网络世界对真实世界构成的威胁，正变得前所未有的严重。

从核电站、自来水厂、石油运输管道，到医院或是一般企业，在新冠疫情后都遭遇了越来越多的网络攻击事件。

2021年5月7日，因黑客的网络攻击，美国最大的成品油管道运营商Colonial被迫停运。Colonial提供了美国整个东海岸45%的燃油供应，因为这一事件美国多地宣布进入紧急状态。

一起网络攻击迫使Colonial Pipeline 5500英里的庞大州际系统关闭

最终，因为数百万人的汽油供应受到影响，时间紧迫，Colonial付给黑客500万美元的虚拟货币作为赎金，获得了解密器，才于13日恢复运营。

一个月后，全球最大的肉类加工商JBS也被黑客攻击，JBS被迫停止了在美国和澳大利亚一些工厂的运营，导致美国近四分之一牛肉加工能力，和五分之一猪肉加工能力下线。

最近的趋势反映出，全球网络犯罪的方向，可能正在从以前的“窃取数据”，向“瘫痪基础设施”方向发展。

在网络攻击中，个人也时常受到威胁。由于给黑客的赎金多数都是用虚拟货币支付的，最近老是扰动虚拟货币市场的马斯克，也遭到了黑客组织发布的“追杀令”。

在一条近4分钟的视频里，一个头戴面具、经过变声处理的人自称代表“匿名者”黑客组织，直接喊话马斯克：“你或许认为就属你自己最聪明，但你现在遇到对手了。我们是‘匿名者’组织，我们人数众多，等着吧！”

黑客组织“匿名者”（Anonymous）于6月5日在网络上发布一则视频，狂言抨击马斯克

“匿名者”抨击马斯克“不断挑衅”虚拟货币市场。在过去一段时间里，马斯克经常发文评价虚拟货币，导致了一些暴涨暴跌的情况。例如他曾对比特币表示失望，导致比特币在9小时内跌了6%。

2020年以来，全球APT攻击越来越活跃，攻防趋于白热化。“从更宏观的角度来看，疫情扰乱了经济，国际政治环境也在突变，全世界暴力事件都在变多，而网络攻击其实是属于暴力的一种。”木链科技创始人向昶宇（亦是亿万创业营三期成员）说，木链科技是一家面向工业互联网，专注于工控安全产品开发、技术研究的国家高新技术企业。

“未来5年这种事情会越来越多，我们也需要为此做好攻防准备。”

1

历史上对美国基础设施最大的黑客攻击

对于先进的黑客来说，很多国家的能源基础设施就是脆弱的靶子。

发电厂、管道运输商和炼油厂使用操作控制系统来运行物理设备，很多系统较为老化，很容易受到网络攻击。

美国最大的成品油管道运营商Colonial就是这样一个大靶子，5500英里长的管道向美国东海岸输送了45%的汽油、柴油等成品油，以及不仅与管道相连，还与炼油厂和发电厂相连的巨量传感器、阀门、测漏工具和其他系统。

这次攻击是典型的勒索软件，这类代码往往会控制目标的计算机系统，并且锁死，然后向受害者索要赎金以解锁系统。

从事工业网络安全的公司木链科技，分析了攻击Colonial的勒索病毒，技术人员模拟了被攻击时的情况。

首先将携带病毒的软件安装在虚拟机中，打开勒索软件后，你的桌面会变成黑屏，随后出现一个txt文件，里面给出被勒索的提示。

被攻击后桌面黑屏，所有数据被锁死（图片来源：木链科技）

打开txt文件，里面有联系黑客交赎金的提示（图片来源：木链科技）

使用Debugger调试该样本直至它解密到内存之后，可以发现以下几个点：

1、样本尝试获取本机默认语言，并在下方有419俄语标志。通过逆向得知，DarkSide的恶意软件将检查语言设置，以确保他们不会攻击俄罗斯组织。（这个黑客组织来自俄罗斯或前苏联地区）

2、发现回传数据C2地址：

图片来源：木链科技

捕获流量后发现新C2地址以及回传内容：

图片来源：木链科技

Colonial被迫停运后，拜登政府发布了一项紧急豁免令，延长17个州运送燃油的卡车司机的上路时间，包括美国东南部几个大部分燃油消费均依赖该管道的州。

根据美国汽车协会(AAA)的预测，在密西西比州、田纳西州和东海岸从佐治亚州到特拉华州等受影响地区，一周内汽油价格可能上涨3美分到7美分。

一个月后对JBS的攻击也类似，在整个美国食品行业引起轩然大波。

JBS的工厂关闭导致后续几天肉类供应出现间歇性短缺。根据美国农业部的数据，周三，盒装精品牛肉价格上涨5.6美元，至每百磅340.16美元，创下至少一个月来最大涨幅。

由于JBS在最近几年推动业务流程数字化，模糊了办公室IT系统和工厂运营控制系统之间的界限，使攻击者有更多的途径入侵。

虽然JBS备份了数据，备份服务器未受这次攻击的影响，JBS也尝试与一家外部公司合作来恢复系统，但最终还是向黑客支付了1100万美元赎金，当然是用比特币支付的。

2

其实是有内鬼，黑客80%靠“社会工程学”

黑客一般是如何实现攻击的呢？

外界对黑客一直有一种误解，觉得他们都是“nerd”，总是一副不修边幅的形象，例如一个月不洗澡、住在车库里、乱糟糟的头发……

但其实，真正的黑客行为，只有20%是在电脑前的技术部分，而另80%，是“社会工程学”（Social Engineering）。

“社会工程学”其实就是对人的渗透，再坚固的堡垒，从内部攻破往往会容易很多，高攻击性的APT攻击就属于此类。曾经席卷全球工业界的震网病毒（Stuxnet病毒），就是结合了社会工程学的典型例子。

《中国解放军报》曾报道，美国利用震网蠕虫病毒攻击伊朗的铀浓缩设备，这种病毒是新时期电子战争中的一种武器。

但任何国家的核设施都是隔离管理的，如果纯网络攻击，首先去全域扫描就是一件极其困难的事情，你无法知道哪个IP背后对应哪台服务器。

但从内部渗透就不一样了。当时美国就买通了当地离心机厂商的一位员工，通过“插U盘”的方式，就是让那位员工带着已经装好病毒的U盘，插到目标机器里，然后程序就自动执行了。

在2020年特斯拉挫败的一场黑客攻击中，一名黑客通过WhatsApp聊天应用，接触了特斯拉位于内华达州超级工厂的一名工人，向他出价100万美元，想让他在特斯拉的内部网络中安装恶意软件，引发分布式拒绝服务攻击。

其目标是，当特斯拉的网络安全团队被分布式拒绝服务攻击分散注意力时，该恶意软件会访问公司机密，黑客可以利用这些机密勒索赎金。

但这名工人很忠诚，他向特斯拉的管理人员报告了此事，后者向FBI发出了警报。该工人随后假装同意这个计划，并在之后与这名黑客会面时带上了窃听器，这名黑客最终在洛杉矶被捕。

马斯克曾对外表示，“这是一场严重的攻击”。对于很多制造企业来说，因为要用到大量复杂设备，不知不觉被“内鬼”插入一些端口，彻底杜绝有一定难度。

除了寻找“内鬼”，通过安全薄弱的上下游环节入侵也越发普遍。特斯拉就曾经面对过这种麻烦。

一群黑客在2021年3月对外表示，他们侵入了安全摄像头供应商Verkada的网络，获得了包括特斯拉在内几家公司的内部视频资料，包括安装在特斯拉各个工厂和仓库内的222个摄像头的录像。

黑客是如何实施攻击的？首先，Verkada出售安全摄像头，其客户可以通过一个名为Command的网络平台，来管理该公司出售的安全摄像头。这个平台将跨设备的数据汇总到一起，再向用户提供跨站点的完整画面信息。

但黑客们在互联网上定点攻击并拿到了Verkada管理账户的用户名和密码，从而获得了这些视频权限。所以，这是一家供应商无意间打开进入客户网络后门，而引发的网络安全事件。

而在2020年震惊全球的SolarWinds攻击事件，也是通过类似的套路——盯上系统背后的基础软件。

四年前，黑客主要依靠鱼叉式钓鱼窃取登录凭证。这种攻击方式是冒充他人欺骗电子邮件收件人点击恶意链接。如今，黑客不会直接针对组织，而是通过后面的基础软件入侵，并以此为跳板达到他们的目标。

这起黑客攻击事件，最终导致美国财政部、司法部、能源部、商务部、国务院、国土安全部、劳工部、能源部，以及微软、思科、洛克希德-马丁公司等等《财富500强》中的425家遭受威胁，共计有1.8万家公司或机构下载了SolarWinds藏有恶意代码的更新软件。

这次网络攻击利用了一个看起来不太可能的“源头”——一家鲜为人知的软件公司SolarWinds。SolarWinds是全球网络和系统管理工具型软件，它是大多数企业的基础软件，通常不受关注，主要供维护计算机网络和软件正常运行的技术人员使用，就类似公司的管道系统。

黑客早在2019年9月，就通过该公司的一个Office 365电子邮件系统入侵了进来，然后以此为跳板侵入了该公司的其他Office 365账户，并潜伏了数月。

黑客们利用软件产品中的已知漏洞，通过猜测在线密码，以及利用微软基于云计算软件配置方式中的各种问题，侵入了其他各种系统。

这次入侵之所以能够成功，更大的背景是许多企业和政府正在精简他们的供应商，许多供应商也在提供更丰富的服务，以抢占市场。黑客们显然利用了这一点，高市场份额的公司如果不能做好网络安全防御，如此大的范围可让攻击者通过一个入口就打击多个目标，这也是集中化的劣势之一。

最终，黑客们都追求销声匿迹，例如把log日志清掉等等扫尾工作都做到位。“但这就是一个道高一尺魔高一丈的事，任何蛛丝马迹都可以去分析、去溯源。” 木链科技创始人向昶宇说，他曾协助军工、电力、工业企业进行安全建设和溯源工作。

“抹掉痕迹本身也是一种痕迹。”

3

被黑了怎么办？给黑客交赎金？

当被勒索软件攻击时，Colonial和JBS代表了大部分公司的反应。

首先，对于任何能源公司来说，病毒扩散到更深层的后果都是非常可怕的，因为有可能扩散到炼油厂、发电厂等上下游产业，Colonial只能选择先紧急关停。

而对于肉制品公司JBS来说，也选择了关停，主要是防止黑客接触到公司技术，很多技术是为公司业务定制的，这对企业利润至关重要，技术一旦被破坏将很难恢复。

如果你碰上的是网络正规军，他们往往从事间谍行为，除非处于国家之间交战状态，不然他们会隐藏自己，偷偷植入后门潜伏，搜集情报，甚至不会被对方发现。

但如果你遇到的是就想赚快钱的抢劫犯，他们会锁死你的系统，威胁要彻底清除所有数据，要你交赎金。

如果技术人员无法在短时间内成功解锁，人们可以暂时少吃点肉，但成品油的运输一旦暂停太久，对经济的影响面会广很多，所以Colonial选择了乖乖交赎金。

“抢劫犯”们遵循“盗亦有道”。例如攻击Colonial的黑客组织DarkSide，自称与政治无关，存在的目的只是赚钱。他们有一套判断机制，当准备去干一票时，会先检查这个公司是否符合要求，以免造成过于严重的社会问题。

这个黑客组织自称不会攻击医院、非盈利组织、疗养院，以及那些在新冠疫情中有贡献的公司。

至于赎金，他们会对受害公司进行评估后决定。同时承诺，支付赎金以后会解密数据，删除上传的数据，反之则会在TOR节点中公开数据，时间至少6个月。

不过黑客们的解密工具有时候也不是完全有效。当Colonial向黑客支付了近500万美元赎金后，所得到的解密工具没能有效恢复运营，最终还是依靠系统备份实现了恢复。

黑客通常会要求受害者用虚拟货币支付赎金，因为虚拟货币很难跨国追踪。美国官员并不鼓励受害公司支付赎金，因为这助长了犯罪行为，并且给犯罪组织提供资金以使他们可以提升技术。

近年来网络勒索案件数量激增。据WSJ报道，2020年报告给美国联邦调查局（FBI）的案件数达到近2500起，同比增加66%。

并且其实很难获得关于攻击的精确数据，原因之一是肇事者和受害者都希望保密。据区块链分析公司Chainalysis Inc.提供的信息，2020年，勒索软件受害者至少向犯罪分子支付了价值3.5亿美元的加密货币，金额增长了311%。

图片来源：华尔街日报

虽然政府一直告知企业，在受到黑客攻击时不应该支付赎金，但实际至少有一半的受害者最终支付了赎金。

很多公司不想失去数据，因为这会损害其业务。另外对于一些基础设施提供商来说，例如Colonial，停止运营太久对经济整体危害很大，所以Colonial的首席执行官Joseph Blount为自己辩解道：“我知道这是一个极具争议的决定，我承认看到钱被这样的人拿走，我并不好受。但对美国而言这是正确之举。”

这甚至都催生了一批赎金谈判公司。受害者们会在这样的谈判中感到愤怒，但赎金谈判公司会试图保持超然客观，他们先去分析黑客组织的策略和可信度，再为受害者提供如何应对的建议。

例如在被攻击公司高管们讨论应对策略的时候，谈判人员会通过电子邮件或在线聊天与黑客玩起猫鼠游戏。目的是了解黑客可能窃取了哪些数据，为受害者控制影响和利用备份恢复系统拖延时间。

自新冠疫情暴发以来，赎金勒索软件攻击已变得更加频繁，有很多手段也很无耻。

例如一所拥有1万名学生的学校（休斯顿谢尔登独立学区），近期遭到勒索软件攻击，导致该学区无法运作并威胁到马上要进行的薪水发放，该学区最终支付了20万美元赎金，讨价还价前的赎金数额为大约35万美元。

加州大学旧金山分校在2020年6月向一名黑客支付了114万美元赎金，因为黑客对很多重要学术数据进行了加密。

例如有一个黑客团体攻击了爱尔兰的公共医疗卫生系统，导致爱尔兰可能需要花费数千万欧元来修复。爱尔兰人就很刚，他们拒绝给黑客支付赎金，因为这样做“符合国家政策”。

被攻击后的应对措施（图片来源：IBM）

随着国际政治环境突变及新冠疫情肆虐，全球APT攻击越来越活跃，攻防趋于白热化。

并且攻击目标除企业外，政府机构和关键基础设施也都处于高风险之中，包括发电厂、核电站、石油运输管道、工业基础设施、医院、大学研究所等等。

黑客行为之所以会在国际局势动荡的时候变多，核心原因之一是网络攻击往往会“城门失火殃及池鱼”。例如大名鼎鼎的震网蠕虫病毒，就是美国和以色列联合开发的，这项工作至少从2005年就开始了，该病毒在2009年给伊朗核浓缩设施造成了物理损坏。

但网络武器就像生物武器一样，其打击范围往往会超过原定目标。病毒一旦释放，其源代码很容易被盗窃，任何懂网络技术的人都可以下载、研究和再利用。所以一年后，蠕虫病毒在全球爆发，在2011年导致了全球60%的个人电脑感染了这种病毒。

“共同毁灭原则”让核大国不敢使用核武器，但在网络领域，怎么去做好源代码的规范化保护也十分重要，应该避免一些本属于国家的工具，落入到不法分子手中并产生社会安全问题。

在网络世界对真实世界构成威胁越来越严重的今天，无论是大公司还是小公司，优秀的网络攻防应对能力正变得非常重要。甚至在投资机构中，也发生过被勒索软件攻击的案例。

大公司有一整个委员会来处理这件事，但对于小公司来说，被攻击的人可能会失去一切。