最近，美國(guó)最大燃油管道運(yùn)營(yíng)商遭遇勒索軟件攻擊，導(dǎo)致輸油管線運(yùn)輸大范圍中斷，引發(fā)國(guó)際社會(huì)廣泛關(guān)注。

當(dāng)?shù)貢r(shí)間 5 月 7 日，美國(guó)大型成品油管道系統(tǒng)運(yùn)營(yíng)商科洛尼爾管道運(yùn)輸公司（Colonial Pipeline）因遭黑客非法控制電腦系統(tǒng)、數(shù)據(jù)，不得不臨時(shí)關(guān)閉設(shè)備。

當(dāng)?shù)貢r(shí)間 5 月 9 日，美國(guó)最大燃油輸送管線被迫關(guān)停，已導(dǎo)致美國(guó)東海岸 45% 的汽油、柴油等燃料供應(yīng)受影響?；诖耍绹?guó)政府宣布 17 個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)。

公開(kāi)資料顯示，這條管道全長(zhǎng) 8851 公里，連接著墨西哥灣沿岸地區(qū)與美國(guó)東部和南部，其重要性正如美國(guó)氣候政策實(shí)驗(yàn)室研究教授兼總經(jīng)理 Amy Myers Jaffe 所言：

它不僅是一條輸油管道，可以說(shuō)是美國(guó)基礎(chǔ)設(shè)施的大動(dòng)脈。

截至發(fā)稿，美國(guó)方面尚未有管道全面恢復(fù)的消息。

據(jù)福布斯網(wǎng)站最新消息，Colonial Pipeline 僅設(shè)法重新啟動(dòng)了一小部分管道作為權(quán)宜之計(jì)，并且預(yù)計(jì)周末前仍無(wú)法全面恢復(fù)服務(wù)。同時(shí)這一現(xiàn)狀引發(fā)了民眾恐慌性購(gòu)買，加之季節(jié)性需求高峰臨近，油價(jià)飆升。例如在佐治亞州北部，加油站已不再支持使用任何種類的信用卡支付，只能是現(xiàn)金預(yù)付。

在這一節(jié)點(diǎn)上，我們有必要深入了解一下此次網(wǎng)絡(luò)攻擊的幕后黑手——俄羅斯黑客團(tuán)伙 DarkSide。

DarkSide 發(fā)聲：只想賺錢，不搞政治

DarkSide 于 2020 年 8 月首次在俄語(yǔ)黑客論壇上露面，網(wǎng)絡(luò)安全公司 Kaspersky 將其定義為一家“公司”，因?yàn)槠渚W(wǎng)站看上去頗為專業(yè)，還曾嘗試與記者、解密公司進(jìn)行合作。

【DarkSide 勒索軟件的廣告】

雷鋒網(wǎng)此前曾報(bào)道，DarkSide 通常攻擊非俄語(yǔ)國(guó)家，其主要攻擊手段是向目標(biāo)系統(tǒng)植入惡意軟件，從而索要贖金。這種惡意軟件也被稱為“勒索病毒”，一旦進(jìn)入本地就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。病毒利用各種加密算法對(duì)文件進(jìn)行加密，必須拿到解密的私鑰才有可能破解。因此基本的邏輯是等 Colonial Pipeline 支付贖金，DarkSide 才會(huì)解鎖。

知情人士稱，此次 DarkSide 索要的贖金或高達(dá)數(shù)百萬(wàn)美元虛擬幣。

實(shí)際上在 4 月下旬，拜登政府出臺(tái)了一項(xiàng)提振能源供應(yīng)體系網(wǎng)絡(luò)安全的“百日計(jì)劃”，因此部分外媒認(rèn)為黑客是在挑釁白宮。

不過(guò)，根據(jù) DarkSide 網(wǎng)站題為《關(guān)于最新消息》的聲明，此次的網(wǎng)絡(luò)攻擊只是為了錢。

DarkSide 在聲明中提到：

我們不搞政治，不需要將我們與政府聯(lián)系在一起，也不需要尋找我們的動(dòng)機(jī)。我們的目標(biāo)是賺錢，不是給社會(huì)造成問(wèn)題。從今天起，我們還要開(kāi)始對(duì)每家合作伙伴進(jìn)行審核，希望他們的行為都不要產(chǎn)生社會(huì)影響。

知名網(wǎng)絡(luò)安全公司 Cybereason 報(bào)告稱，DarkSide 渴望表現(xiàn)出道德規(guī)范，甚至發(fā)布了客戶行為準(zhǔn)則，告訴客戶他們可以接受哪些攻擊目標(biāo)。DarkSide 業(yè)務(wù)范圍僅限各行業(yè)大公司，包括醫(yī)院、招待所、學(xué)校、非營(yíng)利組織和政府機(jī)構(gòu)在內(nèi)的機(jī)構(gòu)、俄語(yǔ)國(guó)家機(jī)構(gòu)都不會(huì)是他們的涉獵范圍。

【DarkSide 向攻擊對(duì)象的“通知”界面】

不僅如此，DarkSide 還表示會(huì)將部分利潤(rùn)捐贈(zèng)給慈善機(jī)構(gòu)，盡管有些慈善機(jī)構(gòu)拒絕了捐款。

DarkSide 寫(xiě)道：

無(wú)論您認(rèn)為我們的工作有多糟，我們還是為幫助別人改變生活感到開(kāi)心。今天我們發(fā)出了第一筆捐款。

值得關(guān)注的是，Cybereason 發(fā)現(xiàn) DarkSide 非常專業(yè)，甚至?xí)楣魧?duì)象提供 help desk（這里可以理解為技術(shù)支持）和電話號(hào)碼。

下圖展示的是 DarkSide 與攻擊對(duì)象之間的第一次交涉，其中攻擊對(duì)象要求 DarkSide 保證所竊取的數(shù)據(jù)在付款后刪除。

今年 4 月中旬，DarkSide 勒索軟件還推出了新功能——在談判期間如需向攻擊對(duì)象增加壓力，可以發(fā)動(dòng)分布式拒絕服務(wù)攻擊（DDoS 攻擊，指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器同時(shí)實(shí)施攻擊）。

DarkSide 維護(hù)著一個(gè)名為 DarkSide Leaks 的網(wǎng)站，網(wǎng)站參考了旨在揭露政府及企業(yè)腐敗行為的大型文檔泄露及分析網(wǎng)站 WikiLeaks，如果攻擊對(duì)象不支付贖金（從 20 萬(wàn)美元到 2000 萬(wàn)美元不等），DarkSide Leaks 將會(huì)把數(shù)據(jù)公之于眾。

引用來(lái)源：

https://www.forbes.com/sites/rrapier/2021/05/11/panic-buying-is-causing-gas-shortages-along-the-colonial-pipeline-route/?sh=5ff6f35e6b49

https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/

https://www.cnbc.com/2021/05/10/hacking-group-darkside-reportedly-responsible-for-colonial-pipeline-shutdown.html

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。