物聯(lián)網(wǎng)逐漸成為黑客的撈金犯罪溫床

昨日，消息爆出電子產(chǎn)品制造巨頭富士康在墨西哥的一家工廠遭到了勒索軟件攻擊。肇事黑客組織DopperPaymer竊取了富士康部分未加密的文件，繼而對(duì)文件進(jìn)行加密，并要求富士康支付1804枚比特幣（按時(shí)下的比特幣價(jià)格核算，約為3468萬(wàn)美元）以獲取解密工具。

據(jù)悉，此次遭受攻擊的是富士康位于墨西哥華雷斯城的CTBG MX生產(chǎn)設(shè)施，黑客組織聲稱已加密了富士康在北美的約1200臺(tái)服務(wù)器，竊取了100 GB的未加密文件，并刪除了20TB至30 TB的備份內(nèi)容。不過(guò)在截止發(fā)稿前，富士康稱已經(jīng)恢復(fù)正常生產(chǎn)，并升級(jí)了信息安全系統(tǒng)。

另外，上月底工業(yè)物聯(lián)網(wǎng)廠商研華科技也遭遇了來(lái)自Conti勒索軟件團(tuán)伙的攻擊。

在事件中，黑客組織提出了750個(gè)比特幣的贖金要求（約合1300萬(wàn)美元），否則將會(huì)把所盜數(shù)據(jù)逐步泄露在網(wǎng)絡(luò)上。針對(duì)此事，研華科技最終并未多做回復(fù)，僅稱黑客攻擊少數(shù)服務(wù)器時(shí)，可能偷走了價(jià)值性不高與機(jī)密性不高的工作資料。

更早之前，2018年8月，全球最大的晶圓代工廠臺(tái)積電突然傳出電腦系統(tǒng)遭受病毒感染的消息。短短幾個(gè)小時(shí)內(nèi)，臺(tái)積電位于臺(tái)灣北、中、南三處重要的生產(chǎn)基地——竹科FAB 12廠、南科FAB 14廠、中科FAB 15廠等主要高端產(chǎn)能廠區(qū)的機(jī)臺(tái)設(shè)備停產(chǎn)停線，陷入混亂狀態(tài)。

事后臺(tái)積電稱，事故屬于Wannacry變種病毒感染而非黑客攻擊，沒(méi)有泄露公司資料的完整性和機(jī)密性，但故障將導(dǎo)致晶圓出貨延遲及成本增加，對(duì)公司第三季度的營(yíng)收影響約為百分之三，毛利率的影響約為一個(gè)百分點(diǎn)。

攻擊一千次，有一次成功便是勝利;防御一萬(wàn)次，有一次失敗便是失敗。

安全攻防的對(duì)抗，其結(jié)果標(biāo)準(zhǔn)并不是公平的。而現(xiàn)如今黑客或病毒所攻擊的對(duì)象，已經(jīng)從個(gè)人PC、防護(hù)能力較弱的傳統(tǒng)企業(yè)、政府、學(xué)校網(wǎng)站，轉(zhuǎn)變到萬(wàn)物互聯(lián)時(shí)代的工廠、工業(yè)設(shè)備、智能攝像頭、路由器等諸多方面。

1. 面更大，范圍更廣，安全保障更加迫在眉睫

也就在昨日，F(xiàn)orescout的安全研究人員披露了四個(gè)開(kāi)源TCP/IP庫(kù)中的33個(gè)安全漏洞（代號(hào)AMNESIA:33），影響150多家供應(yīng)商的超過(guò)100萬(wàn)個(gè)智能設(shè)備和工業(yè)互聯(lián)網(wǎng)產(chǎn)品。

根據(jù)Forescout的說(shuō)法，這些漏洞將使攻擊者可以實(shí)施廣泛的攻擊，包括攻擊者能夠破壞設(shè)備，執(zhí)行惡意代碼，竊取敏感信息以及執(zhí)行拒絕服務(wù)攻擊。幾乎所有的聯(lián)網(wǎng)設(shè)備都有可能中招，包括智能手機(jī)、打印機(jī)、路由器、交換機(jī)、IP攝像機(jī)和各種工業(yè)設(shè)備等。

可以認(rèn)為，物聯(lián)網(wǎng)生態(tài)系統(tǒng)很少顧及的安全缺陷，正完整地暴露在黑客和不法分子的面前。

另一方面，勒索軟件的組織卻在日益龐大。

由于匿名性和暴利性，近年來(lái)勒索軟件攻擊在全球范圍內(nèi)整體呈上升趨勢(shì)，世界各地企業(yè)、公共機(jī)構(gòu)、高校單位持續(xù)在遭遇各種網(wǎng)絡(luò)攻擊。

根據(jù)COVEWARE公司的報(bào)告，2020年第一季度，企業(yè)平均贖金支付增加至111，605美元，比2019年第四季度增長(zhǎng)了33%。勒索軟件分銷商越來(lái)越多地將目標(biāo)瞄準(zhǔn)大型企業(yè)，甚至發(fā)展出所謂的勒索軟件即服務(wù)（Ransomware as a Service，RaaS），以完善的生態(tài)，以更輕松的“勒索+竊取”兩種方式對(duì)企業(yè)重要數(shù)據(jù)進(jìn)行攻擊。

甚至，黑客們還找到了最大最廣泛的交易方式——比特幣，一定程度刺激了該市場(chǎng)的肆意增長(zhǎng)。

在勒索軟件中常流行的比特幣支付：

一是具有一定的匿名性，便于黑客隱藏信息;

二是具有去中心化的特性，可以全球范圍進(jìn)行操作;

三是具有流動(dòng)快捷性，比特幣基于網(wǎng)絡(luò)而生，流動(dòng)迅速，鼠標(biāo)操作甚至可以實(shí)時(shí)即達(dá);

四是具有易變現(xiàn)的能力，也許只需要一個(gè)U盤(pán)，比特幣就可以成為犯罪分子的洗錢(qián)工具。

對(duì)此，復(fù)旦大學(xué)中國(guó)反洗錢(qián)研究中心秘書(shū)長(zhǎng)嚴(yán)立新曾表示，對(duì)區(qū)塊鏈技術(shù)支撐的比特幣本身，不宜用簡(jiǎn)單的好與壞去定義，但它的一些特點(diǎn)的確很容易被洗錢(qián)罪犯所利用。

此次為富士康網(wǎng)絡(luò)攻擊負(fù)責(zé)的DopperPaymer，就是2020年來(lái)最活躍的勒索軟件之一。

2019年6月以來(lái)，DoppelPaymer涉及了一系列惡意勒索活動(dòng)，今年9月甚至惹出了間接導(dǎo)致德國(guó)杜塞爾多夫一家醫(yī)院病人死亡的事件。

據(jù)悉，由于杜塞爾多夫醫(yī)院遭受勒索軟件攻擊，30多臺(tái)內(nèi)部服務(wù)器被感染，并未能收治一位需要接受緊急治療的女性患者，該患者不得已被轉(zhuǎn)移到30公里外的伍珀塔爾市一家醫(yī)院后死亡。雖然之后的調(diào)查報(bào)告說(shuō)明，杜塞爾多夫醫(yī)院遭遇的勒索軟件攻擊似乎是個(gè)意外，因?yàn)橼H金勒索信中針對(duì)的是當(dāng)?shù)氐拇髮W(xué)（杜塞爾多夫海涅大學(xué)），但不幸的是杜塞爾多夫醫(yī)院的信息系統(tǒng)屬于該大學(xué)的一部分，并且在廣泛使用的商業(yè)軟件中存在漏洞，這才給勒索軟件可乘之機(jī)。

而這樣的案件還只是冰山一角，將大多數(shù)案例集合在一起，勒索軟件的趨勢(shì)走向?qū)⑹牵汗裟繕?biāo)多元化、攻擊手段復(fù)雜化、解密數(shù)據(jù)難度大、危害影響難以估量……

萬(wàn)物互聯(lián)時(shí)代，對(duì)于眾多即將走向智能化的傳統(tǒng)產(chǎn)業(yè)，倘若網(wǎng)絡(luò)攻防經(jīng)驗(yàn)不足，缺乏整體的安全建設(shè)意識(shí)，實(shí)際面臨的威脅將更加巨大。

2. 獲得安全保障的基本措施

在一批黑客憑借勒索軟件獲得暴利的同時(shí)，各種病毒變種在悄悄成長(zhǎng)蔓延，潘多拉魔盒此刻已經(jīng)打開(kāi)。

如果說(shuō)以往用戶對(duì)于安全的認(rèn)知局限在虛擬資產(chǎn)這一部分，認(rèn)為要保護(hù)的是數(shù)據(jù)的安全、數(shù)據(jù)的完整性及可用性。那么在物聯(lián)網(wǎng)時(shí)代，安全的邊界已經(jīng)擴(kuò)展到以各種設(shè)備為代表的物理資產(chǎn)，包括數(shù)據(jù)安全在內(nèi)，安全需要保護(hù)的內(nèi)容，將涉及到整個(gè)資產(chǎn)的安全。

很典型的情況是，現(xiàn)如今黑客進(jìn)攻智能設(shè)備，就算拿不到用戶數(shù)據(jù)，也可以避開(kāi)數(shù)據(jù)輕松遠(yuǎn)程控制并影響設(shè)備，依然將產(chǎn)生負(fù)面影響。

復(fù)盤(pán)臺(tái)積電的病毒感染事件，其起因和過(guò)程其實(shí)是臺(tái)積電犯了3個(gè)簡(jiǎn)單的錯(cuò)誤：

進(jìn)入產(chǎn)線的新設(shè)備帶有病毒，且未被查殺;

負(fù)責(zé)關(guān)鍵生產(chǎn)設(shè)施的電腦搭載的是老舊的Windows 7系統(tǒng)，且沒(méi)有打補(bǔ)丁;

沒(méi)有關(guān)閉設(shè)備445端口，使病毒輕易入侵。

以及發(fā)生在2016年的“美國(guó)東部大斷網(wǎng)”事件，實(shí)際上是利用了數(shù)十萬(wàn)臺(tái)受到僵尸網(wǎng)絡(luò)感染的聯(lián)網(wǎng)設(shè)備，比如路由器、攝像頭，通過(guò)持續(xù)的掃描漏洞，操縱肉雞的方式，向目標(biāo)發(fā)送合理的服務(wù)請(qǐng)求，就此占用過(guò)多的服務(wù)資源，使服務(wù)器擁塞而無(wú)法對(duì)外提供正常服務(wù)。

包括德國(guó)杜塞爾多夫醫(yī)院遭受勒索軟件攻擊之后，德國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)BSI向外界發(fā)出的警告是——要求德國(guó)公司和機(jī)構(gòu)針對(duì)CVE-2019-19871漏洞（勒索軟件的已知入口點(diǎn)）更新其Citrix網(wǎng)絡(luò)網(wǎng)關(guān)。

綜合這幾項(xiàng)事件來(lái)說(shuō)，設(shè)備或系統(tǒng)存在漏洞是最大的風(fēng)險(xiǎn)。一些使用弱口令及默認(rèn)密碼、內(nèi)置密碼;存在邏輯漏洞、公共組件歷史漏洞的聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)最大。

為此的基本解決方案其實(shí)并不復(fù)雜：

關(guān)閉暴露在公網(wǎng)中的設(shè)備端口。

及時(shí)更改設(shè)備出廠默認(rèn)密碼，對(duì)于一些無(wú)法更改的老舊設(shè)備暫停使用。

廠商持續(xù)監(jiān)控設(shè)備出入流量及設(shè)備行為，盡早發(fā)現(xiàn)異常。

廠商定期排查現(xiàn)有設(shè)備中的風(fēng)險(xiǎn)與漏洞并做出修復(fù)。

設(shè)備廠商積極與監(jiān)管部門(mén)和網(wǎng)絡(luò)安全公司密切合作，做好事件發(fā)生時(shí)的應(yīng)急響應(yīng)。

當(dāng)然，一勞永逸的辦法是不存在的。實(shí)際上自互聯(lián)網(wǎng)誕生起，這場(chǎng)網(wǎng)絡(luò)安全攻防戰(zhàn)，就一直在持續(xù)進(jìn)行。
責(zé)編AJX