运输官员表示,这是近年来对北美最大的运输网络的第三次、也是最严重的一次网络攻击,被认为是与外国政府有关的黑客所为。 KARSTEN MORAN FOR THE NEW YORK TIMES
根据大都会运输署(Metropolitan Transportation Authority)一份概述黑客入侵事件的文件,一个据信与中国政府有联系的黑客组织于4月侵入了该署的计算机系统,暴露了这个每天运送数百万人的庞大交通网络的漏洞。
运输署官员说,黑客没有进入控制火车车厢的系统,乘客的安全也没有受到威胁,并说这次入侵似乎没有造成什么损失。
但文件还显示,该署得知此次攻击一周后,官员们担心黑客可能已经进入了这些操作系统,或者可能继续通过后门侵入该署的电脑系统。
运输署官员说,对这次攻击的法证分析没有发现任何证据,黑客并没有损害客户的个人信息。该机构向执法部门和其他的州机构报告了这次攻击,但没有公开披露。
运输署官员表示,这是近年来对北美最大的运输网络的第三次网络攻击,也是最严重的一次,被认为是与外国政府有关的黑客所为。
美国有越来越多的运输机构受到外国黑客的攻击,大都会运输署也是其中之一,目前美国从燃料管道到供水系统等关键基础设施受到的网络攻击出现激增。
据与联邦政府合作并协助识别了此次入侵的私营网络安全公司火眼(FireEye)称,对大都会运输署的攻击并未涉及财务要求, 似乎是最近一系列据信得到中国政府支持的复杂黑客大范围入侵的一部分。
这场大范围的黑客行动在4月底被发现,危害了数十家联邦机构、国防承包商和金融机构等部门。中国政府一贯否认进行过黑客行动。
目前还不清楚大都会运输署为什么会成为这次行动的目标,但调查人员有几种推测。其中一种说法是,这是中国为主导价值数十亿美元的轨道交通市场所做的努力——如果对一个能给出利润丰厚合同的交通系统的内部运作有更多了解,可能会对这一努力有所帮助。
司法部表示,近年来,中国利用网络攻击作为推动经济发展、成为全球首要超级大国的一种方式。
另一种更为温和的观点是,黑客误闯了大都会运输署的系统,发现它没有什么意义。网络安全专家说,这种情况并不罕见。
运输署官员引用该机构委托IBM和领先的网络安全公司Mandiant对这次攻击进行的法证审计称,不管是哪种情况,黑客没有对该机构的运作进行任何改变,没有收集任何员工或客户信息——如信用卡号码——也没有泄露任何大都会运输署的账户。
“大都会运输署现有的多层安全系统按照设计发挥了作用,防止了攻击的扩散,”该署首席技术官拉斐尔·波特诺伊(Rafael Portnoy)说。“我们继续加强这些综合系统,并保持警惕,因为网络攻击是一个日益增长的全球威胁。”
美国国土安全部(Department of Homeland Security)的发言人拒绝置评,该部正在调查这起入侵事件。
针对美国交通运输机构的网络攻击不断升级,此次入侵是最新事件。这些机构大都财政拮据,通常只能提供基本的网络安全保护。
研究机构米内塔运输研究所(Mineta Transportation Institute)去年的一项研究发现,尽管超过80%的受访运输机构认为自己已经做好了应对网络安全威胁的准备,但只有60%的机构制定了网络安全计划。
“很多运输机构都没有首席安全官,更不用说网络安全官了,”这项研究的负责人、运输技术顾问斯科特·贝尔彻(Scott Belcher)说。
2016年,旧金山交通局(San Francisco Municipal Transportation Agency)遭遇勒索软件攻击,导致售票系统瘫痪,迫使该机构提供三天免费服务。2019年,得克萨斯州沃斯堡的地区交通运输机构被一个威胁暴露公共数据的勒索软件集团入侵后,失去了对其IT系统、数据和客户支持的访问权限。
去年10月,费城交通局被迫停止员工登录他们的电子邮件,并停止向乘客提供实时旅行信息后,一次勒索软件攻击中断了该交通局的运营长达数月。近年来,萨克拉门托的交通局和科罗拉多州的交通部门也受到过网络攻击。
以上袭击均没有对乘客造成人身威胁,也没有严重干扰地铁服务。但它们阻碍了运营,威胁要求数百万美元的勒索金,并在漏洞被发现后需要投入数十万美元用于法证分析。
“一开始你可能认为最大的风险是你在电影中看到的东西,有人远程操控公共汽车或远程操控火车,将乘客置于危险之中,”贝尔彻说。但他说,从攻击中恢复的代价是昂贵的,“这本身就使它们处于不能运营的危险之中。”
对MTA的攻击发生之时,正值全球最大的交通车辆生产商、中国国企中车股份有限公司(China Railway Rolling Stock Corporation)积极争取为主要城市建造轨道车辆的合同之际。
该公司在波士顿、芝加哥、洛杉矶和费城等城市赢得了合同——许多竞争对手认为,它在通过使用国家资助承担成本,从而以低于竞争对手的价格投标。
运输官员说,这家中国公司从未为纽约的运输机构生产轨道车辆,但它是MTA在2018年征集升级城市老化铁路网络的概念挑战的赢家。该公司曾提议投资5000万美元为该机构开发一种新的地铁车厢。
随着网络攻击威胁的增加和中美贸易紧张局势加剧,这家国有企业的主导地位引起了立法者、国防官员和行业专家的担忧,即这些设备使美国关键的交通基础设施容易受到网络攻击。
2019年,国会禁止公共交通机构使用联邦资金向中国企业购买轨道车辆或巴士,并同意惩罚任何使用自有资金购买的机构。
据一位了解该网络攻击以及MTA为解决问题所采取的步骤的政府官员称,对MTA的最新入侵——加上近期交通机构网络遭受的攻击有所增加——引发了人们对交通机构网络防御能力的质疑。
为了进入MTA和其他系统,黑客利用了一种名为Pulse Connect Secure的软件中的漏洞,这是一种广泛使用的连接工具,让员工可以远程访问其雇主网络。据火眼称,网络间谍活动涉及两组与中国有关联的黑客,其中一组可能代表中国政府开展活动。
MTA文件显示,MTA的系统似乎在4月第二周的两天内遭到入侵,并且访问一直持续到至少在4月20日发现入侵之前。黑客利用了所谓的“零日攻击”(zero day),即软件中仍然不为人知的代码缺陷,因而不存在补丁。
拥有Pulse Connect Secure的软件公司Ivanti立即采取措施减损,并发布了安全更新以修复漏洞。纽约交通官员表示,他们在发布后24小时内实施了修复。
MTA交通官员说,在收到安全官员的警告后,MTA迅速进行了详细的取证,在当局的Pulse Connect Secure应用程序中发现了恶意软件。据MTA的文件显示,该恶意软件包括被称为“网络壳层”(web shell)的恶意软件,通常为黑客提供一个后门,可以在很长一段时间内对某些服务器进行远程访问,甚至在某些情况下远程控制。
尽管黑客没有提出任何勒索金要求,但专家表示,他们可能通过其他方式从这次攻击中获得了经济利益。
“除了勒索软件攻击之外,还有很多途径将这种对环境的侵入变现,”网络安全公司eSentire威胁响应部门高级主管罗伯·麦克劳德(Rob McLeod)说。“对许多组织、甚至政府来说,有持续的访问权限可能很有意义。也许,对运输机构的运营模式进行了解可以带来战略优势。”