近期勒索軟體威脅與美國網路安全政策趨勢
2021.06.11
瀏覽數
240
壹、新聞重點
美國東部最大的燃油管線「殖民管線」(Colonial Pipeline)公司於5月6日遭勒索軟體攻擊。該公司被迫關閉營運,使油品供應中斷,沿線各地之汽油、柴油、航空等用油均受到嚴重衝擊,直到5月12日才陸續恢復。FBI隨後證實此為東歐駭客組織DarkSide所為,並陸續傳出有其他企業受害。[1] 此事件不僅凸顯勒索軟體威脅日益嚴重,單由企業或政府已不足以因應,尤其針對如輸油業等屬私有之關鍵基礎設施,需要建立明確的公私協力合作模式。美國土安全部(Department of Homeland Security)已於5月26日發布輸油業資安指南,首次要求業者將資安事件向美國網路安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)通報,而拜登政府針對提升網路安全的行政指令及首次預算案,皆能由此觀察未來美國網路安全政策趨勢與落實方向,以下就此進行分析。
貳、安全意涵
一、勒索軟體已有成熟商業模式及縝密分工
DarkSide約在2020年8月開始現蹤,手法與多數使用勒索軟體組織類似,加密受害者電腦系統同時亦會竊取資料,實行多重勒索,同時對受害者索取解密金鑰及摧毀手上竊取資料的費用。後採行勒索軟體即服務(Ransomware-as-a-Service, RaaS)的經營模式,建立勒索軟體平台對其他犯罪團體提供租用服務,並將利潤抽取一部分佣金與平台所有者、合作方與相關組織分享。由於平台本身構成斷點,不易溯源追查實際出資者,平台與出資雙方均能從中獲利,近年造成重大商業損失的RaaS還有REvil及Ryuk等,顯見RaaS已是成熟之商業模式。在「殖民管線」遭攻擊後,陸續傳出三起以DarkSide勒索軟體對私人企業攻擊的事件,即可能為完全不同的團體委託發起。[2]
但DarkSide在「殖民管線」事件後,先發表聲明指出「無意涉入地緣政治,不願造成社會困擾」,又在拜登總統發表聲明表示美國將採取行動後,釋放消息稱DarkSide已無法連上營運所需的基礎設施,包括部落格、付款伺服器等,勒索軟體平台必須停用,似乎以此暗示美國介入。資安專家多認為此舉為轉移焦點,但經美司法部追查後,於6月7日公開表示已追回「殖民管道」所支付的大部分贖金,亦可能顯示釋放消息有部分屬實。但無論如何,DarkSide和其他類似的服務相比,確實有著更細膩的公關操作,不僅在成立不久即利用慈善捐款塑造正面形象,並在攻擊事件發生後,試圖淡化平台在中所扮演的角色,並以遭攻擊事件轉移焦點,藉此從「殖民管道」事件中脫身,未來仍能以其他面貌繼續活動。[3] 這些操作透露DarkSide組織內部可能有縝密的專業分工,具有從企業形象至危機處理的規劃執行能量,與刻板印象中駭客組織是均由開發者組成的群體,已有相當程度的差異。
二、攻擊目標擴大至急難救助體系
雖然DarkSide聲稱未來將避免攻擊醫院、學校等敏感設施,也得到另一駭客組織REvil響應,似彰顯「盜亦有道」精神。然而在巨額獲利的經濟誘因下,勒索軟體依舊活躍,並且有越來越多民生與醫療機構成為目標。由於新冠疫情仍未緩和,醫療機構必須持續救治病患,無法承擔營運中斷的風險,因而更傾向付出贖金換取解密金鑰。駭客組織甚至進一步將整個急難救助體系列為目標,美國FBI於5月20日發布緊急公告,表示提供RaaS的勒索軟體組織Conti於2020年已針對執法單位、緊急醫療服務、911勤務中心等單位進行攻擊,各國受害組織有400個,更有超過290個在美國境內。其中包括愛爾蘭衛生部與健康服務管理署(Health Service Executive, HSE),後者被迫關閉所有資訊系統以阻止更多電腦遭加密。在交涉時,Conti甚至直接提供HSE解密金鑰,但仍要求支付贖金,否則將釋出所竊取到的敏感資料。[4]
然而,勒索軟體設計加密機制時,通常並未考慮軟體本身執行效率,因此解密金鑰執行往往比直接從資料備份復原更慢。故在HSE與「殖民管線」事件中,都傳出即使受害組織取得金鑰,仍無法即時解除危機恢復正常運作的狀況。這也顯示,支付贖金雖然是受害組織不得已之因應對策,但更重要的是落實平時的防護措施及備份還原機制。
參、趨勢研判
一、資安事件後續因應有賴拜登政府網路政策落實
美國的關鍵基礎設施有九成左右為私人企業所有,並屬不同聯邦政府單位管轄。如輸油業者為隸屬國土安全部的運輸安全管理局(Transportation Security Agency)負責,但作為能源關鍵基礎設施,亦為CISA權責所在,因此針對輸油業發布資安指引,不僅是透過公私協力促進整體安全,亦凸顯政府內部跨部會合作的重要性。
不過,跨部會、公私合作具體執行情況,仍有賴拜登政府將美2021財年國防授權法(National Defense Authorization Act of FY2021, NDAA21)及《提升國家網路安全行政指令》(Executive Order on Improving the Nation’s Cybersecurity)持續落實。[5] 為有效統籌聯邦政府網路安全作為,NDAA21納入網路日光浴室委員會(Cyber Solarium Commission)報告的建議,於白宮設立國家網路總監(National Cyber Director)一職,拜登總統上任後提名前美國家安全局副局長英格利斯(Chris Inglis)出任,與同具國安局背景的國安會網路與新興技術國家安全副顧問(Deputy National Security Advisor for Cyber and Emerging Technology)紐柏格(Anne Neuberger)形成白宮網路安全政策的核心團隊。
目前國家網路總監辦公室其餘人事與預算細目仍不明朗,僅知該辦公室於白宮2022財年預算編列有1500萬美金。[6] 但《提升國家網路安全行政指令》提及,將仿照國家運輸安全委員會(National Transportation Safety Board)架構設立網路安全調查委員會(Cyber Safety Review Board),針對重大國家資安事件統籌公私部門共同進行獨立調查,並提出未來改善建議,此應為國家網路總監上任後的主要任務之一,其與情報圈及聯邦政府各部門的互動將是未來觀察的重點。
二、因應勒索軟體需更全面性的策略
然而,拜登政府的一系列政策作為,是否足以面對日益增長的勒索軟體威脅,私部門有著不同見解,認為需更全面的因應策略。美國安全與科技研究中心(Institute for Security and Technology)整合業界與資安專家組成專案小組、並於近期發表報告《打擊勒索軟體》 (Combating Ransomware),建議美國政府對外應積極協調國際外交與執法作為,將勒索軟體視為最優先事項,包括以軟硬兼施、賞罰分明的策略,使其他國家不再庇護勒索軟體犯罪者,並對內由白宮統籌反勒索軟體行動,樹立以全政府途徑打擊勒索軟體的榜樣。另外,該報告也建議於國內設立基金協助受害組織處理勒索軟體因應與復原作為,並且針對勒索軟體使用的加密貨幣實行更嚴格的管制,要求交易所必須符合反洗錢與資助恐怖主義等既有法律規範。[7]
在各項建議中,加密貨幣管制技術上相對較易執行,拜登政府在「殖民管道」事件後,確實也以實際行動展現不姑息犯罪行為的決心,追回以加密貨幣支付的贖金,此舉可視為拜登與俄羅斯總統普亭6月16日於日內瓦峰會前的施壓。但以國際外交手段聯合執法作為的進一步行動,仍需觀察拜登政府重返國際外交場域後,如何將此議題排入其優先順序,並聯合各國力量共同打擊勒索軟體。
[1] Charlie Osborne, “Colonial Pipeline Attack: Everything You Need to Know,” ZDNet, May 13, 2021, https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/; Brian Naylor, “In Wake of Colonial Attack, Pipelines Now Must Report Cybersecurity Breaches,” NPR, May 27, 2021, https://www.npr.org/2021/05/27/1000694357/in-wake-of-colonial-attack-pipelines-now-must-report-cybersecurity-breaches.
[2] Jordan Nuce, Jeremy Kennelly, Kimberly Goody, Andrew Moore, Alyssa Rahman, Matt Willi-ams, Brendan McKeague & Jared Wilson, “Shining a Light on DARKSIDE Ransomware Op-erations,” FireEye, May 11, 2021, https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html.
[3] “The moral underground? Ransomware operator retreat after Colonial Pipeline hack,” Intel471,May 14, 2021, https://www.intel471.com/blog/darkside-ransomware-shut-down-revil-avaddon-cybercrime; Anu Narayanan & Jonathan Welburn, “Is DarkSide Really Sorry? Is It Even DarkS-ide?”
DefenseOne
, May 18, 2021, https://www.defenseone.com/ideas/2021/05/darkside-really-sorry-it-even-darkside/174135/; “Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside,” Department of Justice, June 7, 2021, https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside.[4] “Conti Ransomware Attack Impact Heathcare and First Responder Networks, ” FBI, May 20, 2021, https://www.aha.org/system/files/media/file/2021/05/fbi-tlp-white-report-conti-ransomware-attacks-impact-healthcare-and-first-responder-networks-5-20-21.pdf; Lawrence Abrams, “Conti ransomware gives HSE Ireland free decryptor, still selling data,” BleepingComputer, May 20, 2021, https://www.bleepingcomputer.com/news/security/conti-ransomware-gives-hse-ireland-free-decryptor-still-selling-data/.
[5] Robert Chesney & Trey Herr, “Everything You Need to Know About the New Executive Or-der on Cybersecurity,”
Lawfare, May 13, 2021, https://www.lawfareblog.com/everything-you-need-know-about-new-executive-order-cybersecurity.
[6] “Budget of the U.S. Government Fiscal Year 2022,” White House, May 28, 2021, https://www.whitehouse.gov/wp-content/uploads/2021/05/budget_fy22.pdf.
[7] “Combating Ransomware- A Comprehensive Framework for Action: Key Recommendations from the Ransomware Task Force,” Institute for Security and Technology, April 30, 2021, https://securityandtechnology.org/ransomwaretaskforce/report/.