解密DarkSide:癱瘓美東油管運輸的駭客犯罪組織

by:徽徽
4449

近日,負責美東燃油運輸的「殖民油管公司」遭駭客犯罪組織DarkSide勒索,DarkSide表示,他們的目標是贖金,而不是造成社會問題......

post title

在利用勒索軟體駭入美國「殖民油管公司」的系統後,駭客犯罪組織DarkSide吸引了全美的關注。圖為示意圖。

Photo: Nahel Abdul Hadi 

油管公司遭駭 癱瘓美東燃油運輸

上周五(8),負責提供美國東岸 45%燃油運輸的「殖民油管公司」(Colonial Pipeline)遭到駭客攻擊,影響東岸汽油、柴油和航空燃油的運輸,逼得「殖民油管公司」不得不緊急關閉超過 8,851公里、從德州一路延伸到紐澤西州、每天可以運送 250萬桶油的管線,癱瘓範圍驚人。

不付贖金就走著瞧

發動駭客攻擊的網路犯罪組織DarkSide表示,他們的合作夥伴利用勒索軟體入侵了「殖民油管公司」的內部網絡,並且把將近 100GB的重要數據都給鎖了起來,除非「殖民油管公司」願意支付贖金,否則他們不會把解鎖工具交出來。不僅如此,他們還會將取得的數據、個資外洩到網路上,藉此讓「殖民油管公司」顏面掃地。

在《今日美國》繪製的地圖中,可以看到「殖民油管公司」架設的油管一路從德州延伸到紐澤西州,負責美東 45%的燃油運輸。

DarkSide一貫犯案手法

根據BBC的報導,這是DarkSide一貫的犯案手法。

首先,受害者的電腦螢幕會跳出通知,告訴他們電腦和伺服器已經被加密。緊接著,DarkSide會羅列出所有他們偷取、上鎖的數據,並且寄給受害者「個資洩露頁面」的URL,讓受害者看看要是在截止時間前還不付贖金,這些個資就會自動被公布在網路上。

贖金隨時間翻倍

不只如此,DarkSide還會要脅將這些數據全數從受害者的電腦和伺服器上刪除。至於贖金的金額,則會隨著時間而翻倍,從 20萬美元到 200萬美元(折台幣約 565萬-5649萬元)皆有。

post title

圖為「殖民油管公司」位於紐澤西州伍德布里奇鎮(Woodbridge)的儲油槽。對駭客犯罪組織DarkSide來說,「殖民油管公司」就是付得起贖金的公司。

美聯社/達志影像

「只會攻擊付得起錢的公司」

根據倫敦網路安全公司Digital Shadows的研究,DarkSide運作的方式就像一間公司一樣,商業化十足,且專門報導電腦科技的網站Bleeping Computer指出,DarkSide從去年八月就開始對受害者發動攻擊,並且還發了一篇「新聞稿」昭告天下他們的犯案原則:「我們只會攻擊付得起贖金金額的公司,畢竟我們也不想害公司倒閉。」

「基於我們的攻擊原則,我們不會攻擊醫院、學校、大學、非營利組織和政府部門。」DarkSide強調他們永遠不會攻擊重要且脆弱的機構。

開發勒索軟體給「下線」

此外,為了擴大自己的影響力,DarkSide還會把自己開發出來的勒索軟體提供給「下線」,要是「下線」勒贖成功,他們再從贖金中收取一定比例的報酬。

今年三月,當DarkSide公布他們新開發的勒索軟體可以比過去更快加密受害者的數據時,他們也發出了一篇新聞稿,邀請記者來採訪。

post title

因為疫情的關係,不少工程師開始在家遠端工作,由此也讓不肖人士有機可乘。圖為一名上班族在家工作的樣子。

路透社/達志影像

和「入口仲介」合作 購買使用者帳密

不只如此,DarkSide也和惡名昭彰的「入口仲介」合作,所謂的「入口仲介」就是去盜取使用者登入帳密的駭客,並且將這些帳密賣給出價最高者,買家通常都是想要利用這些帳密來從事更嚴重不法行為的網路犯罪組織。

倫敦網路安全公司Digital Shadows認為,這一次美國「殖民油管公司」會遭到攻擊,和DarkSide與「入口仲介」合作,取得使用者登入帳密息息相關。

趁工程師遠端工作

有鑑於正值COVID-19(武漢肺炎)疫情期間,許多「殖民油管公司」旗下的工程師都在家靠著遠端桌面軟體控制油管,此時要是DarkSide取得工程師們遠端桌面軟體的登入帳密,就很有可能由此掌握更多「殖民油管公司」的數據。

post title

今年 4月22日,俄國總統普亭在莫斯科透過視訊參加全球氣候高峰會,並且聽取美國總統拜登的演說。

路透社/達志影像

不攻擊用俄語系統的公司

然而,在研究DarkSide的過程中,Digital Shadows發現了一件有趣的事情,那就是DarkSide的攻擊名單上不會出現位於前蘇聯國家的公司,包含俄國、烏克蘭、白羅斯、喬治亞、亞美尼亞、亞塞拜然、哈薩克、吉爾吉斯,塔吉克,土庫曼跟烏茲別克都不在攻擊名單上。此外,只要DarkSide發現目標使用的電腦系統語言為俄語,也不會將其納為攻擊對象。

因此,Digital Shadows合理推斷DarkSide極有可能總部就設在上述國家內。

幕後黑手是俄國政府?

對此,美國總統拜登(Joe Biden)表示:「我準備和俄國總統普亭(Vladimir Putin)會面,根據我們情報人員的調查,雖然有證據顯示犯案的勒索軟體在俄國,不過目前並沒有任何證據顯示俄國(政府)牽涉其中,但他們在解決這個問題上得負點責任。」

post title

在馬里蘭州的伍德賓地區(Woodbine),可以看到「殖民油管公司」的儲油設備。

路透社/達志影像

FBI證實嫌犯是DarkSide

周一(10),美國聯邦調查局(FBI)正式發表聲明,證實「殖民油管公司」遭到DarkSide的破壞,至於DarkSide背後是否有政府主導尚在調查中。

與此同時,美國網絡與新興技術國家安全副顧問紐貝格(Anne Neuberger)表示,「殖民油管公司」至今未尋求美國政府的協助,她也無法確定「殖民油管公司」是否有支付贖金。

安全後才會重新上線

「殖民油管公司」則出面表示,公司在遭到攻擊後立刻採取防護措施,讓某些系統下線好控制損害範圍,「唯有當我們認為安全,且完全受到聯邦規範的批准後,才會讓所有系統重新上線」。

post title

5月11日,在維吉尼亞州諾福克市(Norfolk)的一處加油站,可以看到大排長龍的車輛等著加油。

路透社/達志影像

油價飆高 民眾暴買

至於什麼時候才能恢復原狀,「殖民油管公司」並沒有給出清楚的時間表,只大略表示希望在本周末就能夠解決、重啟所有服務(註)。然而,只要「殖民油管公司」停止服務的一天,汽油、柴油跟航空燃油的價格都會跟著水漲船高,進而嚴重影響到一般民眾的生活,甚至引發民眾恐慌暴買的行為。

註:根據「殖民油管公司」在 12號發表的聲明,顯示已經開始全面重啟油管運作,不過相關供應鏈還要再幾天才能恢復正常。

加油站祭出限購策略

舉例來說,在田納西州、喬治亞州和數個南方州,民眾看到「殖民油管公司」遭網路攻擊的新聞後,擔心汽油短缺紛紛衝向加油站,讓上千個加油站的汽油一下被買光,剩下的加油站則祭出限購策略。

專家呼籲民眾冷靜

對此,專家出面呼籲民眾冷靜,表示現在民眾恐慌的反應和實際遭遇到的風險不成比例。美國塔夫茨大學(Tufts University)能源專家潔菲(Amy Myers Jaffe)表示:「石油和汽油仍在原地,我們可以手動抽取,我們可以用卡車載送,當局和其他機構可以雇用船隻運輸,而且我們還有庫存。」

當局放寬運油司機工時

為了在油管癱瘓的此時運輸油品,美國政府已經在周日放鬆公路運油的限制,包含讓 18個州負責運送油品的公路司機工時更靈活,甚至可以多工作幾個小時。

post title

在喬治亞州的肯納索市(Kennesaw),一處加油站貼出了「對不起,沒油了」的公告。

美聯社/達志影像

DarkSide:目標是錢,不是製造社會問題

面對油管癱瘓造成的危機,DarkSide在周一發表聲明,要外界不要有過多政治聯想,他們形容自己「政治冷感」:「我們並沒有在地緣政治中參一腳,各界沒必要將我們和某個明確的政府綁在一起,並且從中推敲我們的犯案動機。」

「我們的目標是賺錢,而不是製造社會問題,」DarkSide澄清道,此次的攻擊事件和他們的「下線」有關,他們一開始並沒有注意到「下線」鎖定攻擊的目標是「殖民油管公司」,對於造成如此嚴重的社會動盪,也讓他們決定有所改變。

「從今天開始,我們會去管理和檢查每一個合作夥伴想要加密的公司,藉此避免未來造成社會(不良)後果。」