前段时间接二连三的勒索病毒袭击已让众多国家与公司喘不过气,然而这些病毒的真正目的可能并不是为了要钱?
尽管听上去匪夷所思,但前几天席卷欧美的勒索病毒的真正目的,可能并不是让你「破财消灾」。
上周爆发的全球性网络勒索病毒已有了正式名称——GoldenEye,也有人将其叫做 NotPetya。极客公园在此前也做过该病毒的相关报道。它爆发于上周二,袭击了包括联邦快递、默克、吉百利、马士基集团在内的多个市值数十亿美元以上的国际公司。
上述四家公司的市值总和约为 1300 亿美元,因其声名昭著又「脑满肠肥」,故而成为了勒索病毒的首要目标。如果你是黑客,让你对这些公司要价,可能每台电脑的赎金可就远远不止 300 美元了(目前该病毒向每个受感染电脑的用户都收取 300 美元的赎金)。
但很多欧美专家相信一些受雇于国家政府的黑客正利用勒索病毒充当掩护。据外媒 CNET 称,这些病毒工具以「勒索」为伪装,误导人们声讨隐秘的病毒传播个人及组织,然而其幕后操纵者很可能是各国的政府机关。这些勒索病毒的真正目的是获取并销毁数据信息。
专家们的此番揭示又令最近愈演愈烈的国际网络战争变得更加耐人寻味。由于网络战争的原因,众多国家地区的基础设施、选举活动和商业发展都受到了不同程度的影响。
(受勒索病毒感染的乌克兰 ATM 机)
据 FBI 称,朝鲜曾经泄露过索尼影视的内部邮件,以做「耀武扬威」之用;乌克兰称俄罗斯曾于上月乌俄两国对峙时入侵并关闭了乌克兰的国家电网;美国方面还在宣称俄罗斯通过黑客工具介入了其 2016 年的总统大选。
将由国家政府所主导的网络袭击伪装为勒索病毒爆发有着不容小觑的连带影响,并且,这种袭击波及甚广,所牵连的也不仅仅是国家政府而已。无辜的平民百姓会成为国家间网络交火的受害者,医院、学校、超市、机场、哪怕是巧克力工厂,都可能会受到黑客袭击的影响。如此,身为群众的我们总会无故躺枪。
就拿医院为例,在人命关天的危急时刻,患者很有可能会因为制药公司的系统崩溃或者运送药物的机场线路被病毒入侵而错过理想的救治时间。
数字取证专家 Lesley Carhart 说:「任何的蓄意破坏行为都会产生连带伤害。网络袭击只不过是将这种行为数字化了而已,换汤不换药。」
(感染 GoldenEye勒索病毒的电脑屏幕截图)
千虑一失,难圆其说
但是,此次网络袭击所暴露的一个破绽令众人觉得事情远非想象得那么简单。而这个破绽恰巧暴露在该病毒勒索赎金的方式上:GoldenEye 像之前的 Petya 一样,较之其他勒索病毒而言,采取了一种「另类的」勒索方式。
一般的勒索病毒都会向每个受害者发送一个独有的虚拟钱包账户,用以收取赎金。因为每个受害者所收到的钱包账户都不同,当其向这些虚拟钱包中充值时,袭击者就会知道哪些设备的用户付了赎金,从而有针对地解锁已付款用户的设备。
但 GoldenEye 和 Petya 却「剑走偏锋」,它们向每个受害者都索取 300 美元的赎金,然后统一要求所有受害者将赎金都打至同一个比特币钱包内。之后,支付赎金的受害者需要向 wowsmith123456@posteo.net 这个邮箱地址发送一封含有「支付身份识别码」的邮件来确认付款,才能获取受感染设备解锁码。
然而,Pesteo 电子邮箱公司却于日前关闭了该邮箱地址,这意味着无论这个邮箱的归属者是谁,他(们)都无法阅读邮箱内的任何邮件,也无法使用该邮箱进行任何回复了。如果你不幸感染了 GoldenEye 勒索病毒,专家给出的建议是「不要再往那个比特币钱包里打钱了」,因为现在袭击者几乎没有办法再解锁受感染的设备了。
因为 Posteo 邮箱是勒索者与受害者联系的唯一方式,对于有经验或者有「专业素养」的黑客来说,他们是不会犯这样的低级错误的。
「如果该勒索病毒的编写者的首要目的是索取钱财的话,他们肯定有足够的技术和策略做出比发送电子邮件更好的方式来确认已付款的受害者。该病毒并没有真正在『勒索』环节下功夫,在这环上他们不仅漏洞百出,而且效率低下。」Carhart 如是说。
上个月,一个名为 Erebus 的勒索病毒袭击了韩国网络主机服务商 Nayana,获得了该公司支付的一百万美元赎金——这也是迄今为止单人/单个公司支付的最大一笔赎金。然而在 GoldenEye 爆发两天后,它勒索到的赎金仅仅为一万美元。
(Erebus 勒索病毒)
另一个比较有趣的例子是,今年五月爆发的 WannaCry 勒索病毒截至上周三约勒索到 13 万 2 千美元,数额也不是十分巨大。
不是绑匪,而是炸弹
Comae Technologies 和卡巴斯基实验室的研究者们均认为 GoldenEye 的本质是一个「数据抹擦工具」,其设计目的是用以毁坏数据。GoldenEye 和它的原型 Petya 一样(这就是为什么有人将 GoldenEye 叫做 NotPetya),都可以加密关键文件、盗窃登录凭据、冻结用户硬盘等等。
尽管 GoldenEye 承诺受害者可在足额付款后赎回受感染设备数据,Comae 创始人 Matt Suiche 却注意到该病毒会最终损毁受感染设备的多组数据。他提到:Petya 仅仅是加密数据而已,要想恢复数据也是轻而易举,但是 GoldenEye 就不一样了。
卡巴斯基的研究者们称,如果你的电子设备不幸感染了 GoldenEye,你不但要「自认倒霉」,而且倒的还是「天大的霉」,因为你很有可能最终「钱货两空」。
美国电脑安全公司 Endgame 的恶意软件研究者 Amanda Rousseau 说:「对于此次勒索病毒关闭国家基础设施一事,我完全不感到惊讶,反倒是意料之中。」
GoldenEye 的第一个攻击目标是乌克兰的某家企业组织。该勒索病毒将自己与 MeDoc(乌克兰最热门的报税软件)的一次软件更新捆绑在一起。从那个组织开始,该病毒随即蔓延到多个市值数十亿美元以上的跨国公司(因为这些公司都有乌克兰分部)。据卡巴斯基实验室称,此次勒索病毒所进行的 60% 的袭击都集中在乌克兰。
GoldenEye 同之前的 WannaCry 一样,使用的均是秘密黑客组织 Shadow Brokers 所泄露的美国国家安全局黑客工具 EternalBlue。该工具会在入侵某台电脑后,利用 Windows 系统的共享工具传播扩散至同网络下的其他所有电脑中。
CNET 称,乌克兰已多次被疑似受俄罗斯官方支持的黑客袭击。而据外媒 TechRepublic 报道,乌克兰可能只是俄罗斯进行随后大型全球性网络袭击的试验田。
GoldenEye 已影响了全世界共计 20 万台以上的电脑。除乌克兰以外,GoldenEye 所产生的连带伤害仍在持续。此次的勒索病毒袭击显示了黑客们无需特意瞄准某个国家也可对袭击目标造成重大伤害。不但能「隔山打牛」,还会「殃及池鱼」。
如果黑客们能够摧毁对社会运转起到重大作用的基础设施和公司企业,该袭击所造成的连带伤害将是巨大的。Rousseau 称:「这就好比关掉了你们的电源一样。」
网络安全,势在必行
包括美国前副国务卿 Antony Blinken 在内的网络安全专家均认为:尽管社会公私机构均开始重视网络安全科技的应用,但唯有公私机构联手,才能真正令网络安全的发展更上一层楼。
Blinken 解释道:「黑客袭击是目前正在逐渐增长的威胁,其影响愈为剧烈,并且袭击的方式也是多种多样。但事实很残忍:目前世界上没有任何一个组织——政府、公司、非政府组织、学术机构——有解决网络安全问题的万全之策。网络安全问题需要这些组织联起手来,主动积极地去应对。」
若想实现全球性有机网络安全防御体系的构建,Blinken 认为关键有三。首先,只有公私机构彼此协作,我们的网络防御能力才能提升。科技正销蚀着国家间的物理边界,这令全球的网络使用者都有义务来彼此协作、共享信息,以此应对黑客的「明枪暗箭」。
其次,公私机构必须制订国际准则来规范科技与行业行为,这些准则的制订在网络和平年间显得尤为重要。Blinken 说:「在核武时代到来时,我们曾进行过类似的军备管制计划」,但他同样认为,从很多方面来看,对网络武器的管制要比对核武器的管制棘手得多,因为网络武器难觅踪迹、极易部署、且直接控制者往往不是政府机关。
Blinken 称,在机器学习与物联网的时代,决定一项政策优秀与否不仅仅要看其是否会促进创新发展,也要看它是否可以同时引导网络安全条例的实施。
最后,对网络武器的抑制一定要成为政府和企业安全任务中的重中之重。政府与企业一定要对使用网络武器与恶意工具的组织予以严惩。Blinken 说,以上三点措施并不会根除网络袭击,但它们对降低网络袭击率、延缓网络武器增长率等方面应会起到卓有成效的作用。
(Antony Blinken)
然而,Blinken 所提出的解决策略或许只是一个美好的愿景。极客公园在之前曾经报道过维基解密披露 CIA 监控并操纵网络用户路由器一事。从维基解密所披露的「Vault 7」系列文件来看,美国官方对黑客工具的研发早已颇具规模,而对其网络武器的限制显然不符合其国家利益。而且,美国肯定不是唯一一个研发及使用黑客工具的国家,结合目前接二连三的全球性网络袭击、各国政府互相对黑客行为甩锅等事件来看,网络武器很可能已经成为了当今和平时代下的新型「战争工具」,并且这些武器是完全「放任自流」,不受管制的。
不但如此,据多家外媒报道,GoldenEye 勒索病毒或将掀起一场大规模的流行性网络病毒袭击。尽管全世界的网络安全专家都在呼吁美国国家安全局着手应对勒索病毒的传播,但美国官方仍是没有任何回应。更令人不安的是,目前还没有任何国家或组织公开宣布对之前的任何网络袭击负责。因此,还请诸位锁定极客公园的报道,我们将持续播报有关该话题的信息。
文章参考:CNET,TechRepublic
头图来源:Corsica Technologies
