美国进入区域紧急状态！我们扒了扒幕后黑手| 风向

文 / 邱素莹、俞文婷

核心提要：

1.5月7日，美国最大的成品油管道运营商Colonial Pipeline声称受到网络安全攻击并被勒索。作为响应，Colonial Pipeline暂时停止了所有管道的运行，关闭了整个管道系统。

2.美国此举并非部分媒体所说的“国家紧急状态”，而是美国交通部下属的联邦汽车运输安全管理局发布了的“区域紧急状态声明”。

3.The Colonial Pipeline每天通过5500英里（8850公里）的管道将墨西哥湾沿岸的炼油厂连接到美国东部和南部，输送250万桶汽油和其他燃料，占东海岸柴油、汽油和喷气燃料供应量的45％。

4.此次Colonial Pipeline沦陷则表明，勒索软件已经对关键国家工业基础设施，而不仅仅是企业构成了严重危害。网络安全行业正面临着全新的挑战——一个价值数千万英镑的潜在IT生态系统的出现。

5.疫情爆发以后，大约53%的远程工作者使用个人电脑办公，这些电脑往往缺乏雇主提供的防火墙、杀毒软件等保护措施，从而为黑客入侵提供了更多机会。

今天微博热搜上一条#美国宣布进入国家紧急状态#的新闻引发热议，有网友表示疑惑“难道美国药丸？”这到底是怎么一回事呢？凤凰网《风向》栏目为您解答。

Colonial Pipeline被“黑”事件始末

5 月7日，美国最大的成品油管道运营商Colonial Pipeline声称受到网络安全攻击并被勒索。 作为响应，Colonial Pipeline暂时停止了所有管道的运行，关闭了整个管道系统。 其后该公司聘用了一家领先的第三方网络安全公司对该事件的性质和范围进行了调查，同时联系了执法部门和其他联邦机构。

白宫发言人表示，美国总统拜登于5月8日早上听取了关于此事的简报。白宫周日与遭遇勒索软件网络攻击的美国最大燃油管道运营商Colonial Pipeline紧密合作，以帮助其恢复运营。5月9日，美国宣布将临时给予17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免，以便使有关燃料可以通过公路运输。

紧急状态声明中包括的受影响的州和管辖区是：阿拉巴马州、阿肯色州、哥伦比亚特区、特拉华州、佛罗里达州、乔治亚州、肯塔基州、路易斯安那州、马里兰州、密西西比州、新泽西州、纽约州、北卡罗来纳州、宾夕法尼亚州、南卡罗来纳州、田纳西州、德克萨斯州和弗吉尼亚州。

值得注意的是，美国此举并非部分媒体宣传的“国家紧急状态”，而是美国交通部下属的联邦汽车运输安全管理局发布了的“区域紧急状态声明（Regional Emergency Declaration）”

Colonial Pipeline运营团队称正在制定系统重启计划。目前管道主线（1、2、3和4号线）保持离线状态，但终端和交付点之间的一些较小的横向支线仍在开放使用，并在逐步恢复向其他分支机构的服务。

Digital Shadows认为，The Colonial Pipeline被黑客攻击是受到了新冠疫情的助推，因为疫情影响工程师在家中远程访问管道控制系统而被黑客趁虚而入。

Digital Shadows的联合创始人兼首席创新官James Chappell认为DarkSide购买了诸如TeamViewer和Microsoft Remote Desktop之类的远程桌面软件有关的帐户登录详细信息。他说，任何人都有可能在诸如Shodan之类的搜索引擎上查找连接到互联网的计算机的登录门户，然后黑客仅尝试使用用户名和密码，直到成功进入管道控制系统。

The Colonial Pipeline每天通过5500英里（8850公里）的管道将墨西哥湾沿岸的炼油厂连接到美国东部和南部，输送250万桶汽油和其他燃料，占东海岸柴油、汽油和喷气燃料供应量的45％。它还服务于该国一些最大的机场，包括亚特兰大的哈茨菲尔德·杰克逊机场，这是全球客流量最高的机场。

受此次事件影响，美国汽油期货周日涨逾3%至每加仑2.217美元，为2018年5月以来最高。

美国商务部长雷蒙多(Gina Raimondo)表示，恢复管道运营是拜登政府的重中之重，华盛顿在帮助Colonial尽快重启其从德克萨斯州到新泽西州的超过5,500英里(8,850公里)的管道网络，来避免更严重的燃油供应中断。

独立石油市场分析师高拉夫·夏尔马（Gaurav Sharma）告诉英国广播公司，现在有很多燃料滞留在得克萨斯州的炼油厂。

夏尔马说：“除非他们在星期二之前解决问题，否则他们将陷入大麻烦。” “首先受到影响的地区将是亚特兰大和田纳西州，然后多米诺骨牌效应上升到纽约。”他说，在美国库存下降之际，石油期货交易员现在正在“争先恐后地”满足需求，并且随着美国疫情减缓消费者重返道路，美国经济也在试图走出疫情影响下的困境，石油尤其是对汽车燃料的需求正在上升。夏尔马警告说，运输部发布的临时豁免令石油产品可以用油轮运到纽约，但这远远不足以与管道的容量相匹配。

该事件是有史以来最具破坏性的数字勒索行动之一，已经引起人们对美国能源基础设施在应对黑客攻击的脆弱性的关注。生产线长时间关闭将导致汽油价格在夏季驾驶高峰期之前飙升，这可能进一步对美国消费者和经济造成打击。

DarkSide：数字时代的“罗宾汉”？

据路透社报道，尽管美国政府的调查仍处在初期阶段，但一位前美国官员和三位行业消息人士表示，怀疑幕后黑手为一家名为DarkSide的专业网络犯罪团伙。

网络安全专家里奥尔·迪夫（Lior Div）表示，Darkside“非常新，但组织性非常强”，很可能是由经验丰富的黑客组成。该组织于去年8月出现后，旋即掀起了一股数字犯罪浪潮。他们对多家大型企业进行勒索软件攻击，勒索软件入侵并挟持这些公司的信息技术系统，等到这些公司支付赎金后才放手离开。

此次Colonial Pipeline沦陷则表明，勒索软件已经对关键国家工业基础设施，而不仅仅是企业构成了严重危害。网络安全行业正面临着全新的挑战——一个价值数千万英镑的潜在IT生态系统的出现。

那么DarkSide具体是怎么操作的？除了电脑屏幕上的通知，被勒索者还会被告知其计算机和服务器都已被加密。

DarkSide会把其窃取的机密数据存放在被称为“个人泄露页面（personal leak page）”的网页上，然后向被勒索的公司或组织发送该网页的网址。如果被勒索者按时交付赎金，DarkSide会向受害者提供获取加密数据的“钥匙”。而如果未在截止日期前付钱，这些数据将会被自动公布，并永远从受害者的网络中消失。

总部设在伦敦的网络安全公司Digital Shadows表示，DarkSide已经形成公司化运作：该团伙不仅开发了用于加密和窃取数据的软件，还建有负责接收软件工具包、勒索软件模板邮件和网络攻击培训的分支机构。“分公司”的黑客则从网络攻击获得的赎金中抽取一定比例上交DarkSide。

DarkSide还与“访问中间人（access broker）”合作。访问中间人收集了大量用户的账户和相关信息，但他们不会侵入这些账户，也不会向用户或服务运营商提出警告，而是将这些信息出售给出价最高的网络犯罪团伙，而像DarkSide这样的黑客组织能利用这些信息实施更大规模的犯罪，从而渔利更多。由此，一条网络犯罪的产业链就形成了。

DarkSide从不吝于宣传和吹捧自己。 该团伙专门在暗网（dark web）上详细地介绍自己的工作，罗列黑过的所有公司，声称已从网络攻击中获利数百万美元。DarkSidede还设有公关项目，邀请记者查看其泄露的数据。

DarkSide的来历尚不明确。路透社、BBC、CNN、NBC等多家媒体质疑与独联体国家尤其俄罗斯的联系，因为DarkSide似乎有意避开攻击这些国家的目标。

有意思的是，DarkSide似乎在树立“罗宾汉”的形象，不仅声明不会攻击医疗、教育或政府机构，还把从企业 攫取的部分利益捐赠给慈善机构。

去年10月，DarkSide向两家慈善组织，“儿童国际（Children International）”和“水项目（The Water Project）”分别捐赠了0.88比特币，相当于10,000美元，并在暗网上张贴了他们用比特币捐款给两家慈善组织的税务收据。但“儿童国际”表示，他们不要来源是非法所得的捐款。DarkSide这样做是为了减轻良心上的谴责吗？或许他们希望成为劫富济贫的罗宾汉，而不是毫无良心的网络敲诈犯罪者？原因尚不得而知。

疫情导致网络攻击案件飙升

有关调查显示，疫情爆发以后，大约53%的远程工作者使用个人电脑办公，这些电脑往往缺乏雇主提供的防火墙、杀毒软件等保护措施，从而为黑客入侵提供了更多机会。随着网络犯罪分子加大了对包含操作控制系统软件的公司的攻击，能源企业遭受的网络攻击由2019年的第九位上升到2020年的第三位。

5月5日，国土安全部部长亚历杭德罗·马约尔卡斯（Alejandro Mayorkas）称勒索软件是对国家安全的威胁。他表示，2020年，勒索软件的比率增加了300%。

如何应对网络安全威胁？4月底，一个名为勒索软件特别工作组（Ransomware Task Force）的组织发布了一份报告，为打击勒索软件出谋划策，这些建议包括成立由白宫领导的跨部门特别工作组，以及加强对加密货币市场的监管（黑客利用加密货币市场接收赎金）。

国土安全局下设的网络安全与基础设施安全局（CISA）建议，所有公司都应实施预防措施来降低勒索软件感染的风险，例如定期更新软件和修补安全漏洞。作为补充措施，CISA会为联邦和地方政府以及运营关键基础设施的公司免费提供扫描安全漏洞的服务。

1.https://www.wsj.com/articles/u-s-pipeline-shutdown-exposes-cyber-threat-to-energy-sector-11620574464?mod=hp_lead_pos4

2.https://www.wsj.com/articles/how-can-companies-cope-with-ransomware-11620570907?mod=article_relatedinline

3.https://www.dw.com/en/cyberattack-on-us-pipeline-carried-out-by-robin-hood-criminal-gang-reports/a-57479525

4.https://www.reuters.com/business/energy/ransom-group-linked-colonial-pipeline-hack-is-new-experienced-2021-05-09/

5.https://www.bbc.com/zhongwen/simp/science-54619104

6.https://www.bbc.com/news/business-57050690