【安全资讯】美国成品油管道运营商遭勒索软件攻击停运事件分析
2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。网络攻击迫使向东海岸的主要液体燃料供应商暂时停止了所有管道运营,受该事件影响,美国在5月9日发布豁免,允许汽车运输石油产品,以缓解针对燃料运输的各种限制。
Colonial Pipeline公司成立于1962年,是美国最大的成品油管道公司,Colonial的输油管线绵延8851公里,每天可从墨西哥湾地区向纽约港及纽约各主要机场输送多达250万桶的精炼汽油、柴油及飞机燃料,更承担着美国东海岸45%的燃油供应。
为防止事态进一步扩大,该公司主动将关键系统设为离线状态,以避免勒索软件扩大感染范围。并与执法部门、网络安全专家、能源部等多个联邦机构合作,对事件进行调查,以尽快恢复系统的正常运营。
(ColonialPipeline公司的管道线路图)
DarkSide勒索软件团伙
2021年5月10日,FBI确认DarkSide勒索软件组织是管道黑客的幕后黑手。DarkSide首次出现在2020年8月,是勒索软件团伙的新锐代表,该组织采用勒索软件即服务( RaaS)模型进行各种犯罪活动,并专门针对有能力支付大型赎金的企业进行攻击,在加密数据的同时并窃取数据,并威胁如果不支付赎金就将其数据公开。据DarkSide组织称,其勒索软件配备了市场上最快的加密速度,并且包括Windows和Linux版本。该组织此前已经攻击过40多个受害者组织,并要求索取20-200万美元的赎金。
DarkSide不同于早期勒索病毒通过僵尸网络利用漏洞自动植入目标系统的广撒网方式,而是有组织的实施攻击行动,通常会尝试拿下Windows AD域控制器从而实现整个AD域的横向渗透便于盗取数据和批量释放勒索软件。
思考总结
越来越多的勒索软件组织开始针对工业和制造设备的旧系统,以及由于企业办公需求将敏感网络连接到Internet,以实现高效率和自动化办公,亦或是方便远程连接而架设的VPN网络也可能存在风险,这将导致公司网络更加容易受到攻击。
从Colonial事件可以看出,网络攻击可以在不损坏设备的前提下破坏关键基础设施。以经济利益为中心的网络犯罪团伙正在寻找最敏感,最有价值的目标,而工业系统和关键基础设施于他们而言是很好的目标。事实上,针对工业系统的勒索软件业务正在显著增加,未来将会看到更多的工业受害者。
这表明关键信息基础设施正面临着巨大的现实威胁,需要各单位进一步加快构建关键信息基础设施安全保障体系,以抗衡类似的威胁。