程序人生 - 刚出道的黑客搞瘫美国输油管道

最近，美国最大燃油管道运营商遭遇勒索软件攻击，导致输油管线运输大范围中断，引发国际社会广泛关注。

当地时间 5 月 7 日，美国大型成品油管道系统运营商科洛尼尔管道运输公司（Colonial Pipeline）因遭黑客非法控制电脑系统、数据，不得不临时关闭设备。

当地时间 5 月 9 日，美国最大燃油输送管线被迫关停，已导致美国东海岸 45% 的汽油、柴油等燃料供应受影响。基于此，美国政府宣布 17 个州和华盛顿特区进入紧急状态。

公开资料显示，这条管道全长 8851 公里，连接着墨西哥湾沿岸地区与美国东部和南部，其重要性正如美国气候政策实验室研究教授兼总经理 Amy Myers Jaffe 所言：

它不仅是一条输油管道，可以说是美国基础设施的大动脉。

截至发稿，美国方面尚未有管道全面恢复的消息。

据福布斯网站最新消息，Colonial Pipeline 仅设法重新启动了一小部分管道作为权宜之计，并且预计周末前仍无法全面恢复服务。同时这一现状引发了民众恐慌性购买，加之季节性需求高峰临近，油价飙升。例如在佐治亚州北部，加油站已不再支持使用任何种类的信用卡支付，只能是现金预付。

在这一节点上，我们有必要深入了解一下此次网络攻击的幕后黑手——俄罗斯黑客团伙 DarkSide。

DarkSide 发声：只想赚钱，不搞政治

DarkSide 于 2020 年 8 月首次在俄语黑客论坛上露面，网络安全公司 Kaspersky 将其定义为一家“公司”，因为其网站看上去颇为专业，还曾尝试与记者、解密公司进行合作。

DarkSide 勒索软件的广告

DarkSide 通常攻击非俄语国家，其主要攻击手段是向目标系统植入恶意软件，从而索要赎金。这种恶意软件也被称为“勒索病毒”，一旦进入本地就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。病毒利用各种加密算法对文件进行加密，必须拿到解密的私钥才有可能破解。因此基本的逻辑是等 Colonial Pipeline 支付赎金，DarkSide 才会解锁。

知情人士称，此次 DarkSide 索要的赎金或高达数百万美元虚拟币。

实际上在 4 月下旬，拜登政府出台了一项提振能源供应体系网络安全的“百日计划”，因此部分外媒认为黑客是在挑衅白宫。

不过，根据 DarkSide 网站题为《关于最新消息》的声明，此次的网络攻击只是为了钱。

DarkSide 在声明中提到：

我们不搞政治，不需要将我们与政府联系在一起，也不需要寻找我们的动机。我们的目标是赚钱，不是给社会造成问题。从今天起，我们还要开始对每家合作伙伴进行审核，希望他们的行为都不要产生社会影响。

知名网络安全公司 Cybereason 报告称，DarkSide 渴望表现出道德规范，甚至发布了客户行为准则，告诉客户他们可以接受哪些攻击目标。DarkSide 业务范围仅限各行业大公司，包括医院、招待所、学校、非营利组织和政府机构在内的机构、俄语国家机构都不会是他们的涉猎范围。

DarkSide 向攻击对象的“通知”界面

不仅如此，DarkSide 还表示会将部分利润捐赠给慈善机构，尽管有些慈善机构拒绝了捐款。

这在敲诈勒索界，算得上是前无古人了。

在博客中，DarkSide 贴出了所谓“善款”的收据，详细到组织名称、机构代码、传真地址，还有收款方ID哈希值等等信息。

上面的这张收据中，收款的是一家名为“国际儿童基金会”的组织，为印度，菲律宾，哥伦比亚等等不发达地区儿童提供帮助。

另一笔捐款，给了帮助非洲获得清洁水源的项目

DarkSide 写道：

无论您认为我们的工作有多糟，我们还是为帮助别人改变生活感到开心。今天我们发出了第一笔捐款。

值得关注的是，Cybereason 发现 DarkSide 非常专业，甚至会为攻击对象提供 help desk（这里可以理解为技术支持）和电话号码。

下图展示的是 DarkSide 与攻击对象之间的第一次交涉，其中攻击对象要求 DarkSide 保证所窃取的数据在付款后删除。

今年 4 月中旬，DarkSide 勒索软件还推出了新功能——在谈判期间如需向攻击对象增加压力，可以发动分布式拒绝服务攻击（DDoS 攻击，指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器同时实施攻击）。

DarkSide 维护着一个名为 DarkSide Leaks 的网站，网站参考了旨在揭露政府及企业腐败行为的大型文档泄露及分析网站 WikiLeaks，如果攻击对象不支付赎金（从 20 万美元到 2000 万美元不等），DarkSide Leaks 将会把数据公之于众。