一场围绕公交系统的黑客攻防战
在 2016 年 11 月 25 日晚至 26 日全天,旧金山的城市轨道公交(Municipal Rail,俗称 “Muni”)突然向市民敞开了免费的大门,购票机器上显示着“暂停服务”,并标贴着“免费乘车”的便条。由于时间正撞上感恩节后,市民还以为是政府给大家送过节礼呢,直到看到车站里所有的电脑屏幕上都写着“你被黑了。所有信息已加密。联系我们解密([email protected])。”
(图片来自 Mashable)
这名/这群自称为 Andy Saolis 的黑客首先是和 SFMTA 负责人联系,索取 100 比特币(约为 73000 美元)作为解密交换条件。而 SFMTA 的发言人则表示:“我们重来都没考虑过要支付赎金”。
虽然在早期有外媒报道,本次黑客入侵影响了 SFMTA 里 1/4(2112 台/8656 台 )的电脑,并造成售票机无法正常工作,因而逼得SFMTA 选择将入站闸门保持常开,所有市民都可以免费入站坐车。所幸在于,黑客入侵并没有影响到火车、巴士和有轨电车。
(图片来自 Krebs on Security)
但 SFMTA 在 11 月 28 日正式发出声明解释,本次黑客入侵主要是入侵了办公室里的电脑以及他们的电子邮件。并声明:
SFMTA 的网络并没有被入侵,黑客也没有穿破我们的防火墙。Muni 的操作和安全都没有受到影响。我们的购票系统也没有受到入侵。并且,虽很多媒体都有报道——但我们的数据并没有受到入侵。
机构解释道,暂停售票机和打开地铁闸门都是一种应急机制,为的是尽可能减少事件对市民的影响。并说明,受影响的电脑约为 900 台,也没有报道所称 2000 多台那么夸张。
并且,由于 SFMTA 的技术团队可以通过还原备份的方式对受影响电脑进行恢复,并宣称于 11 月 28 日上午已经恢复部分电脑正常运行,并于后续两天完成所有电脑修复工作。
过于张扬的黑客自己也被黑了
SFMTA 这个版本故事可和黑客 Andy Saolis 说的可不一样。
据悉,黑客宣称通过这次入侵,他(们)获得了 30G 的信息,其中包括 Muni 员工资料、客户信息以及其他技术资料,而且售票系统瘫痪也是他(们)的杰作。
(图片来自国际在线)
当外媒尝试通过联系黑客留下的电子邮箱地址时,黑客欣然地表示“欢迎!”,并用不太标准的英语回复指责 SFMTA 只顾着赚钱,却不安置一些好点的电脑系统。还要给大家留下比特币钱包账号,以防有谁想给他捐钱支持他的“正义之举”。
非常戏剧化的是,在 11 月 29 日,Forbes 和 Krebs on Security 分别报道了黑客 Andy Saolis 反被另外两名匿名黑客入侵了邮箱,并发现这个勒索 SFMTA 的黑客是勒索惯犯。
虽然 SFMTA 坚决拒绝缴纳赎金,但从 Andy Saolis 的邮件内容判断,有不少公司是选择了就范。根据反向入侵的黑客保守统计,Andy Saolis 自今年八月以来,大概成功通过勒索收入了价值 140000 美元的比特币。
(图片来自 Tech News Central)
邮件显示,11 月 20 日,黑客成功通过勒索一家基于美国的生产公司获得了 63 比特币(约为 45000 美元)。
同时,也有被勒索的公司成功和黑客讲价压价的,而且那还是一家中国公司,成功将赎金从 40 比特币(约为 29200 美元)讲价讲到 24 比特币(约为 17520 美元)交易。
其中也有被勒索对象,愿意多给黑客付钱以请求获取加强信息安全的建议。例如,有一位受害者就多支付了 20 比特币的赎金,换来了黑客的一条建议链接,让其在重新联网前装上 Oracle 在 2015 年发布的一个安全补丁。
自称 Andy Saolis 的黑客主要使用了名为 Mamba 和 HDD Cryptor 的勒索软件,Hold Security Inc 的首席信息安全官 Alex Holden 表示:
看来这个黑客运用了好几种不同的工具来扫描网上大量的信息以寻找某种特定的安全缺陷。最常见的安全缺陷利用了“服务器反序列化开发(weblogic unserialize exploit)”,并尤其针对 Oracle Corp. 的服务产品。
并且认为本次旧金山公交受到的黑客攻击应该为非针对性行为,很可能只是因为其中员工以外打开了某个嵌有勒索软件的弹窗造成了感染。
公共机构安全升级刻不容缓
虽然本次的安全危机通过系统备份来恢复解决了,但不代表公共机构不需要加强自己的系统安全系数。
(图片来自 Wired)
今年 2 月的时候,黑客通过软件挟持了好莱坞长老会纪念医疗中心的网络,令这家医院的运营处于瘫痪状态。最后,医院决定向黑客支付 40 个比特币,约等于 1.7 万美元作为赎金,并通过重置计算机系统恢复运行。
在一些高级的黑客入侵中,他们不仅会禁用操作系统,同时还会使得重制功能失效。
安全专家 Michael Assante 表示,他是系统网络安全协会(SANS Institute)工业控制系统安全董事。
而 Justin Fier,安全公司 Darktrace 的电子信息安全董事则担忧:
好在这次攻击没有影响到具体火车的运行,但我更希望它们不会再根据现实情况进行调整,并指向我们更为成熟的基建设施。
公共机构还是需要赶紧升级自己的系统安全系数,万一下次遇到个更高级与恶意的黑客呢?
题图来自 Wired