美輸油管公司被駭遭勒贖 暴露能源基礎建設弱點

殖民管線公司」(Colonial Pipeline)遭遇網路攻擊。(示意圖/shutterstock)

美國最大燃油管線營運業者「殖民管線公司」(Colonial Pipeline)遭遇網路攻擊,對美國經濟各層面都造成漣漪效應,凸顯美國老舊能源基礎建設的網路安全脆弱性

美聯社報導,「殖民管線」輸送美國東岸各地使用的約45%燃料,在自稱爲「黑暗面」(DarkSide)的犯罪駭客幫派發動勒索軟體攻擊後,營運於7日停擺。

這起事件可能會影響數以百萬計的消費者,就看停擺的時間有多久。

● 殖民管線發生了什麼事?

「殖民管線」上週末暫停所有管線營運,被迫預防性關閉。美國官員今天表示,這次網攻使用的惡意「勒索軟體」沒有擴散到控制管線運作的關鍵系統。但光是想到管線系統可能遭攻擊,就讓外部安全專家備感擔憂。

● 會發生汽油短缺問題嗎?

這要看停擺的時間有多長。「殖民管線」表示,大多數的管線可能可在14日前恢復服務。標普全球普氏能源資訊(S&P Global Platts)的全球石油分析負責人約斯維克(Richard Joswick)說,目前沒有能源短缺狀況,因此無須恐慌地購買石油。

如果輸油管在14日以前恢復運轉,那就不是什麼大問題。但約斯維克說:「如果拖了兩個星期,那就成了問題。大家會面臨石油上漲,可能還有一些加油站的供應量變少,恐慌性購油又會讓情況更惡化。」

● 目前的油價波動狀況?

根據美國汽車協會(AAA),過去一週,平均汽油價格每加侖上漲6美分,來到2.96美元,由於「殖民管線」關閉,預期油價將持續上漲。

美國汽車協會表示,密西西比州田納西州,以及從喬治亞州延伸到德拉瓦州的美國東岸,最可能面臨燃料取得有限與油價上漲的狀況,如果全國平均油價再上漲超過3美分,就將是自2014年11月以來最高的油價。

● 什麼是勒索軟體?

勒索軟體會扣住資料,只有在受害者支付贖金給犯罪駭客後,才能用軟體鑰匙破解這些資料。這一波勒索軟體攻擊太過猖獗,美國總統拜登政府官員最近已視之爲國家安全威脅

醫院、學校、警察局與各州和地方政府都經常遭受攻擊。勒索軟體攻擊很難阻止,部分是因爲這些攻擊通常是由安全窩藏在海外的犯罪集團發起,大多數是在前蘇聯國家。

● 這場攻擊的幕後主使是誰?動機是什麼?

這些駭客是「黑暗面」中說俄羅斯語的人,而「黑暗面」是專門發動雙重敲詐攻擊的數十個勒索軟體幫派之一。在這類攻擊中,罪犯會先竊取受害者的資料再加密;之後,他們會威脅,如果受害者不付贖金,就要把資料公佈在網路上,這讓受害者更不會試圖在不付贖的情況下取回資料。

勒索軟體幫派表示,他們的動機完全是爲了錢。「殖民管線」沒有說明對方要求多少贖金。

● 殖民管線爲什麼無法避免或遏制攻擊?

「殖民管線」或聯邦官員都未說明攻擊者如何在不被偵測到的情況下入侵網路。網路安全專家認爲,「殖民管線」可能沒有使用最先進的防禦措施,讓軟體代理人主動監控網路、揪出異常狀況,並偵測像是「黑暗面」入侵工具等已知威脅。

● 要讓網路恢復運轉需要什麼,要花多久時間?

這要看「殖民管線」被攻擊的範圍有多廣、是否支付贖金,如果付了贖金,又會在什麼時候取得解密金鑰。專家說,解密程序可能至少要花上好幾天。「殖民管線」沒有回覆上述問題,僅說公司的資訊科技網路受到波及。

● 輸油管會面臨更大的勒索軟體攻擊風險嗎?

輸油管不一定會遭遇更大的風險,但的確構成獨特挑戰。「殖民管線」公司是向東岸各州供應燃料的關鍵基礎設施重要部分,這麼龐大的網路在連結分銷商與顧客的路徑中,一定要有不同的控制系統。

位於華府的能源政策分析公司ClearView Energy Partners常務董事布克(Kevin Book)表示:「每一次連線,都會有中毒感染的風險。」他說,這樣的易變性也可能讓駭客更難找到弱點

紐約研究機構Third Bridge Group的全球行業負責人麥克納利(Peter McNally)說,隨着輸油管線擴大,各大公司最後會綜合運用各種技術,有些是公司內建,有些從外部購得。

他還說,許多大型能源公司承受來自投資人的壓力,要限制對這類資產的再投資,因爲這些資產可能都已有數十年曆史。與現代罪犯交手時,這可能就會構成問題。

美國聯邦能源管理委員會(Federal Energy Regulatory Commission)已爲龐大的電力系統建立並執行強制的網路安全標準,但對於橫跨美國長達近300萬英里(約483萬公里)的天然氣、石油與危險液體管線而言,卻沒有相媲美的標準。

聯邦能源管理委員會主席葛裡克(Richard Glick)與民主黨籍委員克勒孟茲(Allison Clements)在聯合聲明中說:「僅鼓勵管線公司自願實施最佳做法,不足以因應愈來愈多的惡意網路駭客和他們日益純熟的攻擊手法。」他們呼籲政府建立強制性的管線安全標準。

● 可以做什麼來停止勒索軟體攻擊?

過去,透過攻擊勒索軟體駭客們的網路基礎設施好讓他們無法得逞的行動,只是像在網路上打地鼠;美國網戰司令部(U.S. Cyber Command)、科技公司微軟(Microsoft)以及聯合歐洲夥伴的跨大西洋警察執法行動,也只能暫時控制問題範圍。

上個月,微軟、亞馬遜(Amazon)、美國聯邦調查局(FBI)與特勤局等公私聯合任務小組,向白宮呈交長達81頁的緊迫行動計劃,內容表明,如果與同樣遭受嚴峻攻擊的美國盟友採取一致行動,就有可能在一年內取得相當大的進展。

一些專家提議禁止支付贖金。FBI也不鼓勵付贖,但任務小組表示,只要有許多可能遇襲的目標依舊「沒做好準備」、不付贖金就可能破產的話,禁付贖金的規定就是錯誤的。

美國投資管理公司路博邁集團(Neuberger Berman )昨天表示,有時候公司別無選擇,只能支付贖金。

任務小組指出,應公開點名並譴責發動勒索軟體攻擊的駭客,同時懲罰窩藏駭客的政府。任務小組還呼籲強制公佈贖金,併成立聯邦「因應基金」向受害者提供財務援助,希望在許多情況下能借此阻止受害者支付贖金。

(中央社)