美国燃油管道系统Colonial Pipeline遭DarkSide勒索软件攻击说明

事件简介

美国最大的燃油管道系统Colonial Pipeline于5月7日遭到攻击，被迫暂停所有管道作业，由于Colonial Pipeline负责美国东岸多达45%的燃料供应，因攻击事件而暂停所有的管道作业，美国运输部则在5月9日宣布进入紧急状态，允许以机动车辆于一般道路上运送燃油，而FBI也于5月10日证实，Colonial Pipeline是遭到勒索软件组织DarkSide的攻击。

5月11日CISA与FBI联合发表关于DarkSide勒索软件的网络安全咨询，本公司也将参考这份咨询文件，对于本次攻击事件提出防护相关建议。

相关新闻

CISA与FBI发布了有关最近针对关键基础设施（CI）公司的勒索软件即服务（RaaS）变种，也就是DarkSide的联合网络安全咨询。黑客集团使用DarkSide攻击存取受害者的网络，并予以加密及泄露数据，若受害者不支付赎金，就可能揭露数据，该组织最近将目标对准了多个CI领域的机关，包括制造、法律、保险、医疗保健及能源。预防是防范勒索软件的最有效方法，遵循最佳实践以防止勒索软件攻击是非常重要，因为勒索软件攻击可能对个人或组织造成毁灭性破坏，并且恢复原状可能是一个很艰难的过程。

新闻来源网址：

https://us-cert.cisa.gov/ncas/current-activity/2021/05/11/joint-cisa-fbi-cybersecurity-advisory-darkside-ransomware

 Colonial Pipeline事件概述

总部位于乔治亚州的Colonial Pipeline是美国最大的精炼油管道系统，每天运送多达1亿加仑的汽油、柴油、航空媒油与家用燃料油，占美国东岸燃油供应的45%，也负责美国7个机场的燃油供应。

一、5月7日遭到DarkSide勒索软件攻击，并且在得知被勒索软件攻击之后立即让特定系统脱机以控制其安全威胁，包括暂时关闭5,550英哩（mile）管管道作业以及部份的IT系统。该集团渗透了Colonial Pipeline的网络并将数据加密在某些计算机与服务器，要求支付赎金，并偷走了将近100 GB的资料，威胁若不支付，则要将其泄漏到暗网上。

另外，美国汽车协会（AAA）也表示，美国汽油价格本周上涨了每加仑6美分，至每加仑2.967美元，美国能源公司的股票在华尔街也上涨了1.5%。美国政府因此放宽了公路运输燃料的规定，以最大程度地减少供应中断，这使得18个州的驾驶员在运输精炼石油产品时可以额外工作或更加灵活地工作。

二、一般认为Darkside起源于东欧，并于2020年8月首次出现。他们将其勒索软件即服务（ransomware-as-a-service，RaaS）提供给分支机构，以获取一定比例的利润。Darkside是新型态勒索软件的一个很好的例子，它以更高级的商业模式运行，可识别高价值目标，并能更精确地以双重勒索（double extortion）这类方式将受威胁资产货币化。这类攻击通常也由几个小组合作进行，并进行利润分割，一旦系统遭到破坏，勒索软件的付款要求可能在20万美元到200万美元之间。

• （一） 技术细节
• 1. 初始存取

Darkside是透过网络钓鱼、远程桌面协议（RDP）、虚拟桌面基础结构（Virtual Desktop Infrastructure，VDI）或利用已知漏洞获得初始存取的策略，黑客还在整个攻击过程中使用通用的合法工具，以使其未被发现并掩盖其攻击。

在侦察及入侵阶段的整个过程中，可能基于不同状况，使用一些合法技术或工具，例如PowerShell、Metasploit、mimikatz、Bloodhound、Cobalt Strike等。

DarkSide组织黑客针对Colonial Pipeline获得了网络的初始访问权限之后，该公司的IT网络遭部署了DarkSide勒索软件并受到攻击，该公司声明他们主动断开了某些OT系统的连接，以确保系统的安全性，目前没有迹象显示会横向移动到OT系统。

• 2. 横向移动

横向移动通常是为了识别组织内的所有重要数据，可能是获得域控制器（DC）或Active Directory访问权限，以窃取凭证，并提升特权以获取其他有价值的资产以进行数据渗透，并继续在系统中进行横向移动，最终使用DC网络共享将勒索软件部署到连接的计算机上，其中可能使用PSExec、SSH或RDP作为其工具。

• 3. 资料泄漏

双重勒索事件的一种常见做法，攻击者会在加密数据之前，先将数据窃取出来，以此恐吓受害对象，若不支付赎金，他们就对外公开手上持有的受害者资料。此外，也可能透过一些居中协调的掮客（broker），由这些人与黑客谈判，以减少赎金。常用的工具可能包括7-zip、Mega Sync、Rclone及Putty等。

Darkside攻击者也利用洋葱路由器（The Onion Router，Tor）联机到中继站，并利用几个基于Tor的泄漏网站来托管被盗取的资料。

• 4. 执行

除了用于操作恶意软件本身的PowerShell之外，其他如PsExec、SystemBC及Cobalt Strike，也有可能使用Certutil及Bitsadmin用于下载勒索软件，Windows或Linux皆可能是受攻击目标，并且使用了两种不同加密方法，在Windows系统上使用RSA-1024的Salsa20，Linux上使用RSA-4096的ChaCha8串流加密。