雖然FBI近日成功追繳了輸油管道運(yùn)營商Colonial Pipeline支付給勒索軟件DarkSide的贖金，但這顯然并未嚇阻勒索軟件遠(yuǎn)離關(guān)鍵基礎(chǔ)設(shè)施甚至核武器。近日，美國核武器合同商Sol Oriens遭遇REvil勒索軟件攻擊，攻擊者揚(yáng)言不繳納贖金就將核武器機(jī)密信息泄露給其他國家的軍方。

　　據(jù)報道，REvil威脅受害者：“我們在此保留將所有相關(guān)文件和數(shù)據(jù)轉(zhuǎn)發(fā)給我們選擇的軍事機(jī)構(gòu)的權(quán)利。”

　　位于新墨西哥州阿爾伯克基的Sol Oriens公司是美國能源部（DOE）的分包商，與美國國家核安全局（NNSA）合作開發(fā)核武器，上個月遭到了勒索軟件攻擊，專家稱該攻擊來自“無情的”REvil勒索軟件的RaaS團(tuán)伙。

　　據(jù)報道，至少從6月3日起，Sol Oriens公司的網(wǎng)站就已無法訪問，但Sol Oriens的官員向福克斯新聞和CNBC證實，該公司上個月就檢測到了攻擊。

　　根據(jù)CNBC記者Eamon Javers轉(zhuǎn)發(fā)的推文，Sol Oriens公司發(fā)布聲明指出：

　　“2021年5月，Sol Oriens檢測到了（勒索軟件）網(wǎng)絡(luò)安全事件。調(diào)查正在進(jìn)行中，我們確定未經(jīng)授權(quán)的個人從我們的系統(tǒng)中獲取了某些文件。這些文件目前正在審查中，我們正在與第三方技術(shù)取證公司合作，以確定可能涉及的潛在數(shù)據(jù)的范圍。我們目前沒有發(fā)現(xiàn)跡象表明此事件涉及客戶機(jī)密或與安全相關(guān)的關(guān)鍵信息。一旦調(diào)查結(jié)束，我們將致力于通知相關(guān)個人和實體……”

　　“正如Javers指出的那樣，我們并不了解這家小公司（Sol Oriens）的業(yè)務(wù)，但根據(jù)該公司發(fā)布的招聘信息中的職位要求，其業(yè)務(wù)與核武器有關(guān)。他們的招聘要求是高級核武器系統(tǒng)人才，需要擁有20多年W80-4等核武器經(jīng)驗的專家（W80是一種空射的巡航導(dǎo)彈核彈頭）。”

　　根據(jù)LinkedIn企業(yè)資料顯示，Sol Oriens是一家小型、資深的咨詢公司，專注于管理具有強(qiáng)大軍事和空間應(yīng)用潛力的先進(jìn)技術(shù)和概念，與國防部和能源部、航空航天承包商和技術(shù)公司合作執(zhí)行復(fù)雜的項目，專注于確保擁有成熟的技術(shù)來維持強(qiáng)大的國防。

　　一、泄漏了哪些信息

　　安全公司Emsisoft的威脅分析師和勒索軟件專家Brett Callow透露，他發(fā)現(xiàn)Sol Oriens的內(nèi)部信息已經(jīng)被發(fā)布到REvil的暗網(wǎng)博客上。

　　目前來看，暗網(wǎng)上披露的泄漏數(shù)據(jù)似乎并不涉及高度機(jī)密的軍事秘密，只包括了2020年9月的公司工資單，列出了少數(shù)員工的姓名、社會保障號碼和季度工資。還有一個公司合同賬本，以及工人培訓(xùn)計劃的備忘錄（備忘錄頂部有能源部和NNSA國防計劃的標(biāo)志）的一部分。

　　REvil（或者任何對這次襲擊負(fù)責(zé)的團(tuán)伙）是否得到了美國核武器的更敏感、更秘密的信息還有待觀察。但是，黑客從核武器承包商那里拿到任何信息都足以讓人深感擔(dān)憂。正如Mother Jones所報道的，事件相關(guān)的美國國家核安全局負(fù)責(zé)維護(hù)和保護(hù)美國的核武器儲備，并致力于軍事核應(yīng)用以及其他高度敏感的任務(wù)。

　　二、膽大包天的勒索軟件團(tuán)伙REvil

　　REvil膽敢攻擊美國核武器供應(yīng)鏈企業(yè)并不讓人感到意外，因為該勒索軟件組織向來以膽大包天著稱。本周早些時候，全球最大的肉類加工企業(yè)JBS Foods已經(jīng)發(fā)布聲明向REvil支付了價值1100萬美元的贖金，后者因為遭到REvil勒索軟件的攻擊而被迫關(guān)閉了在美國和澳大利亞的部分業(yè)務(wù)。

　　REvil不僅是最危險的勒索軟件組織，也是最大膽的，敢于對世界上最龐大和重要的組織發(fā)動進(jìn)攻并索要天價贖金。4月，就在其引人注目的新產(chǎn)品發(fā)布前幾個小時，REvil對蘋果發(fā)出最后通牒，要求其支付高達(dá)5000萬美元的贖金。這是一個大膽的舉動，即使對于臭名昭著的勒索軟件服務(wù)團(tuán)伙 （RaaS） 也是如此。REvil先是攻擊了財富500強(qiáng)企業(yè)電子產(chǎn)品制造商廣達(dá)，該公司也是蘋果的供應(yīng)商，跟蘋果簽訂了大量蘋果產(chǎn)品的生產(chǎn)合同，包括Apple Watch、Apple Macbook Air和Pro以及ThinkPad（聯(lián)想集團(tuán)）。

　　FireEye研究人員還報告說，SolarWinds供應(yīng)鏈攻擊的參與者之一與REvil/Sodinokibi勒索軟件團(tuán)伙有關(guān)聯(lián)，但此消息尚未得到證實。

　　三、如何防御勒索軟件？

　　考慮到所有這些重大事件，分包商的網(wǎng)絡(luò)安全措施是否應(yīng)該足夠嚴(yán)密以抵御REvil或其他網(wǎng)絡(luò)攻擊者？據(jù)報道，REvil指責(zé)受害者Sol Oriens公司，稱該分包商沒有采取必要措施來保護(hù)其員工的個人數(shù)據(jù)和合作伙伴公司的軟件開發(fā)數(shù)據(jù)。

　　雖然REvil嘲諷Sol Oriens沒有采取充分的安全措施，但不幸的是，根據(jù)上周五網(wǎng)絡(luò)安全公司Sophos發(fā)布的調(diào)查報告：沒有兩個犯罪集團(tuán)以完全相同的方式部署 RaaS勒索軟件攻擊。

　　例如，在最近的一次攻擊中，受害組織檢測到大量以特定服務(wù)器為目標(biāo)的入站RDP登錄嘗試失敗，這臺服務(wù)器也最終成為攻擊者的訪問點(diǎn)。Sophos研究人員Brandt指出：“在標(biāo)準(zhǔn)服務(wù)器上，記錄RDP服務(wù)登錄嘗試失敗的日志會滾動，并覆蓋最舊的數(shù)據(jù)，時間從幾天到幾周不等，具體取決于嘗試失敗的次數(shù)。在這次攻擊中，大量失敗的RDP登錄事件在短短五分鐘內(nèi)就完全覆蓋了之前的嘗試記錄。從該服務(wù)器收集的數(shù)據(jù)顯示，五分鐘內(nèi)大約有 35,000次登錄嘗試失敗，來自全球349個IP地址?！?/p>

　　上圖統(tǒng)計的是，在每五分鐘35,000次的暴力登錄嘗試中，攻擊者嘗試使用最多的用戶名（資料來源：Sophos）。

　　研究人員指出：

　　RDP是破壞網(wǎng)絡(luò)的最常見方法之一，關(guān)閉外部對RDP的訪問是IT管理員可以采取的最有效的防御措施之一。

　　不幸的是，考慮到REvil勒索軟件的不同使用者的技術(shù)手段不盡相同，防御并不像關(guān)閉RDP那樣簡單。RDP不是唯一的罪魁禍?zhǔn)?，攻擊者還可通過其他面向互聯(lián)網(wǎng)的服務(wù)獲得初始訪問權(quán)限。他們能夠?qū)ζ溥M(jìn)行暴力破解或針對已知漏洞發(fā)起攻擊，從而為他們提供一些訪問權(quán)限。在某一個案例中，攻擊者將特定VPN服務(wù)器軟件中的漏洞作為目標(biāo)以獲得初始訪問權(quán)限，然后利用同一臺服務(wù)器上五年前版本的Apache Tomcat上的漏洞，讓攻擊者在該服務(wù)器上創(chuàng)建一個新的管理員賬戶。

　　最后，對于REvil團(tuán)伙提到的“所有必要安全措施”，Brandt 表示：“所有行業(yè)各種規(guī)模的公司和組織都需要仔細(xì)審視自己的基礎(chǔ)設(shè)施，并采取一切必要措施來解決那些幾乎總是導(dǎo)致此類攻擊行為的根本問題?！彼麖?qiáng)調(diào)：

　　“在防火墻處關(guān)閉RDP等面向公眾的服務(wù)，在所有內(nèi)部和面向外部的服務(wù)（如 VPN）上啟用多因素身份驗證。應(yīng)確保面向互聯(lián)網(wǎng)的設(shè)備和服務(wù)器完全更新已知錯誤的補(bǔ)丁或修復(fù)程序，即使這意味需要付出著一些停機(jī)時間的代價?！?/p>

　　Brandt指出：上述建議雖然有些陳腔濫調(diào)，但勒索軟件一次又一次利用這些安全問題得手，而且勒索軟件攻擊者永遠(yuǎn)不會停止尋找組織安全弱點(diǎn)的新方法。