您所在的位置: 首页 >
新闻资讯 >
威胁情报 >
勒索攻击无孔不入-美油气大动脉被迫切断引新一轮“关基”网络安全大恐慌
一、业界热议担忧
美国最大的油气管道公司Colonial遭到网络攻击被迫停止运营,在刚刚过去的周末成为了新闻的头条。事件的初期情况本号早先已有跟踪。主流媒体纽约时报、路透社、华盛顿时报、连线、安全周刊、政治家等均进行了报道,虽然事件的细节和具体影响还未明朗,但从网络安全行业的专家评述中不难看出,勒索之患、关基安危,任重道远!
诺特丹大学(University of Notre Dame)网络安全专家、美国国家安全局(National Security Agency)前官员迈克·查普(Mike Chapple)
Colonial管道公司的网络攻击似乎表明,黑客“极其复杂”,或者系统没有得到妥善保护。Chapple说,“管道关闭发出的信息是,我们国家基础设施的核心元素仍然容易受到网络攻击。”
工业网络安全公司公司Claroty首席产品官Grant Geyer
如果攻击源于恶意软件或勒索软件感染系统,无意行为,网络问题可能是固定在几天或几周的问题,取决于Colonial应对攻击的准备充分程度。
但如果是某个国家指挥了这次攻击,就需要广泛的网络安全应对,以修补可能成为日后感染的“后门”的漏洞。“很多控制工业环境的系统,在某些情况下是由充满漏洞的过时Windows系统管理的,”Geyer说。他补充说,这个问题在能源行业尤为严重。
工业网络安全公司Dragos的首席执行官、工业计算机系统风险专家Rob Lee
“这是我们所见过的网络攻击对美国能源系统的最大影响,完全停止了运营。”Lee指出,除了对Colonial管道公司或其所运输燃料的许多供应商和客户造成财务影响外,2020年美国约40%的电力是通过燃烧天然气产生的,超过任何其他来源。他认为,这意味着管道遭受网络攻击的威胁对民用电网构成了重大威胁。他说:“攻击者有能力通过切断天然气供应从而影响电力系统。这是件大事,”他补充道。他说:“供应商受到了来自犯罪行为的勒索软件攻击,这甚至不是国家支持的攻击,它就这样影响了系统?”
“他们会在最初的24到72小时内了解这一点。”他补充说,如果攻击仅限于Colonial的IT业务计算机系统,“我认为这种攻击相对来说是短暂的。”一个关键问题是,勒索软件攻击是否不仅直接感染了Colonial的业务端电脑——即所谓的IT系统——还会直接感染其运行管道的“操作”系统(即控制系统)。他说,如果是这样的话,这次攻击“可能会影响更大”,将政府关门的时间延长“几天或几周”。
事件最终的影响很大程度上取决于Colonial能以多快的速度重启管道——而这又取决于该公司的网络顾问能否确定这样做是安全的。即便如此,这次攻击只是黑客攻击水厂、炼油厂、化工厂或电网等关键系统的最新事件,其中包括俄罗斯切断乌克兰部分电力供应的臭名昭著的事件。这也是不断增长的勒索攻击瘟疫的一部分,勒索软件攻击通常是要求付款的黑客使医院、警察局或市政府等目标瘫痪。
西雅图前首席信息官、网络安全公司CI Security的首席信息官迈克·汉密尔顿(Mike Hamilton)
“目前还不清楚是谁,但有一些有趣的可能性。”“如果Colonial公司被勒索,这可能是有组织的犯罪,但并不一定是有组织的犯罪,因为民族国家已经知道使用勒索软件作为虚假的旗帜来混淆他们的动机。”“如果Colonial不是被敲诈,”汉密尔顿继续说,“这可能是纯粹的破坏,目的是在美国经济中制造进一步的混乱。”这是一些国家的战略利益,特别是那些国内生产总值中很大一部分依赖能源的国家;这一行动可能会导致能源价格飙升。”
汉密尔顿还提出了网络激进主义的可能性,但他说,这种活动发生在管道建设过程中。“这有一个意义重大的暗示,”汉密尔顿说。“这些管道已被指定为关键基础设施。故意破坏或攻击这些系统可被视为恐怖主义行为。随着对该事件了解的更多,以及参与者的动机变得清晰,我们将发现该事件是否将我们从一个寒冷的网络冲突带到了一个温暖得多的网络冲突。”
能源研究员、《能源的数字未来》(energy’s Digital Future)一书的作者艾米·迈尔斯·贾菲(Amy Myers Jaffe)
“这不是一个小目标,”。“Colonial管道最终是美国管道系统的命脉。这是我们所知的对美国能源基础设施最重要、最成功的袭击。如果没有任何后果,我们是幸运的,但这确实是一个警钟。”
这可能是美国迄今面临的最严重的一次成功袭击。
网络安全公司Gigamon威胁情报研究人员Joe Slowik
Slowik曾在美国能源部领导计算机安全与应急响应团队。美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)在2020年初警告称,2019年底,黑客在一家未具名的美国天然气管道公司的网络上植入了勒索软件——尽管这家公司的规模不及Colonial公司。在那次早期的管道勒索软件攻击中,CISA警告说,黑客已经进入了目标管道公司的IT系统和“OT”系统——负责控制物理设备的计算机网络。在这次Colonial管道公司的案例中,目前尚不清楚黑客是否跨越了这一关口,使系统能够允许他们干预管道的物理状态,或创造潜在的危险物理条件。Slowik说:作为一个安全预防措施,在这种情况下,作业者对事件的反应是正确的。“一旦你不能确保对环境的积极控制和对操作的清晰可见性,那么你就需要关闭它。”
内布拉斯加州共和党参议员本·萨瑟(Ben Sasse)
这次攻击是政府还没有准备好应对潜在的网络攻击的最新明证。“关于这次袭击是如何发生的,显然还有很多要了解的细节,但我们可以确定两件事:这是一场将再次上演的闹剧,而我们没有充分准备,”萨瑟在一份声明中说。“如果国会对基础设施一揽子计划是认真的,首要和核心应该是强化这些关键部门——而不是伪装成基础设施的进步清单。”
对管道网络安全有直接管辖权的机构是TSA,政府审计人员批评该机构人手不足,对这项任务毫无准备。
参议员Ed Markey (D-Ma.)
联邦政府长期以来未能对管道安全给予必要的关注。他指出,美国政府问责局的一份报告显示,直到2019年,运输安全管理局(TSA)只有6名全职工作人员负责管道安全。他在一份声明中表示:“尽管我们需要更多关于导致Colonial 管道公司网络攻击的信息,但我们不能忽视长期存在的不足,正是这些不足导致了对我们关键基础设施的网络入侵,并使之成为可能。”
美国联邦调查局(FBI)和联邦能源委员会(FERC)
他们正在与其他联邦机构合作,监控网络攻击的进展情况。美国能源部(Department of Energy)表示,正在与各州和能源部门合作,监控任何可能出现的燃料短缺。美国运输部(Department of Transportation)下属的管道及危险材料安全管理局(Pipeline and Hazardous Materials Safety Administration)负责调查管道事故,并在管道关闭后对其重新启动进行评估,该机构没有立即回答问题。
二、对能源供给的潜在影响
Colonial输油管道是美国最大的成品油管道,每天输送250万桶原油,占东海岸消耗燃料总量的45%左右,包括汽油、柴油、航空燃油和取暖油。
Colonial公司管道线路图示
美国能源部(Department of Energy)表示,正在监测该事件对美国能源供应的潜在影响,而美国网络安全和基础设施安全局(U.S. Cybersecurity and Infrastructure Security Agency)和美国运输安全管理局(Transportation Security Administration)对路透社(Reuters)表示,他们也在研究这一情况。
“我们正在与该公司和我们的跨部门合作伙伴就这一情况进行沟通。这凸显了勒索软件对任何规模或领域的组织所构成的威胁,”CISA网络安全部门执行助理主任埃里克·戈尔茨坦说。
Colonial没有提供更多细节,也没有说明其管道将被关闭多长时间。这家位于乔治亚州的私营公司由CDPQ Colonial Partners l.p.、IFM(美国)Colonial Pipeline 2 LLC、KKR-Keats Pipeline Investors l.p.、Koch Capital Investments company LLC和Shell Midstream Operating LLC所有。
美国汽车协会(American Automobile Association)表示,长时间停电可能会导致加油站汽油价格上涨,这是消费者在夏季驾驶季节来临前的担忧。
咨询公司Lipow Oil Associates的总裁李泊(Andrew Lipow)说,持续四五天的关闭可能会导致美国东海岸依赖输油管道输送的燃料零星中断。
在上周五首次传出关闭的消息后,纽约商品交易所(New York Mercantile Exchange)汽油期货上涨0.6%,柴油期货上涨1.1%,两者的涨幅都超过了原油。墨西哥湾沿岸汽油和柴油的现金价格小幅下跌,因市场预期该地区的供应可能会累积。
Lipow说:“随着时间一天天过去,它对墨西哥湾炼油的影响越来越大。”“炼油商将不得不减少原油加工,因为他们失去了部分分销系统。”
路透社当地时间8日联系的炼油企业表示,它们的业务尚未受到影响。
与此同时,金德摩根公司表示,为许多相同地区提供服务的产品(SE)管道公司仍在全面服务。
PPL目前正在与客户合作,以在Colonial停产期间容纳更多桶。PPL可以通过其管道网络从路易斯安那州向华盛顿特区输送约72万桶/天的油料。
三、幕后攻击者猜测
据路透社报道,来自安全公司火眼的事件响应人员正在协助该公司,调查人员怀疑一个名为Darkside的勒索软件组织可能对此负责。根据网络安全公司Cybereason的一份报告,Darkside已经攻击了40多个受害者组织,并要求他们支付20万到200万美元的赎金。
在勒索软件领域,Darkside组织是一个相对较新的玩家,但它很快就以耐心、能力、老练和巨额赎金赢得了声誉。
安全公司Varonis调查了几起Darkside黑客入侵事件,他们表示:“Darkside勒索软件攻击活动因使用了隐形技术而引人注目,尤其是在早期阶段。”“该组织进行了仔细的侦察,并采取了步骤,以确保他们的攻击工具和技术能够逃避被监控设备和终端的检测。
Varonis说:“该组织声称,它试图侵入有能力支付巨额赎金的大公司,而不是学校、医院和其他资金紧张但日益成为目标的组织。”
四、美政府网安新政面临质疑
国土安全部曾表示,它正试图动员整个私营部门参与打击勒索软件的斗争,包括向企业提供更大的激励措施,鼓励它们改善网络安全。美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)近日在美国商会(U.S. Chamber of Commerce)的一次活动上说:“如果一个人认为自己不会受到网络攻击……或与网络攻击隔绝,那他很可能就是把一个更大的目标放在了自己的身上。”
一位TSA发言人8日晚些时候表示,该机构和CISA“将在未来几天与管道行业接触,分享从这起事件中获得的信息,并利用我们的集体资源提供支持。”
Colonial的事件突显出,网络攻击可以在不直接损坏设备的情况下破坏美国的关键基础设施。遭受电脑入侵的基础设施运营商通常会关闭某些功能或设施,以防止问题进一步蔓延。通过这种方式,一个看似很小的工资单或电子邮件系统被破坏,就会引起连锁反应,促使公司停止生产、能源分配或其他重要操作。
改善能源部门的网络安全一直是几个联邦机构的一项关键任务。上个月,能源部和CISA发起了一项倡议,与电力行业的工业控制系统运营合作,以提高网络安全检测。
此次管道攻击可能是拜登政府整体网络战略的一块试金石。该战略正在慢慢成形,至少在公开场合,主要是针对俄罗斯和中国的网络间谍活动做出反应,这些活动范围广泛,但没有造成实质性破坏。到目前为止,政府的主要手段是制裁和起诉,正如拜登上个月为回应俄罗斯的太阳风(SolarWinds)网络行动而发布的一项行政命令所示。
这一最新网络安全事件可能会给拜登政府和议员们带来更大压力,因为他们正在就将网络安全资金加入政府2万亿美元以上的基础设施计划展开辩论。该计划因缺乏资金满足这些需求而受到审查。
美国的关键能源网络和其他关键系统都面临着一系列威胁,包括网络攻击和维护滞后。去年,在北卡罗来纳州夏洛特附近的一个自然保护区,Colonial公司的输油管道出现裂缝,但在几天或几周内都没有被发现,导致120万加仑汽油泄漏。今年2月,黑客进入了佛罗里达州坦帕附近的一个水处理设施的计算机系统。本质上是试图用大量流入的碱液毒害水源。2017年6月,作为所谓“NotPetya”网络攻击的一部分,俄罗斯军事黑客还将目标对准了乌克兰的银行、能源公司、高级政府官员和机场的计算机系统。联邦检察官指控伊朗黑客试图渗入纽约州北部一座大坝的控制系统。
参考资源
https://www.politico.com/news/2021/05/08/colonial-pipeline-cyber-attack-485984
https://www.wired.com/story/colonial-pipeline-ransomware-attack/
https://www.nytimes.com/2021/05/08/us/cyberattack-colonial-pipeline.html
https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/
https://www.securityweek.com/cyberattack-forces-shutdown-major-us-pipeline
来源:网空闲话