您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
勒索攻擊無孔不入-美油氣大動脈被迫切斷引新一輪“關(guān)基”網(wǎng)絡(luò)安全大恐慌
一、業(yè)界熱議擔(dān)憂
美國最大的油氣管道公司Colonial遭到網(wǎng)絡(luò)攻擊被迫停止運營,在剛剛過去的周末成為了新聞的頭條。事件的初期情況本號早先已有跟蹤。主流媒體紐約時報、路透社、華盛頓時報、連線、安全周刊、政治家等均進行了報道,雖然事件的細節(jié)和具體影響還未明朗,但從網(wǎng)絡(luò)安全行業(yè)的專家評述中不難看出,勒索之患、關(guān)基安危,任重道遠!
諾特丹大學(xué)(University of Notre Dame)網(wǎng)絡(luò)安全專家、美國國家安全局(National Security Agency)前官員邁克·查普(Mike Chapple)
Colonial管道公司的網(wǎng)絡(luò)攻擊似乎表明,黑客“極其復(fù)雜”,或者系統(tǒng)沒有得到妥善保護。Chapple說,“管道關(guān)閉發(fā)出的信息是,我們國家基礎(chǔ)設(shè)施的核心元素仍然容易受到網(wǎng)絡(luò)攻擊?!?/p>
工業(yè)網(wǎng)絡(luò)安全公司公司Claroty首席產(chǎn)品官Grant Geyer
如果攻擊源于惡意軟件或勒索軟件感染系統(tǒng),無意行為,網(wǎng)絡(luò)問題可能是固定在幾天或幾周的問題,取決于Colonial應(yīng)對攻擊的準備充分程度。
但如果是某個國家指揮了這次攻擊,就需要廣泛的網(wǎng)絡(luò)安全應(yīng)對,以修補可能成為日后感染的“后門”的漏洞?!昂芏嗫刂乒I(yè)環(huán)境的系統(tǒng),在某些情況下是由充滿漏洞的過時Windows系統(tǒng)管理的,”Geyer說。他補充說,這個問題在能源行業(yè)尤為嚴重。
工業(yè)網(wǎng)絡(luò)安全公司Dragos的首席執(zhí)行官、工業(yè)計算機系統(tǒng)風(fēng)險專家Rob Lee
“這是我們所見過的網(wǎng)絡(luò)攻擊對美國能源系統(tǒng)的最大影響,完全停止了運營?!盠ee指出,除了對Colonial管道公司或其所運輸燃料的許多供應(yīng)商和客戶造成財務(wù)影響外,2020年美國約40%的電力是通過燃燒天然氣產(chǎn)生的,超過任何其他來源。他認為,這意味著管道遭受網(wǎng)絡(luò)攻擊的威脅對民用電網(wǎng)構(gòu)成了重大威脅。他說:“攻擊者有能力通過切斷天然氣供應(yīng)從而影響電力系統(tǒng)。這是件大事,”他補充道。他說:“供應(yīng)商受到了來自犯罪行為的勒索軟件攻擊,這甚至不是國家支持的攻擊,它就這樣影響了系統(tǒng)?”
“他們會在最初的24到72小時內(nèi)了解這一點?!彼a充說,如果攻擊僅限于Colonial的IT業(yè)務(wù)計算機系統(tǒng),“我認為這種攻擊相對來說是短暫的?!币粋€關(guān)鍵問題是,勒索軟件攻擊是否不僅直接感染了Colonial的業(yè)務(wù)端電腦——即所謂的IT系統(tǒng)——還會直接感染其運行管道的“操作”系統(tǒng)(即控制系統(tǒng))。他說,如果是這樣的話,這次攻擊“可能會影響更大”,將政府關(guān)門的時間延長“幾天或幾周”。
事件最終的影響很大程度上取決于Colonial能以多快的速度重啟管道——而這又取決于該公司的網(wǎng)絡(luò)顧問能否確定這樣做是安全的。即便如此,這次攻擊只是黑客攻擊水廠、煉油廠、化工廠或電網(wǎng)等關(guān)鍵系統(tǒng)的最新事件,其中包括俄羅斯切斷烏克蘭部分電力供應(yīng)的臭名昭著的事件。這也是不斷增長的勒索攻擊瘟疫的一部分,勒索軟件攻擊通常是要求付款的黑客使醫(yī)院、警察局或市政府等目標癱瘓。
西雅圖前首席信息官、網(wǎng)絡(luò)安全公司CI Security的首席信息官邁克·漢密爾頓(Mike Hamilton)
“目前還不清楚是誰,但有一些有趣的可能性。”“如果Colonial公司被勒索,這可能是有組織的犯罪,但并不一定是有組織的犯罪,因為民族國家已經(jīng)知道使用勒索軟件作為虛假的旗幟來混淆他們的動機?!薄叭绻鸆olonial不是被敲詐,”漢密爾頓繼續(xù)說,“這可能是純粹的破壞,目的是在美國經(jīng)濟中制造進一步的混亂。”這是一些國家的戰(zhàn)略利益,特別是那些國內(nèi)生產(chǎn)總值中很大一部分依賴能源的國家;這一行動可能會導(dǎo)致能源價格飆升。”
漢密爾頓還提出了網(wǎng)絡(luò)激進主義的可能性,但他說,這種活動發(fā)生在管道建設(shè)過程中?!斑@有一個意義重大的暗示,”漢密爾頓說?!斑@些管道已被指定為關(guān)鍵基礎(chǔ)設(shè)施。故意破壞或攻擊這些系統(tǒng)可被視為恐怖主義行為。隨著對該事件了解的更多,以及參與者的動機變得清晰,我們將發(fā)現(xiàn)該事件是否將我們從一個寒冷的網(wǎng)絡(luò)沖突帶到了一個溫暖得多的網(wǎng)絡(luò)沖突。”
能源研究員、《能源的數(shù)字未來》(energy’s Digital Future)一書的作者艾米·邁爾斯·賈菲(Amy Myers Jaffe)
“這不是一個小目標,”?!癈olonial管道最終是美國管道系統(tǒng)的命脈。這是我們所知的對美國能源基礎(chǔ)設(shè)施最重要、最成功的襲擊。如果沒有任何后果,我們是幸運的,但這確實是一個警鐘?!?/p>
這可能是美國迄今面臨的最嚴重的一次成功襲擊。
網(wǎng)絡(luò)安全公司Gigamon威脅情報研究人員Joe Slowik
Slowik曾在美國能源部領(lǐng)導(dǎo)計算機安全與應(yīng)急響應(yīng)團隊。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)在2020年初警告稱,2019年底,黑客在一家未具名的美國天然氣管道公司的網(wǎng)絡(luò)上植入了勒索軟件——盡管這家公司的規(guī)模不及Colonial公司。在那次早期的管道勒索軟件攻擊中,CISA警告說,黑客已經(jīng)進入了目標管道公司的IT系統(tǒng)和“OT”系統(tǒng)——負責(zé)控制物理設(shè)備的計算機網(wǎng)絡(luò)。在這次Colonial管道公司的案例中,目前尚不清楚黑客是否跨越了這一關(guān)口,使系統(tǒng)能夠允許他們干預(yù)管道的物理狀態(tài),或創(chuàng)造潛在的危險物理條件。Slowik說:作為一個安全預(yù)防措施,在這種情況下,作業(yè)者對事件的反應(yīng)是正確的?!耙坏┠悴荒艽_保對環(huán)境的積極控制和對操作的清晰可見性,那么你就需要關(guān)閉它。”
內(nèi)布拉斯加州共和黨參議員本·薩瑟(Ben Sasse)
這次攻擊是政府還沒有準備好應(yīng)對潛在的網(wǎng)絡(luò)攻擊的最新明證?!瓣P(guān)于這次襲擊是如何發(fā)生的,顯然還有很多要了解的細節(jié),但我們可以確定兩件事:這是一場將再次上演的鬧劇,而我們沒有充分準備,”薩瑟在一份聲明中說?!叭绻麌鴷A(chǔ)設(shè)施一攬子計劃是認真的,首要和核心應(yīng)該是強化這些關(guān)鍵部門——而不是偽裝成基礎(chǔ)設(shè)施的進步清單?!?/p>
對管道網(wǎng)絡(luò)安全有直接管轄權(quán)的機構(gòu)是TSA,政府審計人員批評該機構(gòu)人手不足,對這項任務(wù)毫無準備。
參議員Ed Markey (D-Ma.)
聯(lián)邦政府長期以來未能對管道安全給予必要的關(guān)注。他指出,美國政府問責(zé)局的一份報告顯示,直到2019年,運輸安全管理局(TSA)只有6名全職工作人員負責(zé)管道安全。他在一份聲明中表示:“盡管我們需要更多關(guān)于導(dǎo)致Colonial 管道公司網(wǎng)絡(luò)攻擊的信息,但我們不能忽視長期存在的不足,正是這些不足導(dǎo)致了對我們關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵,并使之成為可能。”
美國聯(lián)邦調(diào)查局(FBI)和聯(lián)邦能源委員會(FERC)
他們正在與其他聯(lián)邦機構(gòu)合作,監(jiān)控網(wǎng)絡(luò)攻擊的進展情況。美國能源部(Department of Energy)表示,正在與各州和能源部門合作,監(jiān)控任何可能出現(xiàn)的燃料短缺。美國運輸部(Department of Transportation)下屬的管道及危險材料安全管理局(Pipeline and Hazardous Materials Safety Administration)負責(zé)調(diào)查管道事故,并在管道關(guān)閉后對其重新啟動進行評估,該機構(gòu)沒有立即回答問題。
二、對能源供給的潛在影響
Colonial輸油管道是美國最大的成品油管道,每天輸送250萬桶原油,占東海岸消耗燃料總量的45%左右,包括汽油、柴油、航空燃油和取暖油。
Colonial公司管道線路圖示
美國能源部(Department of Energy)表示,正在監(jiān)測該事件對美國能源供應(yīng)的潛在影響,而美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(U.S. Cybersecurity and Infrastructure Security Agency)和美國運輸安全管理局(Transportation Security Administration)對路透社(Reuters)表示,他們也在研究這一情況。
“我們正在與該公司和我們的跨部門合作伙伴就這一情況進行溝通。這凸顯了勒索軟件對任何規(guī)?;蝾I(lǐng)域的組織所構(gòu)成的威脅,”CISA網(wǎng)絡(luò)安全部門執(zhí)行助理主任埃里克·戈爾茨坦說。
Colonial沒有提供更多細節(jié),也沒有說明其管道將被關(guān)閉多長時間。這家位于喬治亞州的私營公司由CDPQ Colonial Partners l.p.、IFM(美國)Colonial Pipeline 2 LLC、KKR-Keats Pipeline Investors l.p.、Koch Capital Investments company LLC和Shell Midstream Operating LLC所有。
美國汽車協(xié)會(American Automobile Association)表示,長時間停電可能會導(dǎo)致加油站汽油價格上漲,這是消費者在夏季駕駛季節(jié)來臨前的擔(dān)憂。
咨詢公司Lipow Oil Associates的總裁李泊(Andrew Lipow)說,持續(xù)四五天的關(guān)閉可能會導(dǎo)致美國東海岸依賴輸油管道輸送的燃料零星中斷。
在上周五首次傳出關(guān)閉的消息后,紐約商品交易所(New York Mercantile Exchange)汽油期貨上漲0.6%,柴油期貨上漲1.1%,兩者的漲幅都超過了原油。墨西哥灣沿岸汽油和柴油的現(xiàn)金價格小幅下跌,因市場預(yù)期該地區(qū)的供應(yīng)可能會累積。
Lipow說:“隨著時間一天天過去,它對墨西哥灣煉油的影響越來越大。”“煉油商將不得不減少原油加工,因為他們失去了部分分銷系統(tǒng)?!?/p>
路透社當?shù)貢r間8日聯(lián)系的煉油企業(yè)表示,它們的業(yè)務(wù)尚未受到影響。
與此同時,金德摩根公司表示,為許多相同地區(qū)提供服務(wù)的產(chǎn)品(SE)管道公司仍在全面服務(wù)。
PPL目前正在與客戶合作,以在Colonial停產(chǎn)期間容納更多桶。PPL可以通過其管道網(wǎng)絡(luò)從路易斯安那州向華盛頓特區(qū)輸送約72萬桶/天的油料。
三、幕后攻擊者猜測
據(jù)路透社報道,來自安全公司火眼的事件響應(yīng)人員正在協(xié)助該公司,調(diào)查人員懷疑一個名為Darkside的勒索軟件組織可能對此負責(zé)。根據(jù)網(wǎng)絡(luò)安全公司Cybereason的一份報告,Darkside已經(jīng)攻擊了40多個受害者組織,并要求他們支付20萬到200萬美元的贖金。
在勒索軟件領(lǐng)域,Darkside組織是一個相對較新的玩家,但它很快就以耐心、能力、老練和巨額贖金贏得了聲譽。
安全公司Varonis調(diào)查了幾起Darkside黑客入侵事件,他們表示:“Darkside勒索軟件攻擊活動因使用了隱形技術(shù)而引人注目,尤其是在早期階段?!薄霸摻M織進行了仔細的偵察,并采取了步驟,以確保他們的攻擊工具和技術(shù)能夠逃避被監(jiān)控設(shè)備和終端的檢測。
Varonis說:“該組織聲稱,它試圖侵入有能力支付巨額贖金的大公司,而不是學(xué)校、醫(yī)院和其他資金緊張但日益成為目標的組織。”
四、美政府網(wǎng)安新政面臨質(zhì)疑
國土安全部曾表示,它正試圖動員整個私營部門參與打擊勒索軟件的斗爭,包括向企業(yè)提供更大的激勵措施,鼓勵它們改善網(wǎng)絡(luò)安全。美國國土安全部部長亞歷杭德羅·馬約卡斯(Alejandro Mayorkas)近日在美國商會(U.S. Chamber of Commerce)的一次活動上說:“如果一個人認為自己不會受到網(wǎng)絡(luò)攻擊……或與網(wǎng)絡(luò)攻擊隔絕,那他很可能就是把一個更大的目標放在了自己的身上?!?/p>
一位TSA發(fā)言人8日晚些時候表示,該機構(gòu)和CISA“將在未來幾天與管道行業(yè)接觸,分享從這起事件中獲得的信息,并利用我們的集體資源提供支持?!?/p>
Colonial的事件突顯出,網(wǎng)絡(luò)攻擊可以在不直接損壞設(shè)備的情況下破壞美國的關(guān)鍵基礎(chǔ)設(shè)施。遭受電腦入侵的基礎(chǔ)設(shè)施運營商通常會關(guān)閉某些功能或設(shè)施,以防止問題進一步蔓延。通過這種方式,一個看似很小的工資單或電子郵件系統(tǒng)被破壞,就會引起連鎖反應(yīng),促使公司停止生產(chǎn)、能源分配或其他重要操作。
改善能源部門的網(wǎng)絡(luò)安全一直是幾個聯(lián)邦機構(gòu)的一項關(guān)鍵任務(wù)。上個月,能源部和CISA發(fā)起了一項倡議,與電力行業(yè)的工業(yè)控制系統(tǒng)運營合作,以提高網(wǎng)絡(luò)安全檢測。
此次管道攻擊可能是拜登政府整體網(wǎng)絡(luò)戰(zhàn)略的一塊試金石。該戰(zhàn)略正在慢慢成形,至少在公開場合,主要是針對俄羅斯和中國的網(wǎng)絡(luò)間諜活動做出反應(yīng),這些活動范圍廣泛,但沒有造成實質(zhì)性破壞。到目前為止,政府的主要手段是制裁和起訴,正如拜登上個月為回應(yīng)俄羅斯的太陽風(fēng)(SolarWinds)網(wǎng)絡(luò)行動而發(fā)布的一項行政命令所示。
這一最新網(wǎng)絡(luò)安全事件可能會給拜登政府和議員們帶來更大壓力,因為他們正在就將網(wǎng)絡(luò)安全資金加入政府2萬億美元以上的基礎(chǔ)設(shè)施計劃展開辯論。該計劃因缺乏資金滿足這些需求而受到審查。
美國的關(guān)鍵能源網(wǎng)絡(luò)和其他關(guān)鍵系統(tǒng)都面臨著一系列威脅,包括網(wǎng)絡(luò)攻擊和維護滯后。去年,在北卡羅來納州夏洛特附近的一個自然保護區(qū),Colonial公司的輸油管道出現(xiàn)裂縫,但在幾天或幾周內(nèi)都沒有被發(fā)現(xiàn),導(dǎo)致120萬加侖汽油泄漏。今年2月,黑客進入了佛羅里達州坦帕附近的一個水處理設(shè)施的計算機系統(tǒng)。本質(zhì)上是試圖用大量流入的堿液毒害水源。2017年6月,作為所謂“NotPetya”網(wǎng)絡(luò)攻擊的一部分,俄羅斯軍事黑客還將目標對準了烏克蘭的銀行、能源公司、高級政府官員和機場的計算機系統(tǒng)。聯(lián)邦檢察官指控伊朗黑客試圖滲入紐約州北部一座大壩的控制系統(tǒng)。
參考資源
https://www.politico.com/news/2021/05/08/colonial-pipeline-cyber-attack-485984
https://www.wired.com/story/colonial-pipeline-ransomware-attack/
https://www.nytimes.com/2021/05/08/us/cyberattack-colonial-pipeline.html
https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/
https://www.securityweek.com/cyberattack-forces-shutdown-major-us-pipeline
來源:網(wǎng)空閑話