计算机和互联网早已是基础设施,但我们对它的安全性还不够上心。
作者 | 靖宇
在好莱坞的影视作品中,美国联邦调查局FBI的特工总是帅气的甩出证件,通过缜密的推理和过硬的身手,挫败犯罪分子一个又一个的阴谋。
虽说艺术源于生活,但有时候生活会和你开一个大玩笑。
就在11月12日深夜,FBI的下属网站被黑客利用,发送了大量虚假诈骗邮件。而就在不久前,美国刚刚悬赏1500万美元用于打击黑客行为。
01
FBI:对不起,我被「黑」了
美国联邦调查局(FBI)于 11 月 13 日证实,其用于与州和地方执法部门共享信息的下属网站被黑客攻击,并发出了大量有关网络犯罪调查的虚假邮件。
美国东部时间 11 月 12 日深夜,数百万封虚假邮件从 eims@ic.fbi.gov 发出,收件人包括 KrebsOnSecurity(知名安全网站)。
「嗨,我是 pompompurin,」邮件写道,「查看邮件标题,您会发现它来自 FBI。我们在调查您的资料信息时发现了可疑网络,请立即处理并采取相关行动,谢谢。」
图片来源:Spamhaus.org
后续有关调查表明,这封邮件确实出自 FBI,并且是 FBI 自己的网址。发件人的域名 eims@ic.fbi.gov 对应的是 FBI 的刑事司法信息服务部门 (CJIS)。CJIS 负责公共安全社区相关的管理运行工作,也可辅助几个用于刑事和民事案件的国家犯罪信息系统,包括执法部门、监狱、监察部门、法院以及缓刑和审前程序。
戏剧性的是,在接受 KrebsOnSecurity 采访时,Pompompurin 表示,本次黑客攻击是为了「指出」FBI 系统中的一个明显漏洞。
相比于一般的黑客攻击,Pompompurin 对于 FBI 网站所做的更像是一场恶作剧。当然,FBI 可能不觉得好笑。
Pompompurin 说:「我们可以利用这个漏洞来向公司发送看起来毫无问题的邮件,然后让他们交出机密数据。任何相关负责人都不会发现邮件有问题,因为 FBI 在他们的网站上发布了相关通知。」
Pompompurin 以 FBI 执法企业门户网站(LEEP)为切口操控其邮件系统,并将 LEEP 描述为「为执法机构、情报组织和刑事司法主体提供资源的门户网站」。
The FBI's Law Enforcement Enterprise Portal (LEEP)网站页面
「这些资源可用于帮助调查人员推动案件发展,加强各机构之间的信息共享,并可集中在一个地点内使用!」FBI 的网站介绍颇为热情,甚至直到 13 日,LEEP 门户网站还允许用户注册,相关步骤也大大方方地贴在司法部的官网上。(值得注意的是,这些说明中的「第一步」是使用 ie 浏览器访问网站,但微软出于安全考虑也不鼓励人们使用 IE 浏览器。)
但尴尬的是,据 Pompompurin 称,FBI 自己的网站在网页 HTML 代码中泄露了用于新用户注册的一次性密码,并且用一个简单的脚本就可以修改邮件内容。「不用说,这在任何网站上都很可怕。这种情况我以前见过几次,但从来没有在政府的网站上看到过,更不用说 FBI 管理的网站。」
02
「黑客帝国」
如果说本次黑客攻击带着点「trick」(恶作剧)的喜剧色彩,那么几天前的那次就不太好玩了。
当地时间 11 月 4 日,美国国务院宣布,将最高悬赏 1000 万美元(约合人民币 6400 万元),奖励给任何能够提供黑客组织「黑暗面」(DarkSide)领导者信息的线人,再额外悬赏 500 万美元(约合 3200 万元人民币),用于寻找参与「黑暗面」勒索软件攻击的犯罪个人信息。这两项悬赏金额合计约 9600 万元人民币。
「黑暗面」与美国积怨已久,曾于今年 5 月对美国最大燃油管道运营商 Colonial 发起了勒索软件攻击,Colonial 的管道系统被迫关停,导致美国大部分地区的汽油、柴油等燃料供应受到影响,美国佐治亚州、北卡罗来纳州等多地加油站出现抢购现象。影响最严重的时刻,美国一度进入了国家紧急状态,美国总统拜登严厉抨击称,攻击输油管道「是一种犯罪行为」。美国为此被勒索了价值 500 万美元的比特币(约合人民币 3220 万元),「黑暗面」收到加密货币后,便提供了解密工具帮助其恢复计算机网络。
「黑暗面」与戏弄 FBI 的 Pompompurin 不同,前者发表声明称:「我们的目标是赚钱,不是给社会制造麻烦,也不是政治行为。」据悉,「黑暗面」成立于 2020 年 8 月,通过窃取公司和机构的机密数据进行勒索,以换取赎金,「黑暗面」病毒便是该组织研发。
美国网络安全公司 Cybereason 负责人戴维(Lior Div)透露,「黑暗面」由是一群黑客老手组成,非常职业化,甚至组建了自己的新闻中心、受害者热线、邮件列表,还有类似公司准则的行为指南,试图把自己包装成值得信赖的商业合作方。
Colonial Pipeline 被黑客攻击后,美国甚至宣布进入紧急状态|图片网络
尽管「黑暗面」成立的时间不长,但今年以来,已经有超过 10 家大型机构遭到了「黑暗面」的网络攻击,已经赚取了上千万美元的利润。另外,该组织已经列出了至少 40 家受害公司的信息。
有分析人士指出,「黑暗面」使用的勒索病毒与其他勒索病毒相比并没有技术突破,该组织的强项是在攻击前对目标公司的深度调查。在发动勒索攻击之前,「黑暗面」基本上掌握了目标公司的管理层构成、决策机制、公司规模、资产大小等关键信息。
根据以往的勒索案例,「黑暗面」在索要赎金的环节非常强势,只接受比特币或者门罗币等加密货币,金额从 20 万美元到 2000 万美元不等,取决于被勒索公司的财务状况和业务规模。
如果公司没有在指定的日期前支付,赎金将翻倍。如果公司拒绝支付赎金,「黑暗面」将会把窃取的机密信息全部曝光,包括被勒索公司的名字、被攻击的时间、窃取的数据大小、窃取数据的类型等详细列表;或者直接攻击对方网络系统,迫使其业务线瘫痪。
此前,「黑暗面」曾在暗网上发布声明,称已窃取日本东芝公司法国分公司 740G 机密信息,并要求对方在规定时间内支付赎金,不然便会曝光机密信息;而科洛尼尔管道运输公司、肉类生产商 JBS 便是后者。
03
黑客出手,没有赢家
当前,全球的黑客网络攻击、勒索已经形成了一条「产业」,攻击范围非常广泛,每年大量机构遭受网络攻击,至少有 50% 的受害者最终无奈向黑客支付了赎金,勒索金额和造成的损失越来越大。
据美国国土安全部的数据显示,勒索软件攻击在 2020 年增加了 300%,受害者损失超过 3.5 亿美元。另外,美国联邦调查局局长克里斯托弗·雷表示,网络威胁几乎出现了指数级增长,正在调查大量的政府机构入侵及其他类型的网络犯罪攻击,如此大规模的网络攻击在美国前所未见,而且目前来看情况还会变得更糟。
今年 6 月,美国国内发布了一份研究报告显示,如果美国重要的公用事业或服务商遭受到重大网络攻击,潜在的损失可能等同于飓风等自然灾害所造成的损失。
调查结果估计,如果一家为数百名客户提供关键 IT 服务的提供商遭到网络攻击,被迫网络中断 3 天,可能导致近 800 亿美元的经济损失,已超过 2012 年飓风桑迪造成的 650 亿美元的损失;如果区域电力公司等关键公用事业公司遭受网络攻击,潜在的损失更大,一旦造成电力中断 5 天的网络攻击可能造成高达 1935 亿美元(约合人民币 12384 亿元)的损失,超过 2005 年卡特里娜飓风和 2018 年的加州野火。
这无疑给美国政府敲响了警钟,打击黑客网络攻击、勒索已迫在眉睫。因此,也不难理解,尽管美国追回了 Colonial 被勒索的比特币,也要斥重金悬赏「黑暗面」领导者的信息。
今年,国外咨询机构 Mordor Intelligence 发布《防务网络安全市场:发展,趋势,新冠疫情冲击和展望(2021-2026)》。该报告指出政府部门以及防务企业均对网络安全有巨大需求,全球防务网络安全市场体量巨大,2020 年价值为 162.2 亿美元,到 2026 年渴望达到 285.3 亿美元。2021-2026 年间的年均复合增长率(CAGR)约为 10.51%,前景总体乐观。
但同时网络安全发展也面临着诸多不利因素。例如受到新冠疫情影响,全球大多数国家都在削减军费开支,用于网络安全的投入因而受到影响。且当前社会普遍网络安全意识有待提高,更增加了网络安全发展的障碍,与向好的市场前景并不匹配。
根据国际电信联盟(ITU)发布的《2020 年全球网络安全指数(GCI)》报告,在 193 个国际电联成员国中,美国的网络安全水平排在首位,其次是英国、沙特阿拉伯和爱沙尼亚,这四个国家的得分都超过 99 分。
当互联网和移动互联网成为国家和人类社会运行的基础设施的时候,如何保护好这些基础设施,和建造这些基础设施一样重要。黑客一次次的「得手」,其实也是在给人们敲响警钟。