數位俠盜的自白？癱瘓美國東岸油管系統的「DarkSide集團」

2021/05/11 轉角24小時

【2021. 5. 11 美國／俄羅斯】

數位俠盜的自白？癱瘓美國東岸油管系統的「DarkSide集團」

「盜亦有道...敝單位無意造成社會恐慌，我們要的『只是錢』。」美國最大的燃油輸油管線Colonial Pipeline，7日遭「惡意勒贖病毒」癱瘓，控制系統被迫全面下線，中斷了美國東岸45%的燃油運補。截至11日清晨為止，Colonial的控制系統仍無法修復；但介入緝凶的FBI，卻鎖定了俄系的網路犯罪集團「DarkSide」為頭號嫌犯。荒謬的是，對此DarkSide竟然公開發出聲明坦承犯行並表達「悔意」，強調組織出擊無關政治、無意造成社會混亂，駭客行動「單純只是為了賺錢」——但這一超現實的發展卻引發了各方討論，公眾一方面對於這樣的「數位盜亦有盜」很是好奇，但另一方面也顯示勒贖病毒的失控肆虐，已演變成一種高度組織專業化的「暗網大商機」。

▌前情提要：〈美國燃油緊急狀態：「勒索病毒」癱瘓最大輸油管，危機怎解？〉

全長8,850公里的Colonial Pipeline，是美國境內最大的輸油管線，其起點從全美「煉油心臟」德州的休士頓開始，一路沿著美國東岸北上，直到紐澤西州的林登市為止。該管線主要輸送精煉過後的成品燃油，包括一般的柴油、汽油、以及飛機用的航空燃油...等，平均每日輸油量高達1億加侖（250萬桶），佔美國東岸地區每日燃油需求量的45%以上。

然而這條支撐美東經濟的重要能源動脈，卻在5月7日遭到「勒索病毒」入侵，除了控制系統被惡意癱瘓，公司的內部資料庫也被滲透。於是，為了避免系統失能造成能源事故，並阻止病毒對內部系統的進一步破壞，Colonial Pipeline才會從上周五開始斷網控制系統搶修，「全面暫停供油」。

Colonial Pipeline的癱瘓與系統搶修行動，很快地引發美國本土的油價震盪，除了迫使送不出油的南方油田緊急減產50萬桶每日原油，白宮的拜登總統還為此頒布「緊急狀態」以緩衝各地的燃油斷補。但截至11日清晨為止，Colonial Pipeline的系統復原進度仍相當有限，雖然幾條分流支線已開始恢復運轉，但主幹線與系統狀況仍無法排除，預計最快要等到本周末才有望「重新搶通」。

正當聯邦政府忙著疏通運油路線而焦頭爛額之際，介入調查緝凶的美國國土安全部與FBI，10日也對外公佈了Colonial Pipeline駭客事件的初步緝凶結果：

「我們判斷發動『勒索病毒』攻擊輸油管線的，即是惡名昭彰的俄羅斯數位犯罪集團『DarkSide』！」

根據美國資安顧問公司CrowdStrike的追蹤說法：活動於東歐與俄羅斯的DarkSide，其實是俄系數位黑幫「Carbon Spider」的轉型分支。在過去，Carbon Spider一直是俄國網路犯罪的旗艦組織，其主要攻擊對象是俄國的旅館觀光業、以及民間金融服務單位，獲利方式是信用卡盜刷與竊盜用戶個資。

但隨著網路犯罪的「利潤結構進化」，駭客犯罪也於過去1年多來快速轉型成「專業級的勒索病毒犯罪」，分裂改組的Carbon Spider才因此重組成兩個子系打擊團體——REvil與DarkSide。

DarkSide在暗網的地位更像是「傭兵服務」，除了主動出擊入侵犯罪之外，也會提供病毒供具配合犯罪集團指定服務。其主要的手段，主要分成癱瘓對方內控系統，並竊取內部機密資料，其攻擊對象大多鎖定製造業、金融業來「駭客勒贖」。

相關資安單位表示，DarkSide勒索行動相當專業，其要脅手段主要會分成「二連擊」：先是滲透控制被害單位的公司系統，接著再竊走並刪除資料庫裡的公司資料，威脅受害單位必須在指定時間內付款，否則就將向全世界公佈機密文件、或使其永久失去沒有備份的關鍵營業資料。

「但超現實的是，DarkSide的『事後服務』非常完善。在特定案例中，被害者在交付贖金後，還會收到一系列的『駭客解毒工具』，頗為仔細親切地指導你要如何還原控制權限...」

「盜亦有道是我們的行動準則。」日前接受專業媒體DataBreaches.net訪問時，DarkSide的犯罪經營程度，不僅設有組織官網，甚至還有官派匿名發言人：

「駭客的勒索取財首重『信用』：你必須讓被害者相信『付錢就能解決問題』才能拿到贖金，否則就算中毒也沒有人願意付錢...因此我們的準則就是要好好服務那些掏腰包的企業，絕不能殺雞取卵、搞壞自己的『行規名聲』。」

美國司法部表示，在過去一年以來，企業遭遇「勒索病毒」攻擊的通報數字，比起前一年度暴增了62%。這樣蓬勃發展的犯罪商機，也成為促使各國犯罪組織積極參戰的藍海市場。但一般美國企業被勒索的駭客贖金，大多落在10萬美元左右；唯有懂挑獵物、行規口碑又好的DarkSide，每次出手的贖金行情卻可達到300~1,000萬美金之譜。

根據DarkSide的「犯罪原則公告」，集團的勒索對象多以「有錢大財團」為主，但為了避免爭議、波及無辜，DarkSide的直屬成員或受聘行動，將不得對公眾利益單位發動攻擊——像是：醫療機構、長照護理之家、疫苗研發商、喪葬禮儀服務、學校與高等學術研究索、非營利組織、政府機關...等，都是DarkSide明令禁止的「禁駭對象」。

此一特殊的規範狀況，明顯與其他勒索病毒組織不同，因為醫院與公家機關往往是最好入侵的揚威單位；然而相較於私人企業與財團，這些公眾單位能支付的贖款金額較少、甚至不可能配合付錢，但其引發的報案與緝凶壓力卻非常大，這反會讓犯罪組織承受不必要的被捕風險。

但在本回的Colonial Pipeline事件中，DarkSide的駭客行動卻引發了軒然大波——儘管Colonial Pipeline是由殼牌石油、科氏化工、KKR投顧共同注資組成的「富有財團」，照理來講是DarkSide典型的勒索對象；但其被害影響的社會震撼，卻明顯超出了犯罪組織的預期，不僅國際能源市場因此大亂，就連白宮都出手發出緊急命令，並動員FBI、國土安全部全力緝凶，

「出風頭鬧得太過頭...反讓DarkSide成了美國數位國安拼命要抓到人的頭號公敵。」

但超現實的是，面對FBI的點名壓力，DarkSide竟然透過犯罪官網發出了一則令人哭笑不得的「媒體聲明」，內容間接承認了Colonial Pipeline的犯罪責任，並若有似無地表達悔意，強調組織並無意造成社會動盪，「以後會更認真地評估入侵對象！」

在這則標題為〈有關最近新聞...〉的聲明稿中，DarkSide如此表示：

「我們的行動無關政治，也沒在玩什麼地緣政治、國際關係，所以請各位不要浪費力氣、企圖把我們的行為連結特定國家、或者猜測一些根本不存在的其他目的——我們要的只有錢、發大財，並沒有故意造成社會困擾的動機！」

「...但有鑑於最近的發展，我們也決定從今天開始，將重新檢視並修正合作夥伴們未來意欲滲透勒索的公司對象，以避免重蹈這次的『社會代價』！」

簡單來說，DarkSide不僅承認自己與輸油管癱瘓事件有關，甚至還承諾「以後會注意，避開同領域公司再度犯案」。

但什麼時候連網路犯罪集團，都在講求「社會責任」？是這年頭的數位犯罪特別有良心？還是這份讓人傻眼的自白聲明，還連帶有其他的策略目的？

對此，英國《金融時報》也引述了不同專家的解讀分析——像是著名的防毒專業服務商「卡巴斯基」，就認為DarkSide的怪異聲明，只是為了打響知名度的公關宣傳而已，因為透過這一系列的新聞曝光，DarkSide不僅成為了「數位犯罪服務供應商」的話題品牌，透過各種報導也都能再一次地宣傳「DarkSide盜亦有道...付錢真能取回資料」，進而使受害公司更願意付錢的心戰目的。

但像是波士頓資安顧問公司Cybereason則認為：DarkSide有時只扮演武器供應商的角色，在某種程度上，他們可能也確實不樂意Colonial Pipeline事件所帶來的不必要曝光。因為這樣的名氣不見得真能吸引暗網客戶，反而會吸引各國網路刑警、甚至是FBI的全力追緝，陷組織成員成為網路通緝的高度風險之中。

除此之外，DarkSide的俄系背景也引發了許多針對莫斯科的「網軍揣測」。但截至目前為止，FBI只是「不排除有國家級角色涉案」，尚不能直接證明Colonial Pipeline事件、或DarkSide組織與俄羅斯的官方網路戰有關。

另一方面，在宣佈DarkSide為本波勒索病毒首要嫌犯之際，FBI也令人在意地於記者會上表示：

「聯邦政府願意主動協助Colonial Pipeline取回系統權限，但對方卻拒絕政府的好意。」

由於被駭至今，Colonial Pipeline一直不願意對說明事發經過、被害程度，甚至是被勒鎖的贖金金額，因此無論是業界還是美國政壇，都私下對媒體表達質疑，認為Colonial Pipeline可能正在考慮「支付贖款，付錢了事」——但此一重大犯罪事件已攸關美國國家安全，是否可讓被害業者付贖金？政府介入調查可深入到怎樣程度？種種爭議也在這場新時代的「數位犯罪」之中，引發了無限延伸的種種管治難題。