文／本刊記者 于 洋

在經(jīng)濟(jì)和政治因素的交織下，網(wǎng)絡(luò)安全防護(hù)就像一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)。

▲科洛尼爾事件給美國(guó)帶來(lái)了巨大混亂。 供圖/視覺(jué)中國(guó)

美國(guó)最大成品油管線的運(yùn)用者科洛尼爾遭勒索事件的余波仍在擴(kuò)散。7月15日，在距科洛尼爾成品油管道遭勒索的兩個(gè)多月后，美國(guó)國(guó)務(wù)院宣布公開(kāi)懸賞1000萬(wàn)美元，征集可以識(shí)別或定位惡意網(wǎng)絡(luò)行為者的信息和線索。這些線索主要是指那些在外國(guó)政府的支持下，以美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施為攻擊目標(biāo)的惡意網(wǎng)絡(luò)行為。為了配合這項(xiàng)行動(dòng)，美國(guó)稱(chēng)已建立了一個(gè)“暗網(wǎng)”舉報(bào)渠道，以保護(hù)潛在消息來(lái)源的安全。

這是美國(guó)兩個(gè)月來(lái)繼《改善國(guó)家網(wǎng)絡(luò)安全行政令》和《輸油管道網(wǎng)絡(luò)安全條例》以來(lái)，又一個(gè)針對(duì)重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要舉措。

毫無(wú)疑問(wèn)，科洛尼爾成品油管道遭網(wǎng)絡(luò)勒索暴露了美國(guó)關(guān)鍵基礎(chǔ)設(shè)施體系網(wǎng)絡(luò)安全防護(hù)的嚴(yán)重不足。成品油管道作為重要基礎(chǔ)設(shè)施遭網(wǎng)絡(luò)勒索引起的連鎖反應(yīng)讓美國(guó)“痛徹心扉”，誓要在重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面“痛改前非”。

其實(shí)，人們?cè)谙硎苤f(wàn)物聯(lián)網(wǎng)的“狂歡”背后，“危險(xiǎn)”也會(huì)悄然降臨。

美國(guó)敲響警鐘

多年來(lái)，一向樂(lè)于逼迫企業(yè)開(kāi)“后門(mén)”的美國(guó)，萬(wàn)萬(wàn)沒(méi)想到一次針對(duì)成品油管線的網(wǎng)絡(luò)勒索事件差點(diǎn)讓全國(guó)進(jìn)入緊急狀態(tài)。

5月7日，美國(guó)的老牌私人管道運(yùn)營(yíng)公司科洛尼爾管道運(yùn)輸公司突然宣布暫時(shí)“無(wú)限期”關(guān)閉全部的輸油管線。消息一出，美國(guó)乃至全球嘩然。

為什么呢？這家名為“Colonial”的管道運(yùn)輸公司運(yùn)營(yíng)著美國(guó)最大的成品油運(yùn)輸管線。該管線建成于1963年，從得克薩斯州休斯敦出發(fā)，一路北上抵達(dá)紐約港，全長(zhǎng)5500英里（約合8900公里），途經(jīng)12個(gè)州，是美國(guó)最大的成品油運(yùn)輸管道。

8900公里有多長(zhǎng)？意味著我們從河北出發(fā)，一路向南沿著沿海各省份到海南繞一圈再轉(zhuǎn)到西南的四川這么長(zhǎng)。對(duì)于一個(gè)“坐在車(chē)輪上的國(guó)家”來(lái)說(shuō)，美國(guó)突然暫停東海岸45%的燃油供應(yīng)意味著什么，結(jié)果顯而易見(jiàn)。

被切斷東海岸供油“大動(dòng)脈”后的美國(guó)加油站，可以稱(chēng)為“一片混亂”：長(zhǎng)長(zhǎng)的車(chē)隊(duì)堵在加油站的門(mén)口，恐慌性搶購(gòu)帶來(lái)的焦躁情緒，讓前來(lái)加油的人大打出手，暴力事件層出不窮……雖然4號(hào)管線已人工恢復(fù)部分，美國(guó)交通部下屬聯(lián)邦汽車(chē)運(yùn)輸安全管理局也發(fā)布區(qū)域緊急狀態(tài)聲明，臨時(shí)給予18個(gè)州汽油、柴油、航空燃料和其他成品油的臨時(shí)運(yùn)輸豁免（按照此前規(guī)定只能通過(guò)管道運(yùn)輸），以確保通過(guò)公路運(yùn)輸維持燃料供應(yīng)，但美國(guó)首都華盛頓在遭到攻擊后的第七天仍出現(xiàn)汽油短缺，使得華盛頓加油站的斷供率攀升至88%。美國(guó)汽車(chē)協(xié)會(huì)說(shuō)，全美平均汽油價(jià)格已突破3美元/加侖（1加侖約合3.8升），創(chuàng)下了2014年10月以來(lái)的新高。

而造成這一切混亂讓美國(guó)頗為“頭疼”的原因，既不是武力襲擊也不是人為破壞，而是一個(gè)被稱(chēng)為“Darkside”的“神秘”組織。這個(gè)組織僅僅使用了一串舊的VPN密碼，就對(duì)科洛尼爾管道公司的網(wǎng)絡(luò)進(jìn)行了遠(yuǎn)程“訪問(wèn)”。它“訪問(wèn)”的目的很簡(jiǎn)單，不是擾亂社會(huì)秩序，而純粹是想要“贖金”。

或許沒(méi)有前車(chē)之鑒，或許是對(duì)自己應(yīng)對(duì)網(wǎng)絡(luò)勒索能力的肯定，一開(kāi)始科洛尼爾堅(jiān)定地回應(yīng)“不會(huì)向黑客妥協(xié)”。隨著情況的危急，在管道關(guān)閉5天后，科洛尼爾不得不向黑客支付了當(dāng)時(shí)總價(jià)接近500萬(wàn)美元的比特幣。也是在這一天，科洛尼爾的管道全線恢復(fù)。這次事件也成了美國(guó)目前最嚴(yán)重的油氣管網(wǎng)勒索事件。

DISCOURSE

其實(shí)，人們?cè)谙硎苤f(wàn)物聯(lián)網(wǎng)的“狂歡”背后，“危險(xiǎn)”也會(huì)悄然來(lái)臨。

撕開(kāi)冰山一角

雖然美國(guó)后來(lái)追回相當(dāng)于230萬(wàn)美元的比特幣，但面對(duì)黑客攻擊時(shí)的“無(wú)力感”已讓科洛尼爾和美國(guó)政府深深領(lǐng)教。事實(shí)上，這并不是石油行業(yè)第一次與勒索軟件“較量”。

“所謂的勒索軟件，是通過(guò)網(wǎng)絡(luò)勒索金錢(qián)的常用方法。它是一種網(wǎng)絡(luò)攻擊行為，可以立即鎖定目標(biāo)用戶(hù)的文件、應(yīng)用程序、數(shù)據(jù)庫(kù)信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息，直到受害者支付贖金才能通過(guò)攻擊者提供的密鑰恢復(fù)訪問(wèn)?！标P(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心研究員鄒佳信說(shuō)。說(shuō)直白一點(diǎn)，有點(diǎn)像我們的手機(jī)突然間“被掛失”了，然后攻擊者打來(lái)電話(huà)索要贖金，然后才幫你解鎖。而勒索軟件攻擊的這個(gè)“手機(jī)”，則是系統(tǒng)、服務(wù)器。

安全機(jī)構(gòu)統(tǒng)計(jì)顯示，2020年初全球每39秒就會(huì)發(fā)生一起勒索攻擊。截至2021年4月，全球每11秒就會(huì)發(fā)生一起勒索軟件攻擊事件。被勒索軟件攻擊的企業(yè)和組織，在2020年至少支付了3.5億美金的贖金。

網(wǎng)絡(luò)技術(shù)在石油行業(yè)的應(yīng)用已有多年歷史，石油公司遭到網(wǎng)絡(luò)攻擊的事件在近年來(lái)屢見(jiàn)不鮮。石油行業(yè)歷史上最知名的一起“被黑事件”的受害者，就是全球最大的石油公司——沙特阿美。

2012年，一款叫作Shamoon的病毒襲擊了沙特阿美石油公司。襲擊導(dǎo)致數(shù)小時(shí)內(nèi)該公司3.5萬(wàn)臺(tái)電腦上的數(shù)據(jù)被部分或完全刪除。由于2012年的原油價(jià)格正處于100美元/桶左右的高位，所以該網(wǎng)絡(luò)攻擊事件一度引發(fā)沙特乃至全球原油市場(chǎng)的恐慌。據(jù)沙特阿美方面稱(chēng)，這次攻擊的主要目的是干擾沙特的原油生產(chǎn)。業(yè)內(nèi)分析師稱(chēng)，網(wǎng)絡(luò)攻擊是一種新型的戰(zhàn)爭(zhēng)。隨后，2017年1月，沙特一家化學(xué)公司也遭到了網(wǎng)絡(luò)攻擊。沙特發(fā)出警告，Shamoon病毒可能卷土重來(lái)。

歐洲第一大原油生產(chǎn)國(guó)挪威在2014年也遭到了網(wǎng)絡(luò)黑客的攻擊。據(jù)挪威政府部門(mén)稱(chēng)，當(dāng)時(shí)該國(guó)約有300家石油能源公司淪為黑客的攻擊目標(biāo)，有50家公司確認(rèn)遭到網(wǎng)絡(luò)攻擊。此后，能源咨詢(xún)公司DNVGL和殼牌石油、挪威石油、西門(mén)子、霍尼韋爾等知名企業(yè)曾建立過(guò)工程項(xiàng)目合約，共同應(yīng)對(duì)石油行業(yè)的網(wǎng)絡(luò)威脅。

“針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊不勝枚舉，能源行業(yè)尤其成為‘重災(zāi)區(qū)’。”盤(pán)古智庫(kù)高級(jí)研究員呂晶華說(shuō)。西門(mén)子公司的一項(xiàng)研究表明，在過(guò)去12個(gè)月的時(shí)間里，68%的美國(guó)石油和天然氣公司至少經(jīng)受過(guò)一次網(wǎng)絡(luò)攻擊。2020年以來(lái)，就有葡萄牙EDP公司、意大利EnelGroup公司、巴基斯坦K-Electric電力公司等遭受過(guò)類(lèi)似攻擊。2019年底，美國(guó)另一家天然氣管道公司的網(wǎng)絡(luò)也被植入勒索軟件。電力、醫(yī)療以及其他公共設(shè)施等，都是網(wǎng)絡(luò)攻擊的對(duì)象。

▲能源行業(yè)與黑客的較量持續(xù)激烈。 供圖/胡慶明視覺(jué)中國(guó)

在網(wǎng)絡(luò)勒索浪潮下，沒(méi)有一個(gè)幸存者。油氣管道作為能源行業(yè)的基礎(chǔ)設(shè)施，一旦遭到破壞將帶來(lái)連鎖性反應(yīng)，更容易成為勒索軟件組織的攻擊目標(biāo)。“石油管道，肯定是網(wǎng)絡(luò)攻防對(duì)抗的前沿陣地，也是對(duì)手攻擊的主要目標(biāo)?！北本┌驳劭萍加邢薰径麻L(zhǎng)周磊說(shuō)，“研究人員發(fā)現(xiàn)，能源行業(yè)是受工業(yè)控制系統(tǒng)（ICS）漏洞影響最大的行業(yè)之一。以色列工業(yè)網(wǎng)絡(luò)安全公司CLAROTY 2020年下半年（2H）披露的ICS漏洞，比2018年下半年增加了74%。針對(duì)Colonial Pipeline的勒索攻擊，只是未來(lái)網(wǎng)絡(luò)攻擊的一個(gè)試探。當(dāng)網(wǎng)絡(luò)罪犯和外國(guó)對(duì)手尋找機(jī)會(huì)獲得經(jīng)濟(jì)利益和投射權(quán)力時(shí)，國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施就很容易成為攻擊的目標(biāo)。”

困難的反勒索

在科洛尼爾管道運(yùn)輸公司遭到勒索的1個(gè)月后，美國(guó)司法部在6月7日證實(shí)，調(diào)查人員已經(jīng)成功追回科洛尼爾管道運(yùn)輸公司先前向“黑客”支付的、總價(jià)大約230萬(wàn)美元的比特幣。為應(yīng)對(duì)黑客利用勒索軟件攻擊重要實(shí)體產(chǎn)業(yè)，美國(guó)司法部成立了一個(gè)專(zhuān)門(mén)應(yīng)對(duì)勒索軟件攻擊的工作小組。按照美聯(lián)社說(shuō)法，這是工作小組首次追回贖金。但遺憾的是，雖然后來(lái)有國(guó)家出面——美國(guó)聯(lián)邦調(diào)查局的調(diào)查，從黑客如何成功入侵的深層原因來(lái)看目前仍沒(méi)有明確消息。

有相關(guān)人士分析認(rèn)為，此次勒索事件并沒(méi)有對(duì)OT運(yùn)營(yíng)系統(tǒng)進(jìn)行攻擊。由于防御力度較強(qiáng)，針對(duì)OT運(yùn)營(yíng)技術(shù)的直接攻擊非常少，黑客更有可能是通過(guò)企業(yè)管理部門(mén)訪問(wèn)了科洛尼爾的計(jì)算機(jī)系統(tǒng)即IT系統(tǒng)進(jìn)行攻擊。在對(duì)科洛尼爾的IT系統(tǒng)進(jìn)行攻擊的同時(shí)，“Darkside”順便拿走了科洛尼爾運(yùn)輸公司大量的數(shù)據(jù)。這些數(shù)據(jù)成為攻擊者勒索的“籌碼”。

同科洛尼爾一樣，很多企業(yè)通常會(huì)認(rèn)為支付贖金是取回?cái)?shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金通常會(huì)被直接用于下一代勒索軟件的開(kāi)發(fā)。所以，很多企業(yè)正在無(wú)奈地用“金錢(qián)澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進(jìn)化。

如果不交贖金呢？那么，恢復(fù)數(shù)據(jù)就需要很高的成本。安全和IT員工需要全天候進(jìn)行工作，將系統(tǒng)恢復(fù)至運(yùn)行狀態(tài)，這個(gè)過(guò)程中需要支出設(shè)備、運(yùn)營(yíng)成本等。如果數(shù)據(jù)恢復(fù)成本大于贖金成本，那么受害組織很有可能會(huì)付錢(qián)。否則，攻擊者會(huì)“撕票”，或者把數(shù)據(jù)拿到“暗網(wǎng)”上出售。然而，這里面也可能有支付完贖金被騙的情況發(fā)生。

即使無(wú)奈交了“贖金”，這些“贖金”通常很難被追回?！坝捎诤诳鸵蟮内H金通過(guò)數(shù)字加密貨幣支付，導(dǎo)致警方難以追蹤和取證?！编u佳信說(shuō)。黑客利用勒索軟件發(fā)動(dòng)攻擊如今演化為“高度分工合作的行當(dāng)”，黑客網(wǎng)絡(luò)由勒索軟件供應(yīng)商、贖金談判人員、攻擊執(zhí)行人員及話(huà)務(wù)員等組成?！斑@讓反勒索難上加難，很多遭受勒索的公司最后只能乖乖‘花錢(qián)消災(zāi)’?！编u佳信說(shuō)。

科洛尼爾公司首席執(zhí)行官約瑟夫·布朗特認(rèn)為：“追究網(wǎng)絡(luò)攻擊者的責(zé)任、擾亂讓黑客得手的‘生態(tài)系統(tǒng)’，是挫敗并防止今后發(fā)生類(lèi)似網(wǎng)絡(luò)攻擊的最佳方式?！钡聦?shí)告訴我們，挫敗黑客組織并不是一件易事。

下一個(gè)是誰(shuí)

有的黑客組織為錢(qián)，有的黑客組織實(shí)施勒索則含有政治的意味。近年來(lái)，全球市場(chǎng)對(duì)網(wǎng)絡(luò)攻擊的恐慌情緒愈加升溫。此前，股神巴菲特表達(dá)了對(duì)網(wǎng)絡(luò)攻擊的擔(dān)憂(yōu)。巴菲特認(rèn)為，網(wǎng)絡(luò)攻擊是人類(lèi)最大威脅，甚至比核戰(zhàn)爭(zhēng)還可怕。他曾在伯克希爾哈撒韋股東大會(huì)上表示：“我十分憎恨大規(guī)模殺傷武器，但我認(rèn)為發(fā)生核戰(zhàn)爭(zhēng)的可能性要低于網(wǎng)絡(luò)攻擊。雖然我對(duì)網(wǎng)絡(luò)攻擊知道的不多，但我真的認(rèn)為這是人類(lèi)目前所面臨的第一大問(wèn)題。”

這句話(huà)的含義，被2010年的“震網(wǎng)”事件充分體現(xiàn)。2006年，伊朗重啟核計(jì)劃的消息一出，震驚了美國(guó)與以色列。不愿以武力解決的美國(guó)聯(lián)合以色列，對(duì)伊朗發(fā)動(dòng)了互聯(lián)網(wǎng)史上第一對(duì)工控系統(tǒng)的襲擊——“震網(wǎng)”行動(dòng)，真正拉開(kāi)了網(wǎng)絡(luò)病毒作為“超級(jí)破壞性武器”并且改變戰(zhàn)爭(zhēng)模式的序幕。

▲網(wǎng)絡(luò)病毒對(duì)能源發(fā)展的影響舉足輕重。 供圖/視覺(jué)中國(guó)

具體來(lái)說(shuō)，作為完全由代碼組成的網(wǎng)絡(luò)武器，“震網(wǎng)”病毒以伊朗核設(shè)施使用的西門(mén)子監(jiān)控與數(shù)據(jù)采集系統(tǒng)為進(jìn)攻目標(biāo)，通過(guò)控制離心機(jī)轉(zhuǎn)軸的速度來(lái)破壞伊朗的核設(shè)施?！罢鹁W(wǎng)”病毒潛入伊朗核設(shè)施后，先記錄系統(tǒng)正常運(yùn)轉(zhuǎn)的信息，等待離心機(jī)注滿(mǎn)核材料。潛伏13天后，它一邊向控制系統(tǒng)發(fā)布此前記錄的正常運(yùn)轉(zhuǎn)的信息，一邊指揮離心機(jī)非常態(tài)運(yùn)轉(zhuǎn)，突破其最大轉(zhuǎn)速造成其物理?yè)p毀。

于是，在感染“震網(wǎng)”病毒后，伊朗上千臺(tái)離心機(jī)直接發(fā)生損毀或爆炸。這同時(shí)導(dǎo)致了放射性元素鈾的擴(kuò)散和污染，造成了嚴(yán)重的環(huán)境災(zāi)難。

根據(jù)媒體報(bào)道，“震網(wǎng)”病毒毀壞了伊朗近1/5的離心機(jī)，感染了20多萬(wàn)臺(tái)計(jì)算機(jī)，導(dǎo)致1000臺(tái)機(jī)器物理退化，并使得伊朗核計(jì)劃倒退了兩年。此外，鑒于“震網(wǎng)”病毒的擴(kuò)散程度，要清除鈾濃縮過(guò)程中涉及的所有計(jì)算機(jī)設(shè)備的病毒將非常困難。也許正是這些憂(yōu)慮，伊朗2010年11月全面暫停了納坦茲的鈾濃縮生產(chǎn)。

然而，真正令人吃驚的事情是：伊朗在開(kāi)始排查核設(shè)施之后，竟一直沒(méi)能發(fā)現(xiàn)核設(shè)施內(nèi)工業(yè)控制系統(tǒng)出現(xiàn)的問(wèn)題。直到2010年6月，國(guó)際網(wǎng)絡(luò)安全公司“賽門(mén)鐵克”發(fā)布“震網(wǎng)”病毒的報(bào)告，伊朗才知曉自己被“黑”。

賽門(mén)鐵克2010年8月指出，全球60%的受感染計(jì)算機(jī)在伊朗。俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室指出，如此復(fù)雜的攻擊只能在“國(guó)家支持下”才可進(jìn)行。這也進(jìn)一步證實(shí)了發(fā)起“震網(wǎng)”攻擊的幕后主使，即伊朗的宿敵美國(guó)。

“震網(wǎng)”病毒在癱瘓伊朗核設(shè)施時(shí)所呈現(xiàn)出的隱蔽性、復(fù)雜性與巨大的殺傷力，不僅“弄懵”了伊朗，而且震撼了世界。美國(guó)并未派遣一兵一卒進(jìn)入伊朗，以色列也不用派遣F-16來(lái)進(jìn)行高風(fēng)險(xiǎn)的跨境打擊任務(wù)。美以?xún)蓢?guó)只需要坐等伊朗核設(shè)施自行崩潰即可。

真正更為可怕之處，在于伊朗本身并未有像樣的反制能力。如果說(shuō)，伊拉克戰(zhàn)爭(zhēng)向世人展現(xiàn)了美國(guó)只用空中打擊就能滅亡一國(guó)的軍事實(shí)力，那么“震網(wǎng)”病毒所呈現(xiàn)的就是美國(guó)在互聯(lián)網(wǎng)時(shí)代強(qiáng)大的攻擊能力，以及與他國(guó)之間的能力“代差”。美國(guó)憑借著這種“代差”又一次打贏了一場(chǎng)“戰(zhàn)爭(zhēng)”，成功逼迫伊朗在談判桌前與美國(guó)對(duì)話(huà)。

而下一個(gè)又會(huì)是誰(shuí)呢？長(zhǎng)期以來(lái)，美國(guó)黑客組織持續(xù)對(duì)我國(guó)實(shí)施網(wǎng)絡(luò)攻擊。在7月初的我國(guó)外交部例行記者會(huì)上，外交部發(fā)言人汪文斌指出，通過(guò)監(jiān)測(cè)分析，目前已發(fā)現(xiàn)多個(gè)美國(guó)黑客組織以我國(guó)黨政機(jī)關(guān)、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關(guān)主機(jī)為主要目標(biāo)，實(shí)施漏洞掃描攻擊、暴力破解、DDoS攻擊等攻擊行為。

互聯(lián)網(wǎng)下，誰(shuí)都有可能是下一個(gè)被攻擊的目標(biāo)。