美国时间5月7日,美国最大的燃料运输管道公司Colonial Pipeline遭受勒索软件攻击,导致Miles石油管道系统被迫停运。
。
该管道系统每天将1万桶燃料从得克萨斯州输送至新泽西州至东海岸和纽约,供应东海岸45%的燃料。
由于网络攻击,美国东海岸的燃料供应受到严重影响。
美国国内汽油价格已达到七年来的最高水平,引发人们对汽油和柴油短缺的担忧。
5月9日,美国宣布多州进入交通期。
至少1个月的紧急状态,以应对事件对燃料运输的影响。
美国国土安全部网络安全和基础设施安全局表示,这一事件凸显了网络攻击的巨大威胁。
网络安全公司 Illumio 和联合创始人的安德鲁·鲁宾首席执行官安德鲁·鲁宾 (Andrew Rubin) 认为:“这可能是历史上最具影响力的勒索软件攻击——网络祸害变成了现实世界的灾难。
”据专家分析,目前美国燃料库存正在下降。
随着美国经济逐渐走出疫情后的困难,对石油特别是汽油的需求不断上升。
现在大量燃料滞留在德克萨斯州炼油厂。
如果问题不能尽快解决,将对美国石油供应和经济增长产生重大影响。
一、事件初步分析 1、关于攻击者 据 FBI 5 月 10 日声明,DarkSide 组织的勒索软件导致科耀明公司石油管网瘫痪,但并未直接解释此次攻击的发起原因。
谁是网络攻击者?尽管如此,美国政界和工业界将此次事件归咎于俄罗斯的声音不绝于耳。
美国总统拜登在接受记者询问时表示,“到目前为止,没有证据表明俄罗斯参与了此事,但??俄罗斯对处理此事负有一定责任”。
众议院军事委员会成员鲁本·加列戈(亚利桑那州民主党人)表示:“俄罗斯政府不能窝藏这些网络恐怖分子而不承担后果。
” DarkSide是一个新兴的RaaS(勒索软件即服务)犯罪团伙,根据《年 1 月勒索病毒流行态势分析》发布的报告,该勒索软件家族首次出现于2020年8月,目前已披露有81家公司受到该勒索软件家族的攻击。
2.关于攻击动机。
由于关于攻击者还没有明确的结论,因此对于攻击的动机和目的目前还没有统一的看法。
分析人士根据袭击效果怀疑俄罗斯在此次袭击背后发挥了作用。
美国陆军网络研究所顾问布赖森·博尔特表示:“DarkSide使用的恶意代码在勒索计算机之前会主动检查主机上是否加载了俄语语言包,这显然是有原因的。
” ”暗示该勒索软件专门选择非俄语地区作为攻击目标,并且怀疑对科耀明的攻击并非孤立事件,而是针对美国能源机构的有预谋的网络攻击的一部分。
但另一方面,也有一些人认为,这次袭击与政治无关。
5月10日,Darkside组织发表声明称,他们的攻击目的是“赚钱,而不是给社会制造问题”,并指出该组织“非政治性”,不需要与任何特定政府挂钩。
综合目前复杂的信息,虽然不能断定本次攻击是有国家背景的黑客组织有针对性的攻击,但也不能排除本次事件是打着商业勒索软件名义的APT攻击。
3、关于攻击方式,根据相关网络安全专家分析,该次攻击为针对IT网络的勒索软件攻击。
由于疫情期间该公司员工在家办公,远程访问石油管道控制系统,可能导致远程桌面软件账户登录信息泄露。
出于谨慎考虑,Colonial 关闭了部分或全部工业控制系统,以防止攻击蔓延到这些设备。
据NBC新闻报道,不仅洛尼尔公司的大量数据被加密,而且近GB的数据在加密之前就被盗了。
根据DarkSide组织的历史攻击数据分析,该组织与其他勒索软件组织的不同之处在于,它会窃取大量数据,然后再向相关组织发布和安装勒索软件攻击。
它还在伊朗创建了一个分布式存储系统,用于存储受害者数据。
二、本次事件带来的启示(一)网络安全就是国家安全。
没有网络安全,就没有国家安全。
这次攻击与今年发生的太阳能风供应链攻击和佛罗里达州水处理厂网络攻击一样,是其他重大网络事件。
安全事件的反复发生,深刻说明了网络安全对国家安全的重要性。
即使是网络安全实力最强的美国,如果网络安全出现薄弱环节,社会运行也会受到干扰,国家安全也会受到极大影响。
影响。
(二)数字时代极其脆弱,网络安全是数字化的基础。
数字时代有三大特征:万物皆可编程、万物互联、大数据驱动商业、整个世界都建立在软件之上。
美国石油管道遇袭事件再次证明,软件漏洞不可避免。
数字时代,网络安全和数据安全风险存在于工业生产、能源、交通、医疗、金融、城市和社会治理等各个场景。
因此,必须保障网络安全,为数字化打下坚实的基础。
特别是在工业数字化进程中,随着工业互联网在能源、电力、制造等基础设施行业的发展和应用,以往部署在生产网络中的大量工控设备暴露在互联网上,生产运作过程高度依赖数据。
驱动程序为勒索软件攻击和工业控制攻击提供了机会。
(3)基础设施是网络攻击的重点,产业链瘫痪是网络攻击的典型效应。
能源是工业的命脉。
数字时代,能源基础设施成为重点攻击目标。
此次针对洛尼尔公司的勒索软件攻击,以及美国Solar Wind供应链网络攻击、佛罗里达州水处理厂网络攻击、天然气运营商勒索软件攻击等一系列基础设施网络攻击,表明基础设施一旦受到网络攻击,将严重威胁生产安全和社会稳定,甚至导致整个产业链瘫痪。
类似的基础设施网络攻击包括:去年,欧洲能源巨头Enel集团遭遇两次网络攻击,多达5TB数据被盗;台湾最大的两家炼油厂也遭到勒索软件攻击,影响整个供应链甚至加油站。
IT系统也无法使用。
(4)专业高级黑客组织是网络安全的主要对手。
多个消息来源证实,勒索软件攻击很可能是由俄罗斯犯罪组织 DarkSide 发起的。
DarkSide是去年出现的一个新的勒索软件组织,但其攻击手段非常复杂。
它已攻击了40多个受害组织,赎金要求一般在20万美元至20万美元之间。
事实上,专业的高级黑客组织早已成为网络安全的主要反对者。
据报道,全球每年网络犯罪犯罪收入达1亿美元,勒索软件攻击数量增长超过3%。
这些攻击大部分是由专业黑客组织完成的。
(五)网络攻击不分平时战时,必须未雨绸缪。
针对洛尼尔公司的勒索软件攻击凸显了美国基础设施对于国家级网络犯罪对手的脆弱性。
网络攻击通常是不公开的,也不区分和平时期和战时。
战时。
与美国军方和联邦政府的网络安全投资相比,美国关键基础设施是由私营经济建设的。
网络安全投入不足、传统安全检测失效、碎片化安全防御失效,导致美国能源等关键基础设施安全能力低下。
,成为网络空间安全的短板。
因此,即使是美国这样的网络强国,如果缺乏足够的网络安全准备和防范措施,也会被网络攻击打败。
网络安全必须未雨绸缪。
(六)网络攻击不区分军用和民用,不区分国家、企业和个人。
每个节点都可以成为攻击的跳板。
网络攻击是普遍存在的。
随着国家和军队数字化程度的提高,所有军用和民用设施都在逐步迁移。
对于软件来说,软件漏洞不可避免,导致网络攻击面大幅增加;数字时代,万物互联意味着每个节点都可能成为攻击的跳板。
同时,现代社会细致的分工,使得网络攻击的连锁效应更加明显,可以说是牵一发而动全身。
这次网络攻击迫使石油管道系统关闭,影响了美国东海岸近一半的燃料供应。
因此,无论是军事设施还是民用设施,无论是国家、企业还是个人,所有需要洛尼尔提供燃料的用户都将不得不承担后果。
三、应对建议 洛尼尔公司勒索病毒攻击暴露了美国数字关键基础设施安全威胁情报和安全检测能力的缺乏。
碎片化、碎片化的网络防御已经无法应对新的网络攻击,个别企业也无力对抗。
专业的高级黑客组织必须依靠国家赋能、协同联防,建立新的整体防护体系。
此次事件发生后,美国总统拜登表示,将通过公私合作计划整合政府和企业资源,完善对电力、天然气管道、供水等关键能源基础设施的保护。
据报道,攻击者在袭击发生前一天(即5月6日)才进入科耀明公司石油管道控制网络。
可见攻击者在此之前已经完成了侦察工作,对目标网络环境有了很好的了解。
试想,如果科耀明公司的安全系统收集攻击者早期侦察的检测数据,或者共享俄罗斯犯罪组织DarkSide之前使用的行为特征情报,完全有可能预防网络攻击。
中国“十四五”规划将工业数字化转型作为数字经济发展的重要抓手,并将智慧能源列为十大典型数字化应用场景之一。
洛尼尔公司的勒索病毒攻击对我加强数字化发展的安全性有强烈的启发。
也就是说,我们要充分发挥国家优势,以整体思维应对新型高级网络攻击威胁,降低安全风险。
为此,必须广泛收集网络安全数据,利用大数据技术进行统一分析,构建基于安全大脑的国家/地区/行业级网络安全基础设施,重点建设威胁情报中心和地图测绘中心。
、漏洞管理中心等,支持网络威胁情报的查询和共享,从而实现跨行业、跨地区的网络安全情报互联和整体联防,抵御各种高级别网络攻击。