◎中国电子科技集团公司第三十研究所 龚汉卿 李天婴

2021年5月7日，美 国 最 大 的成品油管道公司科罗尼尔遭到勒索软件攻击被迫关闭设备，导致美国东海岸45%的汽油、柴油等燃料供应受影响，美国政府宣布17个州和华盛顿特区进入紧急状态。此次事件是美国近年来遭遇的最严重的网络袭击事件，凸显了美国基础设施网络安全的脆弱性。

一、事件概述

5月7日，美国最大的汽油和柴油管道公司Colonial宣布因遭到网络攻击导致网络中断，并暂时关闭了所有管道运营，支付500万美元赎金后，得到解密软件。5月10日，美国联邦调查局确认黑客组织“黑暗面组织”勒索软件攻击是造成科罗尼尔公司网络瘫痪的原因。

（一）勒索软件基本情况

勒索软件已被认为是企业、社会团体组织面临的最具威胁性的网络安全风险。勒索软件是一类木马病毒，常见的 有Maze、WannaCry、Ryuk等，一般伪装成普通应用软件、程序更新补丁或电子邮件附带的文件、链接等。这些向受害者发送的恶意程序或链接一旦被打开，黑客就可以将勒索软件植入计算机系统，通过骚扰、恐吓甚至绑架用户文件等方式，使受害者的数据资产或计算资源无法正常使用，并以此勒索赎金[1]。

当前勒索软件攻击已经高度复杂，既有传统非定向勒索的大规模传播→加密→收取赎金→解密模式，也有定向攻击→数据窃取→加密→收取赎金解密→不交赎金→曝光数据模式的新型作业链条。此次事件为定向攻击。

（二）此次勒索软件攻击的主要手段

在此次攻击事件中，DarkSide勒索软件仅用两个小时的时间就从Colonial公司网络中窃取了近100 GB的数据。DarkSide在整个入侵过程中，会在入侵的目标服务器上安装Tor客户端或者浏览器，并使用Tor进行RDP会话连接（RDP Over Tor），并且在远程控制方面会使用CobaltStrike进行后续操作。后续操作主要围绕获取域控权限而进行，其中使用内网渗透工具包括advanced_ip_scanner.exe、psexec、Mimikatz。

由于运输管道的压力传感、恒温器、阀门和泵用于监控数百公里管道中的柴油、汽油和喷气燃料的流量，所有这些技术参数都需要连接到中央系统。DarkSide勒索软件正是凭借软件漏洞入侵中央系统，扰乱并窃取计算机数据，进而达到“劫持”系统的效果。

（三）“黑暗面组织”基本情况

从目前已经知情来看，DarkSide勒索软件并不具有政治性，没有国家背景，主要目标是获取经济利益。它是一支新兴的RaaS（勒索即服务）犯罪团伙，以俄语为母语。自2020年年中以来，Darside一直保持活跃。DarkTracer的最新勒索软件统计，2020年DarkSide的攻击数量位列TOP10行列。该组织开发了用于加密和窃取公司数据的勒索软件，然后提供给其“分支机构”，并从分支机构获得成功攻击的赎金分成。

根据DarkSide团伙的历史攻击数据分析，发现DarkSide主要呈现几个鲜明特点。第一，目标针对性极强且定向。该团伙曾公开表示，该团伙只会针对除医疗、政府、教育、非盈利组织和殡葬行业外的组织机构发起勒索攻击；第二，长期持续性“潜伏渗透”。为达到攻击目的，DarkSide会对目标进行长达数周乃至数月的技术分析工作，包括会计数据、执行数据、销售数据等核心价值数据；第三，勒索方式史无前例。除了加密数据外，为了确保成功勒索用户缴纳赎金，在进行加密前攻击者会在目标环境中进行渗透并安装后门程序以窃取重要的数据信息，当勒索目标拒绝缴纳赎金时，会将数据公开、放负面安全事件消息，以此做空而获利。

二、分析研判

（一）关键基础设施面临日益严峻的网络安全威胁

此次攻击暴露出美国关键基础设施的网络脆弱性。近年来针对基础设施的网络攻击呈现愈演愈烈之势。美国坦普尔大学发起了“关键基础设施勒索软件攻击”数据库追踪项目显示，2019年至2020年针对关键基础设施的网络勒索大幅增长，占过去7年多此类案件报告总数的一半以上，其中政府设施、医疗设施和教育部门遭受网络勒索的频次排前三位[2]。

（二）勒索软件网络攻击已成为网络安全最大威胁之一

此次攻击事件凸显了网络安全威胁的严重性。当前，勒索软件已成为网络安全最大威胁之一，从一种网络犯罪滋扰发展成为对国家及全球网络安全、经济稳定和公共安全的严重威胁。2020年至今，全球爆发了多次重大关键信息基础设施行业的勒索软件攻击事件，勒索软件网络攻击已成为常态。例如跨国能源企业Enel Group连续遭遇两轮勒索软件攻击，美国马萨诸塞州电力公司RMLD遭勒索攻击，美国某天然气运营商遭受勒索攻击被迫关闭。黑客往往在盗取重要数据后，以此要挟支付巨额赎金。《华盛顿邮报》报道，仅2020年就有至少2400家机构受害，其中包括银行、医院、大学和市政当局等。此外，工业企业遭到网络攻击和勒索的案例也在快速增多。

随着云计算的快速普及，勒索软件越来越多地将以云存储为目标，以最大程度地发挥影响力并增加杠杆作用以提高利润、扩大企业数据泄露规模和风险，网络安全的威胁将进一步加剧。

（三）针对基础设施的网络攻击将严重威胁国家安全

基础设施一旦遭受网络攻击，将严重威胁生产安全和社会稳定，甚至导致整个产业链的瘫痪。当前，基础设施正在成为网络攻击的首要目标，数字时代的网络攻击已经发生了很大的变化，并带来多重挑战，这将严重威胁国家安全。

2021年以来，美国已经连续发生多起针对公共基础设施的网络攻击事件，并造成了严重后果。比如，今年1月，美国企业和政府因“太阳风”公司软件漏洞遭受黑客攻击，受影响机构包括美国财政部、美国国土安全局、美国国家卫生院甚至美国国务院；2月，美国佛罗里达州水处理系统遭黑客攻击，被改变了当地供水中的化学品含量；4月，北美地区1500家公用事业公司中有四分之一都感染了SolarWinds恶意软件，美国国家安全委员会因此迅速制定了电网百日安全计划。

（四）专业化高级黑客组织是网络安全的主要对手

多个消息来源证实，此次勒索软件攻击很可能是由犯罪组织DarkSide实施的。DarkSide是去年新出现的勒索软件组织，但攻击手法非常老练，已经攻击了40多个受害组织，要求赎金一般在20万-200万美元。

当前，网络攻击已经不分军用民用，不分国家、企业、个人，攻击链很长，每个节点都可能成为攻击跳板[3]。同时，网络安全对手不再是普通病毒，专业化高级黑客组织入场，更加难以对付，它们是网络安全的主要对手。在后疫情时代，网络攻击带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力，开启了“重装上阵”的疯狂模式。黑客组织也将不断壮大，向专业化、高级化、隐蔽化发展。

三、对策建议

近几年，随着关键基础设施的数字化程度不断提高，针对关键基础设施的威胁不断增加。关键基础设施关系着国计民生，是经济社会运行的神经中枢，是网络安全的重中之重。随着经济社会对网络的依赖程度不断加深，关键信息基础设施安全防护更加紧迫。一旦关键基础设施受到网络攻击陷入瘫痪，引起的连锁反应甚至会对一个国家造成巨大损失[4]。

（一）加强应对基础设施网络安全的战略统筹

面对数字化时代如此严峻的网络安全形势，尤其是在此次勒索软件攻击事件前后，美国政府已经在逐步采取一系列措施，颁布法案或者行政命令，为维护关键信息基础设施的网络安全提供制度保障，这也给我们敲响了警钟。我们首先要完善关键信息基础设施保护制度体系，当前国家已经制定出台关键信息基础设施保护相关法律法规，继续深化明确相关主体法律责任；其次要求网络安全企业在提供服务时，应秉持“建设+运维”两手都要抓的思维，提供网络安全保障最关键的安全运维环节服务，全面提供网络安全运维服务保障的业务模式；同时鼓励加强合作，建立面向整体保障的网络安全产业联盟，通过产业联盟，聚集产业优势资源和力量，博采众长，以武器装备协同攻关模式持续提升技术、产品与服务水平。

（二）提升防范勒索软件攻击的整体防护水平

此次网络攻击由DarkSide勒索软件团伙发起，DarkSide可能已经购买了TeamViewer和Microsoft Remote Desktop等远程桌面软件的账户登录详细信息，其中包括工程师用来访问管道控制系统的账户信息，进而利用恶意软件窃取并挟持了Colonial Pipeline公司近100 GB的数据。据DarkSide组织称，其勒索软件配备了市场上最快的加密速度，并且包括Windows和Linux版本。当前，勒索软件迭代进化加速，攻击手段会更加复杂多样，攻击范围也将不断扩大并且更加难以防范。面对愈加强大的定向勒索攻击者，我们对网络安全防御需要提升整体的防护水平，要以面对APT组织攻击的策略进行防御体系建设，才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索软件攻击。要实现整体安全，必须加强技术升级换代，聚焦核心技术突破，在基础性技术、前沿性技术、颠覆性技术投入研发方面花大力气，尽早实现关键信息基础设施网络安全装备自主创新。

（三）持续开展关键基础设施网络安全演练

此次网络攻击事件，即使技术最强的美国，其最大的输油管公司的网络依然存在着漏洞，可想而知，其他国家的网络的漏洞是否会更多？如今世界已经进入了物联网时代，随着5G建设的发展，万物均将互联。因此网络安全就显得越来越重要。网络安全演练是检验、锻炼和提高关键信息基础设施防护能力的重要手段。所以，在最后我们建议关键信息基础设施管理运营单位将开展常态化网络安全演练纳入管理制度和考核指标中。针对关键信息基础设施防护，引入现实社会因素，设置训练题目和训练流程，尽可能真实地模拟现实复杂情况，在演练中发现问题解决问题，不断提高网络安全防护水平。

（四）探索发展针对基础设施的网络攻击技术

从Colonial Pipeline公司遭受勒索软件攻击事件可以看出，网络攻击可以在不损坏设备的前提下破坏关键信息基础设施，给国家安全带来重大影响甚至灾难性后果。当前，勒索软件呈现变种多、针对性高、感染量上升快等特点，攻击正在肆虐全球，攻击态势愈演愈烈。我们要积极探索发展针对基础设施的网络攻击技术，提高攻击技术自动化程度和攻击速度，有针对性地开展网络态势感知、漏洞挖掘、芯片级硬件安全分析、协议分析、源代码安全检测等核心技术研发工作，重点攻克针对基础设施的渗透测试、漏洞扫描等关键技术的探索和创新。

四、总结

随着国际形势的不确定性加剧，关键信息基础设施网络安全事件与地缘政治热点有明显的结合趋势。关键基础设施的网络安全问题可能严重危害国家安全、国计民生、公共利益等，关键信息基础设施的网络安全保护越来越受到世界各国的重视。当前，我国要进一步健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置重大网络安全事件，切实保障关键信息基础设施、重要网络和数据安全。