扫码打开虎嗅APP
本文来自微信公众号:经纬创投(ID:matrixpartnerschina),作者:经纬创投主页君,题图来自:unsplash
网络世界对真实世界构成的威胁,正变得前所未有的严重。
从核电站、自来水厂、石油运输管道,到医院或是一般企业,在新冠疫情后都遭遇了越来越多的网络攻击事件。
2021年5月7日,因黑客的网络攻击,美国最大的成品油管道运营商Colonial被迫停运。Colonial提供了美国整个东海岸45%的燃油供应,因为这一事件美国多地宣布进入紧急状态。
一起网络攻击迫使Colonial Pipeline绵延5500英里的庞大州际系统关闭,该系统负责将汽油和喷气燃料从德克萨斯州运输到纽约州
最终,因为数百万人的汽油供应受到影响,时间紧迫,Colonial付给黑客500万美元的虚拟货币作为赎金,获得了解密器,才于13日恢复运营。
一个月后,全球最大的肉类加工商JBS也被黑客攻击,JBS被迫停止了在美国和澳大利亚一些工厂的运营,导致美国近四分之一牛肉加工能力,和五分之一猪肉加工能力下线。
最近的趋势反映出,全球网络犯罪的方向,可能正在从以前的“窃取数据”,向“瘫痪基础设施”方向发展。
在网络攻击中,个人也时常受到威胁。由于给黑客的赎金多数都是用虚拟货币支付的,最近老是扰动虚拟货币市场的马斯克,也遭到了黑客组织发布的“追杀令”。
在一条近4分钟的视频里,一个头戴面具、经过变声处理的人自称代表“匿名者”黑客组织,直接喊话马斯克:“你或许认为就属你自己最聪明,但你现在遇到对手了。我们是‘匿名者’组织,我们人数众多,等着吧!”
黑客组织“匿名者”(Anonymous)于6月5日在网络上发布一则视频,狂言抨击马斯克
“匿名者”抨击马斯克“不断挑衅”虚拟货币市场。在过去一段时间里,马斯克经常发文评价虚拟货币,导致了一些暴涨暴跌的情况。例如他曾对比特币表示失望,导致比特币在9小时内跌了6%。
2020年以来,全球APT攻击越来越活跃,攻防趋于白热化。“从更宏观的角度来看,疫情扰乱了经济,国际政治环境也在突变,全世界暴力事件都在变多,而网络攻击其实是属于暴力的一种。”木链科技创始人向昶宇说。
“未来5年这种事情会越来越多,我们也需要为此做好攻防准备。”
一、历史上对美国基础设施最大的黑客攻击
对于先进的黑客来说,很多国家的能源基础设施就是脆弱的靶子。
发电厂、管道运输商和炼油厂使用操作控制系统来运行物理设备,很多系统较为老化,很容易受到网络攻击。
美国最大的成品油管道运营商Colonial就是这样一个大靶子,5500英里长的管道向美国东海岸输送了45%的汽油、柴油等成品油,以及不仅与管道相连,还与炼油厂和发电厂相连的巨量传感器、阀门、测漏工具和其他系统。
这次攻击是典型的勒索软件,这类代码往往会控制目标的计算机系统,并且锁死,然后向受害者索要赎金以解锁系统。
从事工业网络安全的公司木链科技,分析了攻击Colonial的勒索病毒,技术人员模拟了被攻击时的情况。
首先将携带病毒的软件安装在虚拟机中,打开勒索软件后,你的桌面会变成黑屏,随后出现一个txt文件,里面给出被勒索的提示。
被攻击后桌面黑屏,所有数据被锁死(图片来源:木链科技)
打开txt文件,里面有联系黑客交赎金的提示(图片来源:木链科技)
使用Debugger调试该样本直至它解密到内存之后,可以发现以下几个点:
1. 样本尝试获取本机默认语言,并在下方有419俄语标志。通过逆向得知,DarkSide的恶意软件将检查语言设置,以确保他们不会攻击俄罗斯组织。(这个黑客组织来自俄罗斯或苏联地区)
2. 发现回传数据C2地址:
图片来源:木链科技
捕获流量后发现新C2地址以及回传内容:
图片来源:木链科技
Colonial被迫停运后,拜登政府发布了一项紧急豁免令,延长17个州运送燃油的卡车司机的上路时间,包括美国东南部几个大部分燃油消费均依赖该管道的州。
根据美国汽车协会(AAA)的预测,在密西西比州、田纳西州和东海岸从佐治亚州到特拉华州等受影响地区,一周内汽油价格可能上涨3美分到7美分。
一个月后对JBS的攻击也类似,在整个美国食品行业引起轩然大波。
JBS的工厂关闭导致后续几天肉类供应出现间歇性短缺。根据美国农业部的数据,周三,盒装精品牛肉价格上涨5.6美元,至每百磅340.16美元,创下至少一个月来最大涨幅。
由于JBS在最近几年推动业务流程数字化,模糊了办公室IT系统和工厂运营控制系统之间的界限,使攻击者有更多的途径入侵。
虽然JBS备份了数据,备份服务器未受这次攻击的影响,JBS也尝试与一家外部公司合作来恢复系统,但最终还是向黑客支付了1100万美元赎金,当然是用比特币支付的。
二、其实是有内鬼,黑客80%靠“社会工程学”
黑客一般是如何实现攻击的呢?
外界对黑客一直有一种误解,觉得他们都是“nerd”,总是一副不修边幅的形象,例如一个月不洗澡、住在车库里、乱糟糟的头发……
但其实,真正的黑客行为,只有20%是在电脑前的技术部分,而另80%,是“社会工程学”(Social Engineering)。
“社会工程学”其实就是对人的渗透,再坚固的堡垒,从内部攻破往往会容易很多,高攻击性的APT攻击就属于此类。曾经席卷全球工业界的震网病毒(Stuxnet病毒),就是结合了社会工程学的典型例子。
中国《解放军报》曾报道,美国利用震网蠕虫病毒攻击伊朗的铀浓缩设备,这种病毒是新时期电子战争中的一种武器。
但任何国家的核设施都是隔离管理的,如果纯网络攻击,首先去全域扫描就是一件极其困难的事情,你无法知道哪个IP背后对应哪台服务器。
但从内部渗透就不一样了。当时美国就买通了当地离心机厂商的一位员工,通过“插U盘”的方式,就是让那位员工带着已经装好病毒的U盘,插到目标机器里,然后程序就自动执行了。
在2020年特斯拉挫败的一场黑客攻击中,一名黑客通过WhatsApp聊天应用,接触了特斯拉位于内华达州超级工厂的一名工人,向他出价100万美元,想让他在特斯拉的内部网络中安装恶意软件,引发分布式拒绝服务攻击。
其目标是,当特斯拉的网络安全团队被分布式拒绝服务攻击分散注意力时,该恶意软件会访问公司机密,黑客可以利用这些机密勒索赎金。
但这名工人很忠诚,他向特斯拉的管理人员报告了此事,后者向FBI发出了警报。该工人随后假装同意这个计划,并在之后与这名黑客会面时带上了窃听器,这名黑客最终在洛杉矶被捕。
马斯克曾对外表示,“这是一场严重的攻击”。对于很多制造企业来说,因为要用到大量复杂设备,不知不觉被“内鬼”插入一些端口,彻底杜绝有一定难度。
除了寻找“内鬼”,通过安全薄弱的上下游环节入侵也越发普遍。特斯拉就曾经面对过这种麻烦。
一群黑客在2021年3月对外表示,他们侵入了安全摄像头供应商Verkada的网络,获得了包括特斯拉在内几家公司的内部视频资料,包括安装在特斯拉各个工厂和仓库内的222个摄像头的录像。
黑客是如何实施攻击的?首先,Verkada出售安全摄像头,其客户可以通过一个名为Command的网络平台,来管理该公司出售的安全摄像头。这个平台将跨设备的数据汇总到一起,再向用户提供跨站点的完整画面信息。
但黑客们在互联网上定点攻击并拿到了Verkada管理账户的用户名和密码,从而获得了这些视频权限。所以,这是一家供应商无意间打开进入客户网络后门,而引发的网络安全事件。
而在2020年震惊全球的SolarWinds攻击事件,也是通过类似的套路——盯上系统背后的基础软件。
四年前,黑客主要依靠鱼叉式钓鱼窃取登录凭证。这种攻击方式是冒充他人欺骗电子邮件收件人点击恶意链接。如今,黑客不会直接针对组织,而是通过后面的基础软件入侵,并以此为跳板达到他们的目标。
这起黑客攻击事件,最终导致美国财政部、司法部、能源部、商务部、国务院、国土安全部、劳工部、能源部,以及微软、思科、洛克希德-马丁公司等等《财富》世界500强公司中的425家遭受威胁,共计有1.8万家公司或机构下载了SolarWinds藏有恶意代码的更新软件。
这次网络攻击利用了一个看起来不太可能的“源头”——一家鲜为人知的软件公司SolarWinds。SolarWinds是全球网络和系统管理工具型软件,它是大多数企业的基础软件,通常不受关注,主要供维护计算机网络和软件正常运行的技术人员使用,就类似公司的管道系统。
黑客早在2019年9月,就通过该公司的一个Office 365电子邮件系统入侵了进来,然后以此为跳板侵入了该公司的其他Office 365账户,并潜伏了数月。
黑客们利用软件产品中的已知漏洞,通过猜测在线密码,以及利用微软基于云计算软件配置方式中的各种问题,侵入了其他各种系统。
这次入侵之所以能够成功,更大的背景是许多企业和政府正在精简他们的供应商,许多供应商也在提供更丰富的服务,以抢占市场。黑客们显然利用了这一点,高市场份额的公司如果不能做好网络安全防御,如此大的范围可让攻击者通过一个入口就打击多个目标,这也是集中化的劣势之一。
最终,黑客们都追求销声匿迹,例如把log日志清掉等等扫尾工作都做到位。“但这就是一个道高一尺魔高一丈的事,任何蛛丝马迹都可以去分析、去溯源。”向昶宇说。
“抹掉痕迹本身也是一种痕迹。”
三、被黑了怎么办?给黑客交赎金?
当被勒索软件攻击时,Colonial和JBS代表了大部分公司的反应。
首先,对于任何能源公司来说,病毒扩散到更深层的后果都是非常可怕的,因为有可能扩散到炼油厂、发电厂等上下游产业,Colonial只能选择先紧急关停。
而对于肉制品公司JBS来说,也选择了关停,主要是防止黑客接触到公司技术,很多技术是为公司业务定制的,这对企业利润至关重要,技术一旦被破坏将很难恢复。
如果你碰上的是网络正规军,他们往往从事间谍行为,除非处于国家之间交战状态,不然他们会隐藏自己,偷偷植入后门潜伏,搜集情报,甚至不会被对方发现。
但如果你遇到的是就想赚快钱的抢劫犯,他们会锁死你的系统,威胁要彻底清除所有数据,要你交赎金。
如果技术人员无法在短时间内成功解锁,人们可以暂时少吃点肉,但成品油的运输一旦暂停太久,对经济的影响面会广很多,所以Colonial选择了乖乖交赎金。
“抢劫犯”们遵循“盗亦有道”。例如攻击Colonial的黑客组织DarkSide,自称与政治无关,存在的目的只是赚钱。他们有一套判断机制,当准备去干一票时,会先检查这个公司是否符合要求,以免造成过于严重的社会问题。
这个黑客组织自称不会攻击医院、非盈利组织、疗养院,以及那些在新冠疫情中有贡献的公司。
至于赎金,他们会对受害公司进行评估后决定。同时承诺,支付赎金以后会解密数据,删除上传的数据,反之则会在TOR节点中公开数据,时间至少6个月。
不过黑客们的解密工具有时候也不是完全有效。当Colonial向黑客支付了近500万美元赎金后,所得到的解密工具没能有效恢复运营,最终还是依靠系统备份实现了恢复。
黑客通常会要求受害者用虚拟货币支付赎金,因为虚拟货币很难跨国追踪。美国官员并不鼓励受害公司支付赎金,因为这助长了犯罪行为,并且给犯罪组织提供资金以使他们可以提升技术。
近年来网络勒索案件数量激增。据WSJ报道,2020年报告给美国联邦调查局(FBI)的案件数达到近2500起,同比增加66%。
并且其实很难获得关于攻击的精确数据,原因之一是肇事者和受害者都希望保密。据区块链分析公司Chainalysis Inc.提供的信息,2020年,勒索软件受害者至少向犯罪分子支付了价值3.5亿美元的加密货币,金额增长了311%。
图片来源:华尔街日报
虽然政府一直告知企业,在受到黑客攻击时不应该支付赎金,但实际至少有一半的受害者最终支付了赎金。
很多公司不想失去数据,因为这会损害其业务。另外对于一些基础设施提供商来说,例如Colonial,停止运营太久对经济整体危害很大,所以Colonial的首席执行官Joseph Blount为自己辩解道:“我知道这是一个极具争议的决定,我承认看到钱被这样的人拿走,我并不好受。但对美国而言这是正确之举。”
这甚至都催生了一批赎金谈判公司。受害者们会在这样的谈判中感到愤怒,但赎金谈判公司会试图保持超然客观,他们先去分析黑客组织的策略和可信度,再为受害者提供如何应对的建议。
例如在被攻击公司高管们讨论应对策略的时候,谈判人员会通过电子邮件或在线聊天与黑客玩起猫鼠游戏。目的是了解黑客可能窃取了哪些数据,为受害者控制影响和利用备份恢复系统拖延时间。
自新冠疫情暴发以来,赎金勒索软件攻击已变得更加频繁,有很多手段也很无耻。
例如一所拥有1万名学生的学校(休斯顿谢尔登独立学区),近期遭到勒索软件攻击,导致该学区无法运作并威胁到马上要进行的薪水发放,该学区最终支付了20万美元赎金,讨价还价前的赎金数额为大约35万美元。
加州大学旧金山分校在2020年6月向一名黑客支付了114万美元赎金,因为黑客对很多重要学术数据进行了加密。
例如有一个黑客团体攻击了爱尔兰的公共医疗卫生系统,导致爱尔兰可能需要花费数千万欧元来修复。爱尔兰人就很刚,他们拒绝给黑客支付赎金,因为这样做“符合国家政策”。
被攻击后的应对措施(图片来源:IBM)
随着国际政治环境突变及新冠疫情肆虐,全球APT攻击越来越活跃,攻防趋于白热化。
并且攻击目标除企业外,政府机构和关键基础设施也都处于高风险之中,包括发电厂、核电站、石油运输管道、工业基础设施、医院、大学研究所等等。
黑客行为之所以会在国际局势动荡的时候变多,核心原因之一是网络攻击往往会“城门失火殃及池鱼”。例如大名鼎鼎的震网蠕虫病毒,就是美国和以色列联合开发的,这项工作至少从2005年就开始了,该病毒在2009年给伊朗核浓缩设施造成了物理损坏。
但网络武器就像生物武器一样,其打击范围往往会超过原定目标。病毒一旦释放,其源代码很容易被盗窃,任何懂网络技术的人都可以下载、研究和再利用。所以一年后,蠕虫病毒在全球爆发,在2011年导致了全球60%的个人电脑感染了这种病毒。
“共同毁灭原则”让核大国不敢使用核武器,但在网络领域,怎么去做好源代码的规范化保护也十分重要,应该避免一些本属于国家的工具,落入到不法分子手中并产生社会安全问题。
在网络世界对真实世界构成威胁越来越严重的今天,无论是大公司还是小公司,优秀的网络攻防应对能力正变得非常重要。甚至在投资机构中,也发生过被勒索软件攻击的案例。
大公司有一整个委员会来处理这件事,但对于小公司来说,被攻击的人可能会失去一切。
本文来自微信公众号:经纬创投(ID:matrixpartnerschina),作者:经纬创投主页君