概要

• 美国首次因网络攻击宣布多州进入紧急状态。
• 俄罗斯黑客被怀疑为背后元凶，事件或促使对俄制裁加码。
• 燃油管道长时间停运将对处在疫情复苏期的美国经济造成打击。
• 攻击事件再次凸显关键基础设施的脆弱性。

美国多州因网络攻击进入紧急状态

5月9日，美国政府宣布，因美国最大燃油运输管道商科洛尼尔(Colonial Pipeline)公司遭网络攻击而暂停输送业务，美国18个州进入紧急状态。

这是美国首次因网络攻击而宣布多州进入国家紧急状态。美国国家紧急状态是赋予美国政府一项权力，这项权力可令美国政府实施通常情况下不允许发生的行为。

在上周六(5月8日)发布的一份声明中，科洛尼尔(Colonial Pipeline)公司表示，5月7日发现遭受网络攻击，后续调查确定为勒索软件攻击。为了预防事态进一步扩大，该公司主动将关键系统脱机，以避免勒索软件的感染范围持续蔓延，并聘请了第三方安全公司进行调查。FBI、能源部、网络安全与基础设施安全局等多个联邦机构一起参与了事件调查。

白宫发言人称，联邦政府正在积极评估影响，避免供应中断，帮助科洛尼尔公司恢复运营。美国网络安全与基础设施安全局表示，这次事件凸显了勒索软件对组织的威胁。

作为美国东海岸最重要的燃油运输管道商，科洛尼尔负责美国东海岸地区约45%的液体燃料管道运输供应服务，每天向客户提供超过1亿加仑的燃油。分析认为，管道停运短期不会对油价造成影响，但如果超过3天，将引发油价上涨，将对正在疫情复苏阶段的美国经济造成打击。

科洛尼尔的燃油运输管道

科洛尼尔公司称，“我们正迅速行动以调查并解决这一重大问题。目前，我们的核心任务是安全、高效地恢复服务，尽一切可能让设施再次运转起来。”

俄黑客组织疑为背后元凶

多个消息来源证实，此次勒索软件攻击是由一个名为DarkSide的网络犯罪组织实施的。该组织被指在5月6日侵入了科洛尼尔的网络。

BBC报道称，名为DarkSide的俄罗斯犯罪组织可能是此次攻击的发动者。DarkSide是去年新出现的勒索软件组织，但攻击手法非常老练，已经攻击了40多个受害组织，要求赎金一般在20万-200万美元。

彭博社则报道，在加密电脑、勒索赎金之前， DarkSide组织已窃取了近100GB的数据。这一体现攻击组织特征的行为被称为双重勒索。攻击组织宣称，如果不能收到赎金，将会把数据在互联网进行公布。

网络安全专家认为，科洛尼尔的燃料运输管道遭网络攻击，主要原因是新冠疫情背景下远程办公的兴起——工程师在家中远程访问管道控制系统。

DarkSide的暗网网站公布了其攻击成绩与行为准则

安全公司Digital Shadows的联合创始人兼首席创新官James Chappell认为，DarkSide可能购买了TeamViewer和Microsoft Remote Desktop等远程桌面软件帐户的登录信息。

据Digital Shadows公司的追踪，DarkSide的运作就像一家企业。该组织开发用于加密和窃取数据的软件，然后对“会员”进行训练。后者会接收包括加密软件、勒索电子邮件模版以及攻击培训的工具包，并把成功勒索的收入，按比例支付给DarkSide。据路透社一位顶级网络安全记者称，DarkSide甚至在暗网拥有网站，并透露已从网络勒索攻击中获利数百万美元。

Red Balloon Security公司CEO Ang Cui曾在美国国土安全部及国防部拥有丰富的嵌入式设备及工业控制系统(ICS)高级威胁研究经验，在他看来，此次攻击很可能属于网络犯罪，而非民族国家行为。

但网络公司CrowdStrike的联合创始人Dmitri Alperovitch认为：“鉴于俄罗斯明显的窝藏和容忍网络犯罪政策，这些犯罪组织是否为国家工作已经无关紧要。”

鉴于美俄之间的网络空间冲突日益严重，不排除此次攻击事件促使美国继续加码对俄罗斯相关机构的制裁。今年4月15日，美国政府以俄罗斯进行网络袭击、干预美国选举等恶意活动为由，对俄30多个机构和实体实施大规模制裁。

巨大灾难暴露出关键基础设施的脆弱性

网络安全公司Illumio的首席执行官兼联合创始人安德鲁·鲁宾(Andrew Rubin)表示：“这可能是有史以来影响最大的勒索软件攻击——一场网络祸害变成了现实世界的巨大灾难。”

Colonial Pipeline的管道每天从墨西哥湾沿岸炼油厂向亚特兰大等市场每天运输250万桶燃料。该公司在周日宣称，四条主管道依然处于关闭状态。

专家说，事件可能导致燃料价格上涨2～3%;如果持续更长的时间，其影响将更加严重。截至周日，燃油运输管道已停运三天。美国燃油库存下降，在其经济正摆脱困境之际，对石油，尤其汽车燃料的需求正在上升。

独立石油市场分析师高拉夫·夏尔马(Gaurav Sharma)认为，现在很多燃料滞留在德克萨斯州的炼油厂。除非在星期二之前解决问题，否则将陷入大麻烦——首先受到影响的地区将是亚特兰大和田纳西州，然后多米诺骨牌效应会波及到纽约。

自1960年代以来，科洛尼尔(Colonial Pipeline)公司的管道一直为美国东海岸提供燃油运输服务，这一重要管道被关闭，凸显了直接或间接联网的老化基础设施的脆弱性。

早在2020年2月，美国网络安全与基础设施安全局就发布警报，强调关键基础设施目标(包括输送管线)已经成为黑客团伙的主要攻击目标。当时美国某天然气压缩设施(并未透露具体身份)遭遇勒索软件攻击，导致其业务被迫关停两天。

根据Group-IB研究人员的报告，仅在过去一年，全球勒索软件攻击次数就增长150%以上，能源行业也遭受了较大打击。比如美国某天然气运营商遭到勒索攻击，被迫关闭2天，并被国土安全部通报;欧洲能源巨头Enel Group年内两次遭遇不同勒索软件攻击，多达5TB数据被窃取，被威胁索要1400万美元赎金;台湾最大两家炼油厂遭到勒索攻击，波及整个供应链，甚至加油站的IT系统也无法使用。

美国网络安全与基础设施安全局表示，攻击者的横向移动能力显然源自基础设施内IT与OT之间缺少良好的网络隔离。Cui认为在这类关键基础设施攻击活动中，问题的关键在于运营企业一方往往没能事先隔离或保护这些系统：“供应商在设计之初就没有考虑到如何保证ICS设备安全，这就给后续补救造成了巨大的障碍。”

Dave White表示，“美国经济高度依赖于能源管道基础设施。这种至关重要的能源输送资产会影响到每一位民众的正常生活;联邦政府必须开展风险分析与经济量化研究，在了解此类攻击事件的影响规模的同时调拨专项资金为这类设施提供必要保护。”

科洛尼尔攻击事件表明，网络攻击造成的基础设施中断和破坏是真实存在的，主管机构和行业从业者必须积极应对此类网络威胁，以有力保护国民经济的关键基础设施。