经过2天抢修,Garmin遭遇勒索软件攻击的灾情依旧没有完全恢复,多数服务和客服中心仍旧是中断停摆的情况,但Garmin也优先恢复了多项飞行导航的相关服务。Garmin官方网站第二次针对这次事件发布公告,这次是服务器维修公告,坦言服务器仍旧因系统中断,而影响了Garmin Connect和Garmin Pilot平台上的部分服务,这次公告不再承诺修复时间,仅表示还在抢救中,而用户资料都不受影响。
这起全球性服务中断事件,引发了全球各地的Garmin用户抱怨,甚至担心自己的活动记录或健康状态资料是否遗失等问题,如何从Garmin设备脱机导出资料的讨论也大获关注。
Garmin终于在第二次公告中,进一步说明宕机事件对用户资料的影响,Garmin Connect服务中断期间,活动和健康数据会存储在设备上,不会遗失,而他们也表示,目前没有迹象发现,这此事件会影响用户资料,包括活动记录、支付或个人信息都不受影响。从Garmin部分服务状态网页上可以发现,少数原本宕机的服务,现在也有部分开始恢复运行,例如FlyGarmin飞航数据库网站、飞航导航应用Garmin Pilot App等。
Garmin是GPS设备大厂,产品涵盖了穿戴产品、户外用品、车用导航、航空或航海设备系统,许多私人飞机采用了Garmin飞航导航或自动飞航辅助系统,甚至还有提供紧急通信的服务等。根据该公司今年第一季财报,穿戴产品类营收只占了26%,航空、航海和车用产品也各约占2成比例。除了航空产品之外,其余产品卖到全球超过100个国家,至今卖出了2.2亿个各类产品,光是2019财年就卖出了1,500万个设备。这次服务中断等于影响了全球上百个国家的这些设备的用户。
最早在7月23日时,Garmin官方突然公布了为期2天(从7/23星期四傍晚、7/24星期五到7/25星期六)的维修公告,Garmin相关应用程序和服务服务几乎全面暂停服务,甚至包括客服中心都停摆。
iThome当时接获读者爆料,独家披露了Garmin对内部员工的通告内容,指出Garmin内部服务器遭受病毒攻击,导致台湾工厂生产线全面大停摆,得停工2天的情况。我们也向Garmin公关部门查证,但他们不愿证实遭攻击的消息。
后续,多家海外媒体分别私下向Garmin员工查证才得知,可能是WastedLocker该勒索软件造成了这起大宕机事件。海外知名安全媒体BleepingComputer更取得勒索软件攻击计算机后的文件列表屏幕照片,屏幕上列出了遭加密的文件,附文件名也变更为GARMINWASTED,这是该勒索软件习惯的命名特征,以攻击对象公司加上WASTED为附文件名,也是以此为名的缘故,而且会有一个附文件名为“_info”的说明文件。不过,Garmin官方目前仍未证实,自己遭勒索软件攻击。
据BleepingComputer从Garmin员工得知,7月23日星期四早上,就发现遭到勒索软件的攻击,Garmin为了避免灾情扩大,直接将一座数据中心的设备进行强制关机,来避免更多计算机上的资料遭加密,这才进一步导致了Garmin全球服务的大宕机。另一家科技媒体Techcrunch同样也从未获授权的员工得知,发动攻击的勒索软件是WastedLocker,不过没有更多细节。
WastedLocker是今年5月才被一家英国安全研究公司NCC Group披露的新形态勒索软件,专门锁定大型企业发动攻击。根据这家公司的分析,幕后操控这款勒索软件的黑客组织是,恶名昭彰的俄罗斯黑客集团Evil Corp。6月时,赛门铁克披露,美国曾出现了一波锁定大型企业的勒索软件攻击。Evil Corp利用一个JavaScript恶意程序框架SocGholish,将入侵程序伪装成软件更新工具,再利用150个遭黑的合法网站来传播,一旦感染到大型企业的网络后,就会暗中利用渗透测试工具Cobalt Strike,搭配企业内部计算机上的合法工具,例如PowerShell,来窃取账号、权限,在企业内网中移动,最后再将WastedLocker勒索软件植入到受害企业的大量计算机上,来发动攻击,进行勒索。遭黑的企业多达31家,其中8间是名列财富500大的企业,其中一个入侵手法是,员工浏览了遭黑的新闻网站而遭植入恶意程序。
赛门铁克当时也将他们发现的WastedLocker攻击过程,制作成流程图,可以清楚看到展开大规模攻击前的手法和所用合法工具,这有助企业侦测出不正常的使用行为,以便提早发现潜伏的恶意程序。
另外,在免费线上病毒分析服务VirusTotal上,7月23日也出现了一支疑似是用来攻击Garmin的勒索软件WastedLocker。根据平台上的自动分析工具关注该程序发动攻击后的影响,同样会出现GARMINWASTED的加密文件,就如同Garmin遭黑后的计算机屏幕画面一样。该恶意程序创建时间是世界标准时间7月22日18:43,也就是7月23日凌晨2点43分,等于可能是在当天凌晨才植入程序来发动攻击。这个时间也符合BleepingComputer从Garmin员工得知,勒索软件在早上发动攻击的情况。在世界标准时间7月23日5点55分(是7/23 13:55),也就是在Garmin维修公告发布之前,有人上传了该恶意程序来进行检测。同样地,这个消息也没有获得Garmin官方证实。
在Garmin第一次公告中,所披露的受影响服务包括了Garmin Connect、Garmin Express、Launcher等,不过,进一步从官方Connect服务状态网页可以看到更详细的灾情,Garmin旗下6大平台(Garmin Connect、高尔夫产品线平台Garmin Golf、潜水产品线平台Garmin Dive、软件商店ConnectIQ、儿童手环产品线平台vivofit Jr.、运动即时关注平台LiveTrack)都呈现宕机(Down)状态,主要功能也全面停摆。
另外,Garmin另一个重要的航空产品线也受到严重冲击而几乎全面停摆,包括了最重要的飞航数据库平台flyGarmin也是从7月23日晚上8点43分开始宕机(EDT 7/23早上08:43),这个数据库主要用于提供即时飞航资料、气象资料等,给所有Garmin的飞航导航软件、飞行辅助系统之用,这也是会影响飞功能否起飞的关键数据库。另外,Garmin Pilot飞航导航App、FitPlan飞航规划网站、飞航用Connext服务也受影响,部分服务失效。
就连Garmin卫星通信服务inReach也受到影响,例如账单机制和登录功能失效,导致用户无法进入网站或Explore app,但关键的文本短信、SOS求就和Email功能可以正常运行。
经过官方公告的2天维修时间,大多数Garmin服务仍旧处于停摆状态。Garmin Connect服务状态网站一片红色“宕机”图标,直到7月26日晚上,仍旧没有任何服务恢复。倒是Garmin航空产品线有多项服务,在7月26日中午左右,恢复正常运行,根据FlyGarmin服务状态网页,包括了Garmin Pilot App、FlyGarmin网站、Connext服务和FltPlan.com都可以正常运行。而Garmin也针对飞航服务,激活限量人数的电话客服服务,作为紧急支持之用。而inReach卫星通信服务的登录机制已经恢复正常,用户可以成功登录Explore网站和App,但部分功能仍旧无法使用,例如网站和App资料同步,inReach账单功能直到7月26日时也依旧是停摆状态。