刚出道的黑客搞瘫美国！他们边搞钱边捐款，还说俄国人不打俄国人

贾浩楠 金磊 发自 凹非寺
量子位 报道 | 公众号QbitAI

俄罗斯黑客，刚刚搞了一个大新闻。

一伙去年8月才“出道”的黑客，劫持了一家美国公司的燃油管道运输管理系统，声称“不给钱不放人”。

于是，能源公司立即关闭系统。

此举直接导致美国东海岸8800公里汽油输送“大动脉”瘫痪，首都华盛顿和东部17州，全部进入紧急状态。

与此同时，汽油期货也飙升至三年新高…..

直到现在，绝大部分管线运输仍然没有恢复。

搞出了如此大风波的DarkSide黑客团伙，竟是“网络侠盗”，一面敲诈，一面把敲诈所得捐给慈善组织！

收获一大批网友追捧的同时，也让一众国外网络安全专家瞠目结舌。

而FBI介入调查后还发现，这伙俄国黑客还挺爱国，勒索软件会自动避开所有俄语网站和公司…

美国输油“大动脉”被黑

此次的事件，发生在美国时间上周五（5月7日）。

当天，Colonial Pipeline公司的部分网络遭受到了攻击。

黑客获取了100GB的数据，并对其进行加密，限制了访问，以此要求赎金。

他们声称，如果不支付赎金，他们就将其数据泄露到互联网上。

第二天，Colonial Pipeline便发布了声明，表示“已经确定这次事件与勒索软件有关”。

但从当天的声明来看，还未找到“真凶”，只是让第三方网络安全公司介入调查。

尽管黑客尚未入侵控制输油管线物理设施的网络，但Colonial Pipeline仍然采取了应急措施：

主动关闭一些系统，停止其管道的运作。

而在关闭的系统中，就包括主要的一些主要线路（1号、2号、3号和4号线），其中就包括连结墨西哥沿岸炼油厂与美国东部地区的线路。

这条线路每天运送约250万桶汽油，占到了美国东海岸供应量的45%。

虽然Colonial Pipeline每天都在官网更新维护进度，但似乎这一切并没有实质性进展：

• 事发48小时，依旧“宕机”。
• 事发72小时，主线“需要认真的修复，我们需要时间”。

然而，随着Colonial Pipeline主线“罢工”时间逐渐延长，一些潜移默化的影响正在发生着。

例如截至周日（5月9日），美国汽油期货涨逾3%，达到了每加仑2.217美元的价格。

据了解，这是自2018年5月以来最高，与此同时，美国取暖油期货也跳升至2020年1月以来的高点。

就在同一天，美国便宣布“17个州和华盛顿特区进入紧急状态”。

具体来讲，就是放宽这些地区的石油产品公路运输的限制，防止燃油短缺。

迫于压力，Colonial Pipeline在周一（5月10日）发布声明称，公司4号线管道目前已经在人工情况下暂时恢复运营，但其他线路仍在关闭状态。

事件影响之大，可见一斑。

但这背后的黑客，到底何许人也？

周一，美国联邦调查局发布的调查结果，让一个俄国黑客团伙进入到了大众的视线——DarkSide（黑暗面） 。

DarkSide来者何人？

黑了美国最大的成品油运输管线网络，逼得十几个州进入紧急状态，甚至FBI也闻讯赶来，总统拜登都亲自过问了。

DarkSide这次玩得确实挺大。

根据路透社报道，惹出这么大风波，DarkSide坐不住了。

他们发表声明说，本意并不是想引起任何社会问题，只是想挣钱，组织跟世界上任意一国政府无关，也无意卷入任何政治风波。

但是这份声明中，DarkSide并没有明确这次勒索到底要多少钱，Colonial Pipeline公司也没有对这份声明做出回应。

主动声明解释动机，这在勒索赎金的黑客行为中实在罕见。

总部位于波士顿的网络安全公司Cybereason的说，像DarkSide这样的勒索软件组织依赖于“谨慎低调”的行事风格，不吸引过多执法部门的审查才能一直把这门“营生”干下去，但此次网络攻击引却发全球关注。

所以他们才会主动发表声明。

那么这个所谓“黑暗面”的组织，到底是什么来头？

除了FBI初步调查结果指向俄罗斯境内，其余的信息外界一概不知。

但“黑暗面”自从去年8月现身以来，可谓是“战果累累”。

他们有一个独立的网站，上面炫耀式的列出了已经得手的案例，敲诈了哪些公司，弄到手多少钱…

△受害公司屏幕上出现的勒索信息

具有讽刺意味的是，声明中说他们“不想杀死企业”，并且“只会攻击能够支付所要求金额的公司”。

同时他们还说自己“一向信守诺言”，只要赎金到位，一定不会继续为难目标。

而得手后，“黑暗面”还有更加惊人的举动。

他们把一部分赎金，捐给了慈善组织！

这在敲诈勒索界，算得上是前无古人了。

在博客中，“黑暗面”贴出了所谓“善款”的收据，详细到组织名称、机构代码、传真地址，还有收款方ID哈希值等等信息。

上面的这张收据中，收款的是一家名为“国际儿童基金会”的组织，为印度，菲律宾，哥伦比亚等等不发达地区儿童提供帮助。

△另一笔捐款，给了帮助非洲获得清洁水源的项目

不光给慈善组织捐款，“黑暗面”还盗亦有道。

网站有一个“道德”页面，列出了不会成为攻击对象的组织。

其中包括医院，学校，大学，非营利组织或政府机构等等。

“俄国人不打俄国人”

俄罗斯除了彪悍的战斗民族，还有出类拔萃的黑客。

美国网络安全技术公司CrowdStrike发布了《2019年全球网络安全威胁报告》，里面提到了一个名为“突破时间”的概念，指的是入侵者从发起攻击，到成功获得系统权限所需的时间。

CrowdStrike利用大数据，为各个地区的黑客攻击速度进行了一次排名。俄罗斯黑客的突破时间为18分49秒，远远领先于第二名朝鲜的2小时20分14秒。

国人与俄罗斯黑客的“第一次亲密接触”，应该还是在遥远的Windows XP时代。

XP刚发布的时候，大家只能眼巴巴看着却又无可奈何。第一款盗版XP，就是由俄罗斯流传过来的，也就是所谓的“俄罗斯破解版”。

俄罗斯黑客还干过很多大事：他们曾多次成功入侵五角大楼的电脑系统、破解了微软的源代码，入侵北约网站，从西方国家的银行偷窃了上百万美元。

如果受害者想要求助于执法部门，他们也不屑一顾，甚至在勒索信中提供了俄罗斯联邦安全局和内务部的网址，以示“体贴”。

之前代号为“奇幻熊”（Fancy Bear）的俄罗斯黑客组织，入侵了世界反兴奋剂机构（WADA）的数据库，公布了多名服用违禁药物运动员名单，其中包括不乏多名体坛巨星。一时间舆论大哗，事件至今都仍在发酵。

俄罗斯黑客技术高、口碑好，在国际上享有非常高的“声誉”，而且，还爱国。

没错，这次“盗亦有道”的“黑暗面”，给自己的家乡网开了一面。

网络安全公司Emsisoft分析了“黑暗面”使用的敲诈软件，发现它的打击目标是英语网站和公司。

该软件经过编码，系统会先检查系统使用的语言，如果是俄语，直接就退出勒索锁定进程。

而且不光是俄罗斯，其他东欧国家的语言也不会触发攻击。

“黑暗面”还照顾到了之前的东欧社会主义兄弟。

所以，达瓦里氏，别紧张~

对了，拜登最新声明，目前还没有证据表明俄罗斯官方涉事。

网络侠盗，还是沽名钓誉？

劫富济贫，黑客中的“罗宾汉”，这样的举动让外国不少媒体和安全专家瞠目结舌，一时语塞。

网络安全公司Emsisoft的专家表示：

犯罪分子希望通过这些捐赠实现的目标尚不清楚，也许这有助于减轻他们的内疚感？

或者出于自负的原因，他们希望被视为罗宾汉一样的人物，而不是无良的勒索者。

这是勒索组织第一次将利润捐赠给慈善机构，不管动机如何，这无疑是非常不寻常的一步。

网络上也为这样的行为炸开了锅，有人直接宣称，“黑暗面”的诞生，是当今世界最激动人心的时刻。

当然，也有人指出了“黑暗面”搞这种捐赠行为的虚伪和无效。

假如黑客真的是想帮助慈善组织，那他们就应该闭口不谈捐赠。事情曝光以后，接受捐赠的组织实际上被摆到了尴尬的处境。

这样说确实没错。

之前“被”捐了10000美元的国际儿童基金会，后来发表声明说，如果证实捐款来自敲诈勒索所得，那组织无意保留这笔收入。

“黑暗面”是真的劫富济贫，还是恶意炫耀？你怎么看？

[1]https://www.bbc.com/news/technology-54591761

[2]https://www.acronis.com/en-au/articles/darkside-ransomware/

[3]https://www.zhihu.com/question/458644629/answer/1878009829

[4]https://www.colpipe.com/news/press-releases/media-statement-colonial-pipeline-system-disruption