近日,美国最大燃油管道运营商科洛尼尔(Colonial Pipeline)因受勒索软件攻击,被迫临时关闭其美国东部沿海各州供油的关键燃油网络。
公司表明,为遏制威胁,已主动切断部分网络连接,暂停所有管道运营。为解除对燃料运输的各种限制,保障石油产品的公路运输,美国政府宣布进入紧急状态。多方消息证实,此次勒索软件名为 DarkSide,攻击者劫持了该公司近 100GB 的数据以索取赎金。
网络攻击屡见不鲜
5 月 10 日,俄罗斯卫星中文网报道称,CNN 援引网络安全领域前高官的话报道,认为对科洛尼尔管道运输公司进行网络攻击的黑客可能与俄罗斯有关。
该消息人士表示,此次网络攻击的背后是来自俄罗斯的黑客团伙 DarkSide,这些黑客通常攻击非俄语国家,而他们的手段是对目标系统植入恶意软件,以索要赎金。
这种恶意软件也被称为“勒索病毒”。
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。直至受害者支付赎金,黑客才可能将其解锁。
《纽约时报》表示,这种网络犯罪行为好比“对数据的绑架”。
其实,近年来,利用勒索软件进行网络攻击的事件屡见不鲜。
据报道,2016 年勒索软件攻击开始爆发,当时至少影响五家美国和加拿大医院,这促使专家再次呼吁使用自动备份来缓解这种攻击的影响。
例如 2016 年 2 月,美国旧金山好莱坞长老会医疗中心遭受勒索软件攻击后,该医院支付近 17000 美元赎金。
2018 年 1 月,美国印第安纳州格林菲尔德的汉考克健康(Hancock Health)遭遇了勒索软件攻击。
据报道,这让医院失去了部分计算机系统的控制权,当时黑客要求以比特币作为赎金支付。
从 2018 年初到 9 月中旬,勒索病毒总计对超过 200 万台终端发起过攻击,攻击次数高达 1700 万余次,且整体呈上升趋势。
截至当地时间 2021 年 4 月 27 日,美国华盛顿警局内部系统遭黑客勒索,美国已有 26 个政府机构遭勒索病毒攻击。
中国的网络安全防范如何?
相比之下,中国的网络安全防范相对完善,但威胁依然不少。
一方面是国内网络在与全球网络连接前,还需通过另一张“绿网”的检核;
另一方面,国内对于企业有严格的监管要求,若触犯相关法规,政府将严惩不贷。
但网络攻击没有终点,一山还有一山高。
业内知名安全专家曾向雷 锋网 AI 掘金志介绍道,网络攻击从弱到强可分为五个等级。
第一级是因内部人员管理不当,引发的安全问题;
第二级是早期常见的黑客攻击,以单兵作战的形式,通过潜伏、渗透等手段达到窃取密码的目的;
第三级以 DDoS 攻击为主,是有组织、成体系的攻击,多是由商业竞争对手发起;
第四级是黑产,通过挖矿、勒索甚至资本联动等方式盈利。资金流向分散,存证取证极为困难;
第五级则是网络军队。
目前来看,美国此次事件则属于四级甚至是第五级的网络攻击。
而近年来,随着数字化转型、联网设备数量增加以及处理器算力提升,位于第三级的 DDoS 攻击愈趋复杂,攻击目标大多直指企业并造成重大财务损失。
以全球视角来看,其最大市场是北美和亚太地区。
据统计,2020 年第三季度,中国遭遇的 DDoS 攻击为全球之首,占攻击总量的 72.83%。
时至今日,国内利用僵尸网络的 DDoS 攻击仍大行其道。
近日,一个基于僵尸网络“Pareto”的广告欺诈活动被发现并捣毁。
此次攻击活动中,网络犯罪分子利用恶意软件成功感染了 100 多万台 Android 移动设备。
据研究人员称,该僵尸网络利用数十个移动应用程序,模拟了超 6000 个 CTV 应用程序,每天提供至少 6.5 亿条广告访问请求。
攻击者与被感染后受远程控制的“僵尸”计算机之间,实现了可一对多操控的网络,就是僵尸网络。
就隐蔽性而言,僵尸主机在未执行特点指令时,与服务器之间不会进行通讯。
这样一个可隐身潜伏在目标阵营里的工具,很难不受到攻击者青睐。
使用僵尸网络最常发动的攻击,即分布式拒绝服务攻击(DDoS)。
DDoS 又称洪水攻击,攻击者利用一台台僵尸电脑,向受害者系统发送如洪水般迅猛的合法或伪造的请求,致使其带宽饱和或资源耗尽,以达到服务暂时中断、网络及系统瘫痪的目的。
安全专家表示,DDoS 是攻击中的核武器。
攻击者不仅在攻击媒介上不断做出新的尝试,在攻击规模、频率和目标上也不断进行着调整。
据检测,今年一季度的一大 DDoS 勒索攻击,最近一次攻击的峰值达 800Gbps。
此次攻击目标不是“重灾区”内的游戏公司,而是一家欧洲赌博公司。
各行各业,泛滥成灾
在疫情背景下,各行业业务纷纷转至线上开展。
这也招致了大量有勒索动机的攻击者,打起大型企业和机构的算盘。
自 2020 年中下旬起,针对企业组织的 RDDoS 攻击显著增加,受害企业若没有备份数据,只能以支付勒索金额暂停攻击。
即使有备份数据,也难以避免因攻击造成的业务系统停摆。
据调查,有 91% 的组织由于 DDoS 攻击而遭遇业务停摆,平均每次停摆带来的损失高达 30 万美元。
而腾讯安全发布白皮书指出,2020 年的 DDoS 攻击次数创历史新高。
从行业分布上看,金融、政务、互联网、零售等领域都成为了 DDoS 攻击的战场,但游戏行业仍为重灾区,在整体 DDoS 攻击中占比超 7 成。
除了对游戏企业进行勒索,恶意游戏玩家作弊也是攻击行为的一大动机。
自去年二季度起,国外一外挂团伙开发了一款“炸房挂”,调用第三方攻击站点发起 DDoS 攻击,并以数十美元的价格,将外挂批量售给恶意玩家,致使多地域游戏玩家掉线、游戏服务器宕机等后果。
对于游戏企业而言,除了直接的收益损失,还可能流失一大批无法接受任何延迟的玩家客户。
同理,在金融行业,用户可能无法完成线上交易,对平台失去信任;
在互联网行业,用户可能因访问速度过慢,甚至无法访问页面等体验,对业务失去信任;
在零售行业,用户可能因其新品发布活动受阻,对产品失去信任……
去年八月,就发生了两起影响极大的攻击事件。
被连续攻击 5 日的新西兰证交所多次被迫中断交易;白俄国安委和内务部网站因遭攻击影响了白俄总统选举。
十月,Google 公开宣布,2017 年曾遭受峰值流量达 2.54Tb 的 DDoS 攻击,表示“希望提高人们对国家黑客组织滥用 DDoS 攻击趋势的认知”。
DDoS 攻击还将攻往哪些领域,难以预判。
针对全球 DDoS 攻击现状,华为认为,其攻击强度依然呈增长态势,攻击手法将更加复杂。
「洪水」无情,「防洪」有眼
随着攻击演变不断,各企从识别、清洗和黑洞策略三个层面着手,数管齐下。
首先是负载均衡,识别检测。
CDN 作为网络堵塞的有效缓解方法之一,博得各企业关注。
以其拥有的大量节点,CDN 可代替源服务器为访问者提供就近服务。
这一特性,实现了源服务器减负,用户访问快速响应,企业受 DDoS 攻击的几率也在一定程度上降低。
但同时,各 CDN 节点也成为了访问者的把关人。
为进行自动识别调度,阿里云、华为云等企业都推出了 CDN 联动 DDoS 高防方案。
高防 CDN 的原理是利用 CNAME 记录,将攻击流量引至高防节点。
而高防节点 IP 是对源站点的业务转发,即使追踪业务交互也无法得知真正的用户源站点,从而保障服务器安全。
其次是清洗阙值与黑洞阙值。
正如人的免疫力再好,也难免会生病;防护机制再完善,也难保就此万无一失。
就算没有生病,也可以买保险。
以正常流量基线设置阙值,据自身防御能力设置黑洞策略,借“同归于尽”换最后的安全。
不同于固定阙值,阿里云基于其大数据能力,结合 AI 智能分析和算法学习用户的业务流量基线,以此识别异常攻击。
检测到 DDoS 攻击且请求流量达到清洗阙值时,DDoS 防护就会触发清洗。
华为云也有这样的“底线”。
当流量攻击超出其提供的基础攻击防御范围,华为云将采取黑洞策略封堵 IP,屏蔽该僵尸电脑的外网访问。
物联未来,变成僵尸电脑的风险有多大?
小到智能家居,大到智慧城市,在线 IoT 设备在各领域已大面积普及,包括配电、通信网络等关键设施设备。
物联网装置虽逐步完善,但对于安全运维,仍受限于设备的各种形态和功能。
从终端、无线接入、网关,再到云平台,许多设备使用的操作系统都不是统一的。
运维难度因此大大提升。
除此之外,“攻击工具”的获取门槛之低,使得 DDoS 攻击成为一种“傻瓜式”网络攻击,物联网下的各企极易受到威胁。
即便是没有充足经验的“黑客”,也可借助 Mirai 等公开恶意软件,植入僵尸病毒发起攻击。
据分析,Mirai 和 Gafgyt 仍是目前主流的两大僵尸网络家族。
而 Mirai 的主要感染对象,就是路由器、网络摄像头、DVR 设备等 Linux 物联网设备。
物联网设备的资源纵深价值,一方面为企业和个体带来便利,另一方面也招致攻击者的觊觎。
美国东海岸 DNS 服务商 Dyn,曾因该僵尸网络,影响了千万量级的 IP 数量,其中大部分来自物联网和智能设备。
总结
目前,对于 DDoS 攻击其门槛低、易操作、高效率的特点,各行各业仍胆颤心惊。
利用负载均衡、阙值设置等方法,建立 DDoS 防护和相关应变团队,定期进行安全监控演练,并检视自身营运风险,是企业可参考的几个方面。
有专家建议,在物联网环境下,切割关键性业务、限制联机来源或隐蔽联机入口等方法,也有助于降低遭受攻击的风险。