一、業(yè)界熱議擔(dān)憂
美國(guó)最大的油氣管道公司Colonial遭到網(wǎng)絡(luò)攻擊被迫停止運(yùn)營(yíng),在剛剛過(guò)去的周末成為了新聞的頭條。事件的初期情況本號(hào)早先已有跟蹤。主流媒體紐約時(shí)報(bào)、路透社、華盛頓時(shí)報(bào)、連線、安全周刊、政治家等均進(jìn)行了報(bào)道,雖然事件的細(xì)節(jié)和具體影響還未明朗,但從網(wǎng)絡(luò)安全行業(yè)的專家評(píng)述中不難看出,勒索之患、關(guān)基安危,任重道遠(yuǎn)!
諾特丹大學(xué)(University of Notre Dame)網(wǎng)絡(luò)安全專家、美國(guó)國(guó)家安全局(National Security Agency)前官員邁克·查普(Mike Chapple)
Colonial管道公司的網(wǎng)絡(luò)攻擊似乎表明,黑客“極其復(fù)雜”,或者系統(tǒng)沒(méi)有得到妥善保護(hù)。Chapple說(shuō),“管道關(guān)閉發(fā)出的信息是,我們國(guó)家基礎(chǔ)設(shè)施的核心元素仍然容易受到網(wǎng)絡(luò)攻擊。”
工業(yè)網(wǎng)絡(luò)安全公司公司Claroty首席產(chǎn)品官Grant Geyer
如果攻擊源于惡意軟件或勒索軟件感染系統(tǒng),無(wú)意行為,網(wǎng)絡(luò)問(wèn)題可能是固定在幾天或幾周的問(wèn)題,取決于Colonial應(yīng)對(duì)攻擊的準(zhǔn)備充分程度。
但如果是某個(gè)國(guó)家指揮了這次攻擊,就需要廣泛的網(wǎng)絡(luò)安全應(yīng)對(duì),以修補(bǔ)可能成為日后感染的“后門”的漏洞?!昂芏嗫刂乒I(yè)環(huán)境的系統(tǒng),在某些情況下是由充滿漏洞的過(guò)時(shí)Windows系統(tǒng)管理的,”Geyer說(shuō)。他補(bǔ)充說(shuō),這個(gè)問(wèn)題在能源行業(yè)尤為嚴(yán)重。
工業(yè)網(wǎng)絡(luò)安全公司Dragos的首席執(zhí)行官、工業(yè)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)專家Rob Lee
“這是我們所見(jiàn)過(guò)的網(wǎng)絡(luò)攻擊對(duì)美國(guó)能源系統(tǒng)的最大影響,完全停止了運(yùn)營(yíng)?!盠ee指出,除了對(duì)Colonial管道公司或其所運(yùn)輸燃料的許多供應(yīng)商和客戶造成財(cái)務(wù)影響外,2020年美國(guó)約40%的電力是通過(guò)燃燒天然氣產(chǎn)生的,超過(guò)任何其他來(lái)源。他認(rèn)為,這意味著管道遭受網(wǎng)絡(luò)攻擊的威脅對(duì)民用電網(wǎng)構(gòu)成了重大威脅。他說(shuō):“攻擊者有能力通過(guò)切斷天然氣供應(yīng)從而影響電力系統(tǒng)。這是件大事,”他補(bǔ)充道。他說(shuō):“供應(yīng)商受到了來(lái)自犯罪行為的勒索軟件攻擊,這甚至不是國(guó)家支持的攻擊,它就這樣影響了系統(tǒng)?”
“他們會(huì)在最初的24到72小時(shí)內(nèi)了解這一點(diǎn)?!彼a(bǔ)充說(shuō),如果攻擊僅限于Colonial的IT業(yè)務(wù)計(jì)算機(jī)系統(tǒng),“我認(rèn)為這種攻擊相對(duì)來(lái)說(shuō)是短暫的?!币粋€(gè)關(guān)鍵問(wèn)題是,勒索軟件攻擊是否不僅直接感染了Colonial的業(yè)務(wù)端電腦——即所謂的IT系統(tǒng)——還會(huì)直接感染其運(yùn)行管道的“操作”系統(tǒng)(即控制系統(tǒng))。他說(shuō),如果是這樣的話,這次攻擊“可能會(huì)影響更大”,將政府關(guān)門的時(shí)間延長(zhǎng)“幾天或幾周”。
事件最終的影響很大程度上取決于Colonial能以多快的速度重啟管道——而這又取決于該公司的網(wǎng)絡(luò)顧問(wèn)能否確定這樣做是安全的。即便如此,這次攻擊只是黑客攻擊水廠、煉油廠、化工廠或電網(wǎng)等關(guān)鍵系統(tǒng)的最新事件,其中包括俄羅斯切斷烏克蘭部分電力供應(yīng)的臭名昭著的事件。這也是不斷增長(zhǎng)的勒索攻擊瘟疫的一部分,勒索軟件攻擊通常是要求付款的黑客使醫(yī)院、警察局或市政府等目標(biāo)癱瘓。
西雅圖前首席信息官、網(wǎng)絡(luò)安全公司CI Security的首席信息官邁克·漢密爾頓(Mike Hamilton)
“目前還不清楚是誰(shuí),但有一些有趣的可能性?!薄叭绻鸆olonial公司被勒索,這可能是有組織的犯罪,但并不一定是有組織的犯罪,因?yàn)槊褡鍑?guó)家已經(jīng)知道使用勒索軟件作為虛假的旗幟來(lái)混淆他們的動(dòng)機(jī)。”“如果Colonial不是被敲詐,”漢密爾頓繼續(xù)說(shuō),“這可能是純粹的破壞,目的是在美國(guó)經(jīng)濟(jì)中制造進(jìn)一步的混亂?!边@是一些國(guó)家的戰(zhàn)略利益,特別是那些國(guó)內(nèi)生產(chǎn)總值中很大一部分依賴能源的國(guó)家;這一行動(dòng)可能會(huì)導(dǎo)致能源價(jià)格飆升?!?/p>
漢密爾頓還提出了網(wǎng)絡(luò)激進(jìn)主義的可能性,但他說(shuō),這種活動(dòng)發(fā)生在管道建設(shè)過(guò)程中。“這有一個(gè)意義重大的暗示,”漢密爾頓說(shuō)?!斑@些管道已被指定為關(guān)鍵基礎(chǔ)設(shè)施。故意破壞或攻擊這些系統(tǒng)可被視為恐怖主義行為。隨著對(duì)該事件了解的更多,以及參與者的動(dòng)機(jī)變得清晰,我們將發(fā)現(xiàn)該事件是否將我們從一個(gè)寒冷的網(wǎng)絡(luò)沖突帶到了一個(gè)溫暖得多的網(wǎng)絡(luò)沖突?!?/p>
能源研究員、《能源的數(shù)字未來(lái)》(energy’s Digital Future)一書的作者艾米·邁爾斯·賈菲(Amy Myers Jaffe)
“這不是一個(gè)小目標(biāo),”?!癈olonial管道最終是美國(guó)管道系統(tǒng)的命脈。這是我們所知的對(duì)美國(guó)能源基礎(chǔ)設(shè)施最重要、最成功的襲擊。如果沒(méi)有任何后果,我們是幸運(yùn)的,但這確實(shí)是一個(gè)警鐘?!?/p>
這可能是美國(guó)迄今面臨的最嚴(yán)重的一次成功襲擊。
網(wǎng)絡(luò)安全公司Gigamon威脅情報(bào)研究人員Joe Slowik
Slowik曾在美國(guó)能源部領(lǐng)導(dǎo)計(jì)算機(jī)安全與應(yīng)急響應(yīng)團(tuán)隊(duì)。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)在2020年初警告稱,2019年底,黑客在一家未具名的美國(guó)天然氣管道公司的網(wǎng)絡(luò)上植入了勒索軟件——盡管這家公司的規(guī)模不及Colonial公司。在那次早期的管道勒索軟件攻擊中,CISA警告說(shuō),黑客已經(jīng)進(jìn)入了目標(biāo)管道公司的IT系統(tǒng)和“OT”系統(tǒng)——負(fù)責(zé)控制物理設(shè)備的計(jì)算機(jī)網(wǎng)絡(luò)。在這次Colonial管道公司的案例中,目前尚不清楚黑客是否跨越了這一關(guān)口,使系統(tǒng)能夠允許他們干預(yù)管道的物理狀態(tài),或創(chuàng)造潛在的危險(xiǎn)物理?xiàng)l件。Slowik說(shuō):作為一個(gè)安全預(yù)防措施,在這種情況下,作業(yè)者對(duì)事件的反應(yīng)是正確的?!耙坏┠悴荒艽_保對(duì)環(huán)境的積極控制和對(duì)操作的清晰可見(jiàn)性,那么你就需要關(guān)閉它。”
內(nèi)布拉斯加州共和黨參議員本·薩瑟(Ben Sasse)
這次攻擊是政府還沒(méi)有準(zhǔn)備好應(yīng)對(duì)潛在的網(wǎng)絡(luò)攻擊的最新明證?!瓣P(guān)于這次襲擊是如何發(fā)生的,顯然還有很多要了解的細(xì)節(jié),但我們可以確定兩件事:這是一場(chǎng)將再次上演的鬧劇,而我們沒(méi)有充分準(zhǔn)備,”薩瑟在一份聲明中說(shuō)?!叭绻麌?guó)會(huì)對(duì)基礎(chǔ)設(shè)施一攬子計(jì)劃是認(rèn)真的,首要和核心應(yīng)該是強(qiáng)化這些關(guān)鍵部門——而不是偽裝成基礎(chǔ)設(shè)施的進(jìn)步清單。”
對(duì)管道網(wǎng)絡(luò)安全有直接管轄權(quán)的機(jī)構(gòu)是TSA,政府審計(jì)人員批評(píng)該機(jī)構(gòu)人手不足,對(duì)這項(xiàng)任務(wù)毫無(wú)準(zhǔn)備。
參議員Ed Markey (D-Ma.)
聯(lián)邦政府長(zhǎng)期以來(lái)未能對(duì)管道安全給予必要的關(guān)注。他指出,美國(guó)政府問(wèn)責(zé)局的一份報(bào)告顯示,直到2019年,運(yùn)輸安全管理局(TSA)只有6名全職工作人員負(fù)責(zé)管道安全。他在一份聲明中表示:“盡管我們需要更多關(guān)于導(dǎo)致Colonial 管道公司網(wǎng)絡(luò)攻擊的信息,但我們不能忽視長(zhǎng)期存在的不足,正是這些不足導(dǎo)致了對(duì)我們關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵,并使之成為可能?!?/p>
美國(guó)聯(lián)邦調(diào)查局(FBI)和聯(lián)邦能源委員會(huì)(FERC)
他們正在與其他聯(lián)邦機(jī)構(gòu)合作,監(jiān)控網(wǎng)絡(luò)攻擊的進(jìn)展情況。美國(guó)能源部(Department of Energy)表示,正在與各州和能源部門合作,監(jiān)控任何可能出現(xiàn)的燃料短缺。美國(guó)運(yùn)輸部(Department of Transportation)下屬的管道及危險(xiǎn)材料安全管理局(Pipeline and Hazardous Materials Safety Administration)負(fù)責(zé)調(diào)查管道事故,并在管道關(guān)閉后對(duì)其重新啟動(dòng)進(jìn)行評(píng)估,該機(jī)構(gòu)沒(méi)有立即回答問(wèn)題。
二、對(duì)能源供給的潛在影響
Colonial輸油管道是美國(guó)最大的成品油管道,每天輸送250萬(wàn)桶原油,占東海岸消耗燃料總量的45%左右,包括汽油、柴油、航空燃油和取暖油。
Colonial公司管道線路圖示
美國(guó)能源部(Department of Energy)表示,正在監(jiān)測(cè)該事件對(duì)美國(guó)能源供應(yīng)的潛在影響,而美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(U.S. Cybersecurity and Infrastructure Security Agency)和美國(guó)運(yùn)輸安全管理局(Transportation Security Administration)對(duì)路透社(Reuters)表示,他們也在研究這一情況。
“我們正在與該公司和我們的跨部門合作伙伴就這一情況進(jìn)行溝通。這凸顯了勒索軟件對(duì)任何規(guī)模或領(lǐng)域的組織所構(gòu)成的威脅,”CISA網(wǎng)絡(luò)安全部門執(zhí)行助理主任埃里克·戈?duì)柎奶拐f(shuō)。
Colonial沒(méi)有提供更多細(xì)節(jié),也沒(méi)有說(shuō)明其管道將被關(guān)閉多長(zhǎng)時(shí)間。這家位于喬治亞州的私營(yíng)公司由CDPQ Colonial Partners l.p.、IFM(美國(guó))Colonial Pipeline 2 LLC、KKR-Keats Pipeline Investors l.p.、Koch Capital Investments company LLC和Shell Midstream Operating LLC所有。
美國(guó)汽車協(xié)會(huì)(American Automobile Association)表示,長(zhǎng)時(shí)間停電可能會(huì)導(dǎo)致加油站汽油價(jià)格上漲,這是消費(fèi)者在夏季駕駛季節(jié)來(lái)臨前的擔(dān)憂。
咨詢公司Lipow Oil Associates的總裁李泊(Andrew Lipow)說(shuō),持續(xù)四五天的關(guān)閉可能會(huì)導(dǎo)致美國(guó)東海岸依賴輸油管道輸送的燃料零星中斷。
在上周五首次傳出關(guān)閉的消息后,紐約商品交易所(New York Mercantile Exchange)汽油期貨上漲0.6%,柴油期貨上漲1.1%,兩者的漲幅都超過(guò)了原油。墨西哥灣沿岸汽油和柴油的現(xiàn)金價(jià)格小幅下跌,因市場(chǎng)預(yù)期該地區(qū)的供應(yīng)可能會(huì)累積。
Lipow說(shuō):“隨著時(shí)間一天天過(guò)去,它對(duì)墨西哥灣煉油的影響越來(lái)越大。”“煉油商將不得不減少原油加工,因?yàn)樗麄兪チ瞬糠址咒N系統(tǒng)?!?/p>
路透社當(dāng)?shù)貢r(shí)間8日聯(lián)系的煉油企業(yè)表示,它們的業(yè)務(wù)尚未受到影響。
與此同時(shí),金德摩根公司表示,為許多相同地區(qū)提供服務(wù)的產(chǎn)品(SE)管道公司仍在全面服務(wù)。
PPL目前正在與客戶合作,以在Colonial停產(chǎn)期間容納更多桶。PPL可以通過(guò)其管道網(wǎng)絡(luò)從路易斯安那州向華盛頓特區(qū)輸送約72萬(wàn)桶/天的油料。
三、幕后攻擊者猜測(cè)
據(jù)路透社報(bào)道,來(lái)自安全公司火眼的事件響應(yīng)人員正在協(xié)助該公司,調(diào)查人員懷疑一個(gè)名為Darkside的勒索軟件組織可能對(duì)此負(fù)責(zé)。根據(jù)網(wǎng)絡(luò)安全公司Cybereason的一份報(bào)告,Darkside已經(jīng)攻擊了40多個(gè)受害者組織,并要求他們支付20萬(wàn)到200萬(wàn)美元的贖金。
在勒索軟件領(lǐng)域,Darkside組織是一個(gè)相對(duì)較新的玩家,但它很快就以耐心、能力、老練和巨額贖金贏得了聲譽(yù)。
安全公司Varonis調(diào)查了幾起Darkside黑客入侵事件,他們表示:“Darkside勒索軟件攻擊活動(dòng)因使用了隱形技術(shù)而引人注目,尤其是在早期階段。”“該組織進(jìn)行了仔細(xì)的偵察,并采取了步驟,以確保他們的攻擊工具和技術(shù)能夠逃避被監(jiān)控設(shè)備和終端的檢測(cè)。
Varonis說(shuō):“該組織聲稱,它試圖侵入有能力支付巨額贖金的大公司,而不是學(xué)校、醫(yī)院和其他資金緊張但日益成為目標(biāo)的組織?!?/p>
四、美政府網(wǎng)安新政面臨質(zhì)疑
國(guó)土安全部曾表示,它正試圖動(dòng)員整個(gè)私營(yíng)部門參與打擊勒索軟件的斗爭(zhēng),包括向企業(yè)提供更大的激勵(lì)措施,鼓勵(lì)它們改善網(wǎng)絡(luò)安全。美國(guó)國(guó)土安全部部長(zhǎng)亞歷杭德羅·馬約卡斯(Alejandro Mayorkas)近日在美國(guó)商會(huì)(U.S. Chamber of Commerce)的一次活動(dòng)上說(shuō):“如果一個(gè)人認(rèn)為自己不會(huì)受到網(wǎng)絡(luò)攻擊……或與網(wǎng)絡(luò)攻擊隔絕,那他很可能就是把一個(gè)更大的目標(biāo)放在了自己的身上。”
一位TSA發(fā)言人8日晚些時(shí)候表示,該機(jī)構(gòu)和CISA“將在未來(lái)幾天與管道行業(yè)接觸,分享從這起事件中獲得的信息,并利用我們的集體資源提供支持?!?/p>
Colonial的事件突顯出,網(wǎng)絡(luò)攻擊可以在不直接損壞設(shè)備的情況下破壞美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施。遭受電腦入侵的基礎(chǔ)設(shè)施運(yùn)營(yíng)商通常會(huì)關(guān)閉某些功能或設(shè)施,以防止問(wèn)題進(jìn)一步蔓延。通過(guò)這種方式,一個(gè)看似很小的工資單或電子郵件系統(tǒng)被破壞,就會(huì)引起連鎖反應(yīng),促使公司停止生產(chǎn)、能源分配或其他重要操作。
改善能源部門的網(wǎng)絡(luò)安全一直是幾個(gè)聯(lián)邦機(jī)構(gòu)的一項(xiàng)關(guān)鍵任務(wù)。上個(gè)月,能源部和CISA發(fā)起了一項(xiàng)倡議,與電力行業(yè)的工業(yè)控制系統(tǒng)運(yùn)營(yíng)合作,以提高網(wǎng)絡(luò)安全檢測(cè)。
此次管道攻擊可能是拜登政府整體網(wǎng)絡(luò)戰(zhàn)略的一塊試金石。該戰(zhàn)略正在慢慢成形,至少在公開(kāi)場(chǎng)合,主要是針對(duì)俄羅斯和中國(guó)的網(wǎng)絡(luò)間諜活動(dòng)做出反應(yīng),這些活動(dòng)范圍廣泛,但沒(méi)有造成實(shí)質(zhì)性破壞。到目前為止,政府的主要手段是制裁和起訴,正如拜登上個(gè)月為回應(yīng)俄羅斯的太陽(yáng)風(fēng)(SolarWinds)網(wǎng)絡(luò)行動(dòng)而發(fā)布的一項(xiàng)行政命令所示。
這一最新網(wǎng)絡(luò)安全事件可能會(huì)給拜登政府和議員們帶來(lái)更大壓力,因?yàn)樗麄冋诰蛯⒕W(wǎng)絡(luò)安全資金加入政府2萬(wàn)億美元以上的基礎(chǔ)設(shè)施計(jì)劃展開(kāi)辯論。該計(jì)劃因缺乏資金滿足這些需求而受到審查。
美國(guó)的關(guān)鍵能源網(wǎng)絡(luò)和其他關(guān)鍵系統(tǒng)都面臨著一系列威脅,包括網(wǎng)絡(luò)攻擊和維護(hù)滯后。去年,在北卡羅來(lái)納州夏洛特附近的一個(gè)自然保護(hù)區(qū),Colonial公司的輸油管道出現(xiàn)裂縫,但在幾天或幾周內(nèi)都沒(méi)有被發(fā)現(xiàn),導(dǎo)致120萬(wàn)加侖汽油泄漏。今年2月,黑客進(jìn)入了佛羅里達(dá)州坦帕附近的一個(gè)水處理設(shè)施的計(jì)算機(jī)系統(tǒng)。本質(zhì)上是試圖用大量流入的堿液毒害水源。2017年6月,作為所謂“NotPetya”網(wǎng)絡(luò)攻擊的一部分,俄羅斯軍事黑客還將目標(biāo)對(duì)準(zhǔn)了烏克蘭的銀行、能源公司、高級(jí)政府官員和機(jī)場(chǎng)的計(jì)算機(jī)系統(tǒng)。聯(lián)邦檢察官指控伊朗黑客試圖滲入紐約州北部一座大壩的控制系統(tǒng)。
參考資源
https://www.politico.com/news/2021/05/08/colonial-pipeline-cyber-attack-485984
https://www.wired.com/story/colonial-pipeline-ransomware-attack/
https://www.nytimes.com/2021/05/08/us/cyberattack-colonial-pipeline.html
https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/
https://www.securityweek.com/cyberattack-forces-shutdown-major-us-pipeline
來(lái)源:網(wǎng)空閑話