【环球时报-环球网报道 记者 郭媛丹】当地时间5月9日,美国政府启动紧急法,事由是因为美国最大燃油管道公司遭遇勒索软件攻击。什么是勒索软件攻击?为什么一次网络攻击能产生如此巨大后果?对此,接受《环球时报》采访的网络安全专家表示,2006年中国就曾发生过通过勒索软件进行敲诈的案件,有的勒索攻击并不仅仅为了敛财。同时,专家也不建议受害者交纳赎金,因为这从效果上形成了对网络勒索犯罪活动的激励。

  当地时间5月7日,美国科洛尼尔管道运输公司(Colonial Pipeline)公司遭遇一个网络犯罪团伙攻击后中断网络运营,这家公司每天输送250万桶汽油、柴油及航空燃油和其他精炼产品,其运送量占美国东海岸供应量的45%。美国交通部下属机构宣布进入紧急状态后,燃油可以通过道路进行运输。

  输油管道运营商遭网络攻击而下线,美国宣布进入紧急状态来源:台媒

  中国网络空间安全协会副理事长、安天科技集团首席技术架构师肖新光接受《环球时报》采访时表示,本次事件再次证明了关键基础设备因网络攻击遭到破坏,可能会转化成对国家整体运转以及社会生产生活的影响,因此,需要从总体国家安全观层面全面分析各种安全风险,特别是网络安全风险向其他传统安全和非传统安全风险的渗透、传递、转化、叠加;不能孤立的看待网络安全问题。

  勒索攻击在我国最早出现于2006年

  发生在科洛尼尔管道运输公司的攻击事件与勒索软件有关,听起来和现实世界中绑匪通过绑架人质勒索钱财类似。肖新光称,勒索软件是近年来非常活跃的一类恶意代码和攻击行为。攻击者通过广泛传播或定向植入等方式,将勒索软件植入到被攻击方系统中,将文档或数据库等信息加密,导致用户无法使用,要求用户支付赎金(多为比特币等虚拟货币)获得解密密钥后,才能解密使用。

  勒索软件最早出现于1989年,而国内首个勒索软件出现在2006年,肖新光描述,“该攻击者通过隐藏用户的文档、数据库、压缩包等文件,形成用户文档丢失的假象,向用户敲诈70-200元不等的赎金,后来攻击者被公安机关查获。”

  由于可经济获利,勒索攻击快速进化蔓延,导致对抗难度不断增加。2017年全球大规模爆发的勒索蠕虫“魔窟”,曾导致我国大量行业企业内网遭受大规模感染,这是一种能快速主动传播的勒索软件。2018年我国台湾地区的台积电,其12英寸晶圆厂和营运总部,曾因勒索软件攻击导致生产线瘫痪数小时。

  勒索攻击仅仅是为了钱吗?

  目前已有多个消息源确认,进行此次勒索软件攻击的网络犯罪团伙名叫“黑暗面”(DarkSide),他们于5月6日渗透进入殖民管道的网络,盗取了近100GB的数据并提出赎金要求。

  路透社11日称,“黑暗面”当天在官网发布的一份声明中表示,“我们的目的是要钱,而不是为社会制造麻烦”。

  对此,肖新光认为:“勒索攻击是以获利为目的。当前根据FBI等机构公开的初步调查结果,锁定了‘黑暗面’组织。但类似事件依然还需要深度的关联分析研判。由于勒索软件对数据和文件加密会导致系统或业务失能的效果,此前也出现过伪装成勒索攻击,但实际目标是破坏系统运行,实现网络空间攻击转化为物理空间影响的事件。”

  事实上,一些勒索攻击是有意被模仿的,一些攻击者发动网络攻击破坏事件却故意伪装成勒索攻击,比较典型的是针对乌克兰的“伪必加”攻击,其目的就是为了破坏信息系统运行而不是勒索赎金。肖新光表示,“类似‘伪必加’式的伪装勒索攻击行为提醒我们,对重要目标,当表面现象是勒索软件时,还需要进行结合动机和场景进行技术分析,来判别是否属于信息战式的破坏攻击。”

  专家:面对勒索攻击,不建议受害者缴纳赎金

  肖新光对《环球时报》记者表示:“窃取用户数据威胁曝光,是近几年勒索攻击的一个新特点。”

  根据介绍,这种行为多见于定向的勒索攻击活动,在原有加密锁定用户数据之前,增加了窃取数据的攻击动作。这种攻击增加了对用户的要挟筹码,此前如果用户拒付赎金,用户面对的只是数据无法恢复的损失,但在升级型攻击中,用户还要背负类似商业秘密、技术成果、个人隐私等被曝光的影响。具体到本次发生在美国的攻击事件中被窃数据,目前并没有公开报道指出这被窃取的100G数据内容是什么。肖新光说,“基础能源设施运营等重要数据如果曝光,肯定是有重大社会影响的。”

  肖新光说,“作为网络安全工作者,我们不建议受害者交纳赎金,因为这从客观效果上形成了对网络勒索犯罪活动的激励。”

  报道表示,美国白宫10日没有就遭到黑客攻击的公司是否应该向攻击者支付赎金一事发表看法,但一名国家安全官员说,白宫可能会在今后就此提供一些建议。负责网络事务的美国副国家安全顾问安妮·纽伯格称,“这通常是私营部门的决定,行政当局此刻没有就此提供进一步的建议。”

  网络攻击事件中政府应扮演全局统筹角色

  当前白宫成立了一个跨部门工作小组,在周末期间就这起黑客事件举行会议,并向美国总统拜登通报情况。相关部门官员正在讨论应对这起黑客攻击的方案,以及在网络攻击导致输油管道中断后,如何确保稳定的汽油供应。

  网络攻击事件对现实世界产生巨大影响后,政府应该扮演何种角色?肖新光认为,政府要扮演全局策略统筹、资源调拨协调等作用,包括指定整体应对方案,调度和协同各种社会资源,组织职能部门和企业力量进行相关分析调查、溯源响应,启动后续反应机制等,也包括进行有效舆论引导和公众教育,既要避免社会恐慌,也要推动提升机构和个人对网络安全意识和技能水平。

  此外,肖新光建议,作为基础设施运营者,一定要立足于建立有效防护的安全体系,构建系统的可恢复弹性,尽力避免出现被勒索攻击后出现两难抉择的情况。而一旦发生情况,就要快速决策,制定预案,快速止损和量损。同时通过分析勒索机理、基于备份数据恢复,系统数据恢复等多种手段找到是否有存在补救应对方案。