摸不著的“危險”

文／本刊記者 于 洋

在經濟和政治因素的交織下，網絡安全防護就像一場沒有硝煙的戰爭。

▲科洛尼爾事件給美國帶來了巨大混亂。 供圖/視覺中國

美國最大成品油管線的運用者科洛尼爾遭勒索事件的余波仍在擴散。7月15日，在距科洛尼爾成品油管道遭勒索的兩個多月后，美國國務院宣布公開懸賞1000萬美元，征集可以識別或定位惡意網絡行為者的信息和線索。這些線索主要是指那些在外國政府的支持下，以美國的關鍵基礎設施為攻擊目標的惡意網絡行為。為了配合這項行動，美國稱已建立了一個“暗網”舉報渠道，以保護潛在消息來源的安全。

這是美國兩個月來繼《改善國家網絡安全行政令》和《輸油管道網絡安全條例》以來，又一個針對重要基礎設施網絡安全的重要舉措。

毫無疑問，科洛尼爾成品油管道遭網絡勒索暴露了美國關鍵基礎設施體系網絡安全防護的嚴重不足。成品油管道作為重要基礎設施遭網絡勒索引起的連鎖反應讓美國“痛徹心扉”，誓要在重要基礎設施網絡安全方面“痛改前非”。

其實，人們在享受著萬物聯網的“狂歡”背后，“危險”也會悄然降臨。

美國敲響警鐘

多年來，一向樂于逼迫企業開“后門”的美國，萬萬沒想到一次針對成品油管線的網絡勒索事件差點讓全國進入緊急狀態。

5月7日，美國的老牌私人管道運營公司科洛尼爾管道運輸公司突然宣布暫時“無限期”關閉全部的輸油管線。消息一出，美國乃至全球嘩然。

為什么呢？這家名為“Colonial”的管道運輸公司運營著美國最大的成品油運輸管線。該管線建成于1963年，從得克薩斯州休斯敦出發，一路北上抵達紐約港，全長5500英里（約合8900公里），途經12個州，是美國最大的成品油運輸管道。

8900公里有多長？意味著我們從河北出發，一路向南沿著沿海各省份到海南繞一圈再轉到西南的四川這么長。對于一個“坐在車輪上的國家”來說，美國突然暫停東海岸45%的燃油供應意味著什么，結果顯而易見。

被切斷東海岸供油“大動脈”后的美國加油站，可以稱為“一片混亂”：長長的車隊堵在加油站的門口，恐慌性搶購帶來的焦躁情緒，讓前來加油的人大打出手，暴力事件層出不窮……雖然4號管線已人工恢復部分，美國交通部下屬聯邦汽車運輸安全管理局也發布區域緊急狀態聲明，臨時給予18個州汽油、柴油、航空燃料和其他成品油的臨時運輸豁免（按照此前規定只能通過管道運輸），以確保通過公路運輸維持燃料供應，但美國首都華盛頓在遭到攻擊后的第七天仍出現汽油短缺，使得華盛頓加油站的斷供率攀升至88%。美國汽車協會說，全美平均汽油價格已突破3美元/加侖（1加侖約合3.8升），創下了2014年10月以來的新高。

而造成這一切混亂讓美國頗為“頭疼”的原因，既不是武力襲擊也不是人為破壞，而是一個被稱為“Darkside”的“神秘”組織。這個組織僅僅使用了一串舊的VPN密碼，就對科洛尼爾管道公司的網絡進行了遠程“訪問”。它“訪問”的目的很簡單，不是擾亂社會秩序，而純粹是想要“贖金”。

或許沒有前車之鑒，或許是對自己應對網絡勒索能力的肯定，一開始科洛尼爾堅定地回應“不會向黑客妥協”。隨著情況的危急，在管道關閉5天后，科洛尼爾不得不向黑客支付了當時總價接近500萬美元的比特幣。也是在這一天，科洛尼爾的管道全線恢復。這次事件也成了美國目前最嚴重的油氣管網勒索事件。

DISCOURSE

其實，人們在享受著萬物聯網的“狂歡”背后，“危險”也會悄然來臨。

撕開冰山一角

雖然美國后來追回相當于230萬美元的比特幣，但面對黑客攻擊時的“無力感”已讓科洛尼爾和美國政府深深領教。事實上，這并不是石油行業第一次與勒索軟件“較量”。

“所謂的勒索軟件，是通過網絡勒索金錢的常用方法。它是一種網絡攻擊行為，可以立即鎖定目標用戶的文件、應用程序、數據庫信息和業務系統相關的重要信息，直到受害者支付贖金才能通過攻擊者提供的密鑰恢復訪問。”關鍵基礎設施安全應急響應中心研究員鄒佳信說。說直白一點，有點像我們的手機突然間“被掛失”了，然后攻擊者打來電話索要贖金，然后才幫你解鎖。而勒索軟件攻擊的這個“手機”，則是系統、服務器。

安全機構統計顯示，2020年初全球每39秒就會發生一起勒索攻擊。截至2021年4月，全球每11秒就會發生一起勒索軟件攻擊事件。被勒索軟件攻擊的企業和組織，在2020年至少支付了3.5億美金的贖金。

網絡技術在石油行業的應用已有多年歷史，石油公司遭到網絡攻擊的事件在近年來屢見不鮮。石油行業歷史上最知名的一起“被黑事件”的受害者，就是全球最大的石油公司——沙特阿美。

2012年，一款叫作Shamoon的病毒襲擊了沙特阿美石油公司。襲擊導致數小時內該公司3.5萬臺電腦上的數據被部分或完全刪除。由于2012年的原油價格正處于100美元/桶左右的高位，所以該網絡攻擊事件一度引發沙特乃至全球原油市場的恐慌。據沙特阿美方面稱，這次攻擊的主要目的是干擾沙特的原油生產。業內分析師稱，網絡攻擊是一種新型的戰爭。隨后，2017年1月，沙特一家化學公司也遭到了網絡攻擊。沙特發出警告，Shamoon病毒可能卷土重來。

歐洲第一大原油生產國挪威在2014年也遭到了網絡黑客的攻擊。據挪威政府部門稱，當時該國約有300家石油能源公司淪為黑客的攻擊目標，有50家公司確認遭到網絡攻擊。此后，能源咨詢公司DNVGL和殼牌石油、挪威石油、西門子、霍尼韋爾等知名企業曾建立過工程項目合約，共同應對石油行業的網絡威脅。

“針對關鍵基礎設施的網絡攻擊不勝枚舉，能源行業尤其成為‘重災區’。”盤古智庫高級研究員呂晶華說。西門子公司的一項研究表明，在過去12個月的時間里，68%的美國石油和天然氣公司至少經受過一次網絡攻擊。2020年以來，就有葡萄牙EDP公司、意大利EnelGroup公司、巴基斯坦K-Electric電力公司等遭受過類似攻擊。2019年底，美國另一家天然氣管道公司的網絡也被植入勒索軟件。電力、醫療以及其他公共設施等，都是網絡攻擊的對象。

▲能源行業與黑客的較量持續激烈。 供圖/胡慶明視覺中國

在網絡勒索浪潮下，沒有一個幸存者。油氣管道作為能源行業的基礎設施，一旦遭到破壞將帶來連鎖性反應，更容易成為勒索軟件組織的攻擊目標。“石油管道，肯定是網絡攻防對抗的前沿陣地，也是對手攻擊的主要目標。”北京安帝科技有限公司董事長周磊說，“研究人員發現，能源行業是受工業控制系統（ICS）漏洞影響最大的行業之一。以色列工業網絡安全公司CLAROTY 2020年下半年（2H）披露的ICS漏洞，比2018年下半年增加了74%。針對Colonial Pipeline的勒索攻擊，只是未來網絡攻擊的一個試探。當網絡罪犯和外國對手尋找機會獲得經濟利益和投射權力時，國家的關鍵基礎設施就很容易成為攻擊的目標。”

困難的反勒索

在科洛尼爾管道運輸公司遭到勒索的1個月后，美國司法部在6月7日證實，調查人員已經成功追回科洛尼爾管道運輸公司先前向“黑客”支付的、總價大約230萬美元的比特幣。為應對黑客利用勒索軟件攻擊重要實體產業，美國司法部成立了一個專門應對勒索軟件攻擊的工作小組。按照美聯社說法，這是工作小組首次追回贖金。但遺憾的是，雖然后來有國家出面——美國聯邦調查局的調查，從黑客如何成功入侵的深層原因來看目前仍沒有明確消息。

有相關人士分析認為，此次勒索事件并沒有對OT運營系統進行攻擊。由于防御力度較強，針對OT運營技術的直接攻擊非常少，黑客更有可能是通過企業管理部門訪問了科洛尼爾的計算機系統即IT系統進行攻擊。在對科洛尼爾的IT系統進行攻擊的同時，“Darkside”順便拿走了科洛尼爾運輸公司大量的數據。這些數據成為攻擊者勒索的“籌碼”。

同科洛尼爾一樣，很多企業通常會認為支付贖金是取回數據最劃算的辦法。但尷尬的是，這些支付出去的贖金通常會被直接用于下一代勒索軟件的開發。所以，很多企業正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發展，勒索軟件家族也正在不斷的進化。

如果不交贖金呢？那么，恢復數據就需要很高的成本。安全和IT員工需要全天候進行工作，將系統恢復至運行狀態，這個過程中需要支出設備、運營成本等。如果數據恢復成本大于贖金成本，那么受害組織很有可能會付錢。否則，攻擊者會“撕票”，或者把數據拿到“暗網”上出售。然而，這里面也可能有支付完贖金被騙的情況發生。

即使無奈交了“贖金”，這些“贖金”通常很難被追回。“由于黑客要求的贖金通過數字加密貨幣支付，導致警方難以追蹤和取證。”鄒佳信說。黑客利用勒索軟件發動攻擊如今演化為“高度分工合作的行當”，黑客網絡由勒索軟件供應商、贖金談判人員、攻擊執行人員及話務員等組成。“這讓反勒索難上加難，很多遭受勒索的公司最后只能乖乖‘花錢消災’。”鄒佳信說。

科洛尼爾公司首席執行官約瑟夫·布朗特認為：“追究網絡攻擊者的責任、擾亂讓黑客得手的‘生態系統’，是挫敗并防止今后發生類似網絡攻擊的最佳方式。”但事實告訴我們，挫敗黑客組織并不是一件易事。

下一個是誰

有的黑客組織為錢，有的黑客組織實施勒索則含有政治的意味。近年來，全球市場對網絡攻擊的恐慌情緒愈加升溫。此前，股神巴菲特表達了對網絡攻擊的擔憂。巴菲特認為，網絡攻擊是人類最大威脅，甚至比核戰爭還可怕。他曾在伯克希爾哈撒韋股東大會上表示：“我十分憎恨大規模殺傷武器，但我認為發生核戰爭的可能性要低于網絡攻擊。雖然我對網絡攻擊知道的不多，但我真的認為這是人類目前所面臨的第一大問題。”

這句話的含義，被2010年的“震網”事件充分體現。2006年，伊朗重啟核計劃的消息一出，震驚了美國與以色列。不愿以武力解決的美國聯合以色列，對伊朗發動了互聯網史上第一對工控系統的襲擊——“震網”行動，真正拉開了網絡病毒作為“超級破壞性武器”并且改變戰爭模式的序幕。

▲網絡病毒對能源發展的影響舉足輕重。 供圖/視覺中國

具體來說，作為完全由代碼組成的網絡武器，“震網”病毒以伊朗核設施使用的西門子監控與數據采集系統為進攻目標，通過控制離心機轉軸的速度來破壞伊朗的核設施。“震網”病毒潛入伊朗核設施后，先記錄系統正常運轉的信息，等待離心機注滿核材料。潛伏13天后，它一邊向控制系統發布此前記錄的正常運轉的信息，一邊指揮離心機非常態運轉，突破其最大轉速造成其物理損毀。

于是，在感染“震網”病毒后，伊朗上千臺離心機直接發生損毀或爆炸。這同時導致了放射性元素鈾的擴散和污染，造成了嚴重的環境災難。

根據媒體報道，“震網”病毒毀壞了伊朗近1/5的離心機，感染了20多萬臺計算機，導致1000臺機器物理退化，并使得伊朗核計劃倒退了兩年。此外，鑒于“震網”病毒的擴散程度，要清除鈾濃縮過程中涉及的所有計算機設備的病毒將非常困難。也許正是這些憂慮，伊朗2010年11月全面暫停了納坦茲的鈾濃縮生產。

然而，真正令人吃驚的事情是：伊朗在開始排查核設施之后，竟一直沒能發現核設施內工業控制系統出現的問題。直到2010年6月，國際網絡安全公司“賽門鐵克”發布“震網”病毒的報告，伊朗才知曉自己被“黑”。

賽門鐵克2010年8月指出，全球60%的受感染計算機在伊朗。俄羅斯網絡安全公司卡巴斯基實驗室指出，如此復雜的攻擊只能在“國家支持下”才可進行。這也進一步證實了發起“震網”攻擊的幕后主使，即伊朗的宿敵美國。

“震網”病毒在癱瘓伊朗核設施時所呈現出的隱蔽性、復雜性與巨大的殺傷力，不僅“弄懵”了伊朗，而且震撼了世界。美國并未派遣一兵一卒進入伊朗，以色列也不用派遣F-16來進行高風險的跨境打擊任務。美以兩國只需要坐等伊朗核設施自行崩潰即可。

真正更為可怕之處，在于伊朗本身并未有像樣的反制能力。如果說，伊拉克戰爭向世人展現了美國只用空中打擊就能滅亡一國的軍事實力，那么“震網”病毒所呈現的就是美國在互聯網時代強大的攻擊能力，以及與他國之間的能力“代差”。美國憑借著這種“代差”又一次打贏了一場“戰爭”，成功逼迫伊朗在談判桌前與美國對話。

而下一個又會是誰呢？長期以來，美國黑客組織持續對我國實施網絡攻擊。在7月初的我國外交部例行記者會上，外交部發言人汪文斌指出，通過監測分析，目前已發現多個美國黑客組織以我國黨政機關、事業單位、科研院所等重要敏感單位的網站和相關主機為主要目標，實施漏洞掃描攻擊、暴力破解、DDoS攻擊等攻擊行為。

互聯網下，誰都有可能是下一個被攻擊的目標。