美国燃油运输管道公司网络攻击事件的 进一步研判及启示分析

美国时间2021年5月7日，美国最大燃油运输管道商科洛尼尔（Colonial Pipeline）公司遭受勒索软件攻击，导致5500英里输油管系统被迫停运。该输油管系统从得克萨斯州到新泽西州，每天输送250万桶燃油到东海岸和纽约，供应东海岸45％的燃料。由于网络攻击，美国东海岸燃油供应受到严重影响，美国国内汽油价格达到七年来的最高水平，引发了人们对汽油、柴油短缺的担忧，5月9日美国宣布多州进入交通运输进入为期至少1个月的应急状态，以应对事件对燃油运输产生的影响。

美国国土安全部网络安全与基础设施安全局表示，这次事件凸显了网络攻击的巨大威胁。网络安全公司Illumio的首席执行官兼联合创始人安德鲁·鲁宾（Andrew Rubin）认为：“这可能是有史以来影响最大的勒索软件攻击——一场网络祸害变成了现实世界的巨大灾难。”据专家分析，当前美国燃油库存下降，在美国经济正摆脱疫后困境之际，对石油、尤其汽油的需求正在上升，现在很多燃料滞留在德克萨斯州的炼油厂，如果问题不能尽快解决，将对美国油料供应和经济增长产生重大影响。

一、对于事件的初步研判

1.关于攻击者

据美国联邦调查局（FBI）5月10日声明称， DarkSide组织的勒索软件造成了科洛尼尔公司输油管道网络的瘫痪，但并未直接说明发动此次网络攻击者为何人。

尽管如此，美国政界、产业界将此次事件归咎于俄罗斯的声音不绝于耳。美国总统拜登则在接受记者提问时表示，“到目前为止，没有证据表明俄罗斯参与了此事，但俄罗斯对处理此事负有一定责任”。众议院军事委员会成员、亚利桑那州的民主党人加耶戈(Ruben Gallego)说：“俄罗斯政府不能庇护这些网络恐怖分子而不承担后果。”

DarkSide是一支新兴的RaaS（勒索即服务）犯罪团伙，根据360发布的《2021年1月勒索病毒流行态势分析》报告，该勒索病毒家族最早出现于2020年8月，目前被公开的有81个企业遭遇该勒索病毒家族的攻击。

2. 关于攻击动机

由于关于攻击者尚无确切定论，所以对于攻击动机和目的目前尚无统一看法。

分析者基于事件攻击效果怀疑俄罗斯在攻击事件中扮演了幕后操纵者的角色。美国陆军网络研究所的顾问布莱森·伯特(Bryson Bort)指出：“DarkSide使用的恶意代码在勒索电脑之前，会主动检查主机上是否装载了俄语包，显然这么做是有原因的”，暗指此勒索软件专门选择非俄语地区作为攻击目标，并且怀疑科洛尼尔遭攻击并非孤立事件，而是针对美国能源机构有预谋网络攻击的一部分。

但在另一方面，也不乏有人认为这一攻击事件与政治无关。5月10日，Darkside组织发表声明称，他们发动攻击的目的是“赚钱，而不是给社会制造问题”，指出说该组织“不涉及政治”，不需要与任何特定的政府挂钩。

综合目前错综复杂的各种信息，虽然不能认定这一攻击事件是国家背景黑客组织的定向攻击，但也不能排除此次事件是一起打着商业勒索软件名义的APT攻击。

3．关于攻击手法

根据有关网络安全专家分析，此次攻击是一次针对IT网络的勒索软件攻击，由于疫情期间该公司职员在家办公远程访问输油管道控制系统，可能导致远程桌面软件账户登陆信息泄漏所致。出于谨慎考虑，Colonial关闭了部分或全部工业控制系统，以防止攻击扩散到这些设备。另据美国全国广播公司消息，科洛尼尔公司不仅大量数据被加密，而且有近100GB数据在被加密前遭到窃取。

根据DarkSide团伙的历史攻击数据分析，该团伙有别于其他勒索团伙，在针对相关组织机构释放安装勒索病毒攻击前会先窃取大量的数据，其在伊朗还创建了一个分布式存储系统用于存储受害者数据。

二、此次事件带来的启示

网络安全就是国家安全

没有网络安全就没有国家安全，本次攻击事件以及今年以来发生的太阳风供应链攻击、美国佛罗里达水处理厂网络攻击事件等重大网络安全事件的反复发生，深刻诠释了网络安全对国家安全的重要性，即使是在网络安全实力最强的美国，如果网络安全出现薄弱之处，社会运转就会被打乱，国家安全就受到巨大影响。

数字时代极其脆弱，网络安全是数字化的基座

数字时代三大特征：一切皆可编程、万物均可互联、大数据驱动业务，整个世界构筑在软件之上。美国输油管线遭受攻击再次验证了软件的脆弱性不可避免，网络安全、数据安全风险遍布在数字时代的所有场景之中，包括工业生产、能源、交通、医疗、金融，以及城市和社会治理。因此，必须保证网络安全，筑牢数字化的基座。特别是在产业数字化的进程中，随着工业互联网在能源、电力、制造等基础设施行业的发展应用，大量过去部署在生产网络中的工业控制设备暴露在互联网之中，生产作业流程高度依赖数据驱动，为勒索攻击、工控攻击提供了可乘之机。

基础设施是网络攻击的重点，产业链瘫痪是网络攻击的典型效果

能源是工业的命脉，在数字时代，能源基础设施成为了重点攻击目标。本次科洛尼尔公司遭受勒索软件攻击以及前不久美国的太阳风供应链网络攻击、佛罗里达水处理厂网络攻击、某天然气运营商遭到勒索攻击等一系列基础设施网络攻击事件表明：基础设施一旦遭受网络攻击，将严重威胁生产安全和社会稳定，甚至导致整个产业链的瘫痪。类似地基础设施网络攻击事件还有：去年欧洲能源巨头Enel Group曾两次遭遇网络攻击，多达5TB数据被窃取；台湾最大两家炼油厂也遭到勒索攻击，波及整个供应链，甚至加油站的IT系统也无法使用。

专业化高级黑客组织是网络安全主要对手

多个消息来源证实，此次勒索软件攻击很可能是由俄罗斯犯罪组织DarkSide实施的。DarkSide是去年新出现的勒索软件组织，但攻击手法非常老练，已经攻击了40多个受害组织，要求赎金一般在20万-200万美元。实际上，专业化高级黑客组织早已成为网络安全主要对手，据报道，2020年全球网络犯罪黑灰产高达6000亿美元，勒索软件攻击次数增长150%以上，其中大部分攻击都是专业黑客组织完成的。

网络攻击不分平时和战时，必须要未雨绸缪

科洛尼尔公司勒索软件攻击事件凸显了美国基础设施对国家级网络罪犯对手的脆弱性，网络攻击往往是不宣而战，不分平时和战时。相对于美国军队和联邦政府的网络安全投入，美国关键基础设施由私营经济承建，网络安全投入不足、传统的安全检测难以奏效、碎片化的安全防御形同虚设，导致美国能源等关键基础设施安全能力低下，成为网络空间安全的短板。因此，即使是美国这样的网络强国，如果缺乏足够的网络安全准备和防范，也会在网络攻击面前败下阵来，网络安全必须做到未雨绸缪。

网络攻击不分军用民用，不分国家、企业、个人，每个节点都可以成为攻击跳板

网络攻击具有普适性，随着国家和军队数字化程度提高，所有军用和民用设施都逐步迁移到软件之上，软件的漏洞在所难免，导致网络攻击面显著增大；数字时代万物互联导致每一个节点都可能成为攻击跳板。与此同时，现代社会分工细致使得网络攻击的级联效果也更加明显，可谓牵一发而动全身。本次网络攻击使输油管系统被迫停运，影响了美国东海岸将近一半的燃油供应，因此，无论是军用还是民用设施，无论国家、企业还是个人，所有需要科洛尼尔公司供应燃油的用户都会要承担后果。

三、应对建议

科洛尼尔公司勒索软件攻击事件暴漏出美国数字化关键基础设施安全威胁情报的缺失和安全检测能力的不足,碎片化各自为战的网络防御已经无力应对新型网络攻击，单个企业力量无力对抗专业化高级黑客组织，必须要依靠国家赋能、通过协同联防才能建立起新的整体防护体系。此次事件发生后，美国总统拜登表示将通过采取公私合作计划，整合政府和企业资源，提升电力、天然气管道、供水等关键能源基础设施的保护。

据报道，攻击者仅在实施攻击的前一天（即5月6日）进入科洛尼尔公司输油管线控制网络，可见在此之前攻击者早已完成了侦察踩点工作，对目标网络环境了如指掌。试想，如果科洛尼尔公司的安全系统采集了攻击者早期侦察时的检测数据，或者共享了俄罗斯犯罪组织DarkSide之前惯用的行为特征情报，是完全有可能防范网络攻击的。

我国十四五规划已经将产业数字化转型作为发展数字经济的重要抓手，把智慧能源作为十大典型数字化应用场景之一，科洛尼尔公司勒索软件攻击事件对我加强数字化发展安全有着较强的启示意义，我们应该充分发挥举国优势，以整体思维应对新型高级网络攻击威胁，才能降低安全风险。那么为了做到这一点，就必须广泛采集网络安全数据，利用大数据技术进行统一分析，构建基于安全大脑的国家级/区域级/行业级网络安全基础设施，重点建设威胁情报中心、地图测绘中心、漏洞管理中心等，支持网络威胁情报查询和共享，从而实现网络安全情报的互联互通和全行业、跨区域的整体联防，抵御各类高级别网络攻击。