美國最大輸油管商「殖民管線運輸公司」5月7日遭遇網路攻擊,導致美國東南部燃料供應出現危機,輸油管道被迫停擺多日,華盛頓特區、維吉尼亞州、喬治亞州等17個地方政府宣布進入緊急狀態,民眾恐慌性購買,使供應短缺加劇,油價漲至2014年以來新高。
此次發起網路攻擊的駭客組織「黑暗面」(DarkSide),遭到美國聯邦調查局(FBI)調查,並確認來自俄羅斯境內。儘管俄國當局未參與此次攻擊,但美國總統拜登(Joe Biden)13日嚴正表示不排除報復「黑暗面」,使該組織再也無法勒贖,他更表示打算在與俄國總統普京(Vladimir Putin)會晤時,就打擊網路犯罪行為的國際標準進行磋商。
「黑暗面」平時犯罪作風極為囂張,這次透過勒索軟體將殖民管線(Colonial Pipeline)將近100 GB重要數據全加密鎖上,表示若不支付贖金,就不會幫其解鎖。他們更曾對受害者表示「目的只有錢,沒想要製造社會混亂」、「不繳贖金,就要勒索更多錢」、「我們只會攻擊付得起贖金的公司,畢竟我們也不想害你倒閉。」
但在被白宮盯上的隔天,「黑暗面」宣稱由於某種來自美國的施壓而被迫關閉伺服器。《紐約時報》(NYT)指出,「黑暗面」伺服器慘遭不明人士攻擊,網站與勒索工作完全停止,也無法拿回贖金報酬,因此決定把網站全面關閉。
「黑暗面」14日發表聲明承認,他們至今無法透過Tor瀏覽器訪問組織部落格和支付贖金用的特定伺服器,「由於來自美國的壓力,夥伴計劃已經關閉。保持安全,祝你們好運。」這裡的「夥伴計畫」指的是,「黑暗面」常招募駭客「夥伴」,使用其開發的勒索軟體來攻擊企業電腦系統;「夥伴」勒贖成功之後,會向「黑暗面」繳納一定比例的贖金報酬。
目前還不清楚美國究竟給了「什麼壓力」,白宮政府官員拒絕回答美方是否已採取任何報復行動。白宮發言人莎琪(Jen Psaki)回應說,白宮方面正在等待美軍網路司令部(U.S. Cyber Command)的建議。網絡安全分析師認為,「黑暗面」的聲明可能是假的,目的是為了轉移美國與全世界媒體的負面關注,以便組織重組。
收取近5億贖金鉅款
危機始於5月7日,位於喬治亞州的美國最大成品油管道商「殖民管線」遭到駭客攻擊,該公司的管線從休斯頓經德州通往紐約,全長約8800公里,每日輸送汽油、柴油、航空燃料等成品油250萬桶,覆蓋5000萬人口,負責美東45%的燃油運輸,堪稱美國東部最重要的輸油大動脈。
殖民管線在遭到攻擊之後,關閉了旗下輸油管道。據了解加密交易情況的人士稱,殖民管線為了拿回被竊取的資料,在5月8日向「黑暗面」支付約75比特幣,約合500萬美元(約新台幣1.4億元)。這項決定讓輸油管時隔6天再度恢復暢通,但順應駭客的意,可能會使拜登政府難以防範未來新的攻擊。
根據資料分析公司Elliptic的說法,已確定「黑暗面」用於接收比特幣贖金的帳戶,於5月8日收到殖民管線支付的75枚比特幣付款。該帳戶自今年3月初以來一直有交易活動,並已從21個不同的帳戶收到57筆付款,包括其他勒索事件的贖金。Elliptic表示,該帳戶短短兩個月已收到總計1750萬美元(約新台幣4.9億元)的比特幣。
自導自演的一齣戲?
網絡安全分析師評估說,「黑暗面」應是從去年8月份開始活躍至今,很可能已經使用許多不同的比特幣帳戶來接收贖金。
據舊金山區塊鏈情報公司TRM Labs稱,13日有人從「黑暗面」比特幣帳戶中取出約113.5比特幣(合560萬美元),轉移到未知的帳戶中,這筆錢等於殖民管線的75枚比特幣贖金,再加上德國公司Brenntag等勒索案的贖金。TRM Labs的聯合創始人卡斯塔尼奧(Esteban Castaño)表示,很難推測轉移「黑暗面」比特幣的人是誰,「會不會是黑暗面自己轉移的?」
但可以確定的是,「黑暗面」對美國燃料安全捅出一個大簍子之後,駭客組織遭到美國情報部門的嚴格審查,也對於目前時局感到不安。本週,兩大俄國勒索軟體平台REvil和Avaddon宣布將嚴格規範駭客對其產品的使用,禁止把政府相關實體、醫院或教育機構設為攻擊目標。
