[文/观察者网吕东编辑/周]美国东海岸输油“动脉”的——号运营商刚刚支付赎金,恢复运营。该国东南部的油荒并未得到缓解,黑客组织“黑暗面”()盯上了日企。
时间,当地时间5月14日,据NHK报道,被FBI认定与网络攻击有关的黑客组织“黑暗面”(Dark Side)声称入侵了东芝的法国子公司,窃取了机密信息。公司正在调查此事。
网络安全专业人士宋国龙分析了观察者网“黑暗面”两次行动的特点,并表示,按照常规APT攻击的思路,在成功攻击法国东芝分公司后,黑客已经建立了基本据点,然后黑客在保证隐蔽性的前提下,突破外网后再实施内网攻击。
NHK报道截图
日本信息安全公司三井物产;株式会社()表示,日本时间,时间周五凌晨1点刚过,俄国的“黑暗面”()在黑暗网络()上建立了一个网站,并在上面发表声明,称该组织入侵了东芝法国一处设施的系统,窃取了超过740G的数据,包括东芝管理层和新业务的信息以及个人信息。
上周五,过去几年深陷一系列丑闻的东芝表示,正在成立一个战略审查委员会,考虑如何提高公司价值,并已任命瑞银(UBS)为其财务顾问。财报显示,在截至2021年3月的财年中,东芝实现营业利润1044亿日元(约合人民币61.4亿元),较上年减少20%,主要原因是新冠肺炎疫情损害了其盈利能力。该公司预计,截至2022年3月的财年营收为3.25万亿日元,营业利润为1700亿日元(约合人民币100亿元),较2020财年增长62.8%。
路透社报道称,尽管东芝表示只有少量工作数据丢失,但勒索软件攻击盖过了该公司公布的战略评估和乐观的利润预测()。报道称,面向公众的“黑暗面”网站已经无法访问,安全研究人员表示,该组织的许多网站已经停止访问。
路透社报道截图
一周前(当地时间5月7日,时间,美国最大输油管道的运营商遭到黑客勒索软件攻击,被迫全面暂停运营。该管道向东海岸供应了45%的汽油、柴油和航空燃料,同时也向军方供油。
5月10日,攻击者“黑暗面”(Dark Side)在其“黑暗网络”(Dark Network)主页上发表声明,间接回应导致ColonialPipeline公司暂停运营三天的网络攻击,强调“只想要钱”,“不想给社会带来麻烦”,还撇清关系,声称“没有任何政治目的”。
同一天,美国联邦调查局(FBI)也向媒体公布了此次攻击的调查结论,指责“黑暗面”组织对ColonialPipeline发动了勒索病毒攻击。联邦调查局表示,正在与企业和其他政府部门合作,继续调查。
经过一周的努力,当地时间5月13日下午5点左右,时间, colonial pipeline公司宣布恢复运营。至于为什么可以恢复运行,彭博5月13日报道援引知情人士的话称,事实上,Colonial在勒索攻击发生的几个小时内就已经向黑客支付了500万美元的赎金来恢复系统。
同一天,美国总统拜登在白宫罗斯福厅发表演讲。他指出,对美国石油管道运营商发动网络攻击的黑客来自俄罗斯,但他同时强调,他不认为普京和他领导的俄罗斯政府是这起事件的幕后黑手,但俄罗斯政府有责任阻止在其境内发生的此类网络攻击。
专业人士:黑客可能已经在东芝建立了基本基地。
从事网络安全多年的EKEdu(上海祥聚群粉信息技术有限公司)创始人宋国龙从专业角度分析了两种攻击的异同。
根据宋国龙的分析,美国输油管道和法国东芝分公司这两起网络攻击事件,从攻击手段上来说属于高级可持续攻击,业内通常简称APT攻击,在国内是AdvancedPersistentThreat的专业术语。与常规APT攻击悄悄窃取信息不同,这两种攻击都是勒索。即DarkSide利用APT攻击将勒索软件植入被攻击方的系统对数据进行加密,并勒索解密数据的费用。
输油管道主要针对操作系统级攻击,导致物联网系统基本运行环境被破坏。东芝公司遭受的攻击可以归为旁路攻击,即攻击者很难突破东芝总部的网络防御,进而转向防御薄弱的分公司。从后分析来看,东芝总部和法国东芝分公司是有管理关系的独立机构;所以可以确认东芝法国分公司的数据被盗,但不能确定黑客窃取了东芝企业的核心机密。
虽然有媒体称黑客窃取了东芝的核心数据,但实际上,在黑数据交易的网站上并没有捕捉到任何证据明显的数据样本,东芝也没有承认或认可数据泄露事件。
之前国内某银行机构也发生过类似的疑似数据泄露事件。经调查并公告,明确表示未被攻击,泄露数据与真实客户数据不符。
受影响输油管道示意图
所谓的“勒索软件”通常基于0day和nday进行攻击和传播。厂商提供补丁之前的漏洞叫0day,之后叫nday。因为企业需要一个特定的时间窗口,并花费时间安装补丁,黑客只是利用了这一时间差异。勒索病毒集成在攻击代码中,软件、操作系统、物联网系统等。没有打补丁和修复的,都是在网上收集的。常规勒索软件的攻击方式是一种广泛而大规模的攻击形式。
从政治角度来看,美国输油管道攻击针对的是国家基础设施,如果进一步细分,将针对民用级别的工业基础设施,从而间接精细地影响国家安全和运行稳定。
微的影响,其影响主要在于民生问题。从企业角度角度看,法国东芝属于总部的分支机构,按照常规跨国企业的数据安全管理模型,核心数据的存储通常集中于总部,且法国东芝分公司的业务并不是以研发类为主,因此可以推测核心研发类机密数据受到影响的概率不大,但销售类数据可能会受到波及。如果黑客以法国东芝分公司为攻击点,存在攻击东芝总部的可能,但目前无法证实。
按照常规APT攻击的思路,黑客在成功攻击法国东芝分公司之后,已建立基础据点,接下来黑客会在保障隐蔽的前提下实施突破外网后的内网攻击,通过横向和纵向攻击手段,进一步实施信息收集,必要时通过社工攻击,攻击东芝总部;其主要目的是窃取黑客希望获得的核心数据,例如:核心研发数据。
外媒报道截图
据外媒报道梳理,“黑暗面”成立于2020年,被路透社等形容为“年轻且专业”,还有美媒声称该组织与俄罗斯政府有联系,但没有提供证据。
总部设在纽约、实验室设在以色列的网络安全公司Varonis透露,从去年8月份开始,“黑暗面”因发动一系列具有“高度针对性”的网络勒索攻击而引发关注。Varonis公司认为,鉴于该组织“十分熟悉”勒索对象的网络基础设施、安保技术与弱点,可以推测其成员中或有前互联网安保领域的专业人士。
“黑暗面”组织惯用“胡萝卜加大棒”的手法,通过挟持一部分被害者的文件资料(如人事、财务与个人信息等),以威胁曝光来阻止对方重启系统。有网络安全公司的专家认为,以“黑暗面”为代表的一批黑客组织正朝“无情的高效率”方向发展,向受害者传递“我们是专业人士,抗衡是没有用的,付钱吧”的潜台词。
去年8月,美国《连线》杂志曾以“勒索成为生意,且越发残酷”为题,报道“黑暗面”等黑客组织如何像企业一样行事,包括为勒索对象提供资金周转期限、实时聊天支持,甚至承担“企业责任”:该组织当时承诺攻击对象仅限“付得起赎金”的目标。
本文系观察者网独家稿件,未经授权,不得转载。
本文链接:http://www.slxf119.com/16430.html 转载需授权!
网友评论