計算機和網際網路早已是基礎設施,但我們對它的安全性還不夠上心。
作者 | 靖宇
在好萊塢的影視作品中,美國聯邦調查局 FBI 的特工總是帥氣的甩出證件,通過缜密的推理和過硬的身手,挫敗犯罪分子一個又一個的陰謀。
雖說藝術源于生活,但有時候生活會和你開一個大玩笑。
就在 11 月 12 日深夜,FBI 的下屬網站被黑客利用,發送了大量虛假詐騙郵件。而就在不久前,美國剛剛懸賞 1500 萬美元用于打擊黑客行為。
01
FBI:對不起,我被「黑」了
美國聯邦調查局(FBI)于 11 月 13 日證明,其用于與州和地方執法部門共享資訊的下屬網站被黑客攻擊,并發出了大量有關網絡犯罪調查的虛假郵件。
美國東部時間 11 月 12 日深夜,數百萬封虛假郵件從 [email protected] 發出,收件人包括 KrebsOnSecurity(知名安全網站)。
「嗨,我是 pompompurin,」郵件寫道,「檢視郵件标題,您會發現它來自 FBI。我們在調查您的資料資訊時發現了可疑網絡,請立即處理并采取相關行動,謝謝。」
圖檔來源:Spamhaus.org
後續有關調查表明,這封郵件确實出自 FBI,并且是 FBI 自己的網址。發件人的域名 [email protected] 對應的是 FBI 的刑事司法資訊服務部門 (CJIS)。CJIS 負責公共安全社群相關的管理運作工作,也可輔助幾個用于刑事和民事案件的國家犯罪資訊系統,包括執法部門、監獄、監察部門、法院以及緩刑和審前程式。
戲劇性的是,在接受 KrebsOnSecurity 采訪時,Pompompurin 表示,本次黑客攻擊是為了「指出」FBI 系統中的一個明顯漏洞。
相比于一般的黑客攻擊,Pompompurin 對于 FBI 網站所做的更像是一場惡作劇。當然,FBI 可能不覺得好笑。
Pompompurin 說:「我們可以利用這個漏洞來向公司發送看起來毫無問題的郵件,然後讓他們交出機密資料。任何相關負責人都不會發現郵件有問題,因為 FBI 在他們的網站上釋出了相關通知。」
Pompompurin 以 FBI 執法企業門戶網站(LEEP)為切口操控其郵件系統,并将 LEEP 描述為「為執法機構、情報組織和刑事司法主體提供資源的門戶網站」。
The FBI's Law Enforcement Enterprise Portal (LEEP)網站頁面
「這些資源可用于幫助調查人員推動案件發展,加強各機構之間的資訊共享,并可集中在一個地點内使用!」FBI 的網站介紹頗為熱情,甚至直到 13 日,LEEP 門戶網站還允許使用者注冊,相關步驟也大大方方地貼在司法部的官網上。(值得注意的是,這些說明中的「第一步」是使用 ie 浏覽器通路網站,但微軟出于安全考慮也不鼓勵人們使用 IE 浏覽器。)
但尴尬的是,據 Pompompurin 稱,FBI 自己的網站在網頁 HTML 代碼中洩露了用于新使用者注冊的一次性密碼,并且用一個簡單的腳本就可以修改郵件内容。「不用說,這在任何網站上都很可怕。這種情況我以前見過幾次,但從來沒有在政府的網站上看到過,更不用說 FBI 管理的網站。」
02
「黑客帝國」
如果說本次黑客攻擊帶着點「trick」(惡作劇)的喜劇色彩,那麼幾天前的那次就不太好玩了。
當地時間 11 月 4 日,美國國務院宣布,将最高懸賞 1000 萬美元(約合人民币 6400 萬元),獎勵給任何能夠提供黑客組織「黑暗面」(DarkSide)上司者資訊的線人,再額外懸賞 500 萬美元(約合 3200 萬元人民币),用于尋找參與「黑暗面」勒索軟體攻擊的犯罪個人資訊。這兩項懸賞金額合計約 9600 萬元人民币。
「黑暗面」與美國積怨已久,曾于今年 5 月對美國最大燃油管道營運商 Colonial 發起了勒索軟體攻擊,Colonial 的管道系統被迫關停,導緻美國大部分地區的汽油、柴油等燃料供應受到影響,美國佐治亞州、北卡羅來納州等多地加油站出現搶購現象。影響最嚴重的時刻,美國一度進入了國家緊急狀态,美國總統拜登嚴厲抨擊稱,攻擊輸油管道「是一種犯罪行為」。美國為此被勒索了價值 500 萬美元的比特币(約合人民币 3220 萬元),「黑暗面」收到加密貨币後,便提供了解密工具幫助其恢複計算機網絡。
「黑暗面」與戲弄 FBI 的 Pompompurin 不同,前者發表聲明稱:「我們的目标是賺錢,不是給社會制造麻煩,也不是政治行為。」據悉,「黑暗面」成立于 2020 年 8 月,通過竊取公司和機構的機密資料進行勒索,以換取贖金,「黑暗面」病毒便是該組織研發。
美國網絡安全公司 Cybereason 負責人戴維(Lior Div)透露,「黑暗面」由是一群黑客老手組成,非常職業化,甚至組建了自己的新聞中心、受害者熱線、郵件清單,還有類似公司準則的行為指南,試圖把自己包裝成值得信賴的商業合作方。
Colonial Pipeline 被黑客攻擊後,美國甚至宣布進入緊急狀态|圖檔網絡
盡管「黑暗面」成立的時間不長,但今年以來,已經有超過 10 家大型機構遭到了「黑暗面」的網絡攻擊,已經賺取了上千萬美元的利潤。另外,該組織已經列出了至少 40 家受害公司的資訊。
有分析人士指出,「黑暗面」使用的勒索病毒與其他勒索病毒相比并沒有技術突破,該組織的強項是在攻擊前對目标公司的深度調查。在發動勒索攻擊之前,「黑暗面」基本上掌握了目标公司的管理層構成、決策機制、公司規模、資産大小等關鍵資訊。
根據以往的勒索案例,「黑暗面」在索要贖金的環節非常強勢,隻接受比特币或者門羅币等加密貨币,金額從 20 萬美元到 2000 萬美元不等,取決于被勒索公司的财務狀況和業務規模。
如果公司沒有在指定的日期前支付,贖金将翻倍。如果公司拒絕支付贖金,「黑暗面」将會把竊取的機密資訊全部曝光,包括被勒索公司的名字、被攻擊的時間、竊取的資料大小、竊取資料的類型等詳細清單;或者直接攻擊對方網絡系統,迫使其業務線癱瘓。
此前,「黑暗面」曾在暗網上釋出聲明,稱已竊取日本東芝公司法國分公司 740G 機密資訊,并要求對方在規定時間内支付贖金,不然便會曝光機密資訊;而科洛尼爾管道運輸公司、肉類生産商 JBS 便是後者。
03
黑客出手,沒有赢家
目前,全球的黑客網絡攻擊、勒索已經形成了一條「産業」,攻擊範圍非常廣泛,每年大量機構遭受網絡攻擊,至少有 50% 的受害者最終無奈向黑客支付了贖金,勒索金額和造成的損失越來越大。
據美國國土安全部的資料顯示,勒索軟體攻擊在 2020 年增加了 300%,受害者損失超過 3.5 億美元。另外,美國聯邦調查局局長克裡斯托弗·雷表示,網絡威脅幾乎出現了指數級增長,正在調查大量的政府機構入侵及其他類型的網絡犯罪攻擊,如此大規模的網絡攻擊在美國前所未見,而且目前來看情況還會變得更糟。
今年 6 月,美國國内釋出了一份研究報告顯示,如果美國重要的公用事業或服務商遭受到重大網絡攻擊,潛在的損失可能等同于飓風等自然災害所造成的損失。
調查結果估計,如果一家為數百名客戶提供關鍵 IT 服務的提供商遭到網絡攻擊,被迫網絡中斷 3 天,可能導緻近 800 億美元的經濟損失,已超過 2012 年飓風桑迪造成的 650 億美元的損失;如果區域電力公司等關鍵公用事業公司遭受網絡攻擊,潛在的損失更大,一旦造成電力中斷 5 天的網絡攻擊可能造成高達 1935 億美元(約合人民币 12384 億元)的損失,超過 2005 年卡特裡娜飓風和 2018 年的加州野火。
這無疑給美國政府敲響了警鐘,打擊黑客網絡攻擊、勒索已迫在眉睫。是以,也不難了解,盡管美國追回了 Colonial 被勒索的比特币,也要斥重金懸賞「黑暗面」上司者的資訊。
今年,國外咨詢機構 Mordor Intelligence 釋出《防務網絡安全市場:發展,趨勢,新冠疫情沖擊和展望(2021-2026)》。該報告指出政府部門以及防務企業均對網絡安全有巨大需求,全球防務網絡安全市場體量巨大,2020 年價值為 162.2 億美元,到 2026 年渴望達到 285.3 億美元。2021-2026 年間的年均複合增長率(CAGR)約為 10.51%,前景總體樂觀。
但同時網絡安全發展也面臨着諸多不利因素。例如受到新冠疫情影響,全球大多數國家都在削減軍費開支,用于網絡安全的投入因而受到影響。且目前社會普遍網絡安全意識有待提高,更增加了網絡安全發展的障礙,與向好的市場前景并不比對。
根據國際電信聯盟(ITU)釋出的《2020 年全球網絡安全指數(GCI)》報告,在 193 個國際電聯成員國中,美國的網絡安全水準排在首位,其次是英國、沙特阿拉伯和愛沙尼亞,這四個國家的得分都超過 99 分。
當網際網路和移動網際網路成為國家和人類社會運作的基礎設施的時候,如何保護好這些基礎設施,和建造這些基礎設施一樣重要。黑客一次次的「得手」,其實也是在給人們敲響警鐘。
本文為極客公園原創文章,轉載請聯系極客君微信 geekparker