美国东海岸输油“大动脉”——运营商Colonial Pipeline刚交完赎金恢复运营,该国东南部油品短缺情况尚未缓解,肇事黑客组织“黑暗面”(DarkSide)又盯上了日本企业。

当地时间5月14日,据日本放送协会(NHK)报道,被美国联邦调查局认定与Colonial Pipeline网络攻击事件有关的黑客组织“黑暗面”宣称入侵东芝法国子公司,并窃取了机密信息,该公司正对此事进行调查。

网络安全专业人士宋国龙对观察者网分析了“黑暗面”两次行动的特点,并表示,按照常规APT攻击的思路,黑客在成功攻击法国东芝分公司之后,已建立基础据点,接下来黑客会在保障隐蔽的前提下实施突破外网后的内网攻击。



NHK报道截图

日本信息安全公司“三井物产安全方向”(Mitsui Bussan Secure Directions)称,日本时间周五凌晨1点刚过,位于俄罗斯(Russia-based)的“黑暗面”在暗网(dark web)上建立了一个网站,并在上面发布声明称,该组织入侵了东芝法国公司一处设施的系统,窃取了超过740G的数据,其中包括有关东芝管理层和新业务的资料以及个人信息。

周五,过去几年一直深陷一系列丑闻的东芝表示,正在成立一个战略审查委员会,以考虑如何提高公司价值,并已任命瑞银(UBS)为其财务顾问。财报显示,在截至2021年3月的财年中,东芝实现营业利润1044亿日元(约合人民币61.4亿元),较上年下降20%,主要因为新冠疫情大流行损害了其盈利能力。该公司预计,在截至2022年3月的财年收入为3.25万亿日元,营业利润为1700亿日元(约合人民币100亿元),较2020财年增长62.8%。

路透社报道称,虽然东芝方面表示只有少量工作数据丢失,但遭遇勒索软件攻击令该公司公布的战略评估和乐观的利润预测黯然失色(overshadowing)。该报道称,“黑暗面”面向公众的网站已经无法访问,安全研究人员表示,该组织的多个网站已经停止访问。



路透社报道截图


一周前(当地时间5月7日),美国最大成品油输送管道的运营商Colonial Pipeline遭黑客勒索软件攻击,被迫全面暂停运营,该管道为东海岸供应了45%的汽油、柴油、航空燃料,还为军方供油。

5月10日,袭击者“黑暗面”在其“暗网”的主页发布声明,间接回应造成Colonial Pipeline公司暂停运营三天的网络袭击,强调“只想要钱”,“不想给社会找麻烦”,还撇清关系,自称“没有政治目的”。

同日,美国联邦调查局(FBI)也向媒体公布了袭击事件的调查结论,指控“黑暗面”组织对ColonialPipeline发动了勒索软件攻击。FBI表示,正与企业及其他政府部门合作,继续开展调查。

经历一周的艰难“周旋”,终于在当地时间5月13日下午5点左右,Colonial Pipeline公司宣布恢复运营。至于为何能恢复运营,彭博社5月13日报道援引知情人士的话称,其实Colonial公司早在勒索攻击发生的数小时内,就已向黑客支付了500万美元赎金以恢复系统。

同一天,美国总统拜登在白宫罗斯福厅发表讲话,他直指此次对美国输油管道运营商发起网络攻击的黑客来自俄罗斯境内,但他也强调,不认为普京和其所领导的俄罗斯政府是此次事件的幕后黑手,但俄政府有责任阻止发生在其境内的这类网攻行动。

专业人士:黑客可能已在东芝建立基础据点


从事网络安全工作多年的EKEdu创始人(上海享聚群分信息技术有限公司)宋国龙从专业角度向观察者网分析了两次攻击的异同点。

宋国龙分析,美国的输油管道和法国东芝分公司遭受网络攻击这两件事情,从攻击方式上来讲,都属于高级可持续性攻击,业内通常简称为APT攻击,是Advanced Persistent Threat在国内的专业术语。跟常规APT攻击以悄无声息的方式窃取信息所不同的是:两次攻击均带有勒索性质。即:DarkSide采用APT攻击方式将勒索病毒植入被攻击方的系统将数据加密,并以此勒索解密数据的费用。

输油管道主要针对操作系统层面的攻击,导致物联网系统的基础运行时环境被破坏。而东芝公司的遭受的攻击可以归属为旁路攻击,即:攻击者难以突破东芝总部的网络防御,进而转向防守较为薄弱的分公司。从事后分析的角度看,东芝总部跟法国东芝分公司是存在管理关系的独立组织;因此可以确认法国东芝分公司的数据被窃取,但不能确定黑客窃取了东芝企业的核心机密。

虽有媒体称黑客窃取东芝公司的核心数据,但是实际上,并没有在黑产数据交易类的WebSite上捕捉到带有明显证据的数据样本,东芝也并未承认或认可此次数据泄露事件。

之前国内某家银行机构,发生过类似的疑似数据泄露事件,经过调研并发布的公告里已明确说明未受到攻击,且泄漏数据与真实客户数据不符。



受影响的输油管道示意图


所谓“勒索病毒”,其攻击和传播方式通常基于0day和nday,厂商提供修复补丁之前的漏洞被称为0day,之后的称之为nday,因为企业安装补丁需要特定的时间窗口、需要花费时间,所以黑客就是利用这个时间差,将勒索病毒集成到攻击代码中,在互联网上搜集未完成补丁修复的软件、操作系统、物联网系统等,常规勒索病毒的攻击方式是广泛的、大面积投放的一种攻击形式。

从政治角度看,美国输油管路攻击事件,受攻击对象为国家基础设施,再继续往下细分的话,攻击目标是民用级别的工业基础设施,对国家安全和运行的稳定性会带来间接的、细微的影响,其影响主要在于民生问题。

从企业角度角度看,法国东芝属于总部的分支机构,按照常规跨国企业的数据安全管理模型,核心数据的存储通常集中于总部,且法国东芝分公司的业务并不是以研发类为主,因此可以推测核心研发类机密数据受到影响的概率不大,但销售类数据可能会受到波及。如果黑客以法国东芝分公司为攻击点,存在攻击东芝总部的可能,但目前无法证实。

按照常规APT攻击的思路,黑客在成功攻击法国东芝分公司之后,已建立基础据点,接下来黑客会在保障隐蔽的前提下实施突破外网后的内网攻击,通过横向和纵向攻击手段,进一步实施信息收集,必要时通过社工攻击,攻击东芝总部;其主要目的是窃取黑客希望获得的核心数据,例如:核心研发数据。



外媒报道截图

据外媒报道梳理,“黑暗面”成立于2020年,被路透社等形容为“年轻且专业”,还有美媒声称该组织与俄罗斯政府有联系,但没有提供证据。

总部设在纽约、实验室设在以色列的网络安全公司Varonis透露,从去年8月份开始,“黑暗面”因发动一系列具有“高度针对性”的网络勒索攻击而引发关注。Varonis公司认为,鉴于该组织“十分熟悉”勒索对象的网络基础设施、安保技术与弱点,可以推测其成员中或有前互联网安保领域的专业人士。

“黑暗面”组织惯用“胡萝卜加大棒”的手法,通过挟持一部分被害者的文件资料(如人事、财务与个人信息等),以威胁曝光来阻止对方重启系统。有网络安全公司的专家认为,以“黑暗面”为代表的一批黑客组织正朝“无情的高效率”方向发展,向受害者传递“我们是专业人士,抗衡是没有用的,付钱吧”的潜台词。

去年8月,美国《连线》杂志曾以“勒索成为生意,且越发残酷”为题,报道“黑暗面”等黑客组织如何像企业一样行事,包括为勒索对象提供资金周转期限、实时聊天支持,甚至承担“企业责任”:该组织当时承诺攻击对象仅限“付得起赎金”的目标。