計算機(jī)和互聯(lián)網(wǎng)早已是基礎(chǔ)設(shè)施，但我們對它的安全性還不夠上心。

作者 | 靖宇

在好萊塢的影視作品中，美國聯(lián)邦調(diào)查局FBI的特工總是帥氣的甩出證件，通過縝密的推理和過硬的身手，挫敗犯罪分子一個又一個的陰謀。

雖說藝術(shù)源于生活，但有時候生活會和你開一個大玩笑。

就在11月12日深夜，F(xiàn)BI的下屬網(wǎng)站被黑客利用，發(fā)送了大量虛假詐騙郵件。而就在不久前，美國剛剛懸賞1500萬美元用于打擊黑客行為。

01

FBI：對不起，我被「黑」了

美國聯(lián)邦調(diào)查局（FBI）于 11 月 13 日證實(shí)，其用于與州和地方執(zhí)法部門共享信息的下屬網(wǎng)站被黑客攻擊，并發(fā)出了大量有關(guān)網(wǎng)絡(luò)犯罪調(diào)查的虛假郵件。

美國東部時間 11 月 12 日深夜，數(shù)百萬封虛假郵件從 eims@ic.fbi.gov 發(fā)出，收件人包括 KrebsOnSecurity（知名安全網(wǎng)站）。

「嗨，我是 pompompurin，」郵件寫道，「查看郵件標(biāo)題，您會發(fā)現(xiàn)它來自 FBI。我們在調(diào)查您的資料信息時發(fā)現(xiàn)了可疑網(wǎng)絡(luò)，請立即處理并采取相關(guān)行動，謝謝。」

圖片來源：Spamhaus.org

后續(xù)有關(guān)調(diào)查表明，這封郵件確實(shí)出自 FBI，并且是 FBI 自己的網(wǎng)址。發(fā)件人的域名 eims@ic.fbi.gov 對應(yīng)的是 FBI 的刑事司法信息服務(wù)部門 (CJIS)。CJIS 負(fù)責(zé)公共安全社區(qū)相關(guān)的管理運(yùn)行工作，也可輔助幾個用于刑事和民事案件的國家犯罪信息系統(tǒng)，包括執(zhí)法部門、監(jiān)獄、監(jiān)察部門、法院以及緩刑和審前程序。

戲劇性的是，在接受 KrebsOnSecurity 采訪時，Pompompurin 表示，本次黑客攻擊是為了「指出」FBI 系統(tǒng)中的一個明顯漏洞。

相比于一般的黑客攻擊，Pompompurin 對于 FBI 網(wǎng)站所做的更像是一場惡作劇。當(dāng)然，F(xiàn)BI 可能不覺得好笑。

Pompompurin 說:「我們可以利用這個漏洞來向公司發(fā)送看起來毫無問題的郵件，然后讓他們交出機(jī)密數(shù)據(jù)。任何相關(guān)負(fù)責(zé)人都不會發(fā)現(xiàn)郵件有問題，因為 FBI 在他們的網(wǎng)站上發(fā)布了相關(guān)通知。」

Pompompurin 以 FBI 執(zhí)法企業(yè)門戶網(wǎng)站（LEEP）為切口操控其郵件系統(tǒng)，并將 LEEP 描述為「為執(zhí)法機(jī)構(gòu)、情報組織和刑事司法主體提供資源的門戶網(wǎng)站」。

The FBI"s Law Enforcement Enterprise Portal (LEEP)網(wǎng)站頁面

「這些資源可用于幫助調(diào)查人員推動案件發(fā)展，加強(qiáng)各機(jī)構(gòu)之間的信息共享，并可集中在一個地點(diǎn)內(nèi)使用!」FBI 的網(wǎng)站介紹頗為熱情，甚至直到 13 日，LEEP 門戶網(wǎng)站還允許用戶注冊，相關(guān)步驟也大大方方地貼在司法部的官網(wǎng)上。（值得注意的是，這些說明中的「第一步」是使用 ie 瀏覽器訪問網(wǎng)站，但微軟出于安全考慮也不鼓勵人們使用 IE 瀏覽器。）

但尷尬的是，據(jù) Pompompurin 稱，F(xiàn)BI 自己的網(wǎng)站在網(wǎng)頁 HTML 代碼中泄露了用于新用戶注冊的一次性密碼，并且用一個簡單的腳本就可以修改郵件內(nèi)容。「不用說，這在任何網(wǎng)站上都很可怕。這種情況我以前見過幾次，但從來沒有在政府的網(wǎng)站上看到過，更不用說 FBI 管理的網(wǎng)站。」

02

「黑客帝國」

如果說本次黑客攻擊帶著點(diǎn)「trick」（惡作劇）的喜劇色彩，那么幾天前的那次就不太好玩了。

當(dāng)?shù)貢r間 11 月 4 日，美國國務(wù)院宣布，將最高懸賞 1000 萬美元（約合人民幣 6400 萬元），獎勵給任何能夠提供黑客組織「黑暗面」（DarkSide）領(lǐng)導(dǎo)者信息的線人，再額外懸賞 500 萬美元（約合 3200 萬元人民幣），用于尋找參與「黑暗面」勒索軟件攻擊的犯罪個人信息。這兩項懸賞金額合計約 9600 萬元人民幣。

「黑暗面」與美國積怨已久，曾于今年 5 月對美國最大燃油管道運(yùn)營商 Colonial 發(fā)起了勒索軟件攻擊，Colonial 的管道系統(tǒng)被迫關(guān)停，導(dǎo)致美國大部分地區(qū)的汽油、柴油等燃料供應(yīng)受到影響，美國佐治亞州、北卡羅來納州等多地加油站出現(xiàn)搶購現(xiàn)象。影響最嚴(yán)重的時刻，美國一度進(jìn)入了國家緊急狀態(tài)，美國總統(tǒng)拜登嚴(yán)厲抨擊稱，攻擊輸油管道「是一種犯罪行為」。美國為此被勒索了價值 500 萬美元的比特幣（約合人民幣 3220 萬元），「黑暗面」收到加密貨幣后，便提供了解密工具幫助其恢復(fù)計算機(jī)網(wǎng)絡(luò)。

「黑暗面」與戲弄 FBI 的 Pompompurin 不同，前者發(fā)表聲明稱：「我們的目標(biāo)是賺錢，不是給社會制造麻煩，也不是政治行為。」據(jù)悉，「黑暗面」成立于 2020 年 8 月，通過竊取公司和機(jī)構(gòu)的機(jī)密數(shù)據(jù)進(jìn)行勒索，以換取贖金，「黑暗面」病毒便是該組織研發(fā)。

美國網(wǎng)絡(luò)安全公司 Cybereason 負(fù)責(zé)人戴維（Lior Div）透露，「黑暗面」由是一群黑客老手組成，非常職業(yè)化，甚至組建了自己的新聞中心、受害者熱線、郵件列表，還有類似公司準(zhǔn)則的行為指南，試圖把自己包裝成值得信賴的商業(yè)合作方。

Colonial Pipeline 被黑客攻擊后，美國甚至宣布進(jìn)入緊急狀態(tài)｜圖片網(wǎng)絡(luò)

盡管「黑暗面」成立的時間不長，但今年以來，已經(jīng)有超過 10 家大型機(jī)構(gòu)遭到了「黑暗面」的網(wǎng)絡(luò)攻擊，已經(jīng)賺取了上千萬美元的利潤。另外，該組織已經(jīng)列出了至少 40 家受害公司的信息。

有分析人士指出，「黑暗面」使用的勒索病毒與其他勒索病毒相比并沒有技術(shù)突破，該組織的強(qiáng)項是在攻擊前對目標(biāo)公司的深度調(diào)查。在發(fā)動勒索攻擊之前，「黑暗面」基本上掌握了目標(biāo)公司的管理層構(gòu)成、決策機(jī)制、公司規(guī)模、資產(chǎn)大小等關(guān)鍵信息。

根據(jù)以往的勒索案例，「黑暗面」在索要贖金的環(huán)節(jié)非常強(qiáng)勢，只接受比特幣或者門羅幣等加密貨幣，金額從 20 萬美元到 2000 萬美元不等，取決于被勒索公司的財務(wù)狀況和業(yè)務(wù)規(guī)模。

如果公司沒有在指定的日期前支付，贖金將翻倍。如果公司拒絕支付贖金，「黑暗面」將會把竊取的機(jī)密信息全部曝光，包括被勒索公司的名字、被攻擊的時間、竊取的數(shù)據(jù)大小、竊取數(shù)據(jù)的類型等詳細(xì)列表；或者直接攻擊對方網(wǎng)絡(luò)系統(tǒng)，迫使其業(yè)務(wù)線癱瘓。

此前，「黑暗面」曾在暗網(wǎng)上發(fā)布聲明，稱已竊取日本東芝公司法國分公司 740G 機(jī)密信息，并要求對方在規(guī)定時間內(nèi)支付贖金，不然便會曝光機(jī)密信息；而科洛尼爾管道運(yùn)輸公司、肉類生產(chǎn)商 JBS 便是后者。

03

黑客出手，沒有贏家

當(dāng)前，全球的黑客網(wǎng)絡(luò)攻擊、勒索已經(jīng)形成了一條「產(chǎn)業(yè)」，攻擊范圍非常廣泛，每年大量機(jī)構(gòu)遭受網(wǎng)絡(luò)攻擊，至少有 50% 的受害者最終無奈向黑客支付了贖金，勒索金額和造成的損失越來越大。

據(jù)美國國土安全部的數(shù)據(jù)顯示，勒索軟件攻擊在 2020 年增加了 300%，受害者損失超過 3.5 億美元。另外，美國聯(lián)邦調(diào)查局局長克里斯托弗·雷表示，網(wǎng)絡(luò)威脅幾乎出現(xiàn)了指數(shù)級增長，正在調(diào)查大量的政府機(jī)構(gòu)入侵及其他類型的網(wǎng)絡(luò)犯罪攻擊，如此大規(guī)模的網(wǎng)絡(luò)攻擊在美國前所未見，而且目前來看情況還會變得更糟。

今年 6 月，美國國內(nèi)發(fā)布了一份研究報告顯示，如果美國重要的公用事業(yè)或服務(wù)商遭受到重大網(wǎng)絡(luò)攻擊，潛在的損失可能等同于颶風(fēng)等自然災(zāi)害所造成的損失。

調(diào)查結(jié)果估計，如果一家為數(shù)百名客戶提供關(guān)鍵 IT 服務(wù)的提供商遭到網(wǎng)絡(luò)攻擊，被迫網(wǎng)絡(luò)中斷 3 天，可能導(dǎo)致近 800 億美元的經(jīng)濟(jì)損失，已超過 2012 年颶風(fēng)桑迪造成的 650 億美元的損失；如果區(qū)域電力公司等關(guān)鍵公用事業(yè)公司遭受網(wǎng)絡(luò)攻擊，潛在的損失更大，一旦造成電力中斷 5 天的網(wǎng)絡(luò)攻擊可能造成高達(dá) 1935 億美元（約合人民幣 12384 億元）的損失，超過 2005 年卡特里娜颶風(fēng)和 2018 年的加州野火。

這無疑給美國政府敲響了警鐘，打擊黑客網(wǎng)絡(luò)攻擊、勒索已迫在眉睫。因此，也不難理解，盡管美國追回了 Colonial 被勒索的比特幣，也要斥重金懸賞「黑暗面」領(lǐng)導(dǎo)者的信息。

今年，國外咨詢機(jī)構(gòu) Mordor Intelligence 發(fā)布《防務(wù)網(wǎng)絡(luò)安全市場：發(fā)展，趨勢，新冠疫情沖擊和展望（2021-2026）》。該報告指出政府部門以及防務(wù)企業(yè)均對網(wǎng)絡(luò)安全有巨大需求，全球防務(wù)網(wǎng)絡(luò)安全市場體量巨大，2020 年價值為 162.2 億美元，到 2026 年渴望達(dá)到 285.3 億美元。2021-2026 年間的年均復(fù)合增長率（CAGR）約為 10.51%，前景總體樂觀。

但同時網(wǎng)絡(luò)安全發(fā)展也面臨著諸多不利因素。例如受到新冠疫情影響，全球大多數(shù)國家都在削減軍費(fèi)開支，用于網(wǎng)絡(luò)安全的投入因而受到影響。且當(dāng)前社會普遍網(wǎng)絡(luò)安全意識有待提高，更增加了網(wǎng)絡(luò)安全發(fā)展的障礙，與向好的市場前景并不匹配。

根據(jù)國際電信聯(lián)盟（ITU）發(fā)布的《2020 年全球網(wǎng)絡(luò)安全指數(shù)（GCI）》報告，在 193 個國際電聯(lián)成員國中，美國的網(wǎng)絡(luò)安全水平排在首位，其次是英國、沙特阿拉伯和愛沙尼亞，這四個國家的得分都超過 99 分。

當(dāng)互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)成為國家和人類社會運(yùn)行的基礎(chǔ)設(shè)施的時候，如何保護(hù)好這些基礎(chǔ)設(shè)施，和建造這些基礎(chǔ)設(shè)施一樣重要。黑客一次次的「得手」，其實(shí)也是在給人們敲響警鐘。

關(guān)鍵詞： 黑暗面 黑客 網(wǎng)絡(luò)攻擊 郵件 fbi 美國 贖金 pompompurin 網(wǎng)站 公司