首次公開！上級官員要求政府機構掩蓋勒索事件“災難性”影響

圖：UNSPLASH/LUKE STACKPOOLE

兩年前，一位英國政府大臣曾要求某地區議會領導人，對勒索軟件攻擊帶來的“災難性”影響保持沉默。

2月1日消息，日前，英國議會委員會獲悉，某位英國政府大臣曾經要求雷德卡與克利夫蘭自治市議會的領導人，對兩年前勒索軟件攻擊帶來的“災難性”影響保持沉默。

自2019年以來一直領導該自治市議會的瑪麗·拉尼根（Mary Lanigan），在英國國家安全戰略聯合委員會（JCNSS）舉行的聽證會上表示，來自中央政府的不討論壓力“給我們帶來了很多問題”。

JCNSS正在調查，英國的國家安全戰略能否有效應對勒索軟件引發的威脅。

拉尼根向JCNSS證實，中央政府的某位部長告訴她，“無論如何，我們都會承擔成本”。但事實并非如此，自治市議會最終承受了約700萬英鎊（約合人民幣5821萬元）損失，比該機構的全部現金儲備還高出數百萬英鎊。

針對該自治市議會的攻擊發生于2020年1月，當時新冠疫情剛剛爆發，英國各地方政府都承受著巨大的資源壓力。

雷德卡與克利夫蘭自治市位于英格蘭東海岸的北約克郡，人口略超過13萬，是英國較為貧困的地區之一。

拉尼根表示，“面向兒童和成年人的服務都被徹底摧毀了。所以可以想象，公眾在此期間上報的兒童和政務問題均被遺漏，引發了毀滅性的影響。”

拉尼根補充稱，此次攻擊不僅鎖死了議會記錄，還破壞了對電話線路、電子郵件、計算機、打印機及其他電子設備的訪問權限，“我們甚至無法收取商業稅率和賬單。”

“上面的建議是，我們不要探究得太深。公眾都知道我們遭受了勒索攻擊，但不清楚情況有多嚴重……情況是災難性的，對于市議會、市鎮居民乃至我們服務的每一位對象都是災難性的。”

圖：瑪麗·拉尼根

國家網安力量入駐議會大樓，保障兒童服務恢復運行

這位地區議會領導人感謝英國政府通信總局（GCHQ）下轄國家網絡安全中心的工作人員及時伸出援手，幫助其優先恢復運行了兒童服務。這些專家與市議會內部IT員工“那段時間一直待在大樓里，我們專門為他們安排了床位，協同調查攻擊事態及如何盡快恢復服務。”

“遭受勒索攻擊是種不幸，但GCHQ專家們的支援對我們來說又是種幸運，他們盡一切努力讓兒童服務恢復了運作。如果沒有他們，寄養家庭可能會受到更嚴重的影響，就這一點上我們確實非常幸運。GCHQ的幫助讓我們率先解決了這個難題。”

部分服務在幾周之后就恢復了運作，但市議會前后花了8個多月，才重新回到攻擊前狀態。在此期間，英國開始疫情封控，市議會的收入和服務也遭遇到更多挑戰。

除了網絡響應團隊的參與，雷德卡與克利夫蘭自治市議會還發現，“盡管我們向中央政府上報了攻擊事件，但在前一周左右還是只能依靠自有設備。由于中央政府不管不顧，我們不得不求助于私營安全公司。我這里有文件。”

拉尼根回憶道，“當時中央政府給我的答復是‘什么都別說’，這讓處置工作變得非常困難。內閣已經明確知曉發生了什么，但卻要求我們嚴格保密。也許是出于安全考慮，我完全理解這一點。可事后來看，這種消極的態度給我們帶來了很多問題，因為我們沒辦法對外公布當時究竟發生了什么。”

截至本文發布時，政府發言人仍未回復置評請求。

“不清楚”Conti團伙為何公布解密密鑰

圖：約翰·沃德

除了拉尼根，JCNSS還聽取了愛爾蘭共和國衛生服務執行局（HSE）臨時首席技術與轉型官約翰·沃德（John Ward），就2021年5月導致國家衛生服務癱瘓的攻擊事件做出的證詞。

沃德稱，公開透明是HSE應對措施中的一大亮點。“雖然攻擊者公開了勒索信息，但HSE和愛爾蘭政府在攻擊當天就明確表示，我們不會直接或通過第三方向攻擊者支付贖金。可奇怪的是，在攻擊事件發生一周之后，惡意黑客在暗網上發布了解密密鑰。”

HSE的事件響應供應商測試了發布的密鑰，確認真實有效。不過沃德提到，即便是有了解密密鑰，HSE的整體網絡恢復工作仍是“一項艱巨的任務”。

“我們根據患者管理系統、放射科、診斷科等方面對系統進行了優先級排序。即便有了密鑰，我們仍用了4個月才成功恢復99%的系統。如果沒有公布的密鑰，我根本無法想象恢復工作要花掉多長時間。”

沃德向委員會坦言，他不清楚Conti勒索軟件團伙為什么會發布解密密鑰。

“我想說的是，在攻擊發生之時，我們很可能是首個受勒索軟件影響的國家醫療系統目標。”這樣的特殊身份可能迫使對方“手下留情”，畢竟當時很多勒索軟件團伙都宣稱，不想因攻擊造成任何意外傷害。

“我認為愛爾蘭政府做得最好的一點，就是始終保持公開。他們對公眾實話實說，明確表示不會支付贖金，并強調此次攻擊會對民眾的生命構成威脅。也許這改變了勒索黑客的心意，總之我們非常感激……但也必須承認，即使是拿到了解密密鑰，我們還是花了幾個月時間才真正恢復。”