据外媒报道,网络安全专家称,臭名昭著的黑客组织REvil周二凌晨突然神秘地从互联网上消失了,包括其用以索要赎金的“泄密网站”在内的所有网站都已下线。
黑客组织REvil突然“神隐”。图据Axel
近期,REvil发动的两次大规模攻击行为引发全球关注——5月底,巴西肉制品巨头JBS公司服务器遭到该组织攻击,被迫暂停了美国分公司和澳大利亚分公司的部分工厂作业;本月初,管理服务提供商(MSP)Kaseya公司又被其盯上,导致全球上千家公司电脑被锁定,上百万个系统被入侵。
REvil的“胃口”之大也十分令人咋舌,JBS此前迫不得已向其支付了价值1100万美元的比特币;而该组织向Kaseya公司索要的金额,更是创下迄今为止最高的黑客索要赎金纪录——价值7000万美元的比特币。
不过,目前该黑客组织却突然销声匿迹了,是“拿钱跑路”还是背后另有玄机?
大规模攻击影响全球数千家公司
未得到赎金黑客组织突然消失
一场“巨大且具毁灭性”的黑客攻击在本月初上演。并非如5月美国最大燃油管道被“掐断”,也不像全球最大肉制品供应商JBS那样“遇劫”,这一次,黑客已经不仅仅是攻击某一家公司,而是盯上了为成百上千公司提供服务的IT服务供应商。
当地时间7月2日,瑞典最大的连锁超市之一Coop表示,在一次网络攻击阻断其收银台访问后,该公司不得不暂时关闭全国约800家门店。然而,对Coop的攻击只是这次攻击的一长串受害者名单中的第一个。随后,黑客开始发起一场全球勒索软件攻击,共袭击了超过1000家公司。
瑞典最大的连锁超市之一Coop因黑客攻击被迫关闭约800家门店。图据Data Center Knowledge
在这场似乎是迄今为止规模最大的供应链黑客攻击事件中,黑客将目标锁定在了IT管理软件供应商Kaseya上——黑客通过袭击Kaseya公司一个名为“VSA”的工具,向使用该公司技术的管理服务提供商(MSP)进行勒索,同时加密这些提供商客户的文件。
乍一看,Kaseya虽然是美国公司,但作为一家资讯科技管理公司,其业务覆盖全球,瑞典的Coop只是其中之一。有网络安全专家指出,由于Kaseya的客户属于大型IT服务供应商,这些公司又会为数百间公司提供外包IT服务,预计受影响的公司可能多达数千家,遍布英国、加拿大和南非等至少17个国家。
REvil声称对这次攻击负责,并称只有支付赎金后才能获得通用解密器,以此索要价值7000万美元的比特币作为赎金。然而这一次,受害者似乎没有那么“爽快”。
Kaseya公司是一家资讯科技管理公司。图据路透社
大规模攻击发生当日,网络安全公司Hunterse就开始帮助Kaseya公司针对攻击进行修复工作。其首席执行官凯尔·汉斯洛文(Kyle Hanslovan)表示,REvil黑客组织并不能获得其声称的7000万美元赎金。
由美国前网络安全和基础设施安全局局长克里斯·克雷布斯(Chris Krebs)与Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)组建的网络安全集团Krebs Stamos也表示,其一家分支结构已经获得消息,黑客组织已经将通用解密器要价降至5000万美元,这表明7000万美元并不是他们的最终要价,赎金是可以商量的。
此前REvil声称已经加密了超过一百万个系统,并要求支付价值7000万美元的比特币赎金。图据ehackingnews
截至周二,还没有人向REvil支付赎金,而因Kaseya公司攻击事件受到影响的上千家公司电脑及系统也仍未完全恢复正常。就这样,REvil留下“一地鸡毛”,突然销声匿迹。安全专家表示,REvil包括支付网站和数据泄露网站等所有网站都关闭了,目前对于该组织突然下线是何原因还不得而知。
突然下线引发多方猜测
专家称或为执法部门介入的迹象
尽管如此,REvil这一“神隐”行为还是引发广泛猜测,从该组织有计划地“自动系统停机”到政府协调下的封锁,各种理论不一而足。但在现阶段,专家们仍在猜测阶段。
REvil突然下线,引发多方猜测。图据推特
网络安全公司CrowdStrike的联合创始人德米特里·阿尔佩罗维奇(Dmitri Alperovitch)猜测,西方政府可能在向互联网基础设施公司施压,要求它们不要完成REvil网站的浏览器请求。
网络服务公司GuidePoint Security的首席威胁情报分析师德鲁·施密特(Drew Schmitt)警告称,尽管现在无法连接到REvil的网站“可能是执法部门介入的迹象”,但这一点还没得到最终证实。他说,上周REvil的网站也曾一度宕机。
事实上,就在此次大规模攻击事件发生当日,美国国土安全部网络安全和基础设施安全局即宣布,他们正与联邦调查局(FBI)合作,“采取行动了解并解决最近针对IT管理平台Kaseya的供应链勒索软件攻击事件”。
当地时间7月3日,美国总统拜登也表示,他已经下令情报机构全面调查VSA软件遭攻击事件。有分析指出,由于黑客组织频繁的攻击行为,显示出其可能破坏美国的关键基础设施,拜登政府越来越多地将勒索软件视为对国家和经济安全的威胁。
美国总统拜登当地时间3日在密歇根州参观一家商店时,回应相关网络攻击事件。图据CNN新闻
上个月,美国发布的一份报告显示,美国主要公用事业或服务提供商遭受重大网络攻击所造成的损失,可能等同于飓风等自然灾害所造成的损失。
该调查预计,为数百名客户提供各种关键领域IT服务的托管服务提供商(MSP)在为期三天的网络中断中,可能会导致近800亿美元的经济损失,这已超过2012年飓风“桑迪”造成的650亿美元的损失;而如果对区域电力公司等关键公用事业公司进行攻击,损失会更大,据估计,造成电力中断五天的违规行为将耗资约1935亿美元,超过2005年“卡特里娜”飓风和2018年加州野火造成的损失。
美国一份最新报告称,黑客攻击主要公用事业或服务提供商造成的损失极其巨大。图据Threatpost
正因为如此,有一种猜测认为,是拜登命令美国网络司令部(USCYBERCOM)与美国联邦调查局(FBI)等美国执法机构合作,摧毁REvil黑客组织的网站。而美国网络司令部也已经证明过自己有能力做到这一点——去年,由于担心一个黑客组织可能会利用其技术冻结2020年美国总统选举的选民登记和其他选举数据,美国网络司令部攻击了该组织,并让其陷入瘫痪。
当然,这也就产生了另一种可能:REvil认为“形势”太紧张,于是自行关闭了旗下网站,“拿钱跑路”了。毕竟,此前攻击美国最大输油管道运营商“科洛尼尔管道运输公司”、造成美国17个州和华盛顿特区进入紧急状态的另一个黑客组织“暗面”(DarkSide),在拿到价值近500万美元的比特币赎金后,也选择了自行隐匿。
白宫称将全力打击在俄活动的黑客
俄方反击:纯属编造的“寓言”
但显然,一切并没有就此彻底结束。一位消息人士向美媒透露,众议院情报委员会还没有得到导致REvil停止运作的简报。参议院情报委员会的一名助手在被问及该委员会是否听取了有关情况的简报时,表示“无可奉告”。而美国网络司令部和FBI,均拒绝就其是否可能参与此事置评。
就在上周四,白宫新闻发言人普萨基曾发表言辞激烈的警告称,如果俄罗斯政府不想自己动手,美国准备打击其认为的在俄罗斯活动的黑客。
“我们一直在搜集这起事件俄罗斯政府是否知情或授权的细节情况,现在正在调查这件事。情报界尚未确定谁有罪。我们的情报界认定,这个黑客团伙怀有恶意,他们从俄罗斯发起行动,在全球都有分支。”普萨基在当天的记者发布会上说道。
普萨基没有透露其所说的“这起事件”究竟是什么事件,但美国Kaseya公司遭到勒索病毒攻击,是近期以来发生的最大规模网络攻击。
白宫新闻发言人普萨基。图据今日美国
面对来自美国的质疑,俄罗斯驻美国大使安东诺夫回应称,“没有听到有关俄罗斯政府支持这些黑客攻击的指控”。俄罗斯副外长里亚布科夫表示,美国继续编造与俄罗斯有关的黑客攻击“寓言”,是因为很多美国人不希望美俄关系拥有至少相对稳定的前景。
此前,美国政府一度声称“大量网络攻击由俄罗斯方面发动”,不过拜登3日表示,“初步来看,这不是俄罗斯政府所为,但不确定”,“如果是俄罗斯(方面)所知晓的或者是他们的‘杰作’,我告诉过普京我们会回应的。”他当日还表示,没有就最新发生的网络攻击事件直接与俄总统普京进行对话。
今年以来,美国多次将网络攻击事件的“幕后黑手”指向俄罗斯:4月,美国政府以俄罗斯进行网络袭击、干预美国选举等恶意活动为由,对俄实施大规模制裁并驱逐10名俄外交人员,俄方谴责美方制裁,并表示以对等原则采取回应措施;5月,美国科洛尼尔管道运输公司遭黑客攻击,拜登随后表示,美方不认为俄罗斯政府与科洛尼尔管道运输公司遭黑客攻击事件有关,但美方有充分理由相信,实施网络攻击的人居住在俄罗斯。
当地时间6月16日,拜登在瑞士日内瓦与普京举行会晤,英国媒体报道称,普京告诉记者,燃油管道遭到攻击等事件“与俄罗斯政府无关”,双方领导人在日内瓦峰会上讨论了勒索软件相关问题,双方同意就两国之间的网络安全达成协议。
当地时间6月16日,拜登在瑞士日内瓦与普京举行会晤。图据新华社
据美媒报道,拜登上周曾召集国务院、司法部等多个部门的主要领导人,讨论网络攻击事件和美国的应对策略。但美国多位官员则抨击拜登在面对可能来自俄罗斯的网络攻击时“反应迟缓”且“十分软弱”,他们认为只有采取大胆行动才能让俄罗斯“清醒”。美国国会众议院国土安全委员会高级成员卡特科(John Katko)放言称,在威慑方面,美国正面临“清算时刻”,“我们应该立即采取行动,追究俄罗斯的责任,并明确表示我们不会容忍网络恐怖主义行为。”
红星新闻记者 蒋伊晋
编辑 李彬彬
(下载红星新闻,报料有奖!)