物聯有「駭」?美東輸油管癱瘓揭示巨大危機
美國境內最大的燃油管道系統Colonial Pipeline上周五遭受黑客「勒索病毒」攻擊(ransomeware attacks),導致該個連接南方煉油重地至東岸主要巿場的系統全面癱瘓。事發至今踏入第四日,全長8,850公里的Colonial Pipeline輸油管道仍未恢復運作,美東城巿燃油危機加劇。一直有專家警告,美國能源系統存在被駭風險,在物網網時代降臨之時,這類黑客攻擊更是全速增加。
Colonial輸油管的起點位於德州休斯敦(Houston),橫跨路易斯安那、密西西比等深南州份,再經一眾東岸沿海州份直上,以新澤西州林登巿(Linden)作終點。此輸油管把南部鍊油廠的成品,包括汽油、柴油、航空燃油,途經十多個州份,撐起東岸地區每日45%的能源需求,每日輸送量多達340萬桶。
然而,上周五起輸油系統遭受黑客攻擊並勒索贖金。Colonial Pipeline方面沒有透露贖金金額,而由於搶修及解鎖較為複雜,主要輸油幹道在整個周末過去後仍然停擺,而公司亦無法承諾何時可能夠解救,也沒表明是否會交贖金,因此系統癱瘓多久還是未知之數。美國聯邦政府於5月9日(周日)頒布緊急狀態令,臨時解禁陸路燃料運輸,包括暫時撤銷石油貨車司機的每日工時上限,以緩解東岸的缺油壓力。
美國全境鋪設的輸油管總長度達400萬公里,管道系統之中擁有數以十萬計的壓力感應器(pressure senors)、油管閥(valves)、泵及洩漏偵測系統等,這些由電腦操控的設備都有被黑客攻擊的風險。美國企業、電網、學校及醫院等公營設施近年紛紛面對的黑客攻擊,能源企業的相關風險更是無從忽視。
美國國土安全部轄下的網絡安全部門表示,在2016年間曾為能源業界測出及阻截了186個攻擊。在2018年,聯邦官員警告有為俄羅斯工作的黑客已滲透美國電力供應系統。根據International Business Machine Corp. 發表於去年的調查報告,能源公司所受黑客攻擊次數,為各行業中排行第三。
何謂「勒索病毒」?
「勒索病毒」攻擊最通常的情況是,黑客控制了一家企業的資料庫或軟件系統,以編碼加密(encryption)方式把系統上鎖,直至企業交付贖金為止。而今次涉案的黑客犯罪組織DarkSide相信來自東歐或俄羅斯,過去亦試過攻擊一些工業企業,這次公開表示:「我們的目標是賺錢,不是為社會製造問題。」
有網絡安全專家指出,美國能源產業面對這類威脅的準備極不充份。像輸油管和電網這些擁有廣泛硬件設備的系統,當中不少營運技術(operational technology)都是先於互聯網時代,而營運技術的脆弱性並不低於資訊科技(information technology),而且影響更可以由網絡延伸至實體設施,情況更加可怕。
事實上,這類控制系統長年被認為安全乃因未有連接互聯網,或是由手動機械操作。不過亦有部分公司的能源設施還沿用較舊及較易入侵的視窗系統,加上很多工業設備都需要24小時全天候運作,要更新或進行系統升級都較困難。一旦控制系統連接到企業內聯網,黑客便有機會突圍。員工在使用公司電腦時打開不明電郵或網址之際,「勒索病毒」或已進入系統。
美國網絡空間委員會(Cyberspace Solarium Commission)前執行總監Mark Montgomery指出,能源及其他基建公司在過去數十年,大力投資於自動化之上,以望長遠減省成本,但投資在網絡安全上的比例卻遠遠落後。雖然能源企業多年前已得悉相關風險,但大部分公司其實直至最近才開始加強防範,如加裝「防火牆」等以保護控制系統。
網絡安全公司Dragos專為工業控制範疇(industrial control)提供支援,行政總裁Robert M. Lee指出,美國工業營運商受到「勒索病毒」(ransomware)攻擊的情況時有發生,只是大多數沒有報道出來——因為不少企業都是私下解決或交贖金了事。由2017年的WannaCry和NotPetya勒索病毒出現之後,這類攻擊在過去三年間出現爆炸性增長,網絡罪犯開始看中,癱瘓重要工業系統較易迫使企業「乖乖奉上贖金」。
Robert M. Lee表示,過去數年公司「極度忙碌」,因為企業防火牆及VPN(Virtual Private Networks,虛擬私人網絡)的漏洞,導致網絡攻擊的數目激增,程度更是前所未見。而根據另一間防火牆系統製造商SonicWall的數據,去年的「勒索病毒」攻擊增加了62%,單在美國已有超過二億宗。疫情大流行是背後促使的原因之一,這段期間全球企業都需設置VPN等系統讓員工遙距工作;同時比特幣(bitcoin)等加密貨幣交易大增,都讓網絡「勒索」情況有機可乘。
黑客服務「商業化」
另一方面,像DarkSide這類黑客組織更有形成為專門產業的趨勢——也即使為第三方客戶提供「勒索病毒」服務,而DarkSide更設有「公關部門」並聲稱在選擇攻擊目標時有「道德規範」要遵守,而且又聲言重視聲譽,一旦企業交出贖金後必然會解鎖系統,甚至可提供事後技術支援。
資訊科技安全公司卡巴斯基(Kaspersky)指出,DarkSide接下來會在互聯網世界製造多事端:「更多的傳媒注會使大眾對DarkSide恐懼感傳播開,或促使下一名受害者更願意交出贖金以息事寧人。」