美國首次因網絡攻擊宣布多州進入緊急狀態

     受勒索軟件攻擊影響，美國最大燃油運輸管道商科洛尼爾（Colonial Pipeline）公司被迫暫停輸送業務，對美國東海岸燃油供應造成了嚴重影響。次日，美國交通部聯邦汽車運輸安全管理局因此宣布多個州進入緊急狀態。

    美國交通部臨時授權受影響的17個州和華盛頓特區的燃油臨時運輸豁免，允許通過公路運輸，從而降低科洛尼爾事件的影響。這是美國首次因網絡攻擊而宣布多州進入緊急狀態，此前公布的緊急狀態大多是美國政府實施國家制裁或軍隊及公共衛生相關。

    在上周六（5月8日）發布的一份聲明中，該公司表示，5月7日發現遭受網絡攻擊，后續調查確定為勒索軟件攻擊。為了預防事態進一步擴大，該公司主動將關鍵系統脫機，以避免勒索軟件的感染范圍持續蔓延，并聘請了第三方安全公司進行調查。FBI、能源部、網絡安全與基礎設施安全局等多個聯邦機構一起參與了事件調查。

    白宮發言人稱，拜登總統在上周六早上被通報此事，聯邦政府正在積極評估影響，避免供應中斷，幫助科洛尼爾公司恢復運營。美國網絡安全與基礎設施安全局表示，這次事件凸顯了勒索軟件對組織的威脅。

    作為美國東海岸最重要的燃油運輸管道商，科洛尼爾負責美國東海岸地區約45%的液體燃料管道運輸供應服務，每天向客戶提供超過1億加侖的燃油。分析認為，管道停運短期不會對油價造成影響，但如果超過3天，將引發油價上漲，將對正在疫情復蘇階段的美國經濟造成打擊。

    科洛尼爾公司稱，“我們正迅速行動以調查并解決這一重大問題。目前，我們的核心任務是安全、高效地恢復服務，盡一切可能讓設施再次運轉起來。”

OT系統是否中招仍未知

    關于此次攻擊，仍有許多未解的謎團。例如，科洛尼爾公司關閉全部管線究竟是為了預防感染蔓延、還是設施已然整體淪陷？攻擊的幕后黑手究竟是誰？攻擊者在入侵及感染科洛尼爾公司的系統時，到底采取了哪些攻擊手段和路徑？

    Axio公司總裁Dave White在接受郵件采訪時表示，“目前還不清楚科洛尼爾關閉管線是出于阻止勒索軟件持續傳播的謹慎考量，還是運營技術（OT）系統或相關IT系統已經遭受到嚴重影響。”

    Red Balloon Security公司CEO Ang Cui曾在美國國土安全部及國防部擁有豐富的嵌入式設備及工業控制系統（ICS）高級威脅研究經驗，在他看來，此次攻擊很可能屬于網絡犯罪，而非民族國家行為。

    Cui稱，“雖然科洛尼爾公司關閉了運營系統，但并不一定代表其ICS已經受到影響或損害。這也許是因為該公司的IT與OT系統之間缺少充分的隔離機制，因此搶在攻擊者進一步訪問敏感系統之間就斷開了連接。畢竟一旦攻擊者再深入一些，贖金要求很可能大大增加、公司奪回控制權的難度也會顯著提高。”

勒索軟件：一個老大難問題

    據路透社引用一名美國前官員和兩位行業消息人士稱，DarkSide組織是科洛尼爾公司被攻擊的嫌疑人之一。DarkSide是去年新出現的勒索軟件組織，攻擊手法非常老練，已經攻擊了40多個受害組織，要求贖金一般在20萬-200萬美元。NBC新聞稱是俄羅斯黑客組織進行的網絡攻擊，并且在加密前，已有近100GB數據被竊取。

    時至今日，大家對于勒索軟件攻擊早已不感到陌生。根據Group-IB研究人員的報告，僅在過去一年，全球勒索軟件攻擊次數就增長150%以上，能源行業因此也遭受了較大打擊。比如美國某天然氣運營商遭到勒索攻擊，被迫關閉2天，并被國土安全部通報；歐洲能源巨頭Enel Group年內兩次遭遇不同勒索軟件攻擊，多達5TB數據被竊取，被威脅索要1400萬美元贖金；臺灣最大兩家煉油廠遭到勒索攻擊，波及整個供應鏈，甚至加油站的IT系統也無法使用。

    面對這波新的攻勢，全球各方也開始在抗擊與應對方面開展協同努力。上個月，美國司法部等全球60家實體共同組成聯盟，提出全面打擊計劃，要求通過追究財務運作線索以追捕并瓦解勒索軟件團伙。

矛頭直指關鍵基礎設施

    2020年2月，美國網絡安全與基礎設施安全局（CISA）發布警報，強調關鍵基礎設施目標（包括輸送管線）已經成為黑客團伙的主要攻擊目標。而發布此項警報的契機，正是美國某天然氣壓縮設施（并未透露具體身份）遭遇的勒索軟件攻擊，并導致其業務被迫關停兩天。

    在成功入侵IT網絡之后，攻擊者往往會部署“商業勒索軟件”以加密IT與OT網絡上的數據。CISA當時表示，攻擊者的這種橫向移動能力顯然源自基礎設施內IT與OT之間缺少良好的網絡隔離。

    White在周六的聲明中寫道，“美國經濟高度依賴于能源管道基礎設施。這種至關重要的能源輸送資產會影響到每一位民眾的正常生活；因此聯邦政府必須開展風險分析與經濟量化研究，在了解此類攻擊事件的影響規模的同時調撥專項資金為這類設施提供必要保護。”

    Cui認為在這類關鍵基礎設施攻擊活動中，問題的關鍵在于運營企業一方往往沒能事先隔離或保護這些系統。他總結道，“供應商在設計之初就沒有考慮到如何保證ICS設備安全，這就給后續補救造成了巨大的障礙。”（安全內參）