數位俠盜的自白?癱瘓美國東岸油管系統的「DarkSide集團」

聯合新聞網 轉角24小時
示意圖 圖/路透社

【2021. 5. 11 美國/俄羅斯】

數位俠盜的自白?癱瘓美國東岸油管系統的「DarkSide集團」

「盜亦有道...敝單位無意造成社會恐慌,我們要的『只是錢』。」美國最大的燃油輸油管線Colonial Pipeline,7日遭「惡意勒贖病毒」癱瘓,控制系統被迫全面下線,中斷了美國東岸45%的燃油運補。截至11日清晨為止,Colonial的控制系統仍無法修復;但介入緝凶的FBI,卻鎖定了俄系的網路犯罪集團「DarkSide」為頭號嫌犯。荒謬的是,對此DarkSide竟然公開發出聲明坦承犯行並表達「悔意」,強調組織出擊無關政治、無意造成社會混亂,駭客行動「單純只是為了賺錢」——但這一超現實的發展卻引發了各方討論,公眾一方面對於這樣的「數位盜亦有盜」很是好奇,但另一方面也顯示勒贖病毒的失控肆虐,已演變成一種高度組織專業化的「暗網大商機」。

▌前情提要:〈美國燃油緊急狀態:「勒索病毒」癱瘓最大輸油管,危機怎解?〉

全長8,850公里的Colonial Pipeline,是美國境內最大的輸油管線,其起點從全美「煉油心臟」德州的休士頓開始,一路沿著美國東岸北上,直到紐澤西州的林登市為止。該管線主要輸送精煉過後的成品燃油,包括一般的柴油、汽油、以及飛機用的航空燃油...等,平均每日輸油量高達1億加侖(250萬桶),佔美國東岸地區每日燃油需求量的45%以上。

然而這條支撐美東經濟的重要能源動脈,卻在5月7日遭到「勒索病毒」入侵,除了控制系統被惡意癱瘓,公司的內部資料庫也被滲透。於是,為了避免系統失能造成能源事故,並阻止病毒對內部系統的進一步破壞,Colonial Pipeline才會從上周五開始斷網控制系統搶修,「全面暫停供油」。

Colonial Pipeline的癱瘓與系統搶修行動,很快地引發美國本土的油價震盪,除了迫使送不出油的南方油田緊急減產50萬桶每日原油,白宮的拜登總統還為此頒布「緊急狀態」以緩衝各地的燃油斷補。但截至11日清晨為止,Colonial Pipeline的系統復原進度仍相當有限,雖然幾條分流支線已開始恢復運轉,但主幹線與系統狀況仍無法排除,預計最快要等到本周末才有望「重新搶通」。

照片攝於5月10日,位於賓州的一處加油站。 圖/美聯社

圖/歐新社

正當聯邦政府忙著疏通運油路線而焦頭爛額之際,介入調查緝凶的美國國土安全部與FBI,10日也對外公佈了Colonial Pipeline駭客事件的初步緝凶結果:

「我們判斷發動『勒索病毒』攻擊輸油管線的,即是惡名昭彰的俄羅斯數位犯罪集團『DarkSide』!」

根據美國資安顧問公司CrowdStrike的追蹤說法:活動於東歐與俄羅斯的DarkSide,其實是俄系數位黑幫「Carbon Spider」的轉型分支。在過去,Carbon Spider一直是俄國網路犯罪的旗艦組織,其主要攻擊對象是俄國的旅館觀光業、以及民間金融服務單位,獲利方式是信用卡盜刷與竊盜用戶個資。

但隨著網路犯罪的「利潤結構進化」,駭客犯罪也於過去1年多來快速轉型成「專業級的勒索病毒犯罪」,分裂改組的Carbon Spider才因此重組成兩個子系打擊團體——REvil與DarkSide。

DarkSide在暗網的地位更像是「傭兵服務」,除了主動出擊入侵犯罪之外,也會提供病毒供具配合犯罪集團指定服務。其主要的手段,主要分成癱瘓對方內控系統,並竊取內部機密資料,其攻擊對象大多鎖定製造業、金融業來「駭客勒贖」。

圖/法新社

相關資安單位表示,DarkSide勒索行動相當專業,其要脅手段主要會分成「二連擊」:先是滲透控制被害單位的公司系統,接著再竊走並刪除資料庫裡的公司資料,威脅受害單位必須在指定時間內付款,否則就將向全世界公佈機密文件、或使其永久失去沒有備份的關鍵營業資料。

「但超現實的是,DarkSide的『事後服務』非常完善。在特定案例中,被害者在交付贖金後,還會收到一系列的『駭客解毒工具』,頗為仔細親切地指導你要如何還原控制權限...」

「盜亦有道是我們的行動準則。」日前接受專業媒體DataBreaches.net訪問時,DarkSide的犯罪經營程度,不僅設有組織官網,甚至還有官派匿名發言人:

「駭客的勒索取財首重『信用』:你必須讓被害者相信『付錢就能解決問題』才能拿到贖金,否則就算中毒也沒有人願意付錢...因此我們的準則就是要好好服務那些掏腰包的企業,絕不能殺雞取卵、搞壞自己的『行規名聲』。」

示意圖 圖/IMF國際貨幣基金組織

美國司法部表示,在過去一年以來,企業遭遇「勒索病毒」攻擊的通報數字,比起前一年度暴增了62%。這樣蓬勃發展的犯罪商機,也成為促使各國犯罪組織積極參戰的藍海市場。但一般美國企業被勒索的駭客贖金,大多落在10萬美元左右;唯有懂挑獵物、行規口碑又好的DarkSide,每次出手的贖金行情卻可達到300~1,000萬美金之譜。

根據DarkSide的「犯罪原則公告」,集團的勒索對象多以「有錢大財團」為主,但為了避免爭議、波及無辜,DarkSide的直屬成員或受聘行動,將不得對公眾利益單位發動攻擊——像是:醫療機構、長照護理之家、疫苗研發商、喪葬禮儀服務、學校與高等學術研究索、非營利組織、政府機關...等,都是DarkSide明令禁止的「禁駭對象」。

此一特殊的規範狀況,明顯與其他勒索病毒組織不同,因為醫院與公家機關往往是最好入侵的揚威單位;然而相較於私人企業與財團,這些公眾單位能支付的贖款金額較少、甚至不可能配合付錢,但其引發的報案與緝凶壓力卻非常大,這反會讓犯罪組織承受不必要的被捕風險。

但在本回的Colonial Pipeline事件中,DarkSide的駭客行動卻引發了軒然大波——儘管Colonial Pipeline是由殼牌石油、科氏化工、KKR投顧共同注資組成的「富有財團」,照理來講是DarkSide典型的勒索對象;但其被害影響的社會震撼,卻明顯超出了犯罪組織的預期,不僅國際能源市場因此大亂,就連白宮都出手發出緊急命令,並動員FBI、國土安全部全力緝凶,

「出風頭鬧得太過頭...反讓DarkSide成了美國數位國安拼命要抓到人的頭號公敵。」

圖/路透社

但超現實的是,面對FBI的點名壓力,DarkSide竟然透過犯罪官網發出了一則令人哭笑不得的「媒體聲明」,內容間接承認了Colonial Pipeline的犯罪責任,並若有似無地表達悔意,強調組織並無意造成社會動盪,「以後會更認真地評估入侵對象!」

在這則標題為〈有關最近新聞...〉的聲明稿中,DarkSide如此表示:

「我們的行動無關政治,也沒在玩什麼地緣政治、國際關係,所以請各位不要浪費力氣、企圖把我們的行為連結特定國家、或者猜測一些根本不存在的其他目的——我們要的只有錢、發大財,並沒有故意造成社會困擾的動機!」

「...但有鑑於最近的發展,我們也決定從今天開始,將重新檢視並修正合作夥伴們未來意欲滲透勒索的公司對象,以避免重蹈這次的『社會代價』!」

簡單來說,DarkSide不僅承認自己與輸油管癱瘓事件有關,甚至還承諾「以後會注意,避開同領域公司再度犯案」。

但什麼時候連網路犯罪集團,都在講求「社會責任」?是這年頭的數位犯罪特別有良心?還是這份讓人傻眼的自白聲明,還連帶有其他的策略目的?

圖/取自推特

對此,英國《金融時報》也引述了不同專家的解讀分析——像是著名的防毒專業服務商「卡巴斯基」,就認為DarkSide的怪異聲明,只是為了打響知名度的公關宣傳而已,因為透過這一系列的新聞曝光,DarkSide不僅成為了「數位犯罪服務供應商」的話題品牌,透過各種報導也都能再一次地宣傳「DarkSide盜亦有道...付錢真能取回資料」,進而使受害公司更願意付錢的心戰目的。

但像是波士頓資安顧問公司Cybereason則認為:DarkSide有時只扮演武器供應商的角色,在某種程度上,他們可能也確實不樂意Colonial Pipeline事件所帶來的不必要曝光。因為這樣的名氣不見得真能吸引暗網客戶,反而會吸引各國網路刑警、甚至是FBI的全力追緝,陷組織成員成為網路通緝的高度風險之中。

除此之外,DarkSide的俄系背景也引發了許多針對莫斯科的「網軍揣測」。但截至目前為止,FBI只是「不排除有國家級角色涉案」,尚不能直接證明Colonial Pipeline事件、或DarkSide組織與俄羅斯的官方網路戰有關。

另一方面,在宣佈DarkSide為本波勒索病毒首要嫌犯之際,FBI也令人在意地於記者會上表示:

「聯邦政府願意主動協助Colonial Pipeline取回系統權限,但對方卻拒絕政府的好意。」

由於被駭至今,Colonial Pipeline一直不願意對說明事發經過、被害程度,甚至是被勒鎖的贖金金額,因此無論是業界還是美國政壇,都私下對媒體表達質疑,認為Colonial Pipeline可能正在考慮「支付贖款,付錢了事」——但此一重大犯罪事件已攸關美國國家安全,是否可讓被害業者付贖金?政府介入調查可深入到怎樣程度?種種爭議也在這場新時代的「數位犯罪」之中,引發了無限延伸的種種管治難題。

圖/歐新社

過去24小時 美國 俄羅斯

推薦文章

留言