勒索軟體考驗全球網路安防 鎖定駭客為什麼這麼難?
合作媒體-界面新聞
郭珈寧/編譯 2017-05-19 14:30

名為「想哭」的勒索軟體自12日起大規模入侵全球電腦網路,波及超過100個國家和地區,堪稱一場科技恐怖襲擊。多個國家的重要資訊網路受到襲擊,凸顯出各國在防範和應對此類「科技恐襲」方面尚缺乏經驗,網路安全防範仍待提升和完善。此次事件中,中國部分高校、派出所、加油站等重要資訊系統在內的多類使用者也受到衝擊,其中的教訓令人警醒。

 

襲擊規模史無前例

 

全球多個國家12日起遭受一種勒索軟體的攻擊。這款病毒名為「想哭」,屬於一種勒索軟體。

 

據悉,電腦被這種勒索軟體感染後,其中檔會被加密鎖住,支付駭客所要求贖金後才能解密恢復。電腦提示用戶在規定期限內支付300美元等價的比特幣作為贖金,便可恢復電腦資料;每耽擱數小時,贖金額度就會上漲一些,最高漲至600美元。

 

據俄羅斯卡巴斯基實驗室研究員庫爾特‧鮑姆加特納觀察:「在支付贖金的用戶中,多數人在最初幾小時內就乖乖掏出300美元。」美聯社報導,截至15日,駭客已收到大約7萬美元的贖金。

 

目前網路安全業界暫未能有效破除該勒索軟體的惡意加密行為,使用者主機一旦被勒索軟體滲透,只能通過重裝作業系統或使用專殺工具的方式來清除勒索軟體,但若使用者重要資料檔案沒有備份,則很難完全直接恢復。

 

據Splunk網路安全公司主管里奇‧巴傑描述,「這是全球迄今最大的勒索軟體攻擊事件之一」。據捷克網路安全企業愛維士公司統計,全球99個國家和地區12日共遭遇超過7.5萬次電腦病毒攻擊,其中俄羅斯、烏克蘭等國遇襲尤其嚴重。

 

俄羅斯網路安全企業卡巴斯基實驗室12日發佈一份報告說,在受攻擊最多的20個國家和地區中,俄羅斯所受攻擊遠遠超過其他受害者,中國大陸排在第五。

 

歐盟刑警組織負責人羅布.溫賴特14日表示,12日開始的勒索軟體網路襲擊目前已經波及150多個國家的10萬多家機構,至少20萬人受害,其中不乏大型企業用戶,事件未來還可能進一步升級。

 

各地的生產生活受到不同程度影響,中招的包括政府部門、醫療服務、公共交通、郵政、通信、汽車製造等多個領域。

 

俄羅斯內務部、梅加豐電信公司均遭到這種病毒攻擊。俄羅斯國際文傳電訊社援引俄內務部發言人伊琳娜‧沃爾克的話報導,俄內務部大約1000台電腦被感染。另一名消息人士稱,俄政府檔未在此次攻擊中洩密。

 

英國公共衛生體系國民保健制度的服務系統12日被病毒入侵後,多家醫院電腦癱瘓,不得不停止接待病人,一些救護車等醫療服務也受影響。英國首相德蕾莎‧梅伊當天說,英國國家網路安全中心正與國民保健制度聯手應對這次危機。

 

西班牙國家情報中心12日證實,西班牙多家公司遭受了「大規模」的網路駭客攻擊,西班牙電信業巨頭西班牙電信總部的多台電腦陷入癱瘓。

 

德國鐵路資訊系統也受到該病毒軟體攻擊,雖然運行未受影響,但車站顯示出發、到達車次資訊的螢幕受到影響,為此德國鐵路公司加派人手在車站為旅客提供資訊。

 

此次大規模襲擊事件中,監測發現,中國大量企業和機構內網遭到感染,包括教育、企業、醫療、電力、能源、銀行、交通等多個行業均受到不同程度的影響。中國的校園網路成為重災區,全國多所高校出現病毒感染。大量學生的畢業論文等重要資料被病毒加密,只有支付贖金才能恢復。

 

360安全中心方面的緊急公告顯示,不法分子使用駭客武器攻擊微軟「視窗」系統(Windows)的漏洞,令ONION、WNCRY等勒索病毒在校園網內快速傳播感染。正值高校畢業季,勒索病毒已造成一些應屆畢業生的論文被加密篡改,影響到畢業答辯。

 

中國石油天然氣集團公司14日發佈消息稱,12日晚其所屬部分加油站受到勒索病毒波及。病毒導致加油站加油卡、銀行卡、協力廠商支付等網路支付功能無法使用,但加油及銷售等基本業務運行正常,加油卡帳戶資金安全不受影響。對此,中石油連夜採取措施緊急應對。

 

這一勒索軟體利用的是微軟「視窗」作業系統中編號為MS17-010的一個漏洞。除Windows 10系統外,其他未及時安裝安全補丁的Windows系統都可能受到攻擊。儘管此前微軟已發佈安全補丁,但仍有許多沒有更新的電腦被感染。鑒於事態嚴重,微軟很快宣佈採取非同尋常的安防措施,為一些它已不再支援的老「視窗」平臺提供補丁。多家網路安全廠商也緊急推出了應對勒索軟體的安全工具。

 

中央網信辦網路安全協調局負責人15日表示,該勒索病毒仍在傳播,但速度已明顯放緩。事件發生後,中國公安、工信、教育、銀行、網信等有關部門都對防範工作提出要求。奇虎360、騰訊、安天、金山安全等相關企業迅速開展研究,主動提供安全服務和防範工具。各相關媒體做了大量報導,説明提高全社會的防範意識、遏制病毒進一步傳播。

 

一些網路專家認為,未來一段時間內都需對這一病毒保持警惕。360公司首席安全工程師鄭文彬認為:「這個勒索軟體的攻擊未來應該還會持續一段時間。」

 

「一些不法駭客還可能受到此次勒索軟體攻擊的啟發,將更多技術手段與勒索軟體相結合」,安天公司安全研究與應急處理中心主任李柏松說,「勒索模式帶動蠕蟲病毒的回潮不可避免,駭客可能利用僵屍網路分發病毒,還可能針對物聯網設備的漏洞製造和傳播病毒軟體,這些問題都會出現。」

 

專家表示,對用戶而言,最有效的應對措施是要安裝安全防護軟體,及時升級作業系統和各種應用的安全補丁。360方面建議,電腦用戶儘快使用諸如「美國國家安全局(NSA)武器庫免疫工具」等專業防護軟體,預防病毒。

 

病毒來襲誰之過

 

目前,美國、英國、俄羅斯等國都在追查這次襲擊的幕後黑手。一名不願公開姓名的美國高級官員透露,美國總統唐納‧川普12日下令召集一次緊急會議,聯邦調查局、國安局隨後聯手展開調查。據路透社報導,相關調查都在初始階段,而鎖定駭客身份的難度相當大。

 

歐盟刑警組織說,這次網路病毒襲擊「達到史無前例的級別」,要找到元兇需要進行複雜的國際調查。溫賴特說,歐盟刑警組織將與美國聯邦調查局合作追查本次網路襲擊的罪魁禍首。他們目前傾向於認為這起襲擊是刑事犯罪的可能性大於恐怖襲擊,並且應該是團夥作案,但要找出幕後元兇可能「非常困難」,因為罪犯在互聯網上很容易隱匿自己的行蹤。他說,目前值得慶倖的是只有極少數受害者向罪犯支付了贖金,所以背後的犯罪團夥並沒有從中攫取太多利益。

 

比特幣的興起為勒索軟體提供了説明。比特幣是一種虛擬貨幣,在網上交易難以追蹤,成為許多駭客愛用的交易媒介。鄭文彬說,此次勒索病毒選擇以比特幣作為支付手段,隱蔽性強,難以監管追蹤。

 

目前,尚未有駭客組織認領這次襲擊。但業界人士的共識是,這款「想哭」病毒來源於美國國安局的病毒武器庫。

 

卡巴斯基強調,這次網路攻擊所用的駭客工具「永恆之藍」,來源於美國國家安全局的網路武器庫。今年4月,駭客組織「影子經紀人」在網上披露過一批美國國安局的駭客工具,其中就包括這個漏洞工具。

 

美國國土安全部12日發表聲明稱,已獲悉上述勒索軟體影響全球多個實體。但是,聲明除介紹勒索軟體的定義、微軟已針對這個漏洞發佈補丁、提醒用戶應安裝補丁外,沒有說明更多情況。

 

不少網路安全專家指責,美國斥鉅資研發駭客攻擊工具、而非自衛機制,結果造成全球網路環境「更不安全」。美國政府察覺到微軟安全性漏洞,卻沒有及時告知微軟公司,反而囤積攻擊工具,以致洩露後禍及全球。

 

今年3月,「維基解密」網站披露了一批據稱是來自美國中情局的駭客工具,批評中情局對其駭客武器庫已經失控,其中大部分工具「似乎正在前美國政府的駭客與承包商中未被授權地傳播」,存在「極大的擴散風險」。

 

路透社援引美國聯邦政府公佈的資料以及情報部門官員的話報導,美國網路專案開支中,90%用於研發駭客攻擊武器,例如侵入「敵人」的電腦網路、監聽民眾、設法讓基礎設施癱瘓或受阻等。

 

得知最新攻擊事件後,「棱鏡」監聽專案曝光者、美國前防務承包商雇員愛德華‧斯諾登12日發推文說,「儘管多次被警告,(美國國安局)仍然研製了危險的攻擊工具。今天,我們見到代價‧‧‧‧‧‧醫院裡的病人生命受到威脅」。

 

美聯社評論,這次席捲全球的襲擊中,駭客並非獨立研發出「想哭」病毒,因此美國國安局難辭其咎。

 

美國公民自由聯盟呼籲國會通過立法,以強制美國政府及時向IT企業通報安全性漏洞,以便這些公司及時採取補救措施。

 

美國高德納諮詢公司網路安全分析師阿維瓦‧利坦說,美國政府確實「存在疏忽」。但他對此感到無奈,「我們無法阻止美國政府研發網路攻擊武器」。

 

「想哭」病毒利用微軟「視窗」作業系統漏洞發動攻擊,微軟公司由此也受到抨擊。利坦認為,微軟已於3月發佈針對此類勒索軟體的補丁,凡是安裝過補丁的用戶不太可能遭受這款病毒攻擊。但是,微軟提供的補丁只針對新版本的作業系統,而並不包括「Windows XP」等較老版本。直到本月12日全球電腦紛紛「中招」後,微軟才宣佈為較老版本的作業系統免費提供補丁。

 

本輪病毒攻擊中,一些國家的醫院系統、公共交通系統發生癱瘓,而這些部門往往出於財務考慮而一直沿用「Windows XP」。觀察人士表示,如果某機構受限於財務狀況,沒有使用新版本的視窗系統,自然也就不太可能付費打補丁,而這些本應由微軟公司考慮到。

 

網路安全形勢嚴峻

 

勒索病毒襲擊事件後,網路安全公司一度出現火爆行情。據西班牙《發展報》報導,美股15日開盤後,網路安全相關交易所交易基金PureFundsISECyberSecurityETF大漲3.2%,創下2015年6月以來新高。此後三天全球網路安全領域的大型企業的市值就增加了72億美元,其中大多數是美國企業。

 

令網路安全公司受到青睞的並不只是此次單一的病毒襲擊事件。不少跡象表明,近年來網路襲擊的規模和數量都在不斷增加,令企業和機構均不敢對網路安全投資掉以輕心。據美國金融資料軟體公司預測,全球網路安全領域最主要的11家企業2016年至2018年盈利將增長34.5%,達到508.77億歐元。

 

在這種背景下,如何在今後更有效地防範網路病毒襲擊的問題更加值得思考。一些專家提醒,這次勒索病毒攻擊雖然影響範圍廣,但是從技術而言並不難防範,只要及時安裝更新包,修復電腦作業系統漏洞,便不會輕易中招。所有網路使用者今後都應加強安全意識,注意更新安全補丁和使用各種殺毒工具,還應將重要資料備份。此外,一些垃圾郵件可能以常用連絡人的名義發來,必須提高警惕,對於可疑的連結或附件,不要輕易打開。

 

英國內政大臣安伯‧拉德13日說,全國有45個公共醫療機構遭到駭客病毒攻擊,但病人資料未被盜取。她敦促相關機構吸取教訓,重視網路安全問題,及時升級過時的系統。國防大臣麥克‧法隆14日在接受媒體採訪時也表示,他們此前曾多次警告醫療機構可能面臨網路襲擊,但沒有引起重視。

 

美國加州大學洛杉磯分校電腦科學和網路安全教授彼得‧賴海爾提醒,應及時更新電腦作業系統,尤其是安裝安全補丁。以此次攻擊為例,這款病毒利用了微軟「視窗」作業系統的一個漏洞,而微軟曾於3月14日針對這個漏洞發佈了補丁。「那些安裝過補丁的用戶,這次不太可能受影響」,賴海爾說。

 

溫賴特警告說,許多國家的醫療機構在面對網路襲擊時非常脆弱,因為他們往往用過時的電腦系統處理大量敏感性資料。而以往是網路犯罪頭號目標的歐洲銀行業本次幾乎沒有受到影響,因為他們汲取了足夠的經驗。他呼籲所有機構優先考慮網路安全問題並及時更新系統。

 

利坦說,醫院系統、政府部門應對聯網電腦進行更妥善的保護,例如限制登錄網站、限定運行軟體的許可權、只授權專門技術人員進行某些操作等。此外,這類部門還應對所儲存的檔做好備份。在此次勒索軟體襲擊中,如果「中招」者擁有備份,就無需支付贖金來挽回檔。

 

網路安全企業斯普倫克公司總監里克‧巴傑表示,這次事件的擴散方式和產生的後果前所未有,應當作為一個全球性的警鐘。這次攻擊表明重要企業在受到攻擊時必須要準備好應對勒索病毒的對策,保護關鍵基礎設施免受網路攻擊是不容忽視的責任。

 

 

以上圖文,由界面新聞授權。

界面新聞只服務於獨立思考的人群,據說全中國最牛的記者都在這裡寫稿。想勾搭他們就速速下載「界面」APP。