗盡的汽車司機(jī)們?cè)诩佑驼玖R罵咧咧，警察們?cè)谧粉欀黜?xiàng)痕跡來尋找元兇，而網(wǎng)線另一頭的黑客們正洋洋得意地看著到賬的加密數(shù)字貨幣。

科洛尼爾被黑客勒索

5月10日，“#美國宣布進(jìn)入國家緊急狀態(tài)#”的話題登上微博熱搜，在短短的半天時(shí)間就獲得了1.2億閱讀。

然而這個(gè)熱搜卻是一個(gè)讓人哭笑不得的烏龍事件，而真實(shí)情況的來龍去脈也頗為神奇，至于結(jié)果，依照現(xiàn)有的進(jìn)展大概率也只會(huì)不了了之。

當(dāng)?shù)貢r(shí)間5月7日，最近一年頗為活躍的黑客組織黑暗面（DarkSide）對(duì)美國最大燃油管道運(yùn)營商科洛尼爾（Colonial Pipeline）的信息系統(tǒng)發(fā)起了攻擊，通過加密手段鎖住該公司計(jì)算機(jī)系統(tǒng)并劫持了該公司近100GB的數(shù)據(jù)。

這是DarkSide一年來破壞力度最大的一次攻擊。據(jù)BBC報(bào)道，此番DarkSide仍采取了他們一直以來的攻擊方式。

受害公司的計(jì)算機(jī)屏幕會(huì)跳出告知通知，表明其計(jì)算機(jī)和服務(wù)器已經(jīng)被黑客加密；隨后DarkSide會(huì)羅列出所有偷取、上鎖的數(shù)據(jù)，并將“個(gè)人信息泄露頁面”的URL發(fā)給受害公司，要求他們?cè)诮刂谷掌谥爸Ц囤H金，否則一些消息會(huì)自動(dòng)被公布到網(wǎng)絡(luò)，同時(shí)數(shù)據(jù)會(huì)從公司的計(jì)算機(jī)和服務(wù)器上刪除，而贖金的金額會(huì)隨著時(shí)間的推移不斷上漲。

科洛尼爾在第二日便將情況上報(bào)給了美國政府，并以公開聲明的方式向大眾承認(rèn)遭受黑客攻擊，但表明自己并沒有支付贖金的意愿。

隨后，科洛尼爾關(guān)閉了一條每日運(yùn)送250萬桶燃料，長(zhǎng)達(dá)5500英里的輸油管道。平日里這條管道承擔(dān)了人口密集的美國東海岸45%的燃料供給，關(guān)閉引發(fā)了人們對(duì)汽油、柴油和航空煤油現(xiàn)貨短缺的擔(dān)憂，美國人出行離不開汽車，大量用戶涌入加油站囤貨，汽油價(jià)格也小幅上漲。

國內(nèi)媒體所謂“美國進(jìn)入國家緊急狀態(tài)”正是基于此。

不過根據(jù)美國政府的官方網(wǎng)站，雖然美國總統(tǒng)拜登對(duì)此事表明了關(guān)切，但是這事兒真的犯不上美國全國直接落入到緊急狀態(tài)窘迫之中。

當(dāng)?shù)貢r(shí)間5月9日，實(shí)際上是美國的交通部聯(lián)邦汽車運(yùn)輸安全管理局宣布17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，進(jìn)入緊急狀態(tài)并非是崩盤，而是意味著可以解除針對(duì)燃料運(yùn)輸?shù)母鞣N限制，以保障石油產(chǎn)品通過公路快速運(yùn)輸。

雖然科洛尼爾在官方聲明中表現(xiàn)得很強(qiáng)勢(shì)，但根據(jù)彭博社的報(bào)道，其在受到攻擊后不久就和DarkSide達(dá)成了和解，支付了彼時(shí)價(jià)值500萬美元的75枚比特幣作為贖金。

5月19日，科洛尼爾承認(rèn)并沒有遵從FBI的建議，出于大局考慮支付了贖金。

收到贖金后，DarkSide將解密工具發(fā)給了科洛尼爾。即便如此，科洛尼爾也用了6天的時(shí)間才恢復(fù)輸油管道的正常運(yùn)轉(zhuǎn)，甚至在恢復(fù)過程中還出現(xiàn)了宕機(jī)狀況。

5月13日，美國總統(tǒng)拜登在評(píng)論里表示政府會(huì)采取更多措施封殺DarkSide，降低其破壞能力，同時(shí)他還指出根據(jù)多方調(diào)查，從來不攻擊俄語系統(tǒng)的DarkSide是來自俄羅斯和東歐的黑客集團(tuán)。雖然與俄羅斯政府沒有直接關(guān)聯(lián)，但他認(rèn)為俄羅斯應(yīng)對(duì)做出實(shí)際行動(dòng)來管制這些勒索的黑客。

在科洛尼爾勒索發(fā)生后，拜登簽署了一份加強(qiáng)美國網(wǎng)絡(luò)安全防御的行政命令。在今年4月，美國就曾呼吁各國政府將勒索軟件定義為國家安全威脅，并對(duì)拒絕參與打擊黑客行動(dòng)的國家“施加壓力”。

虛擬貨幣成為黑客“幫兇”

DarkSide的名字一下子就讓大眾想到了《星球大戰(zhàn)》里墮入黑暗面的達(dá)斯維達(dá)。但要強(qiáng)調(diào)的是，達(dá)斯維達(dá)最終回歸了光明，或許DarkSide正是希望傳達(dá)自己并非壞人，而是正邪交織形象。

因?yàn)樾鹿谝咔榈挠绊懀絹碓蕉嗟墓巨D(zhuǎn)向線上辦公，工程師們?cè)谧约业顷懝揪W(wǎng)絡(luò)使得攻破防線變得相對(duì)容易，這也給了DarkSide可趁之機(jī)。

一大批黑客組織變得格外活躍，DarkSide還發(fā)布公開信昭告犯案原則：“我們只會(huì)攻擊付得起贖金金額的公司”，“基于我們的攻擊原則，我們不會(huì)攻擊醫(yī)院、學(xué)校、大學(xué)、非營利組織和政府部門”。

或許是為了證明自己言論的可行度，2020年10月，DarkSide向慈善組織“兒童國際”和“水項(xiàng)目”分別捐贈(zèng)了0.88比特幣，但被無情拒絕，理由是不接受非法所得。

根據(jù)媒體的統(tǒng)計(jì)，DarkSide這一年來通過勒索各家公司所獲取的比特幣市值超過9000萬美元，平均每個(gè)受害者支付了價(jià)值190萬美元的比特幣。

據(jù)統(tǒng)計(jì)，有1550萬美元?dú)wDarkSide的開發(fā)商所有，7470萬美元?dú)w其附屬公司所有，大部分都被轉(zhuǎn)移到加密貨幣交易所，并兌換成了法定貨幣，絕對(duì)算得上是流程清晰、成功率頗高的“搶錢行為”。

DarkSide并非是單打獨(dú)斗的個(gè)體，而是商業(yè)化十足的成熟黑客團(tuán)伙。

除了用軟件黑入公司系統(tǒng)直接勒索比特幣，DarkSide還會(huì)把自己開發(fā)出來的勒索軟件提供給買家，要是買家勒索成功，他們會(huì)從贖金中抽取一定比例的收入。此外，他們還會(huì)向其它別有用心者出售遭到勒索軟件攻擊的受害公司的內(nèi)幕信息，在資本市場(chǎng)再撈一筆。

5月10日，DarkSide發(fā)布了一則聲明回應(yīng)了勒索科洛尼爾事件：“我們的目標(biāo)是賺錢，而不是為社會(huì)制造問題。我們會(huì)克制，細(xì)致地審查合作伙伴，以避免造成惡劣的社會(huì)后果”，“我們是非政治性的，我們不參與地緣政治。”

這種理直氣壯、義正言辭的作風(fēng)實(shí)在是讓人哭笑不得。想想《武林外傳》里面白展堂教訓(xùn)郭芙蓉的時(shí)候說過：“什么叫盜亦有道，全都是胡說八道，賊就是賊。”

宣揚(yáng)只要錢的黑客依舊是黑客，DarkSide仍在繼續(xù)作案。

5月14日，東芝技術(shù)公司的法國子公司也遭遇了DarkSide的攻擊，泄漏了包括護(hù)照文件、項(xiàng)目文檔在內(nèi)的740GB的數(shù)據(jù)。至于東芝是否支付了贖金，外界還不得而知。

5月17日，也許是最近的過分高調(diào)造成惹禍上身，DarkSide宣布停止運(yùn)營，其泄漏站點(diǎn)已經(jīng)無法訪問。DarkSide的運(yùn)營商上發(fā)表公告稱受到了執(zhí)法機(jī)構(gòu)和美國的壓力，目前已無法訪問基礎(chǔ)架構(gòu)的公共部分：博客、付款服務(wù)器和DOS服務(wù)器。

不過，Darkside “很有良心”地將解密工具分發(fā)給會(huì)員，會(huì)員可以自行完成剩余的“催收”工作。

背后的黑客產(chǎn)業(yè)鏈

Check Point研究顯示，與2020年初相比，今年全球遭受勒索軟件攻擊的組織增加102%，在加密數(shù)字貨幣狂熱下，黑客們出擊越發(fā)頻繁。

在這樣的熱潮下，DarkSide真的甘心從江湖銷聲匿跡了嗎？——多數(shù)人并不相信。

根據(jù)美媒報(bào)道，安全公司EMSIsoft、FireEye和Intel471的專家一直認(rèn)為停止運(yùn)營只是一個(gè)“退出騙局”，是勒索軟件運(yùn)營商用來隱藏蹤跡和撤退的典型行為。雖然DarkSide消失了，幕后的黑客們可能已經(jīng)換好了新的馬甲，籌備起下一步行動(dòng)。

雖然區(qū)塊鏈分析公司Elliptic追蹤到了DarkSide的比特幣錢包，估算其獲得的收益，并推斷其俄羅斯流行的Hydra暗網(wǎng)市場(chǎng)進(jìn)行的交易。但是真正去找到網(wǎng)線背后的黑手則是困難重重，大概率會(huì)不了了之。

根據(jù)推測(cè)，DarkSide所有者很可能曾是REvil的會(huì)員，軟件本身也可能是基于REvil代碼開發(fā)的。

REvil也是近兩年活躍的黑客組織，他們侵入了蘋果公司相關(guān)的網(wǎng)絡(luò)，以泄露MacBook的產(chǎn)品藍(lán)圖為威脅勒索5000萬美元。此外，REvil多次攻破與名人有關(guān)的公司系統(tǒng)，還宣稱要建立拍賣網(wǎng)站來拍賣受害者的失竊數(shù)據(jù)，連特朗普也曾是他們的敲詐對(duì)象。

2020年，REvil的發(fā)言人在和俄羅斯知名的科技博主對(duì)話中宣稱在1年內(nèi)獲得了超過1億美元的收入，他們的目標(biāo)是獲得20億美元。據(jù)悉，多數(shù)公司有能力恢復(fù)數(shù)據(jù)，但是擔(dān)心被竊取的數(shù)據(jù)會(huì)被泄露給競(jìng)爭(zhēng)對(duì)手造成難以預(yù)估的后果，三分之一的受害公司會(huì)愿意支付贖金。此外，他們還表示自己非常講信譽(yù)，言出必行，畢竟受害公司必須確認(rèn)花錢就不會(huì)有問題，否則也不會(huì)輕易掏錢。

雖然黑客們一再表明自己只是要錢的“俠盜”，但是在美國人眼中，自己不能輕易擊破的反派一定和俄羅斯脫離不了干系。

不少網(wǎng)絡(luò)安全公司堅(jiān)定地認(rèn)為這一系列的黑客團(tuán)伙都是俄羅斯軍方網(wǎng)絡(luò)部隊(duì)的下屬分支，只不過經(jīng)歷多次轉(zhuǎn)型后拆分開獨(dú)立運(yùn)營了。

隨著科洛尼爾慢慢恢復(fù)運(yùn)營，此次的黑客危機(jī)暫時(shí)告一段落。

但是在居家辦公和線上辦公越發(fā)普及的當(dāng)下，聯(lián)網(wǎng)被入侵的風(fēng)險(xiǎn)會(huì)越來越高；信息的重要性越高，黑客也越能拿捏受害公司，勒索行為或許永遠(yuǎn)不能避免。

如何讓黑客們無處隱形會(huì)是長(zhǎng)期的難題，查封暗網(wǎng)交易、監(jiān)管數(shù)字加密貨幣流通可能是執(zhí)法機(jī)構(gòu)可采取的最有效的追蹤犯罪痕跡的手段之一。

0

0

0

掃描下載App