在好萊塢的影視作品中,美國聯邦調查局FBI的特工總是帥氣的甩出證件,通過縝密的推理和過硬的身手,挫敗犯罪分子一個又一個的陰謀。雖說藝術源於生活,但有時候生活會和你開一個大玩笑。就在11月12日深夜,FBI的下屬網站被黑客利用,發送了大量虛假詐騙郵件。而就在不久前,美國剛剛懸賞1500萬美元用於打擊黑客行為。
01
FBI:對不起,我被“黑”了
美國聯邦調查局(FBI)於 11 月 13 日證實,其用於與州和地方執法部門共享信息的下屬網站被黑客攻擊,併發出了大量有關網絡犯罪調查的虛假郵件。
美國東部時間 11 月 12 日深夜,數百萬封虛假郵件從 [email protected] 發出,收件人包括 KrebsOnSecurity(知名安全網站)。
“嗨,我是 pompompurin,”郵件寫道,“查看郵件標題,您會發現它來自 FBI。我們在調查您的資料信息時發現了可疑網絡,請立即處理並採取相關行動,謝謝。”
圖片來源:Spamhaus.org
後續有關調查表明,這封郵件確實出自 FBI,並且是 FBI 自己的網址。發件人的域名 [email protected] 對應的是 FBI 的刑事司法信息服務部門 (CJIS)。CJIS 負責公共安全社區相關的管理運行工作,也可輔助幾個用於刑事和民事案件的國家犯罪信息系統,包括執法部門、監獄、監察部門、法院以及緩刑和審前程序。
戲劇性的是,在接受 KrebsOnSecurity 採訪時,Pompompurin 表示,本次黑客攻擊是為了“指出”FBI 系統中的一個明顯漏洞。
相比於一般的黑客攻擊,Pompompurin 對於 FBI 網站所做的更像是一場惡作劇。當然,FBI 可能不覺得好笑。
Pompompurin 說:“我們可以利用這個漏洞來向公司發送看起來毫無問題的郵件,然後讓他們交出機密數據。任何相關負責人都不會發現郵件有問題,因為 FBI 在他們的網站上發布了相關通知。”
Pompompurin 以 FBI 執法企業門戶網站(LEEP)為切口操控其郵件系統,並將 LEEP 描述為“為執法機構、情報組織和刑事司法主體提供資源的門戶網站”。
The FBI’s Law Enforcement Enterprise Portal (LEEP)網站頁面
“這些資源可用於幫助調查人員推動案件發展,加強各機構之間的信息共享,並可集中在一個地點內使用!”FBI 的網站介紹頗為熱情,甚至直到 13 日,LEEP 門戶網站還允許用戶註冊,相關步驟也大大方方地貼在司法部的官網上。(值得注意的是,這些說明中的“第一步”是使用 ie 瀏覽器訪問網站,但微軟出於安全考慮也不鼓勵人們使用 IE 瀏覽器。)
但尷尬的是,據 Pompompurin 稱,FBI 自己的網站在網頁 HTML 代碼中泄露了用於新用戶註冊的一次性密碼,並且用一個簡單的腳本就可以修改郵件內容。“不用說,這在任何網站上都很可怕。這種情況我以前見過幾次,但從來沒有在政府的網站上看到過,更不用說 FBI 管理的網站。”
02
“黑客帝國”
如果說本次黑客攻擊帶着點“trick”(惡作劇)的喜劇色彩,那麼幾天前的那次就不太好玩了。
當地時間 11 月 4 日,美國國務院宣布,將最高懸賞 1000 萬美元(約合人民幣 6400 萬元),獎勵給任何能夠提供黑客組織“黑暗面”(DarkSide)領導者信息的線人,再額外懸賞 500 萬美元(約合 3200 萬元人民幣),用於尋找參與“黑暗面”勒索軟件攻擊的犯罪個人信息。這兩項懸賞金額合計約 9600 萬元人民幣。
“黑暗面”與美國積怨已久,曾於今年 5 月對美國最大燃油管道運營商 Colonial 發起了勒索軟件攻擊,Colonial 的管道系統被迫關停,導致美國大部分地區的汽油、柴油等燃料供應受到影響,美國佐治亞州、北卡羅來納州等多地加油站出現搶購現象。影響最嚴重的時刻,美國一度進入了國家緊急狀態,美國總統拜登嚴厲抨擊稱,攻擊輸油管道“是一種犯罪行為”。美國為此被勒索了價值 500 萬美元的比特幣(約合人民幣 3220 萬元),“黑暗面”收到加密貨幣后,便提供了解密工具幫助其恢復計算機網絡。
“黑暗面”與戲弄 FBI 的 Pompompurin 不同,前者發表聲明稱:“我們的目標是賺錢,不是給社會製造麻煩,也不是政治行為。”據悉,“黑暗面”成立於 2020 年 8 月,通過竊取公司和機構的機密數據進行勒索,以換取贖金,“黑暗面”病毒便是該組織研發。
美國網絡安全公司 Cybereason 負責人戴維(Lior Div)透露,“黑暗面”由是一群黑客老手組成,非常職業化,甚至組建了自己的新聞中心、受害者熱線、郵件列表,還有類似公司準則的行為指南,試圖把自己包裝成值得信賴的商業合作方。
Colonial Pipeline 被黑客攻擊后,美國甚至宣布進入緊急狀態
儘管“黑暗面”成立的時間不長,但今年以來,已經有超過 10 家大型機構遭到了“黑暗面”的網絡攻擊,已經賺取了上千萬美元的利潤。另外,該組織已經列出了至少 40 家受害公司的信息。
有分析人士指出,“黑暗面”使用的勒索病毒與其他勒索病毒相比並沒有技術突破,該組織的強項是在攻擊前對目標公司的深度調查。在發動勒索攻擊之前,“黑暗面”基本上掌握了目標公司的管理層構成、決策機制、公司規模、資產大小等關鍵信息。
根據以往的勒索案例,“黑暗面”在索要贖金的環節非常強勢,只接受比特幣或者門羅幣等加密貨幣,金額從 20 萬美元到 2000 萬美元不等,取決於被勒索公司的財務狀況和業務規模。
如果公司沒有在指定的日期前支付,贖金將翻倍。如果公司拒絕支付贖金,“黑暗面”將會把竊取的機密信息全部曝光,包括被勒索公司的名字、被攻擊的時間、竊取的數據大小、竊取數據的類型等詳細列表;或者直接攻擊對方網絡系統,迫使其業務線癱瘓。
此前,“黑暗面”曾在暗網上發布聲明,稱已竊取日本東芝公司法國分公司 740G 機密信息,並要求對方在規定時間內支付贖金,不然便會曝光機密信息;而科洛尼爾管道運輸公司、肉類生產商 JBS 便是後者。
03
黑客出手,沒有贏家
當前,全球的黑客網絡攻擊、勒索已經形成了一條“產業”,攻擊範圍非常廣泛,每年大量機構遭受網絡攻擊,至少有 50% 的受害者最終無奈向黑客支付了贖金,勒索金額和造成的損失越來越大。
據美國國土安全部的數據顯示,勒索軟件攻擊在 2020 年增加了 300%,受害者損失超過 3.5 億美元。另外,美國聯邦調查局局長克里斯托弗·雷表示,網絡威脅幾乎出現了指數級增長,正在調查大量的政府機構入侵及其他類型的網絡犯罪攻擊,如此大規模的網絡攻擊在美國前所未見,而且目前來看情況還會變得更糟。
今年 6 月,美國國內發布了一份研究報告顯示,如果美國重要的公用事業或服務商遭受到重大網絡攻擊,潛在的損失可能等同於颶風等自然災害所造成的損失。
調查結果估計,如果一家為數百名客戶提供關鍵 IT 服務的提供商遭到網絡攻擊,被迫網絡中斷 3 天,可能導致近 800 億美元的經濟損失,已超過 2012 年颶風桑迪造成的 650 億美元的損失;如果區域電力公司等關鍵公用事業公司遭受網絡攻擊,潛在的損失更大,一旦造成電力中斷 5 天的網絡攻擊可能造成高達 1935 億美元(約合人民幣 12384 億元)的損失,超過 2005 年卡特里娜颶風和 2018 年的加州野火。
這無疑給美國政府敲響了警鐘,打擊黑客網絡攻擊、勒索已迫在眉睫。因此,也不難理解,儘管美國追回了 Colonial 被勒索的比特幣,也要斥重金懸賞“黑暗面”領導者的信息。
今年,國外諮詢機構 Mordor Intelligence 發布《防務網絡安全市場:發展,趨勢,新冠疫情衝擊和展望(2021-2026)》。該報告指出政府部門以及防務企業均對網絡安全有巨大需求,全球防務網絡安全市場體量巨大,2020 年價值為 162.2 億美元,到 2026 年渴望達到 285.3 億美元。2021-2026 年間的年均複合增長率(CAGR)約為 10.51%,前景總體樂觀。
但同時網絡安全發展也面臨著諸多不利因素。例如受到新冠疫情影響,全球大多數國家都在削減軍費開支,用於網絡安全的投入因而受到影響。且當前社會普遍網絡安全意識有待提高,更增加了網絡安全發展的障礙,與向好的市場前景並不匹配。
根據國際電信聯盟(ITU)發布的《2020 年全球網絡安全指數(GCI)》報告,在 193 個國際電聯成員國中,美國的網絡安全水平排在首位,其次是英國、沙特阿拉伯和愛沙尼亞,這四個國家的得分都超過 99 分。
當互聯網和移動互聯網成為國家和人類社會運行的基礎設施的時候,如何保護好這些基礎設施,和建造這些基礎設施一樣重要。黑客一次次的“得手”,其實也是在給人們敲響警鐘。