解密DarkSide:瘫痪美东油管运输的黑客犯罪组织

近日,负责美东燃油运输的“殖民油管公司”遭黑客犯罪组织DarkSide勒索,DarkSide表示,他们的目标是赎金,而不是造成社会问题。

油管公司遭黑,瘫痪美东燃油运输

7日,负责提供美国东岸45%燃油运输的“殖民油管公司”(Colonial Pipeline)遭到黑客攻击,影响东岸汽油、柴油和航空燃油的运输,逼得“殖民油管公司”不得不紧急关闭超过8,851公里、从德州一路延伸到纽泽西州、每天可以运送250万桶油的管线,瘫痪范围惊人。

不付赎金就走着瞧

发动黑客攻击的网络犯罪组织DarkSide表示,合作伙伴利用勒索软件入侵“殖民油管公司”的内部网络,并且把将近100GB重要数据都给锁了起来,除非“殖民油管公司”愿意支付赎金,否则他们不会把解锁工具交出来。不仅如此,他们还会将取得的数据、个人信息外泄到网络上,借此让“殖民油管公司”颜面扫地。

The federal government is helping the operator of a major pipeline system that shut down on Friday after a Russian ransomware attack.

The Colonial Pipeline stretches from Texas to New Jersey and carries nearly half of East Coast driving and flying fuel:https://t.co/QD7CYraybbpic.twitter.com/RETq8mTrk5

—USA TODAY Graphics (@usatgraphics)May 10, 2021

《今日美国》搭建的地图,可看到“殖民油管公司”架设的油管一路从德州延伸到纽泽西州,负责美东45%的燃油运输。

DarkSide一贯犯案手法

根据BBC的报道,这是DarkSide一贯的犯案手法。

首先,受害者的计算机屏幕会跳出通知,告诉他们计算机和服务器已经被加密。紧接着,DarkSide会罗列出所有他们偷取、上锁的数据,并寄给受害者“个人信息泄露页面”的URL,让受害者看看要是在截止时间前还不付赎金,这些个人信息就会自动被公布到网络。

赎金随时间翻倍

不只如此,DarkSide还会要胁将这些数据全部从受害者的计算机和服务器上删除。至于赎金的金额,则会随着时间而翻倍,从20万到200万美元皆有。

对黑客犯罪组织DarkSide来说,“殖民油管公司”就是付得起赎金的公司。 (Source:Colonial Pipeline)

“只会攻击付得起钱的公司”

根据伦敦网络安全公司Digital Shadows的研究,DarkSide运行的方式就像公司,商业化十足,且专门报道计算机科技的网站Bleeping Computer指出,DarkSide从去年8月就开始对受害者发动攻击,并且还发了一篇“新闻稿”昭告天下他们的犯案原则: “我们只会攻击付得起赎金金额的公司,毕竟我们也不想害公司倒闭。”

“基于我们的攻击原则,我们不会攻击医院、学校、大学、非营利组织和政府部门。”DarkSide强调他们永远不会攻击重要且脆弱的机构。

开发勒索软件给“下线”

此外,为了扩大自己的影响力,DarkSide还会把自己开发出来的勒索软件提供给“下线”,要是“下线”勒索成功,他们再从赎金中收取一定比例的报酬。

今年3月,当DarkSide公布他们新开发的勒索软件可以比过去更快加密受害者的数据时,他们也发出了一篇新闻稿,邀请记者来采访。

因疫情不少工程师在家远程工作,由此也让不法分子有机可乘。 (Source:pixabay)

和“入口中介”合作,购买用户帐密

不只如此,DarkSide也和恶名昭彰的“入口中介”合作,所谓的“入口中介”就是去盗取用户登录帐密的黑客,并且将这些帐密卖给出价最高者,买家通常都是想要利用这些帐密来从事更严重不法行为的网络犯罪组织。

伦敦网络安全公司Digital Shadows认为,这一次美国“殖民油管公司”会遭到攻击,和DarkSide与“入口中介”合作,取得用户登录帐密息息相关。

趁工程师远程工作

有鉴于正值COVID-19(新冠肺炎)疫情期间,许多“殖民油管公司”旗下的工程师都在家靠着远程桌面软件控制油管,此时要是DarkSide取得工程师们远程桌面软件的登录帐密,就很有可能由此掌握更多“殖民油管公司”的数据。

不攻击用俄语系统的公司

然而研究DarkSide的过程,Digital Shadows发现一件有趣的事,那就是DarkSide的攻击名单不会出现位于前苏联国家的公司,包含俄国、乌克兰、白罗斯、乔治亚、亚美尼亚、阿塞拜疆、哈萨克斯坦、吉尔吉斯,塔吉克斯坦,土库曼斯坦跟乌兹别克斯坦都不在攻击名单。此外,只要DarkSide发现目标使用的计算机系统语言为俄语,也不会纳为攻击对象。

因此,Digital Shadows合理推断DarkSide极有可能总部就设在上述国家内。

幕后黑手是俄国政府?

对此,美国总统拜登(Joe Biden)表示:“我准备和俄国总统普亭(Vladimir Putin)会面,根据我们情报人员的调查,虽然有证据显示犯案的勒索软件在俄国,不过目前并没有任何证据显示俄国(政府)涉及其中,但他们在解决这个问题得负点责任。”

FBI证实嫌犯是DarkSide

10日,美国联邦调查局(FBI)正式发布声明,证实“殖民油管公司”遭到DarkSide的破坏,至于DarkSide背后是否有政府主导尚在调查中。

与此同时,美国网络与新兴技术国家安全副顾问纽贝格(Anne Neuberger)表示,“殖民油管公司”至今未寻求美国政府的协助,她也无法确定“殖民油管公司”是否有支付赎金。

(Source:Colonial Pipeline)

安全后才会重新上线

“殖民油管公司”则出面表示,公司在遭到攻击后立刻采取防护措施,让某些系统下线好控制损害范围,“唯有当我们认为安全,且完全受到联邦规范的批准后,才会让所有系统重新上线”。

油价飙高人们暴买

至于什么时候才能恢复原状,“殖民油管公司”并没有给出清楚的时间表,只大略表示希望在本周末就能够解决、重启所有服务(注)。然而,只要“殖民油管公司”停止服务的一天,汽油、柴油跟航空燃油的价格都会跟着水涨船高,进而严重影响到一般人们的生活,甚至引发人们恐慌暴买的行为。

加油站祭出限购策略

举例来说,在田纳西州、乔治亚州和数个南方州,人们看到“殖民油管公司”遭网络攻击的新闻后,担心汽油短缺纷纷冲向加油站,让上千个加油站的汽油一下被买光,剩下的加油站则祭出限购策略。

专家呼吁人们冷静

对此,专家出面呼吁人们冷静,表示现在人们恐慌的反应和实际遭遇到的风险不成比例。美国塔夫茨大学(Tufts University)能源专家洁菲(Amy Myers Jaffe)表示:“石油和汽油仍在原地,我们可以手动抽取,我们可以用卡车载送,当局和其他机构可以雇佣船只运输,而且我们还有库存。”

当局放宽运油司机工时

为了在油管瘫痪的此时运输油品,美国政府已经在周日放松公路运油的限制,包含让18个州负责运送油品的公路司机工时更灵活,甚至可以多工作几个小时。

the city is out of gas…. the world just keep getting worsepic.twitter.com/FLFcQ2xDMG

—333 (@NOTAMllA)May 12, 2021

DarkSide:目标是钱,不是制造社会问题

面对油管瘫痪造成的危机,DarkSide在10日发布声明,要外界不要有过多政治联想,他们形容自己“政治冷感”:“我们并没有当地缘政治掺一脚,各界没必要将我们和某个明确的政府绑在一起,并且从中推敲我们的犯案动机。”

“我们的目标是赚钱,而不是制造社会问题,”DarkSide澄清道,此次的攻击事件和他们的“下线”有关,他们一开始并没有注意到“下线”锁定攻击的目标是“殖民油管公司” ,对于造成如此严重的社会动荡,也让他们决定有所改变。

“从今天开始,我们会去管理和检查每一个合作伙伴想要加密的公司,借此避免未来造成社会(不良)后果。”

注:据“殖民油管公司”12日声明,已全面重启油管运行,不过相关供应链还要再几天才能恢复正常。