◎中國電子科技集團(tuán)公司第三十研究所 龔漢卿 李天嬰

2021年5月7日，美 國 最 大 的成品油管道公司科羅尼爾遭到勒索軟件攻擊被迫關(guān)閉設(shè)備，導(dǎo)致美國東海岸45%的汽油、柴油等燃料供應(yīng)受影響，美國政府宣布17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。此次事件是美國近年來遭遇的最嚴(yán)重的網(wǎng)絡(luò)襲擊事件，凸顯了美國基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的脆弱性。

一、事件概述

5月7日，美國最大的汽油和柴油管道公司Colonial宣布因遭到網(wǎng)絡(luò)攻擊導(dǎo)致網(wǎng)絡(luò)中斷，并暫時(shí)關(guān)閉了所有管道運(yùn)營，支付500萬美元贖金后，得到解密軟件。5月10日，美國聯(lián)邦調(diào)查局確認(rèn)黑客組織“黑暗面組織”勒索軟件攻擊是造成科羅尼爾公司網(wǎng)絡(luò)癱瘓的原因。

（一）勒索軟件基本情況

勒索軟件已被認(rèn)為是企業(yè)、社會(huì)團(tuán)體組織面臨的最具威脅性的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。勒索軟件是一類木馬病毒，常見的 有Maze、WannaCry、Ryuk等，一般偽裝成普通應(yīng)用軟件、程序更新補(bǔ)丁或電子郵件附帶的文件、鏈接等。這些向受害者發(fā)送的惡意程序或鏈接一旦被打開，黑客就可以將勒索軟件植入計(jì)算機(jī)系統(tǒng)，通過騷擾、恐嚇甚至綁架用戶文件等方式，使受害者的數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用，并以此勒索贖金[1]。

當(dāng)前勒索軟件攻擊已經(jīng)高度復(fù)雜，既有傳統(tǒng)非定向勒索的大規(guī)模傳播→加密→收取贖金→解密模式，也有定向攻擊→數(shù)據(jù)竊取→加密→收取贖金解密→不交贖金→曝光數(shù)據(jù)模式的新型作業(yè)鏈條。此次事件為定向攻擊。

（二）此次勒索軟件攻擊的主要手段

在此次攻擊事件中，DarkSide勒索軟件僅用兩個(gè)小時(shí)的時(shí)間就從Colonial公司網(wǎng)絡(luò)中竊取了近100 GB的數(shù)據(jù)。DarkSide在整個(gè)入侵過程中，會(huì)在入侵的目標(biāo)服務(wù)器上安裝Tor客戶端或者瀏覽器，并使用Tor進(jìn)行RDP會(huì)話連接（RDP Over Tor），并且在遠(yuǎn)程控制方面會(huì)使用CobaltStrike進(jìn)行后續(xù)操作。后續(xù)操作主要圍繞獲取域控權(quán)限而進(jìn)行，其中使用內(nèi)網(wǎng)滲透工具包括advanced_ip_scanner.exe、psexec、Mimikatz。

由于運(yùn)輸管道的壓力傳感、恒溫器、閥門和泵用于監(jiān)控?cái)?shù)百公里管道中的柴油、汽油和噴氣燃料的流量，所有這些技術(shù)參數(shù)都需要連接到中央系統(tǒng)。DarkSide勒索軟件正是憑借軟件漏洞入侵中央系統(tǒng)，擾亂并竊取計(jì)算機(jī)數(shù)據(jù)，進(jìn)而達(dá)到“劫持”系統(tǒng)的效果。

（三）“黑暗面組織”基本情況

從目前已經(jīng)知情來看，DarkSide勒索軟件并不具有政治性，沒有國家背景，主要目標(biāo)是獲取經(jīng)濟(jì)利益。它是一支新興的RaaS（勒索即服務(wù)）犯罪團(tuán)伙，以俄語為母語。自2020年年中以來，Darside一直保持活躍。DarkTracer的最新勒索軟件統(tǒng)計(jì)，2020年DarkSide的攻擊數(shù)量位列TOP10行列。該組織開發(fā)了用于加密和竊取公司數(shù)據(jù)的勒索軟件，然后提供給其“分支機(jī)構(gòu)”，并從分支機(jī)構(gòu)獲得成功攻擊的贖金分成。

根據(jù)DarkSide團(tuán)伙的歷史攻擊數(shù)據(jù)分析，發(fā)現(xiàn)DarkSide主要呈現(xiàn)幾個(gè)鮮明特點(diǎn)。第一，目標(biāo)針對(duì)性極強(qiáng)且定向。該團(tuán)伙曾公開表示，該團(tuán)伙只會(huì)針對(duì)除醫(yī)療、政府、教育、非盈利組織和殯葬行業(yè)外的組織機(jī)構(gòu)發(fā)起勒索攻擊；第二，長期持續(xù)性“潛伏滲透”。為達(dá)到攻擊目的，DarkSide會(huì)對(duì)目標(biāo)進(jìn)行長達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作，包括會(huì)計(jì)數(shù)據(jù)、執(zhí)行數(shù)據(jù)、銷售數(shù)據(jù)等核心價(jià)值數(shù)據(jù)；第三，勒索方式史無前例。除了加密數(shù)據(jù)外，為了確保成功勒索用戶繳納贖金，在進(jìn)行加密前攻擊者會(huì)在目標(biāo)環(huán)境中進(jìn)行滲透并安裝后門程序以竊取重要的數(shù)據(jù)信息，當(dāng)勒索目標(biāo)拒絕繳納贖金時(shí)，會(huì)將數(shù)據(jù)公開、放負(fù)面安全事件消息，以此做空而獲利。

二、分析研判

（一）關(guān)鍵基礎(chǔ)設(shè)施面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅

此次攻擊暴露出美國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)脆弱性。近年來針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊呈現(xiàn)愈演愈烈之勢(shì)。美國坦普爾大學(xué)發(fā)起了“關(guān)鍵基礎(chǔ)設(shè)施勒索軟件攻擊”數(shù)據(jù)庫追蹤項(xiàng)目顯示，2019年至2020年針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)勒索大幅增長，占過去7年多此類案件報(bào)告總數(shù)的一半以上，其中政府設(shè)施、醫(yī)療設(shè)施和教育部門遭受網(wǎng)絡(luò)勒索的頻次排前三位[2]。

（二）勒索軟件網(wǎng)絡(luò)攻擊已成為網(wǎng)絡(luò)安全最大威脅之一

此次攻擊事件凸顯了網(wǎng)絡(luò)安全威脅的嚴(yán)重性。當(dāng)前，勒索軟件已成為網(wǎng)絡(luò)安全最大威脅之一，從一種網(wǎng)絡(luò)犯罪滋擾發(fā)展成為對(duì)國家及全球網(wǎng)絡(luò)安全、經(jīng)濟(jì)穩(wěn)定和公共安全的嚴(yán)重威脅。2020年至今，全球爆發(fā)了多次重大關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的勒索軟件攻擊事件，勒索軟件網(wǎng)絡(luò)攻擊已成為常態(tài)。例如跨國能源企業(yè)Enel Group連續(xù)遭遇兩輪勒索軟件攻擊，美國馬薩諸塞州電力公司RMLD遭勒索攻擊，美國某天然氣運(yùn)營商遭受勒索攻擊被迫關(guān)閉。黑客往往在盜取重要數(shù)據(jù)后，以此要挾支付巨額贖金?！度A盛頓郵報(bào)》報(bào)道，僅2020年就有至少2400家機(jī)構(gòu)受害，其中包括銀行、醫(yī)院、大學(xué)和市政當(dāng)局等。此外，工業(yè)企業(yè)遭到網(wǎng)絡(luò)攻擊和勒索的案例也在快速增多。

隨著云計(jì)算的快速普及，勒索軟件越來越多地將以云存儲(chǔ)為目標(biāo)，以最大程度地發(fā)揮影響力并增加杠桿作用以提高利潤、擴(kuò)大企業(yè)數(shù)據(jù)泄露規(guī)模和風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全的威脅將進(jìn)一步加劇。

（三）針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將嚴(yán)重威脅國家安全

基礎(chǔ)設(shè)施一旦遭受網(wǎng)絡(luò)攻擊，將嚴(yán)重威脅生產(chǎn)安全和社會(huì)穩(wěn)定，甚至導(dǎo)致整個(gè)產(chǎn)業(yè)鏈的癱瘓。當(dāng)前，基礎(chǔ)設(shè)施正在成為網(wǎng)絡(luò)攻擊的首要目標(biāo)，數(shù)字時(shí)代的網(wǎng)絡(luò)攻擊已經(jīng)發(fā)生了很大的變化，并帶來多重挑戰(zhàn)，這將嚴(yán)重威脅國家安全。

2021年以來，美國已經(jīng)連續(xù)發(fā)生多起針對(duì)公共基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件，并造成了嚴(yán)重后果。比如，今年1月，美國企業(yè)和政府因“太陽風(fēng)”公司軟件漏洞遭受黑客攻擊，受影響機(jī)構(gòu)包括美國財(cái)政部、美國國土安全局、美國國家衛(wèi)生院甚至美國國務(wù)院；2月，美國佛羅里達(dá)州水處理系統(tǒng)遭黑客攻擊，被改變了當(dāng)?shù)毓┧械幕瘜W(xué)品含量；4月，北美地區(qū)1500家公用事業(yè)公司中有四分之一都感染了SolarWinds惡意軟件，美國國家安全委員會(huì)因此迅速制定了電網(wǎng)百日安全計(jì)劃。

（四）專業(yè)化高級(jí)黑客組織是網(wǎng)絡(luò)安全的主要對(duì)手

多個(gè)消息來源證實(shí)，此次勒索軟件攻擊很可能是由犯罪組織DarkSide實(shí)施的。DarkSide是去年新出現(xiàn)的勒索軟件組織，但攻擊手法非常老練，已經(jīng)攻擊了40多個(gè)受害組織，要求贖金一般在20萬-200萬美元。

當(dāng)前，網(wǎng)絡(luò)攻擊已經(jīng)不分軍用民用，不分國家、企業(yè)、個(gè)人，攻擊鏈很長，每個(gè)節(jié)點(diǎn)都可能成為攻擊跳板[3]。同時(shí)，網(wǎng)絡(luò)安全對(duì)手不再是普通病毒，專業(yè)化高級(jí)黑客組織入場(chǎng)，更加難以對(duì)付，它們是網(wǎng)絡(luò)安全的主要對(duì)手。在后疫情時(shí)代，網(wǎng)絡(luò)攻擊帶著日趨成熟的手段革新和愈發(fā)隱蔽、復(fù)雜的“進(jìn)化”能力，開啟了“重裝上陣”的瘋狂模式。黑客組織也將不斷壯大，向?qū)I(yè)化、高級(jí)化、隱蔽化發(fā)展。

三、對(duì)策建議

近幾年，隨著關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字化程度不斷提高，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的威脅不斷增加。關(guān)鍵基礎(chǔ)設(shè)施關(guān)系著國計(jì)民生，是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。隨著經(jīng)濟(jì)社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度不斷加深，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)更加緊迫。一旦關(guān)鍵基礎(chǔ)設(shè)施受到網(wǎng)絡(luò)攻擊陷入癱瘓，引起的連鎖反應(yīng)甚至?xí)?duì)一個(gè)國家造成巨大損失[4]。

（一）加強(qiáng)應(yīng)對(duì)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的戰(zhàn)略統(tǒng)籌

面對(duì)數(shù)字化時(shí)代如此嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，尤其是在此次勒索軟件攻擊事件前后，美國政府已經(jīng)在逐步采取一系列措施，頒布法案或者行政命令，為維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全提供制度保障，這也給我們敲響了警鐘。我們首先要完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度體系，當(dāng)前國家已經(jīng)制定出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)法律法規(guī)，繼續(xù)深化明確相關(guān)主體法律責(zé)任；其次要求網(wǎng)絡(luò)安全企業(yè)在提供服務(wù)時(shí)，應(yīng)秉持“建設(shè)+運(yùn)維”兩手都要抓的思維，提供網(wǎng)絡(luò)安全保障最關(guān)鍵的安全運(yùn)維環(huán)節(jié)服務(wù)，全面提供網(wǎng)絡(luò)安全運(yùn)維服務(wù)保障的業(yè)務(wù)模式；同時(shí)鼓勵(lì)加強(qiáng)合作，建立面向整體保障的網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟，通過產(chǎn)業(yè)聯(lián)盟，聚集產(chǎn)業(yè)優(yōu)勢(shì)資源和力量，博采眾長，以武器裝備協(xié)同攻關(guān)模式持續(xù)提升技術(shù)、產(chǎn)品與服務(wù)水平。

（二）提升防范勒索軟件攻擊的整體防護(hù)水平

此次網(wǎng)絡(luò)攻擊由DarkSide勒索軟件團(tuán)伙發(fā)起，DarkSide可能已經(jīng)購買了TeamViewer和Microsoft Remote Desktop等遠(yuǎn)程桌面軟件的賬戶登錄詳細(xì)信息，其中包括工程師用來訪問管道控制系統(tǒng)的賬戶信息，進(jìn)而利用惡意軟件竊取并挾持了Colonial Pipeline公司近100 GB的數(shù)據(jù)。據(jù)DarkSide組織稱，其勒索軟件配備了市場(chǎng)上最快的加密速度，并且包括Windows和Linux版本。當(dāng)前，勒索軟件迭代進(jìn)化加速，攻擊手段會(huì)更加復(fù)雜多樣，攻擊范圍也將不斷擴(kuò)大并且更加難以防范。面對(duì)愈加強(qiáng)大的定向勒索攻擊者，我們對(duì)網(wǎng)絡(luò)安全防御需要提升整體的防護(hù)水平，要以面對(duì)APT組織攻擊的策略進(jìn)行防御體系建設(shè)，才能夠抵御目前網(wǎng)絡(luò)攻擊技術(shù)水平愈加高強(qiáng)的定向針對(duì)性勒索軟件攻擊。要實(shí)現(xiàn)整體安全，必須加強(qiáng)技術(shù)升級(jí)換代，聚焦核心技術(shù)突破，在基礎(chǔ)性技術(shù)、前沿性技術(shù)、顛覆性技術(shù)投入研發(fā)方面花大力氣，盡早實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全裝備自主創(chuàng)新。

（三）持續(xù)開展關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全演練

此次網(wǎng)絡(luò)攻擊事件，即使技術(shù)最強(qiáng)的美國，其最大的輸油管公司的網(wǎng)絡(luò)依然存在著漏洞，可想而知，其他國家的網(wǎng)絡(luò)的漏洞是否會(huì)更多？如今世界已經(jīng)進(jìn)入了物聯(lián)網(wǎng)時(shí)代，隨著5G建設(shè)的發(fā)展，萬物均將互聯(lián)。因此網(wǎng)絡(luò)安全就顯得越來越重要。網(wǎng)絡(luò)安全演練是檢驗(yàn)、鍛煉和提高關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)能力的重要手段。所以，在最后我們建議關(guān)鍵信息基礎(chǔ)設(shè)施管理運(yùn)營單位將開展常態(tài)化網(wǎng)絡(luò)安全演練納入管理制度和考核指標(biāo)中。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)，引入現(xiàn)實(shí)社會(huì)因素，設(shè)置訓(xùn)練題目和訓(xùn)練流程，盡可能真實(shí)地模擬現(xiàn)實(shí)復(fù)雜情況，在演練中發(fā)現(xiàn)問題解決問題，不斷提高網(wǎng)絡(luò)安全防護(hù)水平。

（四）探索發(fā)展針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊技術(shù)

從Colonial Pipeline公司遭受勒索軟件攻擊事件可以看出，網(wǎng)絡(luò)攻擊可以在不損壞設(shè)備的前提下破壞關(guān)鍵信息基礎(chǔ)設(shè)施，給國家安全帶來重大影響甚至災(zāi)難性后果。當(dāng)前，勒索軟件呈現(xiàn)變種多、針對(duì)性高、感染量上升快等特點(diǎn)，攻擊正在肆虐全球，攻擊態(tài)勢(shì)愈演愈烈。我們要積極探索發(fā)展針對(duì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊技術(shù)，提高攻擊技術(shù)自動(dòng)化程度和攻擊速度，有針對(duì)性地開展網(wǎng)絡(luò)態(tài)勢(shì)感知、漏洞挖掘、芯片級(jí)硬件安全分析、協(xié)議分析、源代碼安全檢測(cè)等核心技術(shù)研發(fā)工作，重點(diǎn)攻克針對(duì)基礎(chǔ)設(shè)施的滲透測(cè)試、漏洞掃描等關(guān)鍵技術(shù)的探索和創(chuàng)新。

四、總結(jié)

隨著國際形勢(shì)的不確定性加劇，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件與地緣政治熱點(diǎn)有明顯的結(jié)合趨勢(shì)。關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益等，關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)越來越受到世界各國的重視。當(dāng)前，我國要進(jìn)一步健全完善國家網(wǎng)絡(luò)安全綜合防控體系，有效防范網(wǎng)絡(luò)安全威脅，有力處置重大網(wǎng)絡(luò)安全事件，切實(shí)保障關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和數(shù)據(jù)安全。