0
| 本文作者: 付靜 | 2021-05-12 07:10 |
最近,美國最大燃油管道運(yùn)營商遭遇勒索軟件攻擊,導(dǎo)致輸油管線運(yùn)輸大范圍中斷,引發(fā)國際社會(huì)廣泛關(guān)注。
當(dāng)?shù)貢r(shí)間 5 月 7 日,美國大型成品油管道系統(tǒng)運(yùn)營商科洛尼爾管道運(yùn)輸公司(Colonial Pipeline)因遭黑客非法控制電腦系統(tǒng)、數(shù)據(jù),不得不臨時(shí)關(guān)閉設(shè)備。
當(dāng)?shù)貢r(shí)間 5 月 9 日,美國最大燃油輸送管線被迫關(guān)停,已導(dǎo)致美國東海岸 45% 的汽油、柴油等燃料供應(yīng)受影響。基于此,美國政府宣布 17 個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。
公開資料顯示,這條管道全長 8851 公里,連接著墨西哥灣沿岸地區(qū)與美國東部和南部,其重要性正如美國氣候政策實(shí)驗(yàn)室研究教授兼總經(jīng)理 Amy Myers Jaffe 所言:
它不僅是一條輸油管道,可以說是美國基礎(chǔ)設(shè)施的大動(dòng)脈。
截至發(fā)稿,美國方面尚未有管道全面恢復(fù)的消息。
據(jù)福布斯網(wǎng)站最新消息,Colonial Pipeline 僅設(shè)法重新啟動(dòng)了一小部分管道作為權(quán)宜之計(jì),并且預(yù)計(jì)周末前仍無法全面恢復(fù)服務(wù)。同時(shí)這一現(xiàn)狀引發(fā)了民眾恐慌性購買,加之季節(jié)性需求高峰臨近,油價(jià)飆升。例如在佐治亞州北部,加油站已不再支持使用任何種類的信用卡支付,只能是現(xiàn)金預(yù)付。
在這一節(jié)點(diǎn)上,我們有必要深入了解一下此次網(wǎng)絡(luò)攻擊的幕后黑手——俄羅斯黑客團(tuán)伙 DarkSide。
DarkSide 于 2020 年 8 月首次在俄語黑客論壇上露面,網(wǎng)絡(luò)安全公司 Kaspersky 將其定義為一家“公司”,因?yàn)槠渚W(wǎng)站看上去頗為專業(yè),還曾嘗試與記者、解密公司進(jìn)行合作。
【DarkSide 勒索軟件的廣告】
雷鋒網(wǎng)此前曾報(bào)道,DarkSide 通常攻擊非俄語國家,其主要攻擊手段是向目標(biāo)系統(tǒng)植入惡意軟件,從而索要贖金。這種惡意軟件也被稱為“勒索病毒”,一旦進(jìn)入本地就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。病毒利用各種加密算法對(duì)文件進(jìn)行加密,必須拿到解密的私鑰才有可能破解。因此基本的邏輯是等 Colonial Pipeline 支付贖金,DarkSide 才會(huì)解鎖。
知情人士稱,此次 DarkSide 索要的贖金或高達(dá)數(shù)百萬美元虛擬幣。
實(shí)際上在 4 月下旬,拜登政府出臺(tái)了一項(xiàng)提振能源供應(yīng)體系網(wǎng)絡(luò)安全的“百日計(jì)劃”,因此部分外媒認(rèn)為黑客是在挑釁白宮。
不過,根據(jù) DarkSide 網(wǎng)站題為《關(guān)于最新消息》的聲明,此次的網(wǎng)絡(luò)攻擊只是為了錢。
DarkSide 在聲明中提到:
我們不搞政治,不需要將我們與政府聯(lián)系在一起,也不需要尋找我們的動(dòng)機(jī)。我們的目標(biāo)是賺錢,不是給社會(huì)造成問題。從今天起,我們還要開始對(duì)每家合作伙伴進(jìn)行審核,希望他們的行為都不要產(chǎn)生社會(huì)影響。
知名網(wǎng)絡(luò)安全公司 Cybereason 報(bào)告稱,DarkSide 渴望表現(xiàn)出道德規(guī)范,甚至發(fā)布了客戶行為準(zhǔn)則,告訴客戶他們可以接受哪些攻擊目標(biāo)。DarkSide 業(yè)務(wù)范圍僅限各行業(yè)大公司,包括醫(yī)院、招待所、學(xué)校、非營利組織和政府機(jī)構(gòu)在內(nèi)的機(jī)構(gòu)、俄語國家機(jī)構(gòu)都不會(huì)是他們的涉獵范圍。
【DarkSide 向攻擊對(duì)象的“通知”界面】
不僅如此,DarkSide 還表示會(huì)將部分利潤捐贈(zèng)給慈善機(jī)構(gòu),盡管有些慈善機(jī)構(gòu)拒絕了捐款。
DarkSide 寫道:
無論您認(rèn)為我們的工作有多糟,我們還是為幫助別人改變生活感到開心。今天我們發(fā)出了第一筆捐款。
值得關(guān)注的是,Cybereason 發(fā)現(xiàn) DarkSide 非常專業(yè),甚至?xí)楣魧?duì)象提供 help desk(這里可以理解為技術(shù)支持)和電話號(hào)碼。
下圖展示的是 DarkSide 與攻擊對(duì)象之間的第一次交涉,其中攻擊對(duì)象要求 DarkSide 保證所竊取的數(shù)據(jù)在付款后刪除。
今年 4 月中旬,DarkSide 勒索軟件還推出了新功能——在談判期間如需向攻擊對(duì)象增加壓力,可以發(fā)動(dòng)分布式拒絕服務(wù)攻擊(DDoS 攻擊,指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊,或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器同時(shí)實(shí)施攻擊)。
DarkSide 維護(hù)著一個(gè)名為 DarkSide Leaks 的網(wǎng)站,網(wǎng)站參考了旨在揭露政府及企業(yè)腐敗行為的大型文檔泄露及分析網(wǎng)站 WikiLeaks,如果攻擊對(duì)象不支付贖金(從 20 萬美元到 2000 萬美元不等),DarkSide Leaks 將會(huì)把數(shù)據(jù)公之于眾。
引用來源:
https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
