《打擊勒索軟體報告》
有鑑於2020(去)年針對醫院或學校等組織的勒索軟體激增,美國安全技術研究院(Institute for Security and Technology)轄下的勒索軟體工作小組發布了《打擊勒索軟體報告》[1],撰寫者包括企業界與政府代表,報告中廣納公私部門觀點,藉以協助美國政府及產業應對相關威脅。
報告指出,勒索軟體攻擊已構成「緊急國安風險」,並提出48項公私部門可採取的建議措施[2],儘管這些措施五花八門,但報告第6頁提出五大優先建議,作為未來各部門與機構應對勒索軟體之方向,包括:
- 美國須與各國政府及執法機構合作,共同協調一個整體策略,以應對日益猖獗的勒索軟體攻擊,國家須依據該策略主動打擊勒索軟體罪犯。
- 白宮應帶頭領導美國政府進行「反勒索軟體行動」,其中包括:由國安會與國家網路總監領導創建協調工作小組;設立勒索軟體工作小組;設置由私部門主導的惡意軟體威脅中心。
- 各國政府須成立基金,支持各個組織應對勒索軟體及其他網路安全活動,若組織遭勒索,在支付贖金前應考量其他選擇並進行通報。
- 進行國際協調,發展一項協助各個組織應對勒索軟體攻擊的總體框架,並透過財政激勵或法規,協助一些資源匱乏的重要部門。
- 對加密貨幣產業執行更嚴格的監管措施,將其納入反洗錢(Anti-Money Laundering,AML)與反恐募資(Combatting Financing of Terrorism,CFT)之法規中。
勒索軟體工作小組於今年4月成立,並於成立後不久即發布報告,代表勒索軟體氾濫已是不可不防的重大議題,究竟勒索軟體攻擊如何衝擊美國社會及關鍵基礎設施安全,本文將於以下段落進行概述與評論。
勒索軟體攻擊已構成嚴重傷害
根據報告,去年將近2,400個美國組織受到勒索軟體攻擊,其中包括近1,700所學校,以及560個醫療機構。針對醫療機構的攻擊已使相關醫療設施停擺,並因此延遲患者治療時程,美國安全技術研究院的執行長Philip Reiner更進一步指出,針對醫院的攻擊已深切危及美國公民生命安全。此外,勒索軟體受害者在去年支付了價值近3.5億美元的加密貨幣贖金,金額較2019年成長了3倍以上。
除上述統計資料外,今年5月7日發生的Colonial Pipeline燃油管道系統駭侵案亦是勒索軟體集團所為[3]。Colonial Pipeline負責美國東岸45%燃油供應,為美國最大的精煉油管道系統,每天運量多達1億加侖。此次駭侵案已侵犯美國關鍵基礎設施並造成所有管道作業暫停的嚴重後果,美國總統拜登也於5月9日宣布美國進入緊急狀態。
根據BBC報導[4],遂行此次攻擊的組織為去年8月問世的DarkSide勒索軟體集團,它們滲透Colonial Pipeline網路並加密系統檔案,下載了近100GB的大量資料進行勒索。DarkSide的攻擊手法精緻複雜,在攻擊前就會針對受害者的財務進行分析並判斷可勒贖金額,同時建置外洩資料系統以向受害者展示目前竊取之資料。不僅如此,DarkSide還設有媒體中心發布攻擊訊息,並與其他專門解密的業者進行合作。如此全面縝密的手法,代表勒索軟體已從過去的零散勒贖升級為精密的產業鏈,透過產業鏈中各個角色分工合作,勒索軟體集團構成的威脅日益增大,甚至可能被敵對國家重金雇用進行更大型的網路攻擊。
根據一項由英國薩里大學(University of Surrey)犯罪學資深講師Mike McGuire博士主持的研究[5],國家間的網路攻擊已變得更加頻繁、多元且公開,研究結果亦指出,國家已開始與駭客團體合作,國家行為者會自行或透過代理人於暗網購買駭侵工具。在研究訪談的網路專家小組中,有65%認為國家從網路犯罪中獲利,而58%的專家表示,招募網路罪犯進行攻擊的情況逐日普遍,未來若勒索軟體集團與敵對國家合作,可能會造成更大的網路安全破口,甚至發展成網路戰爭。有鑑於此,美國政府也於此駭侵案後提出幾項應對勒索軟體之政策倡議。
美國政府的勒索軟體政策倡議
由於Colonial Pipeline駭侵案情節重大,美國政府已宣布將進行國際合作打擊勒索軟體。在緊急應對措施方面,美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)正為關鍵基礎設施營運商準備一份諮詢建議報告,提供他們進一步應對惡意軟體的方針;聯邦調查局(Federal Bureau of Investigation,FBI)則是發布「病毒緩解措施指標」進行協助;美國能源部也與石油、天然氣及電力公司共享資訊與建議[6]。
然而,上述措施僅是亡羊補牢,美國網路安全專家仍憂心於美國既有網路防禦措施[7],並提出三點缺失。首先,由於美國公共設施民營化的傳統,85%的美國關鍵基礎設施由私人企業擁有,少有法規具體規範企業應如何保護其網路。第二,絕大多數勒索軟體攻擊來自國外,其中以俄國為大宗,當組織偵測到勒索軟體並向主管機關FBI進行通報時,由於FBI僅有國內調查權,因此無法對外國駭客進行執法。換言之,目前沒有任何一個聯邦機構直接負責捍衛美國公民免於勒索軟體攻擊。第三,在Colonial Pipeline事件發生的五天後,該企業還未與CISA共享駭客資訊,足見資訊通報機制不足。
針對上述情況,美國政府已發布行政命令[8]試圖進行改善,該命令明確要求建構更即時完善的資訊通報機制,未來美國國會須立法強制受攻擊之美國關鍵基礎設施營運商通報政府,以及為美國所有軟體建立網路安全標準,同時部署加密及多重身分驗證(Multi-factor authentication,MFA)。其中還提到要建構「零信任環境」[9],在外部軟體及設備證明自身清白前,組織須假定其具有惡意並審慎應對。網路安全公司Tempered Networks市場總監Gary Kinghorn對此提出評論,他認為零信任環境可提升企業檢測惡意軟體的能力,在零信任環境中,未經明確授權的存取與通訊將被阻止,並因此使惡意軟體的傳播面臨阻礙。
最後,非營利網路安全組織Silverado Policy Accelerator執行主席Dmitri Alperovitch建議,美國應向駭客團體所屬國籍之國家要求起訴或引渡駭客,若該國拒絕,則應主動發動制裁。
結語
勒索軟體為美國帶來嚴峻挑戰,同時也暴露出美國網路安全政策的結構性問題,在經歷Colonial Pipeline駭侵案後,可觀察美國國會是否將展開相關立法,落實與深化拜登總統的行政命令。
[2] Maggie Miller. Coalition unveils plan to help government, industry confront ransomware attacks. The Hill News Retrieved from: https://thehill.com/policy/cybersecurity/550876-coalition-unveils-plan-to-help-government-industry-confront-ransomware?rl=1 (Apr. 29, 2021)
[3] 陳曉莉。美國最大燃油管道系統Colonial Pipeline遭勒索軟體攻擊,美國宣布進入緊急狀態。iThome。 檢自:https://www.ithome.com.tw/news/144276 (May 10, 2021)
[4] Mary-Ann Russon. US fuel pipeline hackers ‘didn’t mean to create problems’. BBC News. Retrieved from: https://www.bbc.com/news/business-57050690 (May 10, 2021)
[6] The Cyberwire. US Government responds to the Colonial Pipeline ransomware attack. Aveddon ransomware warning. Retrieved from: https://thecyberwire.com/newsletters/policy-briefing/3/90(2021/05/12)
[7] Ken Dilanian and Julia Ainsley. Who’s in charge here? Colonial Pipeline hack exposes huge holes in U.S. cyber defenses, say experts. NBC News. Retrieved from: https://www.nbcnews.com/news/us-news/who-s-charge-here-colonial-pipeline-hack-exposes-huge-holes-n1267057 (May 12, 2021)
[8] Maggie Miller. Biden signs executive order to improve federal cybersecurity. The Hill News. Retrieved from: https://thehill.com/policy/cybersecurity/553243-biden-signs-executive-order-to-improve-federal-cybersecurity-following (May 12, 2021)
[9] Kevin Breuninger and Amanda Macias. Biden signs executive order to strengthen U.S. cybersecurity defenses after Colonial Pipeline hack. CNBC News. Retrieved from: https://www.cnbc.com/2021/05/12/biden-signs-executive-order-to-strengthen-cybersecurity-after-colonial-pipeline-hack.html (May 12, 2021)
