近日,負責美東燃油運輸的「殖民油管公司」遭駭客犯罪組織 DarkSide 勒索,DarkSide 表示,他們的目標是贖金,而不是造成社會問題。
油管公司遭駭,癱瘓美東燃油運輸
7 日,負責提供美國東岸 45% 燃油運輸的「殖民油管公司」(Colonial Pipeline)遭到駭客攻擊,影響東岸汽油、柴油和航空燃油的運輸,逼得「殖民油管公司」不得不緊急關閉超過 8,851 公里、從德州一路延伸到紐澤西州、每天可以運送 250 萬桶油的管線,癱瘓範圍驚人。
不付贖金就走著瞧
發動駭客攻擊的網路犯罪組織 DarkSide 表示,合作夥伴利用勒索軟體入侵「殖民油管公司」的內部網絡,並且把將近 100GB 重要數據都給鎖了起來,除非「殖民油管公司」願意支付贖金,否則他們不會把解鎖工具交出來。不僅如此,他們還會將取得的數據、個資外洩到網路上,藉此讓「殖民油管公司」顏面掃地。
The federal government is helping the operator of a major pipeline system that shut down on Friday after a Russian ransomware attack.
The Colonial Pipeline stretches from Texas to New Jersey and carries nearly half of East Coast driving and flying fuel: https://t.co/QD7CYraybb pic.twitter.com/RETq8mTrk5
— USA TODAY Graphics (@usatgraphics) May 10, 2021
▲《今日美國》繪製的地圖,可看到「殖民油管公司」架設的油管一路從德州延伸到紐澤西州,負責美東 45% 的燃油運輸。
DarkSide 一貫犯案手法
根據 BBC 的報導,這是 DarkSide 一貫的犯案手法。
首先,受害者的電腦螢幕會跳出通知,告訴他們電腦和伺服器已經被加密。緊接著,DarkSide 會羅列出所有他們偷取、上鎖的數據,並寄給受害者「個資洩露頁面」的 URL,讓受害者看看要是在截止時間前還不付贖金,這些個資就會自動被公布到網路。
贖金隨時間翻倍
不只如此,DarkSide 還會要脅將這些數據全數從受害者的電腦和伺服器上刪除。至於贖金的金額,則會隨著時間而翻倍,從 20 萬到 200 萬美元(台幣約 565 萬至 5,649 萬元)皆有。
▲ 對駭客犯罪組織 DarkSide 來說,「殖民油管公司」就是付得起贖金的公司。(Source:Colonial Pipeline)
「只會攻擊付得起錢的公司」
根據倫敦網路安全公司 Digital Shadows 的研究,DarkSide 運作的方式就像公司,商業化十足,且專門報導電腦科技的網站 Bleeping Computer 指出,DarkSide 從去年 8 月就開始對受害者發動攻擊,並且還發了一篇「新聞稿」昭告天下他們的犯案原則:「我們只會攻擊付得起贖金金額的公司,畢竟我們也不想害公司倒閉。」
「基於我們的攻擊原則,我們不會攻擊醫院、學校、大學、非營利組織和政府部門。」DarkSide 強調他們永遠不會攻擊重要且脆弱的機構。
開發勒索軟體給「下線」
此外,為了擴大自己的影響力,DarkSide 還會把自己開發出來的勒索軟體提供給「下線」,要是「下線」勒贖成功,他們再從贖金中收取一定比例的報酬。
今年 3 月,當 DarkSide 公布他們新開發的勒索軟體可以比過去更快加密受害者的數據時,他們也發出了一篇新聞稿,邀請記者來採訪。
▲ 因疫情不少工程師在家遠端工作,由此也讓不肖人士有機可乘。(Source:pixabay)
和「入口仲介」合作,購買使用者帳密
不只如此,DarkSide 也和惡名昭彰的「入口仲介」合作,所謂的「入口仲介」就是去盜取使用者登入帳密的駭客,並且將這些帳密賣給出價最高者,買家通常都是想要利用這些帳密來從事更嚴重不法行為的網路犯罪組織。
倫敦網路安全公司 Digital Shadows 認為,這一次美國「殖民油管公司」會遭到攻擊,和 DarkSide 與「入口仲介」合作,取得使用者登入帳密息息相關。
趁工程師遠端工作
有鑑於正值 COVID-19(武漢肺炎)疫情期間,許多「殖民油管公司」旗下的工程師都在家靠著遠端桌面軟體控制油管,此時要是 DarkSide 取得工程師們遠端桌面軟體的登入帳密,就很有可能由此掌握更多「殖民油管公司」的數據。
不攻擊用俄語系統的公司
然而研究 DarkSide 的過程,Digital Shadows 發現一件有趣的事,那就是 DarkSide 的攻擊名單不會出現位於前蘇聯國家的公司,包含俄國、烏克蘭、白羅斯、喬治亞、亞美尼亞、亞塞拜然、哈薩克、吉爾吉斯,塔吉克,土庫曼跟烏茲別克都不在攻擊名單。此外,只要 DarkSide 發現目標使用的電腦系統語言為俄語,也不會納為攻擊對象。
因此,Digital Shadows 合理推斷 DarkSide 極有可能總部就設在上述國家內。
幕後黑手是俄國政府?
對此,美國總統拜登(Joe Biden)表示:「我準備和俄國總統普亭(Vladimir Putin)會面,根據我們情報人員的調查,雖然有證據顯示犯案的勒索軟體在俄國,不過目前並沒有任何證據顯示俄國(政府)牽涉其中,但他們在解決這個問題得負點責任。」
FBI 證實嫌犯是 DarkSide
10 日,美國聯邦調查局(FBI)正式發表聲明,證實「殖民油管公司」遭到 DarkSide 的破壞,至於 DarkSide 背後是否有政府主導尚在調查中。
與此同時,美國網路與新興技術國家安全副顧問紐貝格(Anne Neuberger)表示,「殖民油管公司」至今未尋求美國政府的協助,她也無法確定「殖民油管公司」是否有支付贖金。
(Source:Colonial Pipeline)
安全後才會重新上線
「殖民油管公司」則出面表示,公司在遭到攻擊後立刻採取防護措施,讓某些系統下線好控制損害範圍,「唯有當我們認為安全,且完全受到聯邦規範的批准後,才會讓所有系統重新上線」。
油價飆高 民眾暴買
至於什麼時候才能恢復原狀,「殖民油管公司」並沒有給出清楚的時間表,只大略表示希望在本週末就能夠解決、重啟所有服務(註)。然而,只要「殖民油管公司」停止服務的一天,汽油、柴油跟航空燃油的價格都會跟著水漲船高,進而嚴重影響到一般民眾的生活,甚至引發民眾恐慌暴買的行為。
加油站祭出限購策略
舉例來說,在田納西州、喬治亞州和數個南方州,民眾看到「殖民油管公司」遭網路攻擊的新聞後,擔心汽油短缺紛紛衝向加油站,讓上千個加油站的汽油一下被買光,剩下的加油站則祭出限購策略。
專家呼籲民眾冷靜
對此,專家出面呼籲民眾冷靜,表示現在民眾恐慌的反應和實際遭遇到的風險不成比例。美國塔夫茨大學(Tufts University)能源專家潔菲(Amy Myers Jaffe)表示:「石油和汽油仍在原地,我們可以手動抽取,我們可以用卡車載送,當局和其他機構可以僱用船隻運輸,而且我們還有庫存。」
當局放寬運油司機工時
為了在油管癱瘓的此時運輸油品,美國政府已經在週日放鬆公路運油的限制,包含讓 18 個州負責運送油品的公路司機工時更靈活,甚至可以多工作幾個小時。
the city is out of gas…. the world just keep getting worse pic.twitter.com/FLFcQ2xDMG
— 333 (@NOTAMllA) May 12, 2021
DarkSide:目標是錢,不是製造社會問題
面對油管癱瘓造成的危機,DarkSide 在 10 日發表聲明,要外界不要有過多政治聯想,他們形容自己「政治冷感」:「我們並沒有在地緣政治參一腳,各界沒必要將我們和某個明確的政府綁在一起,並且從中推敲我們的犯案動機。」
「我們的目標是賺錢,而不是製造社會問題,」DarkSide 澄清道,此次的攻擊事件和他們的「下線」有關,他們一開始並沒有注意到「下線」鎖定攻擊的目標是「殖民油管公司」,對於造成如此嚴重的社會動盪,也讓他們決定有所改變。
「從今天開始,我們會去管理和檢查每一個合作夥伴想要加密的公司,藉此避免未來造成社會(不良)後果。」
註:據「殖民油管公司」12 日聲明,已全面重啟油管運作,不過相關供應鏈還要再幾天才能恢復正常。
- US fuel pipeline hackers ‘didn’t mean to create problems’
- The F.B.I. confirms that DarkSide, a ransomware group, was behind the hack of a major U.S. pipeline.
- How the Colonial Pipeline Became a Vital Artery for Fuel
- What We Know About The Ransomware Attack On A Critical U.S. Pipeline
- DarkSide: The New Ransomware Group Behind Highly Targeted Attacks
(本文由 地球圖輯隊 授權轉載;首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
