一、概述

　　2021年5月7日（美國當地時間），美國最大成品油管道運營商Colonial Pipeline遭到網絡攻擊，此次攻擊事件導致提供美國東部沿海主要城市45%燃料供應的輸送油氣管道系統被迫下線。安天CERT針對該事件進行持續關注和分析，分別在5月10日發布《關于美燃油管道商遭勒索攻擊關停事件的初步研判和建議》[1]和5月11日發布《關于美燃油管道商遭勒索攻擊事件樣本與跟進分析》[2]兩篇報告。安天CERT后續也在關注該事件始末，據彭博社報道，知情人士透露，Colonial Pipeline公司于5月7日就已向DarkSide勒索軟件組織支付了440萬美元贖金。該組織在收到贖金后，為Colonial Pipeline公司提供了解密工具，用以恢復內部被加密的計算機系統。但是，解密工具恢復速度過慢，Colonial Pipeline公司最后使用備份數據恢復了系統。5月10日，Colonial Pipeline公司在與美國能源部磋商后，開始將部分管道系統重新上線，并逐步分階段恢復相關供應服務。17日，該公司的汽油、柴油及航空燃油供應恢復到正常水平。

　　據Exploit黑客論壇名為UNKN的用戶發帖稱，受執法行動影響，DarkSide已經無法訪問其數據泄露服務器、贖金支付服務器和CDN服務器。在DarkSide組織無法通過SSH訪問服務器的前一天，美國總統拜登在白宮新聞發布會上聲稱將追捕DarkSide組織，并強調，我們不相信俄羅斯政府卷入了這次攻擊。但是，我們確實有充分的理由相信，發動攻擊的罪犯就住在俄羅斯，攻擊的來源就是俄羅斯[3]。雖說美國執法機構名正言順，但沒有充分的證據能夠表明DarkSide組織的基礎設施是被執法機構查禁的，其中也不排除DarkSide組織迫于美國方面的壓力，卷款跑路，從此銷聲匿跡，或改名換姓卷土重來。這種猜測也并非毫無根據，在DarkSide組織稱無法訪問運營服務器后，其中一部分加密貨幣被轉移到未知身份的錢包地址中，但這個錢包地址歸屬于DarkSide組織還是執法機構則無從知曉。眾所周知DarkSide組織采取的運營模式是RaaS（勒索軟件即服務），如果DarkSide組織無法訪問自身基礎設施并歸咎于美國執法機構，那其順理成章的將所有贖金據為己有，自導自演一場“黑吃黑”的戲碼也不得而知。

　　此次事件被認為是迄今為止對美國關鍵基礎設施造成的最具破壞性的網絡攻擊。這一事件迅速引發美國國內和全球的廣泛關注。一方面，它顯示了美國多年來關注和警惕的管道系統安全事件廣泛而嚴重的后果；另一方面，出現尚不足一年的DarkSide組織表現出復雜和成熟的技術和運營能力，它是真的僅以經濟利益為目的進行勒索？還是謀求達成更深層的物理空間影響，或者有更大的政治目的驅動，依然需要更多的信息來支撐和后續判斷。Colonial Pipeline公司遭受DarkSide組織網絡攻擊的事件算是告一段落，安天CERT針對此次攻擊事件進行梳理和總結。

　　二、Colonial Pipeline公司遭受網絡攻擊事件整體時間線

　　圖 2-1 Colonial Pipeline遭受網絡攻擊事件整體時間線

　　5月7日，美國最大成品油管道運營商Colonial Pipeline遭受網絡攻擊，此次攻擊事件導致提供美國東部沿海主要城市45%燃料供應的輸送油氣管道系統被迫下線。5月9日，美國交通運輸部聯邦汽車運輸安全管理局（FMCSA）發布區域緊急狀態聲明，以便豁免使用汽車運輸油料。正常情況下，按規定只能通過管道運輸。緊接著美國政府發布豁免通知，允許汽車運輸石油產品，以緩解針對燃料運輸的各種限制。Colonial Pipeline官網聲明目前該公司運營人員正在制定系統重啟計劃。5月10日，聯邦調查局確認DarkSide勒索軟件是造成Colonial Pipeline公司網絡受損的原因，通過該組織在暗網上公布的數據信息顯示，也進一步證實了攻擊者為DarkSide組織。該組織在其暗網上宣稱，其組織不與任何政府牽連，其目的只為賺錢，并聲稱調查審核合作伙伴避免將來產生社會后果。該組織意識到該起攻擊事件的嚴重性，聲稱在今后會對他們的會員進行嚴格審查，以免造成嚴重的社會后果。Colonial Pipeline公司在與美國能源部磋商后，開始將部分管道重新上線，并計劃逐步分階段恢復服務。5月11日，聯邦調查局和網絡安全和基礎設施安全局（CISA）發布關于DarkSide聯合告警，對所有關鍵基礎設施發布預警，警惕DarkSide組織對其他關鍵基礎設施再次發起攻擊。5月12日，美國總統拜登簽署改善國家網絡安全行政命令。俄羅斯政府堅決否認其參與了針對美國Colonial Pipeline公司的勒索軟件攻擊活動。5月13日，據消息稱Colonial Pipeline公司在5月7日就已向黑客支付了440萬美元的贖金，值得一提的是，此事在13日才被內部人員爆出，而且交付贖金后DarkSide組織提供了解密工具，但因其解密工具恢復效率過慢，Colonial Pipeline公司使用數據備份恢復了系統。可見，在企業遭到勒索攻擊后，數據備份對企業恢復數據起到關鍵性作用。同時也表明Colonial Pipeline公司在有數據備份的情況下還支付了贖金，說明該公司擔心DarkSide組織泄露其數據，也印證了被竊數據的重要性。基礎能源設施運營等重要數據如果被曝光，肯定會帶來重大社會影響，也就是說Colonial Pipeline公司支付440萬美元買的只是DarkSide組織不曝光的承諾。5月13日，美國總統拜登表示將追捕DarkSide組織。5月14日，DarkSide發帖表示，無法連線其博客和付費用的特定服務器，那里的比特幣被轉移到一個陌生的錢包地址中，這個錢包地址歸屬于DarkSide組織還是美國執法機構我們不得而知。5月17日，Colonial Pipeline公司汽油、柴油及航空燃油供應恢復到正常水平。

　　三、總結

　　2021年5月初，DarkSide組織相繼攻擊了Colonial Pipeline公司、東芝公司的歐洲業務部和德國的化學品分銷公司Brenntag。Colonial Pipeline公司和Brenntag公司都選擇支付贖金，一時間成為了全球網絡安全關注的對象，再次表明勒索軟件攻擊已經是全球網絡安全主要威脅之一。

　　安天CERT預測，未來勒索軟件依舊是網絡安全主要威脅之一，繼從最早的破壞數據開始，逐漸演變至加密數據和勒索贖金，再到竊取數據、加密數據和勒索贖金。未來可能會在竊取數據、加密數據和勒索贖金“雙重勒索”的基礎上，利用所竊取的數據信息對有意向者出售或敲詐勒索竊密數據中涉及到的相關人員，以此獲得更多贖金，轉而演變為“三重勒索”。

　　“三重勒索”模式早在2020年10月已有先例，勒索軟件組織對芬蘭Vastaamo心理治療醫院的攻擊中，竊取了超過4萬名患者的數據。攻擊者要求醫院支付贖金并要求患者也提供數額相對較小的贖金。很多患者都收到了勒索的電子郵件，攻擊者聲稱，如果患者不支付贖金將會公布患者與醫師的談話治療記錄。Revil勒索軟件又稱Sodinokibi，于2019年4月出現，該勒索軟件組織此前先后對宏碁、廣達和蘋果等公司發起網絡攻擊，聲稱在規定期限內不支付贖金則公開竊取到的數據，其攻擊目標多為全球大型企業機構，該組織在2021年2月宣布開始升級“雙重勒索”模式，增加DDoS攻擊與向受害人的合作伙伴和媒體的電話進行VoIP轟炸業務 [4]，逐步向“三重勒索”模式轉變。

　　后疫情時代，各公司、企業和政府部門或多或少都會采用線上辦公的方式，帶來便利的同時也增加了網絡安全隱患。部分黑客組織通過利用其他惡意軟件、漏洞以及網絡釣魚等方式發起針對關鍵信息基礎設施的攻擊，將對社會造成日益加劇的負面影響。在黑客組織多變的攻擊手段下，簡單的安全防護顯得相對薄弱，在做好基礎防護的前提下，提高員工個人安全意識和定期更新維護內部安全設施尤為重要。

　　目前，勒索軟件攻擊仍然保持廣撒網與定向攻擊并存的趨勢，隨著經濟利益的驅動，勒索軟件的變現能力越來越強，攻擊者可以攫取極大的直接收益。勒索軟件通常采用加密貨幣作為支付贖金的方式，利用暗網作為難以追蹤的支付鏈路，結合強加密算法，形成了勒索軟件所依賴的“鐵三角”高效組合。大部分政企機構依然固守依靠一道網絡邊界防護來御敵于城門之外的思想。防火墻等安全網關設備當然是安全的必備環節，部署成本低，易于維護，但也極容易被穿透。如果防護單點依賴安全網關，一旦載荷進入到端點側，就幾乎處于無檢測管控的狀態，可以恣意滲透，橫掃全網。因而，端點側需要選擇“EPP+EDR”組合能力產品，既能提升第一時間的阻斷成功率，又能有效支撐集中運維響應。同樣針對性免殺必然出現在定向攻擊中，因此，基于動態沙箱的分析設備也已經成為安全的必選項目。

　　安天在2020年網絡安全威脅年報中曾提出：勒索軟件制作者開始關注攻擊成本和攻擊效率，勒索軟件的攻擊方式從最初的廣撒網尋找目標逐漸地變成對有價值的攻擊目標進行定向勒索。定向勒索和非定向勒索的攻擊面將擴大，非定向勒索攻擊者會繼續使用RaaS（勒索軟件即服務）模式以及通過僵尸網絡進行分發，預測仍將采用大面積廣撒網的方式進行傳播；定向勒索攻擊能力接近或達到“APT”水平，定向勒索攻擊組織多針對大型有價值目標，進行定制化攻擊，以期提高攻擊成功率的同時盡最大可能獲利。企業面對日益嚴峻的勒索攻擊，非定向勒索攻擊做到“有效防護”是應對勒索威脅的能力要求，盡量確保系統不被感染，數據不被加密是首要工作。企業需要具備APT級別的防御能力來防護定向勒索的攻擊，在非定向攻擊應對策略的安全運營基礎上，增加建立縱深防御、安全服務，使用多種數據設備備份等安全措施來提升安全水平。