摸不著的“危險”

文／本刊記者 于 洋

在經(jīng)濟和政治因素的交織下，網(wǎng)絡(luò)安全防護就像一場沒有硝煙的戰(zhàn)爭。

▲科洛尼爾事件給美國帶來了巨大混亂。 供圖/視覺中國

美國最大成品油管線的運用者科洛尼爾遭勒索事件的余波仍在擴散。7月15日，在距科洛尼爾成品油管道遭勒索的兩個多月后，美國國務(wù)院宣布公開懸賞1000萬美元，征集可以識別或定位惡意網(wǎng)絡(luò)行為者的信息和線索。這些線索主要是指那些在外國政府的支持下，以美國的關(guān)鍵基礎(chǔ)設(shè)施為攻擊目標的惡意網(wǎng)絡(luò)行為。為了配合這項行動，美國稱已建立了一個“暗網(wǎng)”舉報渠道，以保護潛在消息來源的安全。

這是美國兩個月來繼《改善國家網(wǎng)絡(luò)安全行政令》和《輸油管道網(wǎng)絡(luò)安全條例》以來，又一個針對重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要舉措。

毫無疑問，科洛尼爾成品油管道遭網(wǎng)絡(luò)勒索暴露了美國關(guān)鍵基礎(chǔ)設(shè)施體系網(wǎng)絡(luò)安全防護的嚴重不足。成品油管道作為重要基礎(chǔ)設(shè)施遭網(wǎng)絡(luò)勒索引起的連鎖反應(yīng)讓美國“痛徹心扉”，誓要在重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面“痛改前非”。

其實，人們在享受著萬物聯(lián)網(wǎng)的“狂歡”背后，“危險”也會悄然降臨。

美國敲響警鐘

多年來，一向樂于逼迫企業(yè)開“后門”的美國，萬萬沒想到一次針對成品油管線的網(wǎng)絡(luò)勒索事件差點讓全國進入緊急狀態(tài)。

5月7日，美國的老牌私人管道運營公司科洛尼爾管道運輸公司突然宣布暫時“無限期”關(guān)閉全部的輸油管線。消息一出，美國乃至全球嘩然。

為什么呢？這家名為“Colonial”的管道運輸公司運營著美國最大的成品油運輸管線。該管線建成于1963年，從得克薩斯州休斯敦出發(fā)，一路北上抵達紐約港，全長5500英里（約合8900公里），途經(jīng)12個州，是美國最大的成品油運輸管道。

8900公里有多長？意味著我們從河北出發(fā)，一路向南沿著沿海各省份到海南繞一圈再轉(zhuǎn)到西南的四川這么長。對于一個“坐在車輪上的國家”來說，美國突然暫停東海岸45%的燃油供應(yīng)意味著什么，結(jié)果顯而易見。

被切斷東海岸供油“大動脈”后的美國加油站，可以稱為“一片混亂”：長長的車隊堵在加油站的門口，恐慌性搶購帶來的焦躁情緒，讓前來加油的人大打出手，暴力事件層出不窮……雖然4號管線已人工恢復(fù)部分，美國交通部下屬聯(lián)邦汽車運輸安全管理局也發(fā)布區(qū)域緊急狀態(tài)聲明，臨時給予18個州汽油、柴油、航空燃料和其他成品油的臨時運輸豁免（按照此前規(guī)定只能通過管道運輸），以確保通過公路運輸維持燃料供應(yīng)，但美國首都華盛頓在遭到攻擊后的第七天仍出現(xiàn)汽油短缺，使得華盛頓加油站的斷供率攀升至88%。美國汽車協(xié)會說，全美平均汽油價格已突破3美元/加侖（1加侖約合3.8升），創(chuàng)下了2014年10月以來的新高。

而造成這一切混亂讓美國頗為“頭疼”的原因，既不是武力襲擊也不是人為破壞，而是一個被稱為“Darkside”的“神秘”組織。這個組織僅僅使用了一串舊的VPN密碼，就對科洛尼爾管道公司的網(wǎng)絡(luò)進行了遠程“訪問”。它“訪問”的目的很簡單，不是擾亂社會秩序，而純粹是想要“贖金”。

或許沒有前車之鑒，或許是對自己應(yīng)對網(wǎng)絡(luò)勒索能力的肯定，一開始科洛尼爾堅定地回應(yīng)“不會向黑客妥協(xié)”。隨著情況的危急，在管道關(guān)閉5天后，科洛尼爾不得不向黑客支付了當時總價接近500萬美元的比特幣。也是在這一天，科洛尼爾的管道全線恢復(fù)。這次事件也成了美國目前最嚴重的油氣管網(wǎng)勒索事件。

DISCOURSE

其實，人們在享受著萬物聯(lián)網(wǎng)的“狂歡”背后，“危險”也會悄然來臨。

撕開冰山一角

雖然美國后來追回相當于230萬美元的比特幣，但面對黑客攻擊時的“無力感”已讓科洛尼爾和美國政府深深領(lǐng)教。事實上，這并不是石油行業(yè)第一次與勒索軟件“較量”。

“所謂的勒索軟件，是通過網(wǎng)絡(luò)勒索金錢的常用方法。它是一種網(wǎng)絡(luò)攻擊行為，可以立即鎖定目標用戶的文件、應(yīng)用程序、數(shù)據(jù)庫信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息，直到受害者支付贖金才能通過攻擊者提供的密鑰恢復(fù)訪問。”關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心研究員鄒佳信說。說直白一點，有點像我們的手機突然間“被掛失”了，然后攻擊者打來電話索要贖金，然后才幫你解鎖。而勒索軟件攻擊的這個“手機”，則是系統(tǒng)、服務(wù)器。

安全機構(gòu)統(tǒng)計顯示，2020年初全球每39秒就會發(fā)生一起勒索攻擊。截至2021年4月，全球每11秒就會發(fā)生一起勒索軟件攻擊事件。被勒索軟件攻擊的企業(yè)和組織，在2020年至少支付了3.5億美金的贖金。

網(wǎng)絡(luò)技術(shù)在石油行業(yè)的應(yīng)用已有多年歷史，石油公司遭到網(wǎng)絡(luò)攻擊的事件在近年來屢見不鮮。石油行業(yè)歷史上最知名的一起“被黑事件”的受害者，就是全球最大的石油公司——沙特阿美。

2012年，一款叫作Shamoon的病毒襲擊了沙特阿美石油公司。襲擊導(dǎo)致數(shù)小時內(nèi)該公司3.5萬臺電腦上的數(shù)據(jù)被部分或完全刪除。由于2012年的原油價格正處于100美元/桶左右的高位，所以該網(wǎng)絡(luò)攻擊事件一度引發(fā)沙特乃至全球原油市場的恐慌。據(jù)沙特阿美方面稱，這次攻擊的主要目的是干擾沙特的原油生產(chǎn)。業(yè)內(nèi)分析師稱，網(wǎng)絡(luò)攻擊是一種新型的戰(zhàn)爭。隨后，2017年1月，沙特一家化學(xué)公司也遭到了網(wǎng)絡(luò)攻擊。沙特發(fā)出警告，Shamoon病毒可能卷土重來。

歐洲第一大原油生產(chǎn)國挪威在2014年也遭到了網(wǎng)絡(luò)黑客的攻擊。據(jù)挪威政府部門稱，當時該國約有300家石油能源公司淪為黑客的攻擊目標，有50家公司確認遭到網(wǎng)絡(luò)攻擊。此后，能源咨詢公司DNVGL和殼牌石油、挪威石油、西門子、霍尼韋爾等知名企業(yè)曾建立過工程項目合約，共同應(yīng)對石油行業(yè)的網(wǎng)絡(luò)威脅。

“針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊不勝枚舉，能源行業(yè)尤其成為‘重災(zāi)區(qū)’。”盤古智庫高級研究員呂晶華說。西門子公司的一項研究表明，在過去12個月的時間里，68%的美國石油和天然氣公司至少經(jīng)受過一次網(wǎng)絡(luò)攻擊。2020年以來，就有葡萄牙EDP公司、意大利EnelGroup公司、巴基斯坦K-Electric電力公司等遭受過類似攻擊。2019年底，美國另一家天然氣管道公司的網(wǎng)絡(luò)也被植入勒索軟件。電力、醫(yī)療以及其他公共設(shè)施等，都是網(wǎng)絡(luò)攻擊的對象。

▲能源行業(yè)與黑客的較量持續(xù)激烈。 供圖/胡慶明視覺中國

在網(wǎng)絡(luò)勒索浪潮下，沒有一個幸存者。油氣管道作為能源行業(yè)的基礎(chǔ)設(shè)施，一旦遭到破壞將帶來連鎖性反應(yīng)，更容易成為勒索軟件組織的攻擊目標。“石油管道，肯定是網(wǎng)絡(luò)攻防對抗的前沿陣地，也是對手攻擊的主要目標。”北京安帝科技有限公司董事長周磊說，“研究人員發(fā)現(xiàn)，能源行業(yè)是受工業(yè)控制系統(tǒng)（ICS）漏洞影響最大的行業(yè)之一。以色列工業(yè)網(wǎng)絡(luò)安全公司CLAROTY 2020年下半年（2H）披露的ICS漏洞，比2018年下半年增加了74%。針對Colonial Pipeline的勒索攻擊，只是未來網(wǎng)絡(luò)攻擊的一個試探。當網(wǎng)絡(luò)罪犯和外國對手尋找機會獲得經(jīng)濟利益和投射權(quán)力時，國家的關(guān)鍵基礎(chǔ)設(shè)施就很容易成為攻擊的目標。”

困難的反勒索

在科洛尼爾管道運輸公司遭到勒索的1個月后，美國司法部在6月7日證實，調(diào)查人員已經(jīng)成功追回科洛尼爾管道運輸公司先前向“黑客”支付的、總價大約230萬美元的比特幣。為應(yīng)對黑客利用勒索軟件攻擊重要實體產(chǎn)業(yè)，美國司法部成立了一個專門應(yīng)對勒索軟件攻擊的工作小組。按照美聯(lián)社說法，這是工作小組首次追回贖金。但遺憾的是，雖然后來有國家出面——美國聯(lián)邦調(diào)查局的調(diào)查，從黑客如何成功入侵的深層原因來看目前仍沒有明確消息。

有相關(guān)人士分析認為，此次勒索事件并沒有對OT運營系統(tǒng)進行攻擊。由于防御力度較強，針對OT運營技術(shù)的直接攻擊非常少，黑客更有可能是通過企業(yè)管理部門訪問了科洛尼爾的計算機系統(tǒng)即IT系統(tǒng)進行攻擊。在對科洛尼爾的IT系統(tǒng)進行攻擊的同時，“Darkside”順便拿走了科洛尼爾運輸公司大量的數(shù)據(jù)。這些數(shù)據(jù)成為攻擊者勒索的“籌碼”。

同科洛尼爾一樣，很多企業(yè)通常會認為支付贖金是取回數(shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金通常會被直接用于下一代勒索軟件的開發(fā)。所以，很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進化。

如果不交贖金呢？那么，恢復(fù)數(shù)據(jù)就需要很高的成本。安全和IT員工需要全天候進行工作，將系統(tǒng)恢復(fù)至運行狀態(tài)，這個過程中需要支出設(shè)備、運營成本等。如果數(shù)據(jù)恢復(fù)成本大于贖金成本，那么受害組織很有可能會付錢。否則，攻擊者會“撕票”，或者把數(shù)據(jù)拿到“暗網(wǎng)”上出售。然而，這里面也可能有支付完贖金被騙的情況發(fā)生。

即使無奈交了“贖金”，這些“贖金”通常很難被追回。“由于黑客要求的贖金通過數(shù)字加密貨幣支付，導(dǎo)致警方難以追蹤和取證。”鄒佳信說。黑客利用勒索軟件發(fā)動攻擊如今演化為“高度分工合作的行當”，黑客網(wǎng)絡(luò)由勒索軟件供應(yīng)商、贖金談判人員、攻擊執(zhí)行人員及話務(wù)員等組成。“這讓反勒索難上加難，很多遭受勒索的公司最后只能乖乖‘花錢消災(zāi)’。”鄒佳信說。

科洛尼爾公司首席執(zhí)行官約瑟夫·布朗特認為：“追究網(wǎng)絡(luò)攻擊者的責(zé)任、擾亂讓黑客得手的‘生態(tài)系統(tǒng)’，是挫敗并防止今后發(fā)生類似網(wǎng)絡(luò)攻擊的最佳方式。”但事實告訴我們，挫敗黑客組織并不是一件易事。

下一個是誰

有的黑客組織為錢，有的黑客組織實施勒索則含有政治的意味。近年來，全球市場對網(wǎng)絡(luò)攻擊的恐慌情緒愈加升溫。此前，股神巴菲特表達了對網(wǎng)絡(luò)攻擊的擔(dān)憂。巴菲特認為，網(wǎng)絡(luò)攻擊是人類最大威脅，甚至比核戰(zhàn)爭還可怕。他曾在伯克希爾哈撒韋股東大會上表示：“我十分憎恨大規(guī)模殺傷武器，但我認為發(fā)生核戰(zhàn)爭的可能性要低于網(wǎng)絡(luò)攻擊。雖然我對網(wǎng)絡(luò)攻擊知道的不多，但我真的認為這是人類目前所面臨的第一大問題。”

這句話的含義，被2010年的“震網(wǎng)”事件充分體現(xiàn)。2006年，伊朗重啟核計劃的消息一出，震驚了美國與以色列。不愿以武力解決的美國聯(lián)合以色列，對伊朗發(fā)動了互聯(lián)網(wǎng)史上第一對工控系統(tǒng)的襲擊——“震網(wǎng)”行動，真正拉開了網(wǎng)絡(luò)病毒作為“超級破壞性武器”并且改變戰(zhàn)爭模式的序幕。

▲網(wǎng)絡(luò)病毒對能源發(fā)展的影響舉足輕重。 供圖/視覺中國

具體來說，作為完全由代碼組成的網(wǎng)絡(luò)武器，“震網(wǎng)”病毒以伊朗核設(shè)施使用的西門子監(jiān)控與數(shù)據(jù)采集系統(tǒng)為進攻目標，通過控制離心機轉(zhuǎn)軸的速度來破壞伊朗的核設(shè)施。“震網(wǎng)”病毒潛入伊朗核設(shè)施后，先記錄系統(tǒng)正常運轉(zhuǎn)的信息，等待離心機注滿核材料。潛伏13天后，它一邊向控制系統(tǒng)發(fā)布此前記錄的正常運轉(zhuǎn)的信息，一邊指揮離心機非常態(tài)運轉(zhuǎn)，突破其最大轉(zhuǎn)速造成其物理損毀。

于是，在感染“震網(wǎng)”病毒后，伊朗上千臺離心機直接發(fā)生損毀或爆炸。這同時導(dǎo)致了放射性元素鈾的擴散和污染，造成了嚴重的環(huán)境災(zāi)難。

根據(jù)媒體報道，“震網(wǎng)”病毒毀壞了伊朗近1/5的離心機，感染了20多萬臺計算機，導(dǎo)致1000臺機器物理退化，并使得伊朗核計劃倒退了兩年。此外，鑒于“震網(wǎng)”病毒的擴散程度，要清除鈾濃縮過程中涉及的所有計算機設(shè)備的病毒將非常困難。也許正是這些憂慮，伊朗2010年11月全面暫停了納坦茲的鈾濃縮生產(chǎn)。

然而，真正令人吃驚的事情是：伊朗在開始排查核設(shè)施之后，竟一直沒能發(fā)現(xiàn)核設(shè)施內(nèi)工業(yè)控制系統(tǒng)出現(xiàn)的問題。直到2010年6月，國際網(wǎng)絡(luò)安全公司“賽門鐵克”發(fā)布“震網(wǎng)”病毒的報告，伊朗才知曉自己被“黑”。

賽門鐵克2010年8月指出，全球60%的受感染計算機在伊朗。俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基實驗室指出，如此復(fù)雜的攻擊只能在“國家支持下”才可進行。這也進一步證實了發(fā)起“震網(wǎng)”攻擊的幕后主使，即伊朗的宿敵美國。

“震網(wǎng)”病毒在癱瘓伊朗核設(shè)施時所呈現(xiàn)出的隱蔽性、復(fù)雜性與巨大的殺傷力，不僅“弄懵”了伊朗，而且震撼了世界。美國并未派遣一兵一卒進入伊朗，以色列也不用派遣F-16來進行高風(fēng)險的跨境打擊任務(wù)。美以兩國只需要坐等伊朗核設(shè)施自行崩潰即可。

真正更為可怕之處，在于伊朗本身并未有像樣的反制能力。如果說，伊拉克戰(zhàn)爭向世人展現(xiàn)了美國只用空中打擊就能滅亡一國的軍事實力，那么“震網(wǎng)”病毒所呈現(xiàn)的就是美國在互聯(lián)網(wǎng)時代強大的攻擊能力，以及與他國之間的能力“代差”。美國憑借著這種“代差”又一次打贏了一場“戰(zhàn)爭”，成功逼迫伊朗在談判桌前與美國對話。

而下一個又會是誰呢？長期以來，美國黑客組織持續(xù)對我國實施網(wǎng)絡(luò)攻擊。在7月初的我國外交部例行記者會上，外交部發(fā)言人汪文斌指出，通過監(jiān)測分析，目前已發(fā)現(xiàn)多個美國黑客組織以我國黨政機關(guān)、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關(guān)主機為主要目標，實施漏洞掃描攻擊、暴力破解、DDoS攻擊等攻擊行為。

互聯(lián)網(wǎng)下，誰都有可能是下一個被攻擊的目標。