圖片來源@視覺中國

文 | BT財經(jīng)

現(xiàn)實版的“黑客帝國”正在美國上演。

工作人員在電腦面前為了修補漏洞加班加點，油箱耗盡的汽車司機們在加油站罵罵咧咧，警察們在追蹤著各項痕跡來尋找元兇，而網(wǎng)線另一頭的黑客們正洋洋得意地看著到賬的加密數(shù)字貨幣。

科洛尼爾被黑客勒索

5月10日，“#美國宣布進入國家緊急狀態(tài)#”的話題登上微博熱搜，在短短的半天時間就獲得了1.2億閱讀。

然而這個熱搜卻是一個讓人哭笑不得的烏龍事件，而真實情況的來龍去脈也頗為神奇，至于結(jié)果，依照現(xiàn)有的進展大概率也只會不了了之。

當(dāng)?shù)貢r間5月7日，最近一年頗為活躍的黑客組織黑暗面（DarkSide）對美國最大燃油管道運營商科洛尼爾（Colonial Pipeline）的信息系統(tǒng)發(fā)起了攻擊，通過加密手段鎖住該公司計算機系統(tǒng)并劫持了該公司近100GB的數(shù)據(jù)。

這是DarkSide一年來破壞力度最大的一次攻擊。據(jù)BBC報道，此番DarkSide仍采取了他們一直以來的攻擊方式。

受害公司的計算機屏幕會跳出告知通知，表明其計算機和服務(wù)器已經(jīng)被黑客加密；隨后DarkSide會羅列出所有偷取、上鎖的數(shù)據(jù)，并將“個人信息泄露頁面”的URL發(fā)給受害公司，要求他們在截止日期之前支付贖金，否則一些消息會自動被公布到網(wǎng)絡(luò)，同時數(shù)據(jù)會從公司的計算機和服務(wù)器上刪除，而贖金的金額會隨著時間的推移不斷上漲。

科洛尼爾在第二日便將情況上報給了美國政府，并以公開聲明的方式向大眾承認遭受黑客攻擊，但表明自己并沒有支付贖金的意愿。

隨后，科洛尼爾關(guān)閉了一條每日運送250萬桶燃料，長達5500英里的輸油管道。平日里這條管道承擔(dān)了人口密集的美國東海岸45%的燃料供給，關(guān)閉引發(fā)了人們對汽油、柴油和航空煤油現(xiàn)貨短缺的擔(dān)憂，美國人出行離不開汽車，大量用戶涌入加油站囤貨，汽油價格也小幅上漲。

國內(nèi)媒體所謂“美國進入國家緊急狀態(tài)”正是基于此。

不過根據(jù)美國政府的官方網(wǎng)站，雖然美國總統(tǒng)拜登對此事表明了關(guān)切，但是這事兒真的犯不上美國全國直接落入到緊急狀態(tài)窘迫之中。

當(dāng)?shù)貢r間5月9日，實際上是美國的交通部聯(lián)邦汽車運輸安全管理局宣布17個州和華盛頓特區(qū)進入緊急狀態(tài)，進入緊急狀態(tài)并非是崩盤，而是意味著可以解除針對燃料運輸?shù)母鞣N限制，以保障石油產(chǎn)品通過公路快速運輸。

雖然科洛尼爾在官方聲明中表現(xiàn)得很強勢，但根據(jù)彭博社的報道，其在受到攻擊后不久就和DarkSide達成了和解，支付了彼時價值500萬美元的75枚比特幣作為贖金。

5月19日，科洛尼爾承認并沒有遵從FBI的建議，出于大局考慮支付了贖金。

收到贖金后，DarkSide將解密工具發(fā)給了科洛尼爾。即便如此，科洛尼爾也用了6天的時間才恢復(fù)輸油管道的正常運轉(zhuǎn)，甚至在恢復(fù)過程中還出現(xiàn)了宕機狀況。

5月13日，美國總統(tǒng)拜登在評論里表示政府會采取更多措施封殺DarkSide，降低其破壞能力，同時他還指出根據(jù)多方調(diào)查，從來不攻擊俄語系統(tǒng)的DarkSide是來自俄羅斯和東歐的黑客集團。雖然與俄羅斯政府沒有直接關(guān)聯(lián)，但他認為俄羅斯應(yīng)對做出實際行動來管制這些勒索的黑客。

在科洛尼爾勒索發(fā)生后，拜登簽署了一份加強美國網(wǎng)絡(luò)安全防御的行政命令。在今年4月，美國就曾呼吁各國政府將勒索軟件定義為國家安全威脅，并對拒絕參與打擊黑客行動的國家“施加壓力”。

虛擬貨幣成為黑客“幫兇”

DarkSide的名字一下子就讓大眾想到了《星球大戰(zhàn)》里墮入黑暗面的達斯維達。但要強調(diào)的是，達斯維達最終回歸了光明，或許DarkSide正是希望傳達自己并非壞人，而是正邪交織形象。

因為新冠疫情的影響，越來越多的公司轉(zhuǎn)向線上辦公，工程師們在自家登陸公司網(wǎng)絡(luò)使得攻破防線變得相對容易，這也給了DarkSide可趁之機。

一大批黑客組織變得格外活躍，DarkSide還發(fā)布公開信昭告犯案原則：“我們只會攻擊付得起贖金金額的公司”，“基于我們的攻擊原則，我們不會攻擊醫(yī)院、學(xué)校、大學(xué)、非營利組織和政府部門”。

或許是為了證明自己言論的可行度，2020年10月，DarkSide向慈善組織“兒童國際”和“水項目”分別捐贈了0.88比特幣，但被無情拒絕，理由是不接受非法所得。

根據(jù)媒體的統(tǒng)計，DarkSide這一年來通過勒索各家公司所獲取的比特幣市值超過9000萬美元，平均每個受害者支付了價值190萬美元的比特幣。

據(jù)統(tǒng)計，有1550萬美元歸DarkSide的開發(fā)商所有，7470萬美元歸其附屬公司所有，大部分都被轉(zhuǎn)移到加密貨幣交易所，并兌換成了法定貨幣，絕對算得上是流程清晰、成功率頗高的“搶錢行為”。

DarkSide并非是單打獨斗的個體，而是商業(yè)化十足的成熟黑客團伙。

除了用軟件黑入公司系統(tǒng)直接勒索比特幣，DarkSide還會把自己開發(fā)出來的勒索軟件提供給買家，要是買家勒索成功，他們會從贖金中抽取一定比例的收入。此外，他們還會向其它別有用心者出售遭到勒索軟件攻擊的受害公司的內(nèi)幕信息，在資本市場再撈一筆。

5月10日，DarkSide發(fā)布了一則聲明回應(yīng)了勒索科洛尼爾事件：“我們的目標(biāo)是賺錢，而不是為社會制造問題。我們會克制，細致地審查合作伙伴，以避免造成惡劣的社會后果”，“我們是非政治性的，我們不參與地緣政治。”

這種理直氣壯、義正言辭的作風(fēng)實在是讓人哭笑不得。想想《武林外傳》里面白展堂教訓(xùn)郭芙蓉的時候說過：“什么叫盜亦有道，全都是胡說八道，賊就是賊。”

宣揚只要錢的黑客依舊是黑客，DarkSide仍在繼續(xù)作案。

5月14日，東芝技術(shù)公司的法國子公司也遭遇了DarkSide的攻擊，泄漏了包括護照文件、項目文檔在內(nèi)的740GB的數(shù)據(jù)。至于東芝是否支付了贖金，外界還不得而知。

5月17日，也許是最近的過分高調(diào)造成惹禍上身，DarkSide宣布停止運營，其泄漏站點已經(jīng)無法訪問。DarkSide的運營商上發(fā)表公告稱受到了執(zhí)法機構(gòu)和美國的壓力，目前已無法訪問基礎(chǔ)架構(gòu)的公共部分：博客、付款服務(wù)器和DOS服務(wù)器。

不過，Darkside “很有良心”地將解密工具分發(fā)給會員，會員可以自行完成剩余的“催收”工作。

背后的黑客產(chǎn)業(yè)鏈

Check Point研究顯示，與2020年初相比，今年全球遭受勒索軟件攻擊的組織增加102%，在加密數(shù)字貨幣狂熱下，黑客們出擊越發(fā)頻繁。

在這樣的熱潮下，DarkSide真的甘心從江湖銷聲匿跡了嗎？——多數(shù)人并不相信。

根據(jù)美媒報道，安全公司EMSIsoft、FireEye和Intel471的專家一直認為停止運營只是一個“退出騙局”，是勒索軟件運營商用來隱藏蹤跡和撤退的典型行為。雖然DarkSide消失了，幕后的黑客們可能已經(jīng)換好了新的馬甲，籌備起下一步行動。

雖然區(qū)塊鏈分析公司Elliptic追蹤到了DarkSide的比特幣錢包，估算其獲得的收益，并推斷其俄羅斯流行的Hydra暗網(wǎng)市場進行的交易。但是真正去找到網(wǎng)線背后的黑手則是困難重重，大概率會不了了之。

根據(jù)推測，DarkSide所有者很可能曾是REvil的會員，軟件本身也可能是基于REvil代碼開發(fā)的。

REvil也是近兩年活躍的黑客組織，他們侵入了蘋果公司相關(guān)的網(wǎng)絡(luò)，以泄露MacBook的產(chǎn)品藍圖為威脅勒索5000萬美元。此外，REvil多次攻破與名人有關(guān)的公司系統(tǒng)，還宣稱要建立拍賣網(wǎng)站來拍賣受害者的失竊數(shù)據(jù)，連特朗普也曾是他們的敲詐對象。

2020年，REvil的發(fā)言人在和俄羅斯知名的科技博主對話中宣稱在1年內(nèi)獲得了超過1億美元的收入，他們的目標(biāo)是獲得20億美元。據(jù)悉，多數(shù)公司有能力恢復(fù)數(shù)據(jù)，但是擔(dān)心被竊取的數(shù)據(jù)會被泄露給競爭對手造成難以預(yù)估的后果，三分之一的受害公司會愿意支付贖金。此外，他們還表示自己非常講信譽，言出必行，畢竟受害公司必須確認花錢就不會有問題，否則也不會輕易掏錢。

雖然黑客們一再表明自己只是要錢的“俠盜”，但是在美國人眼中，自己不能輕易擊破的反派一定和俄羅斯脫離不了干系。

不少網(wǎng)絡(luò)安全公司堅定地認為這一系列的黑客團伙都是俄羅斯軍方網(wǎng)絡(luò)部隊的下屬分支，只不過經(jīng)歷多次轉(zhuǎn)型后拆分開獨立運營了。

隨著科洛尼爾慢慢恢復(fù)運營，此次的黑客危機暫時告一段落。

但是在居家辦公和線上辦公越發(fā)普及的當(dāng)下，聯(lián)網(wǎng)被入侵的風(fēng)險會越來越高；信息的重要性越高，黑客也越能拿捏受害公司，勒索行為或許永遠不能避免。

如何讓黑客們無處隱形會是長期的難題，查封暗網(wǎng)交易、監(jiān)管數(shù)字加密貨幣流通可能是執(zhí)法機構(gòu)可采取的最有效的追蹤犯罪痕跡的手段之一。

更多精彩內(nèi)容，關(guān)注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App