【文/觀察者網(wǎng) 呂棟 編輯/周遠(yuǎn)方】美國(guó)東海岸輸油“大動(dòng)脈”——運(yùn)營(yíng)商Colonial Pipeline剛交完贖金恢復(fù)運(yùn)營(yíng)，該國(guó)東南部油品短缺情況尚未緩解，肇事黑客組織“黑暗面”（DarkSide）又盯上了日本企業(yè)。

當(dāng)?shù)貢r(shí)間5月14日，據(jù)日本放送協(xié)會(huì)（NHK）報(bào)道，被美國(guó)聯(lián)邦調(diào)查局認(rèn)定與Colonial Pipeline網(wǎng)絡(luò)攻擊事件有關(guān)的黑客組織“黑暗面”宣稱(chēng)入侵東芝法國(guó)子公司，并竊取了機(jī)密信息，該公司正對(duì)此事進(jìn)行調(diào)查。

網(wǎng)絡(luò)安全專(zhuān)業(yè)人士宋國(guó)龍對(duì)觀察者網(wǎng)分析了“黑暗面”兩次行動(dòng)的特點(diǎn)，并表示，按照常規(guī)APT攻擊的思路，黑客在成功攻擊法國(guó)東芝分公司之后，已建立基礎(chǔ)據(jù)點(diǎn)，接下來(lái)黑客會(huì)在保障隱蔽的前提下實(shí)施突破外網(wǎng)后的內(nèi)網(wǎng)攻擊。

NHK報(bào)道截圖

日本信息安全公司“三井物產(chǎn)安全方向”（Mitsui Bussan Secure Directions）稱(chēng)，日本時(shí)間周五凌晨1點(diǎn)剛過(guò)，位于俄羅斯（Russia-based）的“黑暗面”在暗網(wǎng)（dark web）上建立了一個(gè)網(wǎng)站，并在上面發(fā)布聲明稱(chēng)，該組織入侵了東芝法國(guó)公司一處設(shè)施的系統(tǒng)，竊取了超過(guò)740G的數(shù)據(jù)，其中包括有關(guān)東芝管理層和新業(yè)務(wù)的資料以及個(gè)人信息。

周五，過(guò)去幾年一直深陷一系列丑聞的東芝表示，正在成立一個(gè)戰(zhàn)略審查委員會(huì)，以考慮如何提高公司價(jià)值，并已任命瑞銀（UBS）為其財(cái)務(wù)顧問(wèn)。財(cái)報(bào)顯示，在截至2021年3月的財(cái)年中，東芝實(shí)現(xiàn)營(yíng)業(yè)利潤(rùn)1044億日元（約合人民幣61.4億元），較上年下降20％，主要因?yàn)樾鹿谝咔榇罅餍袚p害了其盈利能力。該公司預(yù)計(jì)，在截至2022年3月的財(cái)年收入為3.25萬(wàn)億日元，營(yíng)業(yè)利潤(rùn)為1700億日元（約合人民幣100億元），較2020財(cái)年增長(zhǎng)62.8％。

路透社報(bào)道稱(chēng)，雖然東芝方面表示只有少量工作數(shù)據(jù)丟失，但遭遇勒索軟件攻擊令該公司公布的戰(zhàn)略評(píng)估和樂(lè)觀的利潤(rùn)預(yù)測(cè)黯然失色（overshadowing）。該報(bào)道稱(chēng)，“黑暗面”面向公眾的網(wǎng)站已經(jīng)無(wú)法訪(fǎng)問(wèn)，安全研究人員表示，該組織的多個(gè)網(wǎng)站已經(jīng)停止訪(fǎng)問(wèn)。

路透社報(bào)道截圖

一周前（當(dāng)?shù)貢r(shí)間5月7日），美國(guó)最大成品油輸送管道的運(yùn)營(yíng)商Colonial Pipeline遭黑客勒索軟件攻擊，被迫全面暫停運(yùn)營(yíng)，該管道為東海岸供應(yīng)了45%的汽油、柴油、航空燃料，還為軍方供油。

5月10日，襲擊者“黑暗面”在其“暗網(wǎng)”的主頁(yè)發(fā)布聲明，間接回應(yīng)造成Colonial Pipeline公司暫停運(yùn)營(yíng)三天的網(wǎng)絡(luò)襲擊，強(qiáng)調(diào)“只想要錢(qián)”，“不想給社會(huì)找麻煩”，還撇清關(guān)系，自稱(chēng)“沒(méi)有政治目的”。

同日，美國(guó)聯(lián)邦調(diào)查局（FBI）也向媒體公布了襲擊事件的調(diào)查結(jié)論，指控“黑暗面”組織對(duì)ColonialPipeline發(fā)動(dòng)了勒索軟件攻擊。FBI表示，正與企業(yè)及其他政府部門(mén)合作，繼續(xù)開(kāi)展調(diào)查。

經(jīng)歷一周的艱難“周旋”，終于在當(dāng)?shù)貢r(shí)間5月13日下午5點(diǎn)左右，Colonial Pipeline公司宣布恢復(fù)運(yùn)營(yíng)。至于為何能恢復(fù)運(yùn)營(yíng)，彭博社5月13日?qǐng)?bào)道援引知情人士的話(huà)稱(chēng)，其實(shí)Colonial公司早在勒索攻擊發(fā)生的數(shù)小時(shí)內(nèi)，就已向黑客支付了500萬(wàn)美元贖金以恢復(fù)系統(tǒng)。

同一天，美國(guó)總統(tǒng)拜登在白宮羅斯福廳發(fā)表講話(huà)，他直指此次對(duì)美國(guó)輸油管道運(yùn)營(yíng)商發(fā)起網(wǎng)絡(luò)攻擊的黑客來(lái)自俄羅斯境內(nèi)，但他也強(qiáng)調(diào)，不認(rèn)為普京和其所領(lǐng)導(dǎo)的俄羅斯政府是此次事件的幕后黑手，但俄政府有責(zé)任阻止發(fā)生在其境內(nèi)的這類(lèi)網(wǎng)攻行動(dòng)。

專(zhuān)業(yè)人士：黑客可能已在東芝建立基礎(chǔ)據(jù)點(diǎn)

從事網(wǎng)絡(luò)安全工作多年的EKEdu創(chuàng)始人（上海享聚群分信息技術(shù)有限公司）宋國(guó)龍從專(zhuān)業(yè)角度向觀察者網(wǎng)分析了兩次攻擊的異同點(diǎn)。

宋國(guó)龍分析，美國(guó)的輸油管道和法國(guó)東芝分公司遭受網(wǎng)絡(luò)攻擊這兩件事情，從攻擊方式上來(lái)講，都屬于高級(jí)可持續(xù)性攻擊，業(yè)內(nèi)通常簡(jiǎn)稱(chēng)為APT攻擊，是Advanced Persistent Threat在國(guó)內(nèi)的專(zhuān)業(yè)術(shù)語(yǔ)。跟常規(guī)APT攻擊以悄無(wú)聲息的方式竊取信息所不同的是：兩次攻擊均帶有勒索性質(zhì)。即：DarkSide采用APT攻擊方式將勒索病毒植入被攻擊方的系統(tǒng)將數(shù)據(jù)加密，并以此勒索解密數(shù)據(jù)的費(fèi)用。

輸油管道主要針對(duì)操作系統(tǒng)層面的攻擊，導(dǎo)致物聯(lián)網(wǎng)系統(tǒng)的基礎(chǔ)運(yùn)行時(shí)環(huán)境被破壞。而東芝公司的遭受的攻擊可以歸屬為旁路攻擊，即：攻擊者難以突破東芝總部的網(wǎng)絡(luò)防御，進(jìn)而轉(zhuǎn)向防守較為薄弱的分公司。從事后分析的角度看，東芝總部跟法國(guó)東芝分公司是存在管理關(guān)系的獨(dú)立組織；因此可以確認(rèn)法國(guó)東芝分公司的數(shù)據(jù)被竊取，但不能確定黑客竊取了東芝企業(yè)的核心機(jī)密。

雖有媒體稱(chēng)黑客竊取東芝公司的核心數(shù)據(jù)，但是實(shí)際上，并沒(méi)有在黑產(chǎn)數(shù)據(jù)交易類(lèi)的WebSite上捕捉到帶有明顯證據(jù)的數(shù)據(jù)樣本，東芝也并未承認(rèn)或認(rèn)可此次數(shù)據(jù)泄露事件。

之前國(guó)內(nèi)某家銀行機(jī)構(gòu)，發(fā)生過(guò)類(lèi)似的疑似數(shù)據(jù)泄露事件，經(jīng)過(guò)調(diào)研并發(fā)布的公告里已明確說(shuō)明未受到攻擊，且泄漏數(shù)據(jù)與真實(shí)客戶(hù)數(shù)據(jù)不符。

受影響的輸油管道示意圖

所謂“勒索病毒”，其攻擊和傳播方式通?；?day和nday，廠商提供修復(fù)補(bǔ)丁之前的漏洞被稱(chēng)為0day，之后的稱(chēng)之為nday，因?yàn)槠髽I(yè)安裝補(bǔ)丁需要特定的時(shí)間窗口、需要花費(fèi)時(shí)間，所以黑客就是利用這個(gè)時(shí)間差，將勒索病毒集成到攻擊代碼中，在互聯(lián)網(wǎng)上搜集未完成補(bǔ)丁修復(fù)的軟件、操作系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等，常規(guī)勒索病毒的攻擊方式是廣泛的、大面積投放的一種攻擊形式。

從政治角度看，美國(guó)輸油管路攻擊事件，受攻擊對(duì)象為國(guó)家基礎(chǔ)設(shè)施，再繼續(xù)往下細(xì)分的話(huà)，攻擊目標(biāo)是民用級(jí)別的工業(yè)基礎(chǔ)設(shè)施，對(duì)國(guó)家安全和運(yùn)行的穩(wěn)定性會(huì)帶來(lái)間接的、細(xì)微的影響，其影響主要在于民生問(wèn)題。

從企業(yè)角度角度看，法國(guó)東芝屬于總部的分支機(jī)構(gòu)，按照常規(guī)跨國(guó)企業(yè)的數(shù)據(jù)安全管理模型，核心數(shù)據(jù)的存儲(chǔ)通常集中于總部，且法國(guó)東芝分公司的業(yè)務(wù)并不是以研發(fā)類(lèi)為主，因此可以推測(cè)核心研發(fā)類(lèi)機(jī)密數(shù)據(jù)受到影響的概率不大，但銷(xiāo)售類(lèi)數(shù)據(jù)可能會(huì)受到波及。如果黑客以法國(guó)東芝分公司為攻擊點(diǎn)，存在攻擊東芝總部的可能，但目前無(wú)法證實(shí)。

按照常規(guī)APT攻擊的思路，黑客在成功攻擊法國(guó)東芝分公司之后，已建立基礎(chǔ)據(jù)點(diǎn)，接下來(lái)黑客會(huì)在保障隱蔽的前提下實(shí)施突破外網(wǎng)后的內(nèi)網(wǎng)攻擊，通過(guò)橫向和縱向攻擊手段，進(jìn)一步實(shí)施信息收集，必要時(shí)通過(guò)社工攻擊，攻擊東芝總部；其主要目的是竊取黑客希望獲得的核心數(shù)據(jù)，例如：核心研發(fā)數(shù)據(jù)。

外媒報(bào)道截圖

據(jù)外媒報(bào)道梳理，“黑暗面”成立于2020年，被路透社等形容為“年輕且專(zhuān)業(yè)”，還有美媒聲稱(chēng)該組織與俄羅斯政府有聯(lián)系，但沒(méi)有提供證據(jù)。

總部設(shè)在紐約、實(shí)驗(yàn)室設(shè)在以色列的網(wǎng)絡(luò)安全公司Varonis透露，從去年8月份開(kāi)始，“黑暗面”因發(fā)動(dòng)一系列具有“高度針對(duì)性”的網(wǎng)絡(luò)勒索攻擊而引發(fā)關(guān)注。Varonis公司認(rèn)為，鑒于該組織“十分熟悉”勒索對(duì)象的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安保技術(shù)與弱點(diǎn)，可以推測(cè)其成員中或有前互聯(lián)網(wǎng)安保領(lǐng)域的專(zhuān)業(yè)人士。

“黑暗面”組織慣用“胡蘿卜加大棒”的手法，通過(guò)挾持一部分被害者的文件資料（如人事、財(cái)務(wù)與個(gè)人信息等），以威脅曝光來(lái)阻止對(duì)方重啟系統(tǒng)。有網(wǎng)絡(luò)安全公司的專(zhuān)家認(rèn)為，以“黑暗面”為代表的一批黑客組織正朝“無(wú)情的高效率”方向發(fā)展，向受害者傳遞“我們是專(zhuān)業(yè)人士，抗衡是沒(méi)有用的，付錢(qián)吧”的潛臺(tái)詞。

去年8月，美國(guó)《連線(xiàn)》雜志曾以“勒索成為生意，且越發(fā)殘酷”為題，報(bào)道“黑暗面”等黑客組織如何像企業(yè)一樣行事，包括為勒索對(duì)象提供資金周轉(zhuǎn)期限、實(shí)時(shí)聊天支持，甚至承擔(dān)“企業(yè)責(zé)任”：該組織當(dāng)時(shí)承諾攻擊對(duì)象僅限“付得起贖金”的目標(biāo)。

本文系觀察者網(wǎng)獨(dú)家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。