5月7日星期五，殖民地輸油管道(Colonial Pipeline)(下圖1 BISNOW)表示，一波由名為“黑社會”(DarkSide)發動的網絡攻擊迫使該公司為了預防起見主動關閉運營並凍結其IT係統。Colonial Pipeline“所有管道的運作”暫停，意味著旗下輸送到東海岸的燃料停運(下圖2 FOX BUSINESS)。由於這些燃料占東海岸所需的45%，因而茲事體大，知名網絡安全公司Mandiant的網絡取證團隊FireEye迅即被派來協助。美國海軍協會的國家安全專家比爾茲利(Beardsley)解釋關閉管道的原因：“由於IT係統現在與運行核電站的操作技術、實際杠杆和傳感器連接在一起，...。” Colonial Pipeline表示，目前公司僅有一條輸氣管道在人工控製下運行，但預計到5月14日周五時，可能會恢複大部分管道的服務。

盡管Colonial Pipeline和聯邦政府官員沒有解釋DarkSide是如何侵入公司網絡而未被發現的，網絡安全專家分析認為，DarkSide勒索軟件可能通過以下途徑進入Colonial Pipeline係統中(下圖 PAUBOX)：使用網絡釣魚郵件成功欺騙IT員工；使用在其他地方購買或獲得的先前被泄露的訪問憑證；但可能性最大的是使用了勒索軟件通過一個舊的、未修補的漏洞。在獲取關鍵文件數據後，DarkSide將它們加密，向受害者發出支付勒索要求。DarkSide收到勒索款後，將軟件密鑰發給受害者解碼。如果受害者拒絕支付勒索，DarkSide威脅將在線發布過濾後的數據，這意味著受害者未來仍得支付贖金，即便他們有數據備份的預防措施。

DarkSide(下圖 Cybersecurity INSIDERS)最早在2020年8月出現。DarkSide開發者於2020年11月在流行的俄語黑客論壇XSS上“首次亮相”勒索軟件，稱他正在尋找合作夥伴，擬實施”勒索軟件即服務”(RaaS)商業模式和分支計劃。很快，DarkSide勒索軟件就被發現是眾多攻擊的幕後黑手，其中包括幾起針對歐美製造商和律師事務所的事件。值得注意的是DarkSide在此次勒索事件中主動表示，該組織不隸屬於任何政府機構，此次Colonial Pipeline行動是一次嚴格意義上的“盈利”行為。而且，DarkSide將部分勒索贖金用來幫助慈善機構：“不管你認為我們的工作有多糟糕，我們很高興知道我們幫助改變了某人的生活。”筆者將另文討論DarkSide。

受害者私營公司Colonial Pipeline成立於1962年，總部位於佐治亞州阿爾法雷塔(Alpharetta, Georgia)，是美國最大的管道運營商之一，提供東海岸大約45%的燃料，包括汽油、柴油、家用取暖油、噴氣燃料和軍事物資。Colonial Pipeline每天運輸超過1億加侖的燃料，橫跨德克薩斯州到紐約的一個地區。COLONIAL Pipeline沒有說贖金多少，也沒有回答它是否支付了贖金的問題。盡管聯邦調查局不鼓勵支付贖金，有時公司除了支付贖金外別無選擇，否則這些“毫無準備”的公司可能破產。

參考資料

Bajak, F. and Bussewitz, C. (2021). Colonial Pipeline Hack: What We Know About Shutdown of Largest Fuel Pipeline in US. NBC Los Angeles. 鏈接 https://www.nbclosangeles.com/news/national-international/colonial-pipeline-hack-what-we-know-and-how-will-it-impact-gas-prices/2592690/

Gregory, M. (2021). Things to know about the Colonial Pipeline shutdown. WUSA90. 鏈接 https://www.wusa9.com/article/news/verify/what-is-behind-the-shutdown-of-the-colonial-pipeline/65-5c155323-fab4-461f-921e-b757a4b9a775

Knake, R. K. (2021). The TSA Should Regulate Pipeline Cybersecurity. COUNCIL ON FOREIGN RELATIONS. 鏈接 https://www.cfr.org/blog/tsa-should-regulate-pipeline-cybersecurity?gclid=EAIaIQobChMI7aDc2aPE8AIV1OqzCh1iJQcxEAAYASAAEgIJ2fD_BwE

Osborne, C. (2021). Colonial Pipeline attack: Everything you need to know. ZDNet. 鏈接 https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/