這兩天，「美國最大燃油管道運營商 Colonial Pipeline 遭勒索軟件攻擊」，毫無征兆上了熱搜。

看起來是個大事兒，可當我抱著吃瓜心情點開一看，發現只有寥寥數字，只說美國時間 5 月 7 日，這家公司遭到勒索攻擊，為避免影響擴大，公司暫停了所有的管道運營，美國因此宣布進入緊急狀態 (劃重點：文末有真相)，幕后黑手可能是 DarkSide。

沒了。。。了。。。字少事大。

我趕緊拿起手機，打給老朋友 ocean，他現在是深信服的終端安全技術負責人，一番暢聊后，我清晰了一件事：勒索病毒團伙 DarkSide 目標明確，觀點鮮明，采用雙重威脅 (不交贖金就泄密)，支持數字貨幣交付，可以說是當今勒索行業的最高水準，這并不是它第一次作案。

Colonial Pipeline 公司名直翻過來，叫做「殖民管線」，它的輸油管道每天要輸送 250 萬桶原油，擔負著美國東岸近一半的燃油供應。

[[398936]]

提到石油企業，很多人會想到繁密管道、巨大泵閥、黑色粘稠液體，以及灰頭土臉的工人。事實上，殖民管線這家公司的運營，是極端數字化的。

他們利用壓力傳感器、自動溫度調節器等智能化設備，對燃油進行實時的監控和管理，甚至還使用了一種叫做“智能豬”(smart pig) 的管道檢測機器人，它可以在管道里快速穿行，發現異常。

這些智能化設備，都與一個中央系統相連，由計算機進行控制。

正如那句已經熟透了的話所說：有網絡連接的地方，就有可能遭到網絡攻擊。作為美國關鍵基礎設施中的重要組成，殖民管線此次遭到攻擊，被美國媒體稱為“迄今為止針對美國關鍵基礎設備最嚴重的網絡攻擊事件”，受此影響，美國宣布多州及華盛頓特區進入緊急狀態。

根據多個消息來源證實，殖民管線此次遇襲，幕后黑手是一個叫做 DarkSide 的勒索軟件，根據 FBI 的初步調查，這次攻擊來源于俄羅斯境內。

DarkSide 勒索病毒團伙隱秘的給目標系統植入惡意軟件，劫持了殖民管線近 100GB 的數據，以此為資本索要贖金，還威脅稱：膽敢不給錢，那就索性鬧大，我們會把所有數據泄露到網上去。

勒索病毒攻擊，是“互聯網能賺錢”的又一力證，可回望源頭，你會發現，它原本只是一個泄憤之舉。

黑客領域中，有個叫做約瑟夫·波普 (JosephPopp) 的美國人，如果你查查資料，就會發現，他還是一名進化生物學家。

波普曾在哈佛大學學習生物學，又去非洲研究狒狒，一呆就是 15 年，還在紐約建了一個蝴蝶保護區。他還寫了一本書《流行的進化》，在 2000 年自費出版，其中一個觀點是：人類存活的唯一原因，就是最大化了生殖成功率。

就是這樣一位生物學家，卻于 1989 年在英國經歷了一場審判，罪名是黑客攻擊。

當時，黑客攻擊并不是一個新鮮詞，操作是：黑客竊取某人的保密信息后，將其泄露給第三人或公之于眾。

注意，只是泄露，沒有其他操作。而波普開創了一種全新的黑客攻擊模式：向受害者索要贖金。

1989 年，世界衛生組織正在招聘，波普前去參加面試，遺憾落選。得知這個消息后，波普滿臉不高興，準備搞點動作，結果搗鼓出了一個病毒軟件，也是世界上第一個勒索軟件。

當時的互聯網還沒有普及，只有大學里的主機才能聯網，所以，他把自己制作的病毒軟件，刻進了 2 萬張印著“艾滋病介紹”的光碟，發給了當年參加世界艾滋病大會的人，這場大會，正是由世界衛生組織舉辦的。

隨光盤附贈的，還有一個手冊，上面清楚的寫著：這些程序將會影響計算機上的其他應用程序，你可能會因此而支付一些費用，而且你的電腦也會停止正常運作。

可惜的是，說明手冊這種東西，歷來就沒什么存在感。

來自全球各地的醫學研究者們看都不看，直接就把光碟塞進了電腦，看著屏幕上出現一個程序安裝界面，上面友好的寫著一行字：此程序旨在提供有關艾滋病的最新信息。

艾滋病作為一種聞者色變的疾病，非常受到醫學研究者的關注，安裝一個軟件，就能及時獲取最新消息，這么高的性價比，沒理由拒絕，于是一個個都選擇了安裝。

安裝后沒多久，屏幕上跳出一個對話框：請支付軟件租賃費用，189 美元 / 年。

激活后的信息界面

中招的那些人，關閉對話框后，發現什么都沒有發生，以為只是個惡作劇。其實，只是時機未到。

當電腦重啟次數達到 90 次后，病毒軟件就會啟動，通過重命名、加密和隱藏系統上的目錄和文件，達到攻擊電腦文件的目的。

也不知該說幸還是不幸，波普在軟件編碼過程中犯了錯，盡管加密方式是靠譜的，可他卻將執行加密程序的密鑰存儲在了同一文件中。這一漏洞很快被殺毒軟件發現，所有受害者才免于損失。

正是因為這次攻擊，波普在家中被 FBI 逮捕，遭到起訴，后于 2006 年去世。

盡管這只是一個泄憤之舉，卻開創了一種全新的黑客攻擊模式。

在此后的 30 多年里，全球都陷入了勒索軟件攻擊的威脅之中，2017 年的漏洞“永恒之藍”和進一步開發的勒索病毒“ Wannacry”，更是讓國內眾多高校校內網、大型企業內網和政府機構專網中招，被要求支付高額贖金才能解密文件，引無數論文學子抱被痛哭。

在這 30 多年的發展中，勒索軟件攻擊喊著奧運口號，一步步朝“更快、更高、更強”邁進。

早期的勒索軟件攻擊，屬于通用攻擊，就像一張網撒海里，魚鯨蝦蟹抓著哪個算哪個，目標性不強。

可一段時間之后，黑客發現，大企業不好搞，交個贖金還得層層審批，效率太低，還是小企業好欺負。于是，勒索軟件攻擊進入中期階段。

中期的勒索軟件攻擊，摒棄了廣撒網的做法，專挑老弱病殘的企業發起攻擊，偶爾才弄個大企業。

過了一段時間，黑客又開始復盤：好搞的企業，支付贖金的意愿和能力都偏弱，性價比太低，大企業和關鍵行業雖然難搞，卻有“單車變摩托”的收益，相比之下，還是大企業有搞頭。

于是，勒索軟件攻擊進入成熟期：目標明確;團隊化分工操作;采用雙重威脅模式，提升成功幾率;新增數字貨幣支付，提升隱秘性。

這次攻擊殖民管線的 DarkSide 勒索病毒團隊，就是其中高水準的一大代表，怕是早已實現財富自由。

ocean 在電話里跟我說，早在 2020 年 8 月，他們就監測到了一個新的流行勒索軟件家族，自稱 DarkSide，通過定點攻擊來獲利。

當時，市面上其他流行的勒索軟件家族，在成功感染目標客戶后，首先會發一封勒索信，等有了一定的活躍時間和更多的攻擊成果后，才會啟動數據泄露站點。

但 DarkSide 不按套路出牌，直接就在勒索信中寫明：我們已經拿到你們的數據了，這里是發布站點鏈接，不信的話，自己來驗證。

受害企業將勒索信中提供的 Key 值輸入站點后，就能看到非常詳細的數據恢復方式及贖金金額，頁面還留有數字貨幣地址，以及溫馨提示：不按規定時間付款，贖金可是會漲價的喲~

更為驚人的是，DarkSide 還有著自己鮮明的原則和特色。

1、有四種目標不會攻擊：

a) 醫院

b) 學校

c) 非盈利組織

d) 政府部門

2、開設咨詢窗口：在支付贖金前，可以詢問任何問題，有專人進行回答。

3、DarkSide 可以保證，收到贖金后，立刻恢復數據，并刪除所有已上傳的數據，保你毫無后顧之憂。

4、不會攻擊獨立國家聯合體 (CIS) 中的國家。

這是因為這些國家的政府，不太在意這些網絡犯罪，只要攻擊者針對的目標是外國人就行，而且從法律層面來看，只要沒有損害國家利益，打擊力度都很弱，所以，包括 DarkSide 在內的絕大多數惡意軟件家族，都傾向于不感染 CIS 成員國。

5、用收到的贖金做慈善。有證據顯示，DarkSide 多次給慈善組織捐款，如果這些慈善組織給力的話，應該已經有一部分人和地區從中受益了。

在過去的 30 年里，勒索軟件攻擊正在以驚人的速度推陳出新，不少攻擊堪稱完美犯罪：輕松獲得贖金，幾乎不會被追蹤。

所有的黑客攻擊都有兩面性，一面是受害企業和國家遭受損失，另一面則是全球正日益提高的安全意識。在勒索軟件攻擊來臨之前，一定要守好三道防線：

• 為設備做好安全防護；
• 提高安全意識；
• 給數據做好冷、熱備份。

支付贖金看似是個應對辦法，但說到底，只是個下下策。

對了，最后值得辟個謠：網傳，燃油管道運營商 Colonial Pipeline 被攻擊后，美國宣布進入緊急狀態。

新聞一出，很多嘲諷的話語隨之而來：美國在新冠疫情的瘋狂蹂躪之下，都強撐著沒有宣布進入緊急狀態，結果被一次黑客攻擊給推進去了。

事實上，美國這次宣布的“緊急狀態”，是由美國交通運輸部聯邦機動車輛安全管理局發布的，這是一種臨時性措施，涉及多個州及華盛頓特區。

為啥要發布這個呢?很簡單，文章開頭已經說了，Colonial Pipeline 受到攻擊后，暫停了所有的管道運營，可它又身負重任，承擔著美國東岸近一半的燃油供應。眾所周知，在美國，經濟發展是頭號大事，管道運營停了，可油氣運輸不能停。

油氣資源原本是禁止公路運輸的，可現在是特殊情況，既然經濟發展不能停，就得出動汽車來運輸了。

這才是正確的“緊急狀態”。

作為吃瓜群眾，瓜能吃，但得吃明白，否則跟人吹牛的時候，容易暴露。

參考資料：

1、https://abc7.com/cyberattack-on-us-pipeline-is-linked-to-criminal-gang/10604548/

2、https://mp.weixin.qq.com/s/PnOPAuZLAe5k8bmCkWbjjQ

3、https://www.bbc.com/news/technology-57063636

4、《網絡戰爭：顛覆商業世界的黑客事件》 查爾斯·亞瑟