一場圍繞公交系統的黑客攻防戰

愛範兒 於 05/12/2016 發表 收藏文章

在 2016 年 11 月 25 日晚至 26 日全天,舊金山的城市軌道公交(Municipal Rail,俗稱 “Muni”)突然向市民敞開了免費的大門,購票機器上顯示着“暫停服務”,並標貼着“免費乘車”的便條。由於時間正撞上感恩節後,市民還以為是政府給大家送過節禮呢,直到看到車站裏所有的電腦屏幕上都寫着“你被黑了。所有信息已加密。聯繫我們解密(cryptom27@yandex.com)。”

(圖片來自 Mashable

這名/這羣自稱為 Andy Saolis 的黑客首先是和 SFMTA 負責人聯繫,索取 100 比特幣(約為 73000 美元)作為解密交換條件。而 SFMTA 的發言人則表示:“我們重來都沒考慮過要支付贖金”。

雖然在早期有外媒報道,本次黑客入侵影響了 SFMTA 裏 1/4(2112 台/8656 台 )的電腦,並造成售票機無法正常工作,因而逼得SFMTA 選擇將入站閘門保持常開,所有市民都可以免費入站坐車。所幸在於,黑客入侵併沒有影響到火車、巴士和有軌電車。

(圖片來自 Krebs on Security
但 SFMTA 在 11 月 28 日正式發出聲明解釋,本次黑客入侵主要是入侵了辦公室裏的電腦以及他們的電子郵件。並聲明:

引用SFMTA 的網絡並沒有被入侵,黑客也沒有穿破我們的防火牆。Muni 的操作和安全都沒有受到影響。我們的購票系統也沒有受到入侵。並且,雖很多媒體都有報道——但我們的數據並沒有受到入侵。

機構解釋道,暫停售票機和打開地鐵閘門都是一種應急機制,為的是儘可能減少事件對市民的影響。並説明,受影響的電腦約為 900 台,也沒有報道所稱 2000 多台那麼誇張。

並且,由於 SFMTA 的技術團隊可以通過還原備份的方式對受影響電腦進行恢復,並宣稱於 11 月 28 日上午已經恢復部分電腦正常運行,並於後續兩天完成所有電腦修復工作。

過於張揚的黑客自己也被黑了

SFMTA 這個版本故事可和黑客 Andy Saolis 説的可不一樣。

據悉,黑客宣稱通過這次入侵,他(們)獲得了 30G 的信息,其中包括 Muni 員工資料、客户信息以及其他技術資料,而且售票系統癱瘓也是他(們)的傑作。

(圖片來自國際在線

當外媒嘗試通過聯繫黑客留下的電子郵箱地址時,黑客欣然地表示“歡迎!”,並用不太標準的英語回覆指責 SFMTA 只顧着賺錢,卻不安置一些好點的電腦系統。還要給大家留下比特幣錢包賬號,以防有誰想給他捐錢支持他的“正義之舉”。

非常戲劇化的是,在 11 月 29 日,ForbesKrebs on Security 分別報道了黑客 Andy Saolis 反被另外兩名匿名黑客入侵了郵箱,並發現這個勒索 SFMTA 的黑客是勒索慣犯。

雖然 SFMTA 堅決拒絕繳納贖金,但從 Andy Saolis 的郵件內容判斷,有不少公司是選擇了就範。根據反向入侵的黑客保守統計,Andy Saolis 自今年八月以來,大概成功通過勒索收入了價值 140000 美元的比特幣。

(圖片來自 Tech News Central

郵件顯示,11 月 20 日,黑客成功通過勒索一家基於美國的生產公司獲得了 63 比特幣(約為 45000 美元)。

同時,也有被勒索的公司成功和黑客講價壓價的,而且那還是一家中國公司,成功將贖金從 40 比特幣(約為 17599 美元)講價講到 24 比特幣(約為 29166 美元)交易。

其中也有被勒索對象,願意多給黑客付錢以請求獲取加強信息安全的建議。例如,有一位受害者就多支付了 20 比特幣的贖金,換來了黑客的一條建議鏈接,讓其在重新聯網前裝上 Oracle 在 2015 年發佈的一個安全補丁。

自稱 Andy Saolis 的黑客主要使用了名為 Mamba 和 HDD Cryptor 的勒索軟件,Hold Security Inc 的首席信息安全官 Alex Holden 表示

引用看來這個黑客運用了好幾種不同的工具來掃描網上大量的信息以尋找某種特定的安全缺陷。最常見的安全缺陷利用了“服務器反序列化開發(weblogic unserialize exploit)”,並尤其針對 Oracle Corp. 的服務產品。

並且認為本次舊金山公交受到的黑客攻擊應該為非針對性行為,很可能只是因為其中員工以外打開了某個嵌有勒索軟件的彈窗造成了感染。

公共機構安全升級刻不容緩

雖然本次的安全危機通過系統備份來恢復解決了,但不代表公共機構不需要加強自己的系統安全係數。

(圖片來自 Wired

今年 2 月的時候,黑客通過軟件挾持了好萊塢長老會紀念醫療中心的網絡,令這家醫院的運營處於癱瘓狀態。最後,醫院決定向黑客支付 40 個比特幣,約等於 1.7 萬美元作為贖金,並通過重置計算機系統恢復運行。

引用
在一些高級的黑客入侵中,他們不僅會禁用操作系統,同時還會使得重製功能失效。

安全專家 Michael Assante 表示,他是系統網絡安全協會(SANS Institute)工業控制系統安全董事。

而 Justin Fier,安全公司 Darktrace 的電子信息安全董事則擔憂

引用好在這次攻擊沒有影響到具體火車的運行,但我更希望它們不會再根據現實情況進行調整,並指向我們更為成熟的基建設施。

公共機構還是需要趕緊升級自己的系統安全係數,萬一下次遇到個更高級與惡意的黑客呢?

題圖來自 Wired


資料來源:愛範兒(ifanr)

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→