5月9日,美国政府宣布,因美国最大燃油运输管道商科洛尼尔(Colonial Pipeline)公司遭网络攻击而暂停输送业务,美国政府宣布进入紧急状态。
报道中称该公司每天运送250万桶石油,占美国东海岸各种油类供应量的45%。专家说,由于停运,燃料价格周一可能上涨2-3%,但如果持续更长的时间,其影响将更加严重。
这是美国首次因网络攻击而宣布进入国家紧急状态,此前公布的紧急状态大多是美国政府实施国家制裁或军队及公共卫生相关。美国国家紧急状态是赋予美国政府一项权力,这项权力可实施通常情况下不允许发生的行为。拜登任期以来,已经宣布三次紧急状态,上一次是2021年4月15日,拜登政府宣布针对俄罗斯联邦政府的特定危害国家安全的活动(包括对美国大选造成严重影响的行为)实施制裁。在上周六(5月8日)发布的一份声明中,该公司表示,5月7日发现遭受网络攻击,后续调查确定为勒索软件攻击。为了预防事态进一步扩大,该公司主动将关键系统脱机,以避免勒索软件的感染范围持续蔓延,并聘请了第三方安全公司进行调查。FBI、能源部、网络安全与基础设施安全局等多个联邦机构一起参与了事件调查。白宫发言人称,拜登总统在上周六早上被通报此事,联邦政府正在积极评估影响,避免供应中断,帮助科洛尼尔公司恢复运营。
OT系统是否中招仍未知
关于此次攻击,仍有许多未解的谜团。例如,科洛尼尔公司关闭全部管线究竟是为了预防感染蔓延、还是设施已然整体沦陷?攻击的幕后黑手究竟是谁?攻击者在入侵及感染科洛尼尔公司的系统时,到底采取了哪些攻击手段和路径?
Axio公司总裁Dave White在接受邮件采访时表示,“目前还不清楚科洛尼尔关闭管线是出于阻止勒索软件持续传播的谨慎考量,还是运营技术(OT)系统或相关IT系统已经遭受到严重影响。
”Red Balloon Security公司CEO Ang Cui曾在美国国土安全部及国防部拥有丰富的嵌入式设备及工业控制系统(ICS)高级威胁研究经验,在他看来,此次攻击很可能属于网络犯罪,而非民族国家行为。
Cui称,“虽然科洛尼尔公司关闭了运营系统,但并不一定代表其ICS已经受到影响或损害。这也许是因为该公司的IT与OT系统之间缺少充分的隔离机制,因此抢在攻击者进一步访问敏感系统之间就断开了连接。毕竟一旦攻击者再深入一些,赎金要求很可能大大增加、公司夺回控制权的难度也会显著提高。”
勒索软件:一个老大难问题
据路透社引用一名美国前官员和两位行业消息人士称,DarkSide组织是科洛尼尔公司被攻击的嫌疑人之一。DarkSide是去年新出现的勒索软件组织,攻击手法非常老练,已经攻击了40多个受害组织,要求赎金一般在20万-200万美元。NBC新闻称是俄罗斯黑客组织进行的网络攻击,并且在加密前,已有近100GB数据被窃取
时至今日,大家对于勒索软件攻击早已不感到陌生。根据Group-IB研究人员的报告,仅在过去一年,全球勒索软件攻击次数就增长150%以上,能源行业因此也遭受了较大打击。比如美国某天然气运营商遭到勒索攻击,被迫关闭2天,并被国土安全部通报;欧洲能源巨头Enel Group年内两次遭遇不同勒索软件攻击,多达5TB数据被窃取,被威胁索要1400万美元赎金;台湾最大两家炼油厂遭到勒索攻击,波及整个供应链,甚至加油站的IT系统也无法使用。
面对这波新的攻势,全球各方也开始在抗击与应对方面开展协同努力。上个月,美国司法部等全球60家实体共同组成联盟,提出全面打击计划,要求通过追究财务运作线索以追捕并瓦解勒索软件团伙。
矛头直指关键基础设施
2020年2月,美国网络安全与基础设施安全局(CISA)发布警报,强调关键基础设施目标(包括输送管线)已经成为黑客团伙的主要攻击目标。而发布此项警报的契机,正是美国某天然气压缩设施(并未透露具体身份)遭遇的勒索软件攻击,并导致其业务被迫关停两天。
在成功入侵IT网络之后,攻击者往往会部署“商业勒索软件”以加密IT与OT网络上的数据。CISA当时表示,攻击者的这种横向移动能力显然源自基础设施内IT与OT之间缺少良好的网络隔离。
White在周六的声明中写道,“美国经济高度依赖于能源管道基础设施。这种至关重要的能源输送资产会影响到每一位民众的正常生活;因此联邦政府必须开展风险分析与经济量化研究,在了解此类攻击事件的影响规模的同时调拨专项资金为这类设施提供必要保护。
”Cui认为在这类关键基础设施攻击活动中,问题的关键在于运营企业一方往往没能事先隔离或保护这些系统。他总结道,“供应商在设计之初就没有考虑到如何保证ICS设备安全,这就给后续补救造成了巨大的障碍。”
目前全球工业安全形势日益严峻,国家关键信息基础设施被攻击事件时有发生,工厂内外部安全威胁相互交织,国家安全和利益面临更深层次挑战。面对此现状,亟需建设国家关键信息基础设施的安全监测与防护。
齐安科技就是一家针对于此的高新技术企业,专注于工业互联网安全监测与检测,提供工控系统信息安全的态势感知服务,可以帮助服务对象及时把握工控系统和工业互联网的安全动态,更好地提升主管部门对工业互联网的全方位信息安全管控能力、信息安全应急调度和指挥的支撑能力,并为重点工业企业提供安全监测分析和防护等服务。
一直以来,齐安科技致力于积极协助客户构筑全面覆盖、深度结合的工业互联网安全监测与防御体系,应对此类网络威胁,坚守初心,以保护国民经济的关键基础设施为己任,为提高国家网络安全的防护能力贡献力量!
