世界鏡頭

盜亦有道?癱瘓美油管的「DarkSide」駭客 不攻醫院學校、會捐款慈善

波蘭華沙一名男子看著顯示二進位代碼的電腦螢幕,攝於2月。紐時指「黑暗面」在網際犯罪領域算是相對新的成員,他們將服務出租給出價最高的出價者,還「跟勒贖軟體開發人員分享利益」。路透/Sipa USA
波蘭華沙一名男子看著顯示二進位代碼的電腦螢幕,攝於2月。紐時指「黑暗面」在網際犯罪領域算是相對新的成員,他們將服務出租給出價最高的出價者,還「跟勒贖軟體開發人員分享利益」。路透/Sipa USA

「我們的目的是錢,不是混亂」,美東燃油輸油管系統營運商「殖民管線」(Colonial Pipeline)遭遇勒贖軟體攻擊,聯邦調查局(FBI)正式指控駭客團體「黑暗面」(DarkSide)要負責。根據報導,「黑暗面」在網際犯罪領域算是相對新的成員,還有自己的商業模式與行為準則。被FBI點名後,更在暗網的官網發布專家認為是正式致歉(Mea culpa)的聲明,顯見他們對於自己的行動導致美國最大輸油管網路停擺至今也感到意外。

自我標榜「數位羅賓漢」 會捐慈善但多遭拒

《Bleeping Computer》網站2020年8月報導,當時開始針對性攻擊眾多電腦的「黑暗面」透過「發布新聞稿」表示,「我們是市場上的新產品,但那不意味我們沒有經驗和我們是突然間冒出來的。我們跟其他知名加密上鎖人(cryptolockers)合夥,收到數百萬美元利益。我們創造『黑暗面』,因為我們找不到適合我們的完美產品,現在我們有了。」

根據「黑暗面」自行發布的行為準則,他們只鎖定能支付指定贖金的企業,並不想毀掉那些公司的生意。同時還聲明,醫院與寧養中心等醫療業、學校和大學等教育業、非盈利組織與政府部門都不在他們的攻擊之列。

紐時指出,「黑暗面」將服務出租給出價最高的競標者,還「跟勒贖軟體開發人員分享利益」,直指此舉本質上是「將部分不義之財投入研發更有效勒贖軟體」的商業模式,又經常標榜自己是一種「數位羅賓漢」,從公司竊取金錢給其他人,還會捐贈收益給慈善團體,但多數慈善團體婉拒他們的「好意」。

美東燃油輸油管系統營運商「殖民管線」(Colonial Pipeline)遭遇勒贖軟體攻擊。法新社
美東燃油輸油管系統營運商「殖民管線」(Colonial Pipeline)遭遇勒贖軟體攻擊。法新社

受害電腦預設語言若為俄語 就會被跳過

IBM執行資安顧問凱瑟姆(Limor Kessem)在《Security Intelligence》網站撰文指出,「黑暗面」招募分支團體入夥時,要求精通技術又說俄語的人士申請,還進一步強調他們對「說英語的個性」(English speaking personalities)不感興趣。

根據凱瑟姆和紐時引述的資安專家說法,「黑暗面」起源的一個線索就在勒贖軟體代碼。「黑暗面」本身跟另一個勒贖軟體「Sodinokibi」雷同,會避開語言布局跟17個前蘇聯國家及敘利亞阿拉伯語一致的電腦。據指「黑暗面」會詢問受害者電腦的預設語言設定,只要是俄語、烏克蘭語、喬治亞語和白俄羅斯語等,就會直接轉往下一位受害者。

代碼跟另一駭客團體相似 可能是分家自行開業

紐時指出,「黑暗面」的代碼跟另一個率先提供「勒索軟體即服務」(RaaS)的駭客團體「REvil」所使用代碼驚人地相似。曾是情報圈分析師的Analyst1資安策略長狄馬喬(Jon DiMaggio)認為,「黑暗面」似乎是想要自己開業的一個分支機構,「想取得REvil的代碼,你必須擁有或偷過來,因為這不是公開可得的」。

狄馬喬指出,相對於「REvil」已知會開出八位數贖金,「黑暗面」價碼就比較低,大約20萬美元到200萬美元,還會在每一個勒贖信放進獨特的密鑰,顯示「黑暗面」會針對每一位受害者修改攻擊方式,「相對於駭客團體,『黑暗面』很有選擇性」。

美東燃油輸油管系統營運商「殖民管線」遭遇勒贖軟體攻擊後,FBI正式指控駭客團體「黑暗面」要為此負責。「黑暗面」在暗網的官網發布簡短聲明,指他們的目標就是賺錢,並非為社會創造麻煩,往後將有所節制。畫面翻攝:Securityintelligence.com
美東燃油輸油管系統營運商「殖民管線」遭遇勒贖軟體攻擊後,FBI正式指控駭客團體「黑暗面」要為此負責。「黑暗面」在暗網的官網發布簡短聲明,指他們的目標就是賺錢,並非為社會創造麻煩,往後將有所節制。畫面翻攝:Securityintelligence.com

油管事件不想惹麻煩 發聲明強調將有所節制

紐時引述聯邦官員與民間調查員指出,勒贖軟體並非針對「殖民管線」的輸油管控制系統,而是該公司後台作業,整個系統10日仍然處於預防性關閉。初步調查顯示,「殖民管線」的資安不佳,很可能讓入侵與鎖死該公司系統變得相對容易。

在FBI正式指控「黑暗面」導致「殖民管線」輸油管系統停擺後,「黑暗面」在暗網的官網發布簡短的「關於最新新聞」聲明,指「我們不關心政治,我們不參與地緣政治,不需要把我們跟一個有定義的政府綁在一起與尋找我們的其他動機。我們的目標就是賺錢,並非為社會創造麻煩」。

「黑暗面」接著表示,「我們從今天起引進節制,檢查我們夥伴想要加密的每一家公司,避免未來引發社會後果」。

被執法機構關注無益生意 被迫發致歉聲明

「黑暗面」沒有解釋如何定義「節制」,也沒有答覆媒體的請求評論。媒體指出,「黑暗面」聲明有許多拼字與文法錯誤,仍能看出他們對行動造成「殖民管線」輸油管系統癱瘓感到有些意外。部分資安專家認為,「黑暗面」現正試圖讓他們跟自己引發的混亂保持些許距離。

資安公司Cybereason聯合創辦人兼執行長迪夫(Lior Div)表示,這不是第一次發生威脅團體遇上無法脫身麻煩的情況。他指出,「黑暗面」等駭客團隊仰賴謹慎壓榨受害者,才不會引來執法機構的過多監督,「全球強烈反應正在傷害他們的生意,這是他們發布正式致歉的唯一原因」。

【你也可以看】

美國1年多已2起大型油管系統被駭 經濟頸動脈兩大危機待解

※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容

推薦閱讀

評論

規範
  • 留言不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合報有權逕予刪除留言、停權或解除會員資格。不同意上述規範者,請勿留言。
  • 對於無意義、與本文無關、明知不實、謾罵之留言,聯合報有權逕予刪除留言、停權或解除會員資格。不同意上述規範者,請勿留言。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合報有權逕予刪除留言、停權或解除會員資格。不同意上述規範者,請勿留言。
全部評論 ({{total}})
按讚最多 最多回覆 新到舊  舊到新 
看更多回覆