美遭「勒索軟件」勒贖5百萬美元的本質及正確處理的真相─科技與智慧(27)
作者:陳華夫
美國最大的成品油管線營運商「殖民管線」(Colonial Pipeline)於2021/5/7日(週五)遭網路駭客「黑暗面」(Darkside)的「勒索軟件」(Ransomware)襲擊,導致管線被迫關閉。由於該公司8,850公里輸運管線運送超過一億加侖成品油/每天,包括汽油、柴油、航空燃油和取暖油,約占東岸燃料消耗量的四十五%,並為美國軍事設施提供服務。造成美國17個州與華府陷入能源危機,美國於9日宣佈進入國家緊急狀態。(見最大營運商遭駭入勒索美8850公里輸油管線停擺、及油管遭駭╱是否要付贖金 企業自行決定)
(圖片資料來源:媒體)
據彭博社引述消息指出,管線營運商「殖民管線」以無法追蹤的加密貨幣,支付了贖金近五百萬美元(約1.4億台幣)給駭客集團。先前美國聯邦調查局FBI認為,這起勒贖攻擊案的幕後是網路駭客「黑暗面」(Darkside),也建議不要支付贖金。而駭客「黑暗面」收款之後,提供解密工具,但因為速度太慢,殖民管線最後用自己的備援系統,恢復電腦運作。「殖民管線」公司並拒絕評論彭博社的報導。(見彭博社:美最大燃油管線業者支付駭客近1.4億贖金)
但不是每一件企業的電腦「資安事件」都是遭是「勒索軟件」襲擊;例如遠銀於2017/10月遭駭客入侵,轉走18億元,根本沒有所謂的「勒索」。(見遠銀去年遭駭盜走18億元 是北韓駭客組織所為 總座:已知悉但真假難辨)。而造成台積電損失52億元台幣的生產機臺遭電腦病毒感染的「資安事件」,也不是「勒索軟件」造成的。(見【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末,(上)(下))。
最接近「勒索軟件」襲擊是而2020/5月,中油加油站一度無法使用中油 Pay 等支付方式,疑似遭到駭客入侵,植入了「勒索病毒」,發言人也向媒體證實,超過 7 成行政系統電腦都感染,但勒索細節未見媒體報導。(見台積電、中油都曾中標!助產業龍頭解「勒索病毒」,宏碁小金雞靠什麼站穩市場?)
大家也許會納悶,「勒索病毒」不就是種電腦病毒,只要有雲端儲存的備份資料,可以取代遭病毒污染的資料,再重開機運轉,即可。為何美國聯邦調查局(FBI)的網路專家也會被「勒索軟件」勒索,而束手無策呢?並且苦主「殖民管線」為何第一時間,沒有使用「自己的備援系統,恢復電腦運作」,而是在付了贖金才使用呢?
回答此問題的關鍵是需要釐清(1)資訊技術的「IT系統」(Informational Technology System)和(2)運營技術的「OT系統」(Operational Technology System)之間的差異。
首先,「IT系統」是屬於純粹的軟體,可以雲端儲存的備份資料,可以取代遭病毒污染的資料,再重開機運轉,不會需要系統「脫機」(offline)。
但「OT系統」卻大為不同,「OT系統」涉及系統裡眾多的感測器及數字計數器,在「OT系統」開機運行時,它們必須「初始化」(Initialization),但在運轉中,是它們紀錄了整個系統運轉的現況。假若在運轉中,突然遭「勒索軟件」襲擊,若屈服勒索,交了贖金,則系統解除「勒索軟件」的制肘,可以繼續運行。
若拒付贖金,必須以備份軟體繼續運轉,則系統需「脫機」(offline),然後,再開機,「初始化」感測器及數字計數器,在此過程中,若有一個系統運轉的現況的資料就被「初始化」洗掉,則系統無法正常運轉,而可能造成巨大的損失,遠超過媒體所報導的近五百萬美元贖金的數倍(後續實際付了440萬美元,詳細見拙文美國最大油管商付贖金440萬美元的深刻教訓─科技與智慧(28))。所以, Colonial Pipeline營運商及任何大型生產企業(如台積電)的「OT系統」的雲端儲存的備份資料系統,及防毒軟體都是用處有限的。
那要如何正確處理「勒索軟件」襲擊呢?
「美國國家標準技術協會」( NIST)建議大型企業一定要修補「軟肋」,不管是花多少成本,最好要運行一套「並行系統」(a parallel system)。也就是應該不計成本,在分離的、兩個相同的大系統下,運行一模一樣的營運系統。當一個系統被駭,另一個平行系統可助其以「備份系統」運行。(見網絡談判:一種網絡風險管理方法─保衛城市的關鍵基礎設施網絡攻擊)
【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(上)
【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下)
台積電、中油都曾中標!助產業龍頭解「勒索病毒」,宏碁小金雞靠什麼站穩市場?