您現在的位置:華文縱覽 >科技

「匿名者」囂張喊話馬斯克,趨於白熱化的網路攻防戰有多難打? |【經緯低調研究】

2021-06-11 14:35:32科技

網路世界對真實世界構成的威脅,正變得前所未有的嚴重。

從核電站、自來水廠、石油運輸管道,到醫院或是一般企業,在新冠疫情後都遭遇了越來越多的網路攻擊事件。

2021年5月7日,因駭客的網路攻擊,美國最大的成品油管道運營商Colonial被迫停運。Colonial提供了美國整個東海岸45%的燃油供應,因為這一事件美國多地宣佈進入緊急狀態。

一起網路攻擊迫使Colonial Pipeline綿延5500英里的龐大州際系統關閉,該系統負責將汽油和噴氣燃料從德克薩斯州運輸到紐約州

最終,因為數百萬人的汽油供應受到影響,時間緊迫,Colonial付給駭客500萬美元的虛擬貨幣作為贖金,獲得瞭解密器,才於13日恢復運營。

一個月後,全球最大的肉類加工商JBS也被駭客攻擊,JBS被迫停止了在美國和澳大利亞一些工廠的運營,導致美國近四分之一牛肉加工能力,和五分之一豬肉加工能力下線。

最近的趨勢反映出,全球網路犯罪的方向,可能正在從以前的「竊取資料」,向「癱瘓基礎設施」方向發展。

在網路攻擊中,個人也時常受到威脅。由於給駭客的贖金多數都是用虛擬貨幣支付的,最近老是擾動虛擬貨幣市場的馬斯克,也遭到了駭客組織釋出的「追殺令」。

在一條近4分鐘的影片裡,一個頭戴面具、經過變聲處理的人自稱代表「匿名者」駭客組織,直接喊話馬斯克:「你或許認為就屬你自己最聰明,但你現在遇到對手了。我們是‘匿名者’組織,我們人數眾多,等著吧!」

駭客組織「匿名者」(Anonymous)於6月5日在網路上釋出一則影片,狂言抨擊馬斯克

「匿名者」抨擊馬斯克「不斷挑釁」虛擬貨幣市場。在過去一段時間裡,馬斯克經常發文評價虛擬貨幣,導致了一些暴漲暴跌的情況。例如他曾對比特幣表示失望,導致比特幣在9小時內跌了6%。

2020年以來,全球APT攻擊越來越活躍,攻防趨於白熱化。「從更宏觀的角度來看,疫情擾亂了經濟,國際政治環境也在突變,全世界暴力事件都在變多,而網路攻擊其實是屬於暴力的一種。」木鏈科技創始人向昶宇(亦是億萬創業營三期成員)說,木鏈科技是一家面向工業網際網路,專注於工控安全產品開發、技術研究的國家高新技術企業。

「未來5年這種事情會越來越多,我們也需要為此做好攻防準備。」

1

歷史上對美國基礎設施最大的駭客攻擊

對於先進的駭客來說,很多國家的能源基礎設施就是脆弱的靶子。

發電廠、管道運輸商和煉油廠使用操作控制系統來執行物理裝置,很多系統較為老化,很容易受到網路攻擊。

美國最大的成品油管道運營商Colonial就是這樣一個大靶子,5500英里長的管道向美國東海岸輸送了45%的汽油、柴油等成品油,以及不僅與管道相連,還與煉油廠和發電廠相連的巨量感測器、閥門、測漏工具和其他系統。

這次攻擊是典型的勒索軟體,這類程式碼往往會控制目標的計算機系統,並且鎖死,然後向受害者索要贖金以解鎖系統。

從事工業網路安全的公司木鏈科技,分析了攻擊Colonial的勒索病毒,技術人員模擬了被攻擊時的情況。

首先將攜帶病毒的軟體安裝在虛擬機器器中,開啟勒索軟體後,你的桌面會變成黑屏,隨後出現一個txt檔案,裡面給出被勒索的提示。

被攻擊後桌面黑屏,所有資料被鎖死(圖片來源:木鏈科技)

開啟txt檔案,裡面有聯絡駭客交贖金的提示(圖片來源:木鏈科技)

使用Debugger除錯該樣本直至它解密到記憶體之後,可以發現以下幾個點:

1、樣本嘗試獲取本機預設語言,並在下方有419俄語標誌。透過逆向得知,DarkSide的惡意軟體將檢查語言設定,以確保他們不會攻擊俄羅斯組織。(這個駭客組織來自俄羅斯或前蘇聯地區)

2、發現回傳資料C2地址:
圖片來源:木鏈科技

捕獲流量後發現新C2地址以及回傳內容:

圖片來源:木鏈科技

Colonial被迫停運後,拜登政府釋出了一項緊急豁免令,延長17個州運送燃油的卡車司機的上路時間,包括美國東南部幾個大部分燃油消費均依賴該管道的州。

根據美國汽車協會(AAA)的預測,在密西西比州、田納西州和東海岸從佐治亞州到特拉華州等受影響地區,一週內汽油價格可能上漲3美分到7美分。

一個月後對JBS的攻擊也類似,在整個美國食品行業引起軒然大波。

JBS的工廠關閉導致後續幾天肉類供應出現間歇性短缺。根據美國農業部的資料,週三,盒裝精品牛肉價格上漲5.6美元,至每百磅340.16美元,創下至少一個月來最大漲幅。

由於JBS在最近幾年推動業務流程數字化,模糊了辦公室IT系統和工廠運營控制系統之間的界限,使攻擊者有更多的途徑入侵。

雖然JBS備份了資料,備份伺服器未受這次攻擊的影響,JBS也嘗試與一家外部公司合作來恢復系統,但最終還是向駭客支付了1100萬美元贖金,當然是用比特幣支付的。

2
其實是有內鬼,駭客80%靠「社會工程學」

駭客一般是如何實現攻擊的呢?

外界對駭客一直有一種誤解,覺得他們都是「nerd」,總是一副不修邊幅的形象,例如一個月不洗澡、住在車庫裡、亂糟糟的頭髮……

但其實,真正的駭客行為,只有20%是在電腦前的技術部分,而另80%,是「社會工程學」(Social Engineering)。

「社會工程學」其實就是對人的滲透,再堅固的堡壘,從內部攻破往往會容易很多,高攻擊性的APT攻擊就屬於此類。曾經席捲全球工業界的震網病毒(Stuxnet病毒),就是結合了社會工程學的典型例子。

《中國解放軍報》曾報道,美國利用震網蠕蟲病毒攻擊伊朗的鈾濃縮裝置,這種病毒是新時期電子戰爭中的一種武器。

但任何國家的核設施都是隔離管理的,如果純網路攻擊,首先去全域掃描就是一件極其困難的事情,你無法知道哪個IP背後對應哪臺伺服器。

但從內部滲透就不一樣了。當時美國就買通了當地離心機廠商的一位員工,透過「插隨身碟」的方式,就是讓那位員工帶著已經裝好病毒的隨身碟,插到目標機器裡,然後程式就自動執行了。

在2020年特斯拉挫敗的一場駭客攻擊中,一名駭客透過WhatsApp聊天應用,接觸了特斯拉位於內華達州超級工廠的一名工人,向他出價100萬美元,想讓他在特斯拉的內部網路中安裝惡意軟體,引發分散式拒絕服務攻擊。

其目標是,當特斯拉的網路安全團隊被分散式拒絕服務攻擊分散注意力時,該惡意軟體會訪問公司機密,駭客可以利用這些機密勒索贖金。

但這名工人很忠誠,他向特斯拉的管理人員報告了此事,後者向FBI發出了警報。該工人隨後假裝同意這個計劃,並在之後與這名駭客會面時帶上了竊聽器,這名駭客最終在洛杉磯被捕。

馬斯克曾對外表示,「這是一場嚴重的攻擊」。對於很多製造企業來說,因為要用到大量複雜裝置,不知不覺被「內鬼」插入一些埠,徹底杜絕有一定難度。

除了尋找「內鬼」,透過安全薄弱的上下游環節入侵也越發普遍。特斯拉就曾經面對過這種麻煩。

一群駭客在2021年3月對外表示,他們侵入了安全攝像頭供應商Verkada的網路,獲得了包括特斯拉在內幾家公司的內部影片資料,包括安裝在特斯拉各個工廠和倉庫內的222個攝像頭的錄影。

駭客是如何實施攻擊的?首先,Verkada出售安全攝像頭,其客戶可以透過一個名為Command的網路平臺,來管理該公司出售的安全攝像頭。這個平臺將跨裝置的資料彙總到一起,再向使用者提供跨站點的完整畫面資訊。

但駭客們在網際網路上定點攻擊並拿到了Verkada管理賬戶的使用者名稱和密碼,從而獲得了這些影片許可權。所以,這是一家供應商無意間開啟進入客戶網路後門,而引發的網路安全事件。

而在2020年震驚全球的SolarWinds攻擊事件,也是透過類似的套路——盯上系統背後的基礎軟體。

四年前,駭客主要依靠魚叉式釣魚竊取登入憑證。這種攻擊方式是冒充他人欺騙電子郵件收件人點選惡意連結。如今,駭客不會直接針對組織,而是透過後面的基礎軟體入侵,並以此為跳板達到他們的目標。

這起駭客攻擊事件,最終導致美國財政部、司法部、能源部、商務部、國務院、國土安全部、勞工部、能源部,以及微軟、思科、洛克希德-馬丁公司等等《財富500強》中的425家遭受威脅,共計有1.8萬家公司或機構下載了SolarWinds藏有惡意程式碼的更新軟體。

這次網路攻擊利用了一個看起來不太可能的「源頭」——一家鮮為人知的軟體公司SolarWinds。SolarWinds是全球網路和系統管理工具型軟體,它是大多數企業的基礎軟體,通常不受關注,主要供維護計算機網路和軟體正常執行的技術人員使用,就類似公司的管道系統。

駭客早在2019年9月,就透過該公司的一個Office 365電子郵件系統入侵了進來,然後以此為跳板侵入了該公司的其他Office 365賬戶,並潛伏了數月。

駭客們利用軟體產品中的已知漏洞,透過猜測線上密碼,以及利用微軟基於雲端計算軟體配置方式中的各種問題,侵入了其他各種系統。

這次入侵之所以能夠成功,更大的背景是許多企業和政府正在精簡他們的供應商,許多供應商也在提供更豐富的服務,以搶佔市場。駭客們顯然利用了這一點,高市場份額的公司如果不能做好網路安全防禦,如此大的範圍可讓攻擊者透過一個入口就打擊多個目標,這也是集中化的劣勢之一。

最終,駭客們都追求銷聲匿跡,例如把log日誌清掉等等掃尾工作都做到位。「但這就是一個道高一尺魔高一丈的事,任何蛛絲馬跡都可以去分析、去溯源。」 木鏈科技創始人向昶宇說,他曾協助軍工、電力、工業企業進行安全建設和溯源工作。

「抹掉痕跡本身也是一種痕跡。」

3

被黑了怎麼辦?給駭客交贖金?

當被勒索軟體攻擊時,Colonial和JBS代表了大部分公司的反應。

首先,對於任何能源公司來說,病毒擴散到更深層的後果都是非常可怕的,因為有可能擴散到煉油廠、發電廠等上下游產業,Colonial只能選擇先緊急關停。

而對於肉製品公司JBS來說,也選擇了關停,主要是防止駭客接觸到公司技術,很多技術是為公司業務定製的,這對企業利潤至關重要,技術一旦被破壞將很難恢復。

如果你碰上的是網路正規軍,他們往往從事間諜行為,除非處於國家之間交戰狀態,不然他們會隱藏自己,偷偷植入後門潛伏,蒐集情報,甚至不會被對方發現。

但如果你遇到的是就想賺快錢的搶劫犯,他們會鎖死你的系統,威脅要徹底清除所有資料,要你交贖金。

如果技術人員無法在短時間內成功解鎖,人們可以暫時少吃點肉,但成品油的運輸一旦暫停太久,對經濟的影響面會廣很多,所以Colonial選擇了乖乖交贖金。

「搶劫犯」們遵循「盜亦有道」。例如攻擊Colonial的駭客組織DarkSide,自稱與政治無關,存在的目的只是賺錢。他們有一套判斷機制,當準備去幹一票時,會先檢查這個公司是否符合要求,以免造成過於嚴重的社會問題。

這個駭客組織自稱不會攻擊醫院、非盈利組織、療養院,以及那些在新冠疫情中有貢獻的公司。

至於贖金,他們會對受害公司進行評估後決定。同時承諾,支付贖金以後會解密資料,刪除上傳的資料,反之則會在TOR節點中公開資料,時間至少6個月。

不過駭客們的解密工具有時候也不是完全有效。當Colonial向駭客支付了近500萬美元贖金後,所得到的解密工具沒能有效恢復運營,最終還是依靠系統備份實現了恢復。

駭客通常會要求受害者用虛擬貨幣支付贖金,因為虛擬貨幣很難跨國追蹤。美國官員並不鼓勵受害公司支付贖金,因為這助長了犯罪行為,並且給犯罪組織提供資金以使他們可以提升技術。

近年來網路勒索案件數量激增。據WSJ報道,2020年報告給美國聯邦調查局(FBI)的案件數達到近2500起,同比增加66%。

並且其實很難獲得關於攻擊的精確資料,原因之一是肇事者和受害者都希望保密。據區塊鏈分析公司Chainalysis Inc.提供的資訊,2020年,勒索軟體受害者至少向犯罪分子支付了價值3.5億美元的加密貨幣,金額增長了311%。

圖片來源:華爾街日報

雖然政府一直告知企業,在受到駭客攻擊時不應該支付贖金,但實際至少有一半的受害者最終支付了贖金。

很多公司不想失去資料,因為這會損害其業務。另外對於一些基礎設施提供商來說,例如Colonial,停止運營太久對經濟整體危害很大,所以Colonial的執行長Joseph Blount為自己辯解道:「我知道這是一個極具爭議的決定,我承認看到錢被這樣的人拿走,我並不好受。但對美國而言這是正確之舉。」

這甚至都催生了一批贖金談判公司。受害者們會在這樣的談判中感到憤怒,但贖金談判公司會試圖保持超然客觀,他們先去分析駭客組織的策略和可信度,再為受害者提供如何應對的建議。

例如在被攻擊公司高管們討論應對策略的時候,談判人員會透過電子郵件或線上聊天與駭客玩起貓鼠遊戲。目的是瞭解駭客可能竊取了哪些資料,為受害者控制影響和利用備份恢復系統拖延時間。

自新冠疫情暴發以來,贖金勒索軟體攻擊已變得更加頻繁,有很多手段也很無恥。

例如一所擁有1萬名學生的學校(休斯頓謝爾登獨立學區),近期遭到勒索軟體攻擊,導致該學區無法運作並威脅到馬上要進行的薪水發放,該學區最終支付了20萬美元贖金,討價還價前的贖金數額為大約35萬美元。

加州大學舊金山分校在2020年6月向一名駭客支付了114萬美元贖金,因為駭客對很多重要學術資料進行了加密。

例如有一個駭客團體攻擊了愛爾蘭的公共醫療衛生系統,導致愛爾蘭可能需要花費數千萬歐元來修復。愛爾蘭人就很剛,他們拒絕給駭客支付贖金,因為這樣做「符合國家政策」。

被攻擊後的應對措施(圖片來源:IBM)

隨著國際政治環境突變及新冠疫情肆虐,全球APT攻擊越來越活躍,攻防趨於白熱化。

並且攻擊目標除企業外,政府機構和關鍵基礎設施也都處於高風險之中,包括髮電廠、核電站、石油運輸管道、工業基礎設施、醫院、大學研究所等等。

駭客行為之所以會在國際局勢動盪的時候變多,核心原因之一是網路攻擊往往會「城門失火殃及池魚」。例如大名鼎鼎的震網蠕蟲病毒,就是美國和以色列聯合開發的,這項工作至少從2005年就開始了,該病毒在2009年給伊朗核濃縮設施造成了物理損壞。

但網路武器就像生物武器一樣,其打擊範圍往往會超過原定目標。病毒一旦釋放,其原始碼很容易被盜竊,任何懂網路技術的人都可以下載、研究和再利用。所以一年後,蠕蟲病毒在全球爆發,在2011年導致了全球60%的個人電腦感染了這種病毒。

「共同毀滅原則」讓核大國不敢使用核武器,但在網路領域,怎麼去做好原始碼的規範化保護也十分重要,應該避免一些本屬於國家的工具,落入到不法分子手中併產生社會安全問題。

在網路世界對真實世界構成威脅越來越嚴重的今天,無論是大公司還是小公司,優秀的網路攻防應對能力正變得非常重要。甚至在投資機構中,也發生過被勒索軟體攻擊的案例。

大公司有一整個委員會來處理這件事,但對於小公司來說,被攻擊的人可能會失去一切。

也許你還想看: