最新：针对美国关键基础设施的定向勒索分析研判报告

突发！美国首次因网络攻击宣布多州进入紧急状态。当地时间5月7日，美国最大成品油管道运营商Colonial Pipeline遭到勒索软件攻击，致使5500英里输油管被迫停运。5月9日，美国宣布进入国家紧急状态。美国联邦调查局、能源部、网络安全与基础设施安全局等多个联邦机构及第三方安全公司第一时间介入调查。然而，此次事件影响远超以往。由于攻击者的特殊性，360安全大脑专家将此次事件定义为：首个非政府、非国家背景，纯网络犯罪、勒索背景的“APT”组织，并造成国家级基础设施破坏的定向攻击事件，而此次定义令全球性网络攻击进入了一个全新的暴风漩涡。

Colonial Pipeline：美国最大的成品油管道，每天通过管道系统输送超过1亿加仑的燃料，该管道系统连接得克萨斯州休斯顿和新泽西州林登，跨度长达5500多英里。美国东海岸45%的燃料都由该管道系统提供，此外Colonial Pipeline还为美国军方提供精炼石油产品，例如汽油、柴油、喷气燃料。

回观事态发展

最大燃油管道被黑客“掐断”，美国被迫宣布进入国家紧急状态

当地时间5月7日，美国最大燃油运输管道商Colonial Pipeline公司遭受网络攻击。据悉，攻击者是通过安装非法勒索软件，控制受害者的计算机系统或数据系统，以此要求受害者支付大笔赎金才能重新获得访问权限。值得注意的是，该攻击暂时停止了所有管道的运行，并影响了某些IT系统。

5月8日，ColonialPipeline发布声明称，为防止病毒扩散，公司已主动将关键系统进行脱机，并与相关机构协同展开调查。

5月9日，美国政府宣布美国17个州和华盛顿特区进入紧急状态，以应对勒索软件的攻击。与此同时发布区域紧急声明，允许通过公路运输燃料。

事发后，尽管美国各方已第一时间处理，但分析认为，攻击不仅使美国东海岸燃油供应受到影响，还将引发一系列连锁反应。如：美国电力有40%是来自燃气，此次事件还将可能影响到电力供应。此外，管道停运一旦超过3天，将引发油价上涨，这将严重打击尚处于疫情复苏阶段的美国经济，进而引发经济层与社会层的动荡。

ColoIal Pipeline公司紧急通告

谜团与新思

一．攻击者是谁？

据外媒BBC报道，根据多个消息来源证实，此次勒索软件攻击是一个名为DarkSide（黑暗面）的勒索软件。

DarkSide：是一支新兴的RaaS（勒索即服务）犯罪团伙，该团伙有可能是由其他勒索软件活动的前分支机构所组织发起的。攻击手法非常老练，根据360官网发布的《2021年1月勒索病毒流行态势分析》介绍，该勒索病毒家族最早出现于2020年8月，目前被公开的有81个企业遭遇该勒索病毒家族的攻击。 

值得注意的是，根据DarkSide团伙的历史攻击数据分析，该团伙的攻击特点有别于其他勒索团伙，在针对相关组织机构释放安装勒索病毒攻击前会先窃取大量的数据，其在伊朗还创建了一个分布式存储系统用于存储受害者数据。

DarkSide团伙关于存储系统的公告

其中，我们发现DarkSide的几个鲜明特点：

1.目标针对性极强且定向。该团伙曾公开表示，该团伙只会针对除医疗、政府、教育、非盈利组织和殡葬行业外的组织机构发起勒索攻击；

2.长期持续性“潜伏渗透”。为达到攻击目的，DarkSide会对目标进行长达数周乃至数月的技术分析工作，包括：会计数据、执行数据、销售数据、客户支持数据、营销数据等核心价值数据；

3.勒索方式史无前例。除了加密数据外，为了确保成功勒索用户缴纳赎金，在进行加密前攻击者会在目标环境中进行渗透并安装后门程序以窃取重要的数据信息，当勒索目标拒绝缴纳赎金时，会将数据公开、放负面安全事件消息，让受害企业股价下跌，以此做空而获利。

此外，通过对其技术进一步分析，DarkSide还具备以下特征：

1.勒索病毒主要针对Windows系统，但是也存在针对Linux系统的变种；

2.使用大量渗透测试工具针对相关组织机构的外部网络系统实施漏洞扫描和入侵渗透；

3.进入相关组织机构的内网后会定向攻击Windows域控制器，企图控制整个企业内网；

4.窃取组织机构的核心数据会上传至私有的云分布式存储系统；

5.控制组织机构的核心资产后，最终实施安装勒索病毒攻击。

通过上述观察，我们发现除没有国家背景外，DarkSide的特征已与APT攻击团伙的无异。基于此，360安全大脑专家对该组织进行了重新定义：首个非政府、非国家背景，纯网络犯罪、勒索背景的“APT”组织。

关于DarkSide的归属，综合技术特征和历史活动判断，该团伙是一支典型的RaaS（勒索即服务）犯罪团伙，疑似存在大量俄语系人员。判定依据如下：

1.DarkSide团伙成员曾在知名俄语系论坛发布DarkSide相关勒索软件信息。

2.勒索病毒会判断系统默认的语言，如果为俄语系语言则不加密系统文件

二．超级网络大国关键基础设施“失守”？

在此次攻击事件爆发发前的上月下旬，拜登政府刚刚出台一项提振能源供应体系网络安全的“百日计划”，这次攻击是对美国白宫的挑衅还是美国大基建体系网络安防太过薄弱？

· 早在2012年，美国国土安全部（DHS）就曾警告说，恶意分子已将天然气行业作为攻击目标。

· 2019年，美国政府问责办公室（GAO）的审计显示，美国国土安全部（DHS）的运输安全管理局（TSA）需要解决其管道安全计划关键方面的管理缺陷。

· 2020年初，美国某天然气压缩设施遭遇的勒索软件攻击，并导致其业务被迫关停两天。为此，美国网络安全与基础设施安全局发布警报，强调关键基础设施目标（包括输送管线）已经成为黑客团伙的主要攻击目标。

然而，多次警告之下，美国仍发生18个州被迫进入紧急状态的突发事件。作为超级网络大国的美国在网络安全防护竟然“失守”！是能力不够？还是意识不强？

事发后，Axio公司总裁Dave White接受采访时再次呼吁，“美国经济高度依赖于能源管道基础设施。这种至关重要的能源输送资产会影响到每一位民众的正常生活；因此联邦政府必须开展风险分析与经济量化研究，在了解此类攻击事件的影响规模的同时调拨专项资金为这类设施提供必要保护。”

超强网络大国尚且如此“失衡”、“失守”，他国又如何？此次事件，不仅是给美国一次惨痛的警钟，也是对其他各国关键信息基础设施建设保护的鞭策。

智库时评  

关键信息基础设施关系着国计民生，是经济社会运行的神经中枢，是网络安全的重中之重。对于关键信息基础设施安全防护，我们必当引起高度的警觉与重视。如何做？

智库认为，做好积极主动防御至关重要。网络安全的防护，已经到了思考如何将主动从对手转移到对我们有利的时候了，强化网络弹性，强调事先做准备，准备好应对任何可能发生的事情。

此外，对于此次的攻击者，智库认为这与早前360发布的《2020年全球高级持续性威胁（APT)研究报告》中对2021年趋势预测又进一步吻合。预测表示：

我们认为意图为破坏、窃密的针对性勒索攻击将不断出现。去年针对性定向勒索攻击大幅上升，针对英特尔、富士康、巴西航空工业公司、日本汽车制造商本田等大型企业的勒索攻击就有二十多起。这些被勒索的企业都造成了不同程度的机密数据泄露、业务中断等重大影响。针对这些攻击我们很难确定攻击者实际目的，但确定的是攻击给用户造成了严重的影响。勒索攻击和APT攻击之间的交集逐渐增多，勒索攻击更像是一场精心策划的APT攻击中的烟雾弹，将其真实攻击意图掩盖。

针对此类型威胁，同样，做好事前预防成本和收益远远大于事后的补救，对企业信息系统的保护，是一项系统化工程，在企业信息化建设过程中严格规划落实，以更好应对。

来源：国际安全智库