因最大燃油管道商遭網(wǎng)絡攻擊暫停運營，美國宣布進入國家緊急狀態(tài)。

受到勒索軟件攻擊影響，美國最大燃油運輸管道商科洛尼爾(Colonial Pipeline)公司被迫暫停輸送業(yè)務，對美國東海岸燃油供應造成了嚴重影響。次日，美國政府因此宣布進入緊急狀態(tài)。

這是美國首次因網(wǎng)絡攻擊而宣布進入國家緊急狀態(tài)，此前公布的緊急狀態(tài)大多是美國政府實施國家制裁或軍隊及公共衛(wèi)生相關。美國國家緊急狀態(tài)是賦予美國政府一項權力，這項權力可令美國政府實施通常情況下不允許發(fā)生的行為。拜登任期以來，已經(jīng)宣布三次緊急狀態(tài)，上一次是2021年4月15日，拜登政府宣布針對俄羅斯聯(lián)邦政府的特定危害國家安全的活動(包括對美國大選造成嚴重影響的行為)實施制裁。

在上周六(5月8日)發(fā)布的一份聲明中，該公司表示，5月7日發(fā)現(xiàn)遭受網(wǎng)絡攻擊，后續(xù)調(diào)查確定為勒索軟件攻擊。為了預防事態(tài)進一步擴大，該公司主動將關鍵系統(tǒng)脫機，以避免勒索軟件的感染范圍持續(xù)蔓延，并聘請了第三方安全公司進行調(diào)查。FBI、能源部、網(wǎng)絡安全與基礎設施安全局等多個聯(lián)邦機構一起參與了事件調(diào)查。

白宮發(fā)言人稱，拜登總統(tǒng)在上周六早上被通報此事，聯(lián)邦政府正在積極評估影響，避免供應中斷，幫助科洛尼爾公司恢復運營。美國網(wǎng)絡安全與基礎設施安全局表示，這次事件凸顯了勒索軟件對組織的威脅。

作為美國東海岸最重要的燃油運輸管道商，科洛尼爾負責美國東海岸地區(qū)約45%的液體燃料管道運輸供應服務，每天向客戶提供超過1億加侖的燃油。分析認為，管道停運短期不會對油價造成影響，但如果超過3天，將引發(fā)油價上漲，將對正在疫情復蘇階段的美國經(jīng)濟造成打擊。

科洛尼爾公司稱，“我們正迅速行動以調(diào)查并解決這一重大問題。目前，我們的核心任務是安全、高效地恢復服務，盡一切可能讓設施再次運轉起來?！?/p>

OT系統(tǒng)是否中招仍未知

關于此次攻擊，仍有許多未解的謎團。例如，科洛尼爾公司關閉全部管線究竟是為了預防感染蔓延、還是設施已然整體淪陷?攻擊的幕后黑手究竟是誰?攻擊者在入侵及感染科洛尼爾公司的系統(tǒng)時，到底采取了哪些攻擊手段和路徑?

Axio公司總裁Dave White在接受郵件采訪時表示，“目前還不清楚科洛尼爾關閉管線是出于阻止勒索軟件持續(xù)傳播的謹慎考量，還是運營技術(OT)系統(tǒng)或相關IT系統(tǒng)已經(jīng)遭受到嚴重影響?！?/p>

Red Balloon Security公司CEO Ang Cui曾在美國國土安全部及國防部擁有豐富的嵌入式設備及工業(yè)控制系統(tǒng)(ICS)高級威脅研究經(jīng)驗，在他看來，此次攻擊很可能屬于網(wǎng)絡犯罪，而非民族國家行為。

Cui稱，“雖然科洛尼爾公司關閉了運營系統(tǒng)，但并不一定代表其ICS已經(jīng)受到影響或損害。這也許是因為該公司的IT與OT系統(tǒng)之間缺少充分的隔離機制，因此搶在攻擊者進一步訪問敏感系統(tǒng)之間就斷開了連接。畢竟一旦攻擊者再深入一些，贖金要求很可能大大增加、公司奪回控制權的難度也會顯著提高。”

勒索軟件：一個老大難問題

據(jù)路透社引用一名美國前官員和兩位行業(yè)消息人士稱，已經(jīng)鎖定科洛尼爾公司被攻擊的嫌疑人DarkSide組織。DarkSide是去年新出現(xiàn)的勒索軟件組織，攻擊手法非常老練，已經(jīng)攻擊了40多個受害組織，要求贖金一般在20萬-200萬美元。NBC新聞稱是俄羅斯黑客組織進行的網(wǎng)絡攻擊，并且在加密前，已有近100GB數(shù)據(jù)被竊取。

時至今日，大家對于勒索軟件攻擊早已不感到陌生。根據(jù)Group-IB研究人員的報告，僅在過去一年，全球勒索軟件攻擊次數(shù)就增長150%以上，能源行業(yè)因此也遭受了較大打擊。比如美國某天然氣運營商遭到勒索攻擊，被迫關閉2天，并被國土安全部通報;歐洲能源巨頭Enel Group年內(nèi)兩次遭遇不同勒索軟件攻擊，多達5TB數(shù)據(jù)被竊取，被威脅索要1400萬美元贖金;臺灣最大兩家煉油廠遭到勒索攻擊，波及整個供應鏈，甚至加油站的IT系統(tǒng)也無法使用。

面對這波新的攻勢，全球各方也開始在抗擊與應對方面開展協(xié)同努力。上個月，美國司法部等全球60家實體共同組成聯(lián)盟，提出全面打擊計劃，要求通過追究財務運作線索以追捕并瓦解勒索軟件團伙。

矛頭直指關鍵基礎設施

2020年2月，美國網(wǎng)絡安全與基礎設施安全局發(fā)布警報，強調(diào)關鍵基礎設施目標(包括輸送管線)已經(jīng)成為黑客團伙的主要攻擊目標。而發(fā)布此項警報的契機，正是美國某天然氣壓縮設施(并未透露具體身份)遭遇的勒索軟件攻擊，并導致其業(yè)務被迫關停兩天。

在成功入侵IT網(wǎng)絡之后，攻擊者往往會部署“商業(yè)勒索軟件”以加密IT與OT網(wǎng)絡上的數(shù)據(jù)。網(wǎng)絡安全與基礎設施安全局當時表示，攻擊者的這種橫向移動能力顯然源自基礎設施內(nèi)IT與OT之間缺少良好的網(wǎng)絡隔離。

Dave White表示，“美國經(jīng)濟高度依賴于能源管道基礎設施。這種至關重要的能源輸送資產(chǎn)會影響到每一位民眾的正常生活;因此聯(lián)邦政府必須開展風險分析與經(jīng)濟量化研究，在了解此類攻擊事件的影響規(guī)模的同時調(diào)撥專項資金為這類設施提供必要保護?！?/p>

Cui認為在這類關鍵基礎設施攻擊活動中，問題的關鍵在于運營企業(yè)一方往往沒能事先隔離或保護這些系統(tǒng)。他總結道，“供應商在設計之初就沒有考慮到如何保證ICS設備安全，這就給后續(xù)補救造成了巨大的障礙?！?/p>

參考信息：

https://threatpost.com/pipeline-crippled-ransomware/165963/

https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

https://en.wikipedia.org/wiki/List_of_national_emergencies_in_the_United_States#cite_note-3

來源：互聯(lián)網(wǎng)安全內(nèi)參