美国首次因遭遇网络攻击宣布进入国家紧急状态

关注我们

带你读懂网络安全

因最大燃油管道商遭网络攻击暂停运营，美国宣布多州进入紧急状态。

受到勒索软件攻击影响，美国最大燃油运输管道商科洛尼尔（Colonial Pipeline）公司被迫暂停输送业务，对美国东海岸燃油供应造成了严重影响。次日，美国联邦汽车运输安全管理局因此宣布多个州进入紧急状态。

这是美国首次因网络攻击而宣布多州进入国家紧急状态，此前公布的紧急状态大多是美国政府实施国家制裁或军队及公共卫生相关。美国国家紧急状态是赋予美国政府一项权力，这项权力可令美国政府实施通常情况下不允许发生的行为。拜登任期以来，已经宣布三次紧急状态，上一次是2021年4月15日，拜登政府宣布针对俄罗斯联邦政府的特定危害国家安全的活动（包括对美国大选造成严重影响的行为）实施制裁。

在上周六（5月8日）发布的一份声明中，该公司表示，5月7日发现遭受网络攻击，后续调查确定为勒索软件攻击。为了预防事态进一步扩大，该公司主动将关键系统脱机，以避免勒索软件的感染范围持续蔓延，并聘请了第三方安全公司进行调查。FBI、能源部、网络安全与基础设施安全局等多个联邦机构一起参与了事件调查。

白宫发言人称，拜登总统在上周六早上被通报此事，联邦政府正在积极评估影响，避免供应中断，帮助科洛尼尔公司恢复运营。美国网络安全与基础设施安全局表示，这次事件凸显了勒索软件对组织的威胁。

作为美国东海岸最重要的燃油运输管道商，科洛尼尔负责美国东海岸地区约45%的液体燃料管道运输供应服务，每天向客户提供超过1亿加仑的燃油。分析认为，管道停运短期不会对油价造成影响，但如果超过3天，将引发油价上涨，将对正在疫情复苏阶段的美国经济造成打击。

科洛尼尔公司称，“我们正迅速行动以调查并解决这一重大问题。目前，我们的核心任务是安全、高效地恢复服务，尽一切可能让设施再次运转起来。”

OT系统是否中招仍未知

关于此次攻击，仍有许多未解的谜团。例如，科洛尼尔公司关闭全部管线究竟是为了预防感染蔓延、还是设施已然整体沦陷？攻击的幕后黑手究竟是谁？攻击者在入侵及感染科洛尼尔公司的系统时，到底采取了哪些攻击手段和路径？

Axio公司总裁Dave White在接受邮件采访时表示，“目前还不清楚科洛尼尔关闭管线是出于阻止勒索软件持续传播的谨慎考量，还是运营技术（OT）系统或相关IT系统已经遭受到严重影响。”

Red Balloon Security公司CEO Ang Cui曾在美国国土安全部及国防部拥有丰富的嵌入式设备及工业控制系统（ICS）高级威胁研究经验，在他看来，此次攻击很可能属于网络犯罪，而非民族国家行为。

Cui称，“虽然科洛尼尔公司关闭了运营系统，但并不一定代表其ICS已经受到影响或损害。这也许是因为该公司的IT与OT系统之间缺少充分的隔离机制，因此抢在攻击者进一步访问敏感系统之间就断开了连接。毕竟一旦攻击者再深入一些，赎金要求很可能大大增加、公司夺回控制权的难度也会显著提高。”

勒索软件：一个老大难问题

据路透社引用一名美国前官员和两位行业消息人士称，已经锁定科洛尼尔公司被攻击的嫌疑人DarkSide组织。DarkSide是去年新出现的勒索软件组织，攻击手法非常老练，已经攻击了40多个受害组织，要求赎金一般在20万-200万美元。NBC新闻称是俄罗斯黑客组织进行的网络攻击，并且在加密前，已有近100GB数据被窃取。

时至今日，大家对于勒索软件攻击早已不感到陌生。根据Group-IB研究人员的报告，仅在过去一年，全球勒索软件攻击次数就增长150%以上，能源行业因此也遭受了较大打击。比如美国某天然气运营商遭到勒索攻击，被迫关闭2天，并被国土安全部通报；欧洲能源巨头Enel Group年内两次遭遇不同勒索软件攻击，多达5TB数据被窃取，被威胁索要1400万美元赎金；台湾最大两家炼油厂遭到勒索攻击，波及整个供应链，甚至加油站的IT系统也无法使用。

面对这波新的攻势，全球各方也开始在抗击与应对方面开展协同努力。上个月，美国司法部等全球60家实体共同组成联盟，提出全面打击计划，要求通过追究财务运作线索以追捕并瓦解勒索软件团伙。

矛头直指关键基础设施

2020年2月，美国网络安全与基础设施安全局发布警报，强调关键基础设施目标（包括输送管线）已经成为黑客团伙的主要攻击目标。而发布此项警报的契机，正是美国某天然气压缩设施（并未透露具体身份）遭遇的勒索软件攻击，并导致其业务被迫关停两天。

在成功入侵IT网络之后，攻击者往往会部署“商业勒索软件”以加密IT与OT网络上的数据。网络安全与基础设施安全局当时表示，攻击者的这种横向移动能力显然源自基础设施内IT与OT之间缺少良好的网络隔离。

Dave White表示，“美国经济高度依赖于能源管道基础设施。这种至关重要的能源输送资产会影响到每一位民众的正常生活；因此联邦政府必须开展风险分析与经济量化研究，在了解此类攻击事件的影响规模的同时调拨专项资金为这类设施提供必要保护。”

Cui认为在这类关键基础设施攻击活动中，问题的关键在于运营企业一方往往没能事先隔离或保护这些系统。他总结道，“供应商在设计之初就没有考虑到如何保证ICS设备安全，这就给后续补救造成了巨大的障碍。”

参考信息：

https://threatpost.com/pipeline-crippled-ransomware/165963/

https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

https://en.wikipedia.org/wiki/List_of_national_emergencies_in_the_United_States#cite_note-3