挪威鋁業大廠遭駭客攻擊之回應處置
2019.03.29
瀏覽數
76
壹、新聞重點
全球鋁業巨擘之一的挪威海德魯(Norsk Hydro)公司在2019年3月19日遭到不明駭客以新型勒索病毒「洛克戈加」(LockerGoga)攻擊。一開始是該公司在美國的工廠受到感染,後來擴散到位於其他國家的工廠。受到感染電腦的檔案被加密無法使用,要支付贖金才能予以解密。挪威海德魯公司由國家握有34%的股權,在超過40個國家雇有35,000名員工,其產品在歐洲以及北美的市佔率皆超過20%。由於該公司在鋁業市場動見觀瞻,消息一出便受到產業界及資安界的密切注意。
挪威海德魯公司表示情況相當嚴峻,受到影響的工廠在可能的範圍內把原本由電腦控制的自動化生產改為人工控制。優先考量是在確保安全的情況下運作,盡量降低對營運及客戶的衝擊。該公司強調沒有和駭客聯絡、也不會支付贖金,會在挪威國家安全局(Norwegian National Security Authority)以及外部專家的協助之下逐步恢復系統與產能。在遭到攻擊一星期後,雖然資訊系統尚未恢復,其五大業務已有四個回到正常產能,損失初估超過四千萬美元。 [1]
貳、安全意涵
一、新型勒索病毒攻擊手法異於過往
過去最惡名昭彰的勒索病毒,是在2017年肆虐全球的「想哭」(WannaCry)。「想哭」病毒會不斷地自我複製並經由網路向外散播,感染外界不特定電腦,造成全世界約二十萬台電腦中毒。這次攻擊挪威海德魯公司的「洛克戈加」則是新型勒索病毒,在2019年1月法國工程顧問公司艾爾傳科技(Altran Technologies)的資安事件中首次被發現,3月12日亦有兩家美國化學公司海克森(Hexion)與摩曼提夫(Momentive)傳出被此種病毒攻擊。
「洛克戈加」病毒的攻擊手法有兩個階段。首先侵入微軟(Microsoft)視窗作業系統中處理網域服務(Domain Service)的活動目錄(Active Directory),活動目錄可以管理及認證在同一個網路架構下的終端設備以及使用者。接下來,「洛克戈加」病毒會將電腦中的檔案加密使其無法開啟,由於其掌握活動目錄,因此在同一個網路架構下的電腦都會被加密。
「洛克戈加」病毒的攻擊形態迥異於「想哭」病毒,它沒有自我複製的機制,不會散播給外界的不特定電腦。它只鎖定特定機構的網路架構進行攻擊,需要以管理者權限植入,在植入之後會更改密碼,讓原本的管理者無法登入。此病毒的目的為控制該特定機構的終端設備,是具有高度針對性的攻擊。 [2]
二、低階駭客即可影響民生用品供應鏈安全
挪威海德魯公司是鋁業的龍頭大廠,其所供應的初級金屬材料 在交通運輸、建築、以及製造業被廣泛使用,知名汽車業者如戴姆勒(Daimler AG)以及福特(Ford)皆為其客戶。由於挪威海德魯公司位居供應鏈的最上端,一旦其產能出現問題,許多民生物品會無法如期交貨,商品價格也可能出現震盪。
使用勒索病毒攻擊多是為了金錢報酬,值得注意的是,資安專家指出這種攻擊的技術門檻不高,個人或是技術較差的低階駭客就有可能做到。[3] 如果攻擊對象是全球供應鏈的上游廠商,一旦得逞將影響國際貿易與民眾生活甚鉅,例如煉鋅大廠新星(Nyrstar)及全球最大貨櫃運輸業者快桅集團(AP Moller-Maersk),都曾經被駭客攻擊過,後者損失超過兩億美元。[4] 因此,使用電腦控制自動化生產的上游龍頭廠商,對於資訊安全防護必須特別注意。
參、趨勢研判
一、挪威海德魯公司的應變及危機處理值得學習
挪威海德魯公司在此次事件的應變以及危機處理,獲得業界以及資安專家的好評。[5] 在應變方案上,該公司有備援系統,在大部分電腦設備無法使用的情況下,還能存取部分資料。其次,即便該公司的生產流程已經完全自動化,仍然能在短時間內轉為人工控制並恢復產能,顯示該公司的員工訓練相當紮實,且對資安事件有所準備。
在危機處理方面,事件發生後挪威海德魯公司迅速召開記者會說明情況,其坦白、公開、透明的處理方式有助於降低下游廠商的疑慮。除此之外,不聯絡、不妥協的堅定態度讓所有駭客知道,攻擊這家公司不會得逞。如此可以大幅減少未來被其他駭客攻擊的機會,也讓民眾對這間公司更有信心。
挪威海德魯公司能夠不向駭客低頭的主要原因,在於其遭到攻擊之後還能維持一定的生產能力,不至於完全停擺,由此可見員工訓練與備援系統的重要性。該公司在此次事件的應變以及危機處理,相當值得其他廠商學習。
二、跨國合作處理資安事件的模式將持續
在處理這次駭客攻擊時,除了挪威國家安全局與國家犯罪調查處(National Criminal Investigation Service)提供協助,以及挪威電腦緊急應變小組(Norway’s Computer Emergency Response Team, NorCERT)發出通報之外,也有不少國際力量支援。國際刑警組織(Interpol)配合挪威當局展開調查,微軟公司及其他網路安全業者也派出專家協助。由於發動攻擊的駭客可能來自任何國家,追緝罪犯時會需要其他國家的支援。在現今駭客攻擊愈來愈猖獗的情況下,跨國合作處理重大資安事件已成為常態。可以預期這樣的模式將會持續下去,甚至可能將其制度化,成立國際合作的機制。
[1]“Huge aluminum plants hit by ‘severe’ ransomware attack,” BBC, March 19, 2019, https://www.bbc.com/news/technology-47624207; Zeljka Zorz, “Norsk Hydro cyber attack: What happened?,” Help Net Security, March 20, 2019, https://www.helpnetsecurity.com/2019/03/20/norsk-hydro-cyber-attack/; “Update on cyber attack March 26,” Norsk Hydro, March 26, 2019, https://www.hydro.com/en/media/news/2019/update-on-cyber-attack-march-26/
[2]Kelly Fiveash, “The Norsk Hydro cyber attack is about money, not war,” Wired, March 21, 2019, https://www.wired.co.uk/article/norsk-hydro-cyber-attack
[3] Mark Burton and Jonas Cho Walsgard, “Cyber Attack Puts a Spotlight on Fragile Global Supply Chains,” Bloomberg, March 20, 2019, https://www.bloomberg.com/news/articles/2019-03-19/cyber-attack-puts-a-spotlight-on-fragile-global-supply-chains; Joseph Marks, “The Cybersecurity 202: Hydro hack shows even low-level criminals can cause major disruptions,” Washington Post, March 20, 2019, http://tinyurl.com/y4txv43a
[4]Nate Lanxon, “Norsk Hydro Ransomware Attack Is ‘Severe’ But All Too Common,” Bloomberg, March 19, 2019, https://www.bloomberg.com/news/articles/2019-03-19/norsk-hydro-ransomware-attack-is-severe-but-all-too-common
[5]Mathew J. Schwartz, “Hydro Hit by LockerGoga Ransomware via Active Directory,” Bank Info Security, March 20, 2019, https://www.bankinfosecurity.com/hydro-hit-by-lockergoga-ransomware-via-active-directory-a-12207