暗网上的俄罗斯黑客,这次把美国FBI逼急了

这两天,机哥家庭群里,流传着各种惊悚标题。
 
中心意思都离不开一句话:“美国宣布进入国家紧急状态”。
 

这是什么大新闻?该不会又是谣言吧。机哥认真探究之后,发现消息是真的。而且,深挖事件后,发现这事与数字生活息息相关。
具体来讲,“紧急状态”是美国联邦政府交通部联邦汽车运输安全管理局公布的,而进入紧急状态的地区,是美国 17 个州,包括首都华盛顿特区。
 
首都陷入麻烦了,还真是大事情。
 

为什么紧急情况由交通局公布呢?原因在于,是燃油方面出大事了。

Colonial Pipeline 是美国一家管道运营商,管理着多条燃油运输管道。

上周五,Colonial Pipeline 突然把美国东海岸的燃油管道给切断了,总共 8852 公里,这里面可是包括了得克萨斯州到纽约的线路啊。

接着,Colonial Pipeline 在周六承认,自家网络被黑客入侵,不得不切断系统。

要知道,这种现代化管道运营公司,能用机器解决的工作就不会用人。

在 Colonial Pipeline 公司里,管道的压力传感器、恒温器和阀门等重要部件都靠电脑控制。包括管道常规检查,都已经交由机器人完成。

 

So,发现被入侵,被迫切断控制系统后,相当于燃油管道都废了。

 

 

美国东部 45% 的燃油都靠它家提供,这一停运,纽约、华盛顿、亚特兰大等各个地方,5000 多万人的生活都受影响。

至于啥时候恢复供应,Colonial Pipeline 公司说争取本周末之前。

 

当务之急是保证供应,所以,美国交通运输局才会出来发表临时公路服务豁免,方便各种燃油运送路途顺畅。

这次网络袭击,被视为美国历史上对关键基础设施的最重大攻击之一。

 

FBI 证实,搞袭击的黑客组织叫 Darkside。

拜登还暗戳戳地表示,这群黑客可能跟俄罗斯有关。
 
网络安全公司 Emsisoft 也发现,Darkside 组织在攻击时会避开用俄语的网站。
 

既然嫌犯已经确认,又暂时捉不到人,想解决数据问题的话,看来只有缓兵之计,由燃油管道企业跟黑客组织谈判了。
 
但 Colonial Pipeline 公司没有透露会不会给 Darkside 赎金。按照以往经验看,不给钱黑客怎么会妥协呢?
 
机哥挖了挖 Darkside 的资料,发现它是个超级年轻的组织,去年八月,它才在暗网发表了自己的“出道宣言”。短短几个月,已经“作案”几十起。
 
本来机哥想象中的黑客都是冷面杀手那种范儿的,结果 Darkside 这出道宣言带着点中二气息,把我看傻了。
 
Darkside 表示,他们的有“四不”原则,不攻击医疗、教育、非营利组织和政府部门。
嚯,意思就是,他们只会攻击那些 有钱的 私人企业咯?目的也非常简单纯粹:攻击完后只想要钱,没有说想让某家公司倒闭什么的。

包括像这次攻击燃油管道系统,Darkside 事后发布的声明中,又一次强调自己“只想搞钱”。
 

得到钱后,黑客组织准备干嘛呢?

每个组织有每个组织的规矩,只说 Darkside 的话,他们会用(部分)钱做慈善。

Darksid这类黑客,他们自诩为“黑客中的侠客”。也就是黑客组织去勒索公司的钱,之后去捐款,有点“劫富济贫”的意思。

可事实果真如此吗?

Darkside 组织的确曾经给“儿童国际”和“水资源”项目捐过款,每个项目捐了 1 万美元左右。

不过,“儿童国际”听说这钱来得不光彩之后,拒绝了 Darkside 的捐款。
注意喽,即使事后捐款,也不代表入侵公司服务器就是对的。再说了,捐款是因为得到了钱。要是没得到钱,黑客组织又会怎么做呢?
看过类似电影情节的机友应该有印象,黑客一般让受害人电脑中招,受害人眼前一黑,电脑里所有资料都看不了了。
这时候,电脑屏幕通常来个倒计时,如果不按时交赎金,就永远得不到解密器。

黑客在整个过程中,主要做的是「加密」动作。这种破坏方法,是黑客老一套。从去年年初开始,套路已经升级,变成「双重勒索」
Darkside 正是采取这种攻击方式,他们不仅能「锁住」受害人的资料,还能「获取到」这些资料。
资料在手,如果不给钱,那就把资料公布出去。DarkSide 才成立不到一年,已经公布过四十多家公司的机密。

数据被公布

DarkSide 搞骚操作的过程,一般从给各公司发电子邮件开始。
比如在邮件中放个压缩包,恶意软件就藏在压缩包里,伪装成 PDF 文件的样子。
这些恶意软件在不断升级,从以前的无差别攻击,到现在会根据具体受害对象,生成独有的密匙。
加密过程示例↓

在加密过程中,安全人员分析发现,Windows 重新启动管理器意外成为“帮手”。

 

看来,微软又要赶快补 bug 了。

至于黑客组织是怎样在加密受害人文件的基础上,得到这些文件内容的,安全研究人员还没得出个所以然。

暂时推测,是有可能用了一些控制命令,甚至是借助云服务去实现。

总之,经过加密和窃取资料后,黑客组织就开始给受害人发信息:

信息还“贴心”地附上用加密货币付款的方法,就差没手把手教你开户了。

最后的最后,当然是开口要价。

DarkSide 曾经跟企业开口要过 40 万美元,也要过 200 万美元的,视情况而定。

啊这,如果以上企业乖乖付全款,那前面 DarkSide 的所谓捐款一两万美金,简直九牛一毛。。
像 DarkSide 这样的组织,被称作“Ransomware gangs(勒索软件帮派)”。

数字生活的“帮派”,有内味了。。

 

据统计,2019 年以来,这类勒索帮派,能叫得出名字的,已经在暗网上爆出过 2103 家公司的机密资料。

 

 DarkSide 作为“新人”,虽然没有排名靠前,作案两三百起的那些黑客组织那么“作案累累”,但 DarkSide 有个杀手锏,目前只有三个黑客组织能做到。

那就是 DarkSide 掌握了某项技术,能加密 VMware eSXI 共享虚拟硬盘上的资料。

 

VMware eSXI 是特别优秀的虚拟机,服务器级别那种。企业要是用 VMware eSXI,能降低 IT 运营成本。

 

所以 DarkSide 和另外两个组织能破解这种服务器,意味着掌握了更多财富密码。

 
另外两个掌握这项破解技术的黑客组织,分别是 RansonExx 和 Babuk Locker。
 
其中,这个 Babuk Locker 很是高调啊,光是在上个月,机哥就好几次看到它的“作案身影”。
 
四月底,Babuk Locker 攻击了西班牙通讯公司 The Phone House。
 
可能是价钱没谈拢,Babuk Locker 直接将获取到的消费者数据抖了出来,足足 100G 资料。这里面包括消费者的姓名、生日、电话、地址,甚至银行账户。

紧接着,Babuk Locker 又把休斯顿火箭队的资料给偷了 500G。

不过,这事后来没什么声响了,也没见有数据被公开,但双方没有说明赎金的事。

还是在上个月,Babuk Locker 把触手伸到了美国华盛顿特区警方的官网上。

老套路,Babuk Locker 晒出截图,证明真的拿到了警方内部文件。资料里包括了,当地帮派的各种资料。

Babuk Locker 拿这个威胁警方说,如果不交赎金,直接把警方安插在黑帮的卧底给爆出来。

Babuk Locker 给华盛顿警方的时间是三天,按这流程,五月初事情就算完结了。

但是!就在前天,Babuk Locker 宣布,跟警方的谈判陷入僵局。说人话,就是钱没到位。。黑客继续威胁,又说要爆料。

也不知道是黑客组织赢,还是华盛顿警方拳头硬呢?
这一对比下来,Babuk Locker 这个黑客组织,好像比前面说的破坏燃油管道的黑客组织更狠一点,连美国警察的官网都不放过。。
归根结底,这些黑客组织都是来阴的,没有谁比谁高贵。
随着信息发达,原本蛰伏在互联网隐秘一角的黑客们,搞出越来越多出圈的事。

特别是这回上热搜的事件,黑客在电脑前敲代码,现实生活中就有 5000 万人受影响,威力可太大了。
破坏燃油管道的黑客组织有所谓“四不”原则,可其他黑客组织没有啊。谁知道下次网络攻击,会有多少人受到影响呢?
写这行字的时候,机哥脑海里浮现的是去年疫情爆发初期,印度 APT(高级长期威胁)组织对我国医疗机构发起定向攻击的事。

原来网络攻击离我们这么近,与每个人都息息相关。
日防夜防,网络安全不得不防啊。

发表评论

您的电子邮箱地址不会被公开。