市政府遭勒索软件袭击 重回纸质办公时代

发布日期:2019-05-20

上周二(3月27日),亚特兰大市8000名雇员终于等到了期待已久的:“好了,可以开机了!”


        然而,尽管市政府的电脑、硬盘和打印机在停工5天之后重新焕发生机,亚特兰大居民却依然无法在线支付票款、水费,也无法在政府网站上报告坑洞或涂鸦。全球最繁忙的空港也还没有恢复免费WiFi供旅客使用。

上周四(3月22日)早上,亚特兰大市政府遭遇持续性重大勒索软件攻击,办公计算机系统和门户网站纷纷宕机,严重影响政府职能行使。

安全专家认为本次数字勒索是一伙以精挑细选目标而闻名的地下黑客所为,再一次暴露出政府依赖计算机网络行使日常政府职能的弱点。勒索软件攻击中,恶意软件会锁定计算机系统或网络,阻止用户访问重要数据,借此索要赎金。

        亚特兰大市长表示:“我们面对的情况与人质劫持事件类似,只不过,被劫持的是计算机系统。”
        亚特兰大拥有600万人口,是美国南部核心大都市之一。亚特兰大这次受袭代表着美国城市近期网络攻击的迅猛升级。比如去年,达拉斯市就在午夜响起了龙卷风警报——黑客的杰作。

亚特兰大所受勒索软件攻击引发严重后果的部分原因在于攻击背后的犯罪黑客组织:该黑客团伙加密受害者文件,将文件名临时改为“I’m sorry(对不起)”,且只给受害者一周时间支付赎金,超过一周未付赎金,文件就永远找不回来了。




        戴尔SecureWorks安全公司正好位于亚特兰大市,其威胁研究员帮助市政府响应该勒索软件攻击,识别出攻击者是SamSam黑客组织——数十个小心谨慎的活跃勒索软件攻击组织之一。SamSam组织最出名的特点就是对目标的精挑细选和锁定受害者最有价值数据的精准性,他们往往选择的是最有可能支付其高额勒索赎金的受害者——赎金一般是价值5万美元的比特币。

亚特兰大政府官员表示,本次勒索赎金要价5.1万美元,市政网络多个部分陷入混乱。某些重要系统未受影响,比如911紧急调度呼叫服务和污水处理控制系统。但市政职能的其他部分就受勒索软件影响而停工了数日。亚特兰大市法院无法批捕,警官只能手写报告,整个城市都没办法接受就业申请。

亚特兰大官方没有透露太多攻击细节,只是敦促民众提高警惕,安抚雇员和居民其个人信息并未被盗。

 

戴尔SecureWorks和思科Security仍忙于恢复亚特兰大市的计算机系统,但以客户保密责任为由拒绝对攻击发表任何评论。该市市长也未透露市政府是否支付了赎金。专家称,SamSam组织是勒索软件犯罪团伙中比较成功的一个,仅2018年就已经从30个目标组织处勒索了超过100万美元。
        支付赎金显然不是理想的应对之道,但大多数情况下,SamSam的受害者表示,与其耗费大量时间和金钱恢复被锁数据和系统,不如直接支付5万美元赎金还来得更容易些。去年,该组织对医院、警局和大学频频下手,这些机构都是有钱却耗不起系统宕机掉线的时间成本的。
        调查人员尚未确定SamSam成员的身份。从该组织勒索通知所用英文的蹩脚程度看,应该不是英语母语者。但安全研究人员也无法肯定SamSam是组织严密的网络犯罪团伙还是松散的黑客活动临时聚合体。

勒索软件攻击并非新出现的网络现象。几年前就有个人和企业发现自己遭受到“绑架”计算机系统或其上数据只为求财的网络攻击。对大多数人来说,能选的路只有两条:要么支付赎金;要么彻底重装系统——如果没有备份(大部分人都没备份),那就等着损失所有数据吧。

对企业而言,遭遇勒索软件攻击就是在支付赎金和花费比赎金更高的代价重建系统中间二选一。为什么黑客能从勒索软件攻击中切实赚到钱财?或许全新重建系统的开支比赎金更高就是最主要的原因。而且,勒索软件早已在公司系统中潜伏多时,简单重装备份并不能从根本上解决问题的事实,更加剧了公司企业宁可支付赎金的势头。而如今这类针对企业的勒索战术已经蔓延到了主要市政服务的系统上,网络罪犯的野心和无耻昭然若揭。

正如《纽约时报》在报道中所描述的,其中蕴含有国际视角:
        勒索软件在2009年兴起于东欧,当时网络罪犯刚开始用恶意代码锁定毫无防备的用户的主机,然后索要100欧元不等的赎金作为解锁代价。过去10年中,数十个网络犯罪团伙和少数民族国家,包括朝鲜和俄罗斯,开始在更大的范围上采用类似的战术,给受害者造成数字瘫痪,然后索要越来越多的钱。

FBI网络安全专家估测,2016年网络罪犯从勒索软件攻击中获利超过10亿美元。去年5月爆发了史上最大勒索软件攻击:朝鲜黑客在全球70多个国家感染成千上万的受害者,迫使英国公共医疗系统无法接收病患,搞瘫俄罗斯内政部、美国联邦快递、欧洲航运和电信公司的众多计算机系统。
        1个月后,乌克兰独立日当夜,俄罗斯国家黑客部署了类似的勒索软件令乌克兰计算机变成一堆废铁。该攻击关停了乌克兰首都基辅的ATM柜员机,冻结了乌克兰政府机构,甚至迫使切尔诺贝利核电站的员工人工监测辐射水平。其连带伤害影响到了丹麦航运巨头马士基航运公司、美国制药巨头默克公司,甚至俄罗斯的一些公司企业也受到了影响。




        针对美国地方政府的勒索软件攻击非常频繁,令人不安。2016年的全美首席信息官调查发现,获取赎金是城市或县郡政府所遭网络攻击的最常见目的,占了所有攻击动机的近1/3。   

该调查由国际城市/县管理协会和马里兰大学巴尔的摩分校共同执行,发现约1/4的地方政府报告称至少每小时经历一次某种形式的攻击。然而,只有不到一半的地方政府制定了正式的网络安全政策,仅34%有书面的安全事件恢复策略。

专家称,政府官员需更重视预防性措施,比如培训员工识别并规避网络钓鱼的技能,防止他们为勒索软件开启数字大门。地方政府需开始将网络安全放到公共安全同等级的位置上加以考虑,聪明的地方政府会将消防、警务和网络安全一视同仁。
        近些年爆发的网络安全事件不可谓不多,但针对市政的勒索软件攻击尤其引人注意。如果一座城市的系统都很容易被拿下,那要是全国范围内更为关键的系统被搞瘫会出现怎样的局面?县、市、省、全国层面上的政府机构又该怎么阻止此类事件发生呢?