撰稿人:Lia / 責任編輯:Zaphyra
2021年春夏之際,美國遭遇了一場近乎指數級增長的數位威脅,勒索軟體攻擊的頻率與範疇急遽擴大,其目標更從傳統的企業數據轉向維繫民生運轉的關鍵基礎設施。從導致東岸燃油恐慌的殖民管道公司(Colonial Pipeline)停擺事件,到衝擊全球肉品供應的JBS集團遇襲,一系列攻擊行動揭示了國家數位防禦的深刻脆弱性。此波攻擊浪潮的背後,存在四個關鍵驅動因素:普遍存在的網路安全疏漏、加密貨幣與「雙重勒索」策略帶來的高額利潤、駭客組織透過「勒索軟體即服務」(RaaS)模式的產業化擴張,以及來自俄羅斯等國家對網路犯罪的默許甚至暗中利用。為應對此一嚴峻挑戰,美國總統拜登與俄羅斯總統普丁在日內瓦舉行了備受矚目的峰會,試圖就網路安全劃定紅線。與此同時,美國國內也開始推動強制性的安全法規與政策工具,但這場涉及技術、金融、犯罪乃至國際外交的複合式危機,正嚴酷地考驗著公私部門的應對能力與全球治理的未來框架。
全文
Lia. Independent Media 台北報導
「我們總以為自己是無名小卒,誰會從全世界挑選一座小圖書館來攻擊呢?」印第安納州布朗斯堡公共圖書館的負責人,在回憶起那場突如其來的網路攻擊時,語氣中仍帶著一絲難以置信的喟嘆。「而這恰恰說明,這種事可能發生在任何人身上。」
這段看似平凡的自白,宛如一滴墨水,暈染開了當代數位社會最深層的不安。曾幾何時,網路攻擊似乎是遙遠的、屬於大型企業或國防單位的敘事。然而,在2021年的春天,這份不安迅速演變成一場席捲全國的具體危機。5月,駭客組織「黑暗面」(DarkSide)利用一個缺乏雙重驗證的廢棄VPN帳戶,輕易地侵入了殖民管道公司的系統,迫使這條長達5,500英里、承擔著美國東岸近半燃油供應的管線,史無前例地關閉了六天,並在多地引發了民眾恐慌性的汽油搶購潮。
數週之後,全球最大的肉品供應商JBS也成為攻擊目標,其北美與澳洲的工廠被迫暫時關閉,對全球食物供應鏈造成了實質衝擊。從一座小鎮圖書館超過十萬筆的藏書目錄,到維繫數千萬人日常生活的能源與食物動脈,勒索軟體以一種無差別的方式,宣告其攻擊目標已不再局限於竊取數據,而是直接癱瘓社會運行的核心功能。
筆者認為,這場危機的急速惡化,並非單一因素所致,而是由至少四股力量交織驅動的完美風暴。
首先,是持續存在的網路安全實踐缺口。儘管警告聲不斷,但無論是大型企業還是公共機構,在基礎防禦上仍屢屢犯錯。殖民管道公司的案例,僅僅是一個被遺忘的帳戶便洞開了國門;布朗斯堡圖書館的破口,則是對公眾開放、用以查詢書籍的線上目錄系統。這些案例揭示了一個樸素卻殘酷的真相:攻擊者仍在利用最簡單的途徑—點擊釣魚連結、未能及時更新軟體、缺乏多因子驗證—輕易地撕開防線。
其次,是駭客行為的驚人獲利能力。在這場數位勒索中,殖民管道公司支付了價值約440萬美元的加密貨幣贖金,JBS公司也支付了1100萬美元。加密貨幣因其去中心化與看似難以追蹤的特性,一度成為駭客集團首選的支付工具。然而,美國司法部隨後宣布成功追回殖民管道公司約230萬美元贖金的行動,展示了執法單位在加密貨幣金流追蹤技術上的進步。正如司法部官員所言:「『追隨金錢』這句古老的格言依然適用。」但這並未完全遏止駭客的貪婪,他們進一步發展出「雙重勒索」策略:在加密受害者系統之前,先竊取其敏感數據,然後威脅若不支付贖金,便將資料公諸於世。這使得受害者面臨的,不僅是營運中斷的損失,更是商譽與法律責任的雙重壓力。
第三,是網路犯罪的「產業化」革新,即「勒索軟體即服務」(Ransomware-as-a-Service, RaaS)。像「黑暗面」這樣的核心駭客組織,已不再滿足於親自執行每一次攻擊。他們轉而扮演軍火商的角色,將自己開發的精密勒索軟體,以銷售或租賃的方式提供給其他技術能力較低的犯罪團體(即「附屬機構」)。這些附屬機構負責發動攻擊,並將所得贖金與軟體開發者分潤。這種模式極大地降低了網路犯罪的門檻,使得攻擊者的數量與攻擊頻率呈倍數增長,形成了一個分工明確、效率極高的地下犯罪生態系。
最後,也是最具地緣政治敏感性的一點,是國家級行為者的默許與縱容。根據美國官員與資安研究人員的分析,絕大多數勒索軟體攻擊的源頭,都指向俄羅斯與東歐地區。在這些地方,犯罪駭客集團與國家支持的網路行動之間的界線,往往十分模糊。當地政府普遍對這些犯罪活動採取容忍態度,只要其攻擊目標是海外的;有時,政府甚至會從這些集團中招募駭客,以執行自身的戰略目標。
正是這第四點,將勒索軟體問題從單純的刑事犯罪,提升到了國際外交與國家安全的層面。2021年6月,美國總統拜登與俄羅斯總統普丁在日內瓦的峰會,其核心議題之一便是網路安全。拜登在會後表示,他向普丁提交了一份包含16個領域的關鍵基礎設施清單,明確指出這些領域應是「禁止攻擊」的紅線。這是一次劃定數位時代主權疆界的嘗試,拜登強調:「負責任的國家,需要對在其領土上從事勒索軟體活動的罪犯採取行動。」普丁則否認莫斯科參與任何網路攻擊,但同意就此問題展開專家級磋商。
這場峰會本身,就是一場複雜的外交戰役。它象徵著大國之間開始正視並試圖建立網路空間的行為準則,但雙方的互信基礎極其薄弱。峰會之後,具體的約束性成果仍付之闕如,而勒索攻擊並未因此停歇。
面對這場迫在眉睫的危機,美國國內的政策應對也開始加速。運輸安全管理局(TSA)發布了新的安全指令,強制要求管線營運商在遭受網路攻擊時必須通報、任命專職的網路安全協調員,並全面審查其現行安全措施。國會議員們也開始討論,是否應將強制性的網路安全要求擴展至所有關鍵基礎設施部門,甚至考慮立法,在某些情況下禁止支付贖金,或強制要求企業在支付贖金後必須公開披露。
從布朗斯堡圖書館的經歷中,我們可以看到一個微觀層面的應對縮影。在恢復系統後,他們徹底改造了伺服器備份系統,將線上目錄置於防火牆之後,並安裝了能夠偵測異常活動而非僅僅是已知病毒的新型防護軟體。這些都是基礎卻關鍵的防禦工事。然而,當攻擊具備了產業化的規模與國家級的庇護時,僅僅依靠個體組織的防禦顯然不足夠。
這場勒索軟體危機,是一次深刻的警示。它揭示了在高度互聯的社會中,我們的生活是多麼依賴那些看不見的數位基礎設施,而這些設施又是何其脆弱。這不僅僅是技術問題,更是一個需要執法、金融監管、企業治理與國際外交多方協同應對的「全方位解決方案」。我們需要強化企業領袖的風險意識,將網路安全視為核心經營風險;我們需要持續精進追蹤數位金流的技術,打擊犯罪集團的經濟命脈;我們更需要在國際舞台上,為網路空間的和平與秩序,劃定更清晰、更具約束力的規則。這條路漫長而艱鉅,但別無選擇。
資料來源
The New York Times: Biden Presses Putin on Cyberattacks and Human Rights in Geneva
https://www.nytimes.com/2021/06/16/world/europe/biden-putin-summit-geneva.html
Reuters: Colonial Pipeline CEO tells Senate he made 'tough' decision to pay ransom
https://www.reuters.com/business/energy/colonial-pipeline-ceo-testifies-before-us-senate-committee-2021-06-08/
The Wall Street Journal: JBS Paid $11 Million to Resolve Ransomware Attack
https://www.wsj.com/articles/jbs-paid-11-million-to-resolve-ransomware-attack-11623272061
Associated Press: A closer look at the tracking of Bitcoin in pipeline hack
https://apnews.com/article/colonial-pipeline-hack-bitcoin-ransom-explainer-4720129092de5d11367015b5413d5236
U.S. Department of Justice: Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists DarkSide
https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside
Krebs on Security: A Closer Look at the DarkSide Ransomware Gang
https://krebsonsecurity.com/2021/05/a-closer-look-at-the-darkside-ransomware-gang/
Cybersecurity and Infrastructure Security Agency (CISA): Ransomware Guidance and Resources
https://www.cisa.gov/stopransomware