上海安特数据恢复 铝业巨头遭勒索陷落至暗时刻 “老学校”破黑客彰显英雄本色
热点
挪威海德鲁公司用传真、便利贴和旧电脑打败了网络罪犯。
图中人物:迈克尔·哈默,挪威海德鲁公司宾夕法尼亚州克雷索纳工厂经理
图片:彭博社商业周刊威廉·梅班
奥斯陆时间2019年3月19日午夜,铝业巨头挪威水电公司的电脑突然开始加密文件,集体下线。两个小时后,Hedru匈牙利分公司的一名工作人员意识到不对劲。他按照预设的安全程序关闭了整个公司的网络,包括公司网站、邮件系统、工资单系统等等。然而在这个时候,巨额亏损已经成为现实。海德鲁500台服务器和2700台个人电脑无法正常工作,员工电脑屏幕上闪现勒索信息。
“你好!”在纸条的开头,“你们公司的安全系统存在重大漏洞。你应该庆幸钻这个漏洞的人是专业人士,而不是一群菜鸟,他们会因为粗心大意或者玩得太开心而毁掉所有的数据。”照会还指示收件人向指定地址发送电子邮件,进一步讨论赎金问题。虽然金额未定,但黑客表示赎金必须用比特币支付;作为交换,黑客将提供一把钥匙来扭转损失。
作为一家大型跨国公司,海底捞至少已经意识到自己可能遭到了黑客的攻击。公司购买了网络保险,并与“白帽黑客”一起测试了公司的网络。“我不能说我们能阻止国家安全局,”首席信息官Jo De Vliegher说,“但我们是一家拥有完整安全设施的公司。”
De Vliegher
照片由挪威海德鲁提供
然而,这样全面的措施不足以抵御这种攻击。大约35,000名员工被锁在公司网络之外,海德鲁不得不关闭在欧洲和美国的几家工厂。根据该公司的财务报告,此次袭击最终将导致6000多万美元的损失,远远超过保单迄今支付的360万美元。调查这起事故的检察官表示,这是挪威历史上最严重的网络攻击。
尽管如此,Hedru从未想过支付赎金,因为匿名黑客可能一拿到比特币就消失了。即使他们按照承诺提供了钥匙,而且钥匙是有效的,支付赎金也会发出一个信息:Hedru是一个容易被攻击的目标。这样,海德鲁在未来会遭受更多的攻击和勒索。
因此,De Vliegher监督公司运营的恢复,并临时用旧电脑、传真机、便利贴等类似工具处理危机。他的应急计划反映了一个被安全顾问和执法官员经常提及的残酷事实:即使你尽最大努力避免网络攻击,你仍然会让顽固的敌人得逞。换句话说,与其想着如何防止黑客入侵,不如在损失不可避免的时候及时止损。
网络攻击当晚,德弗利格尔正好借机抵达巴西贝伦,那里有海得罗的一个大规模分支机构。一听说电脑加密了,他就搭上了最新的航班回中国。当他回到位于海德鲁的奥斯陆总部时,一个由五名微软专家组成的团队正在诊断问题,并试图恢复公司的数据。员工在门上贴了手写的纸条,警告其他人不要打开连接到公司网络的手机。
海德鲁需要警告客户、供应商、员工和投资者,但公司网站已经关闭。于是在黑客攻击后的第二天上午9点42分,通信团队的一名员工用个人手机在公司的脸书页面上发布了一条消息:“海底捞目前遭遇了网络攻击。如果有最新情况,我们公司会在脸书发布。”
接下来,赫德鲁必须确保他的员工得到报酬。银行拒绝与海德鲁沟通,因为他们担心未知病毒会通过被感染的网络传染给他们。巴西的发薪日只有两天了,那里的5000名员工正在等待签署工资发票。De Vliegher想出了一个解决方案:他从外部薪资系统中复制了上个月的工资单,并删除了在此期间被解雇或辞职的员工姓名。"这个列表的准确率是90% . "他说。
克雷索纳的海德鲁接收和运输站点
图片:彭博社商业周刊威廉·梅班
海得拉巴的每个分支机构在世界各地都有广泛的业务,从巴西的铝土矿到挪威的水力发电。然而,在宾夕法尼亚州的克雷索纳,海德拉巴最大的铝厂遭受了最严重的损失。克雷索纳工厂是美国政府在第二次世界大战期间为生产武器用铝而建造的。它的之字形屋顶是为了迷惑敌人的轰炸机,让他们以为看到的是湖面上的水波。这家工厂由迈克尔·哈默管理,他自25年前成为工厂会计以来一直在那里工作,并见证了工厂所有权的几次变化。
3月18日在宾夕法尼亚州的晚宴上,哈默接到了负责风险管理的副总裁海德鲁的电话。“让你的员工去工厂吧,”他记得副总裁说过。"在他们拔掉服务器之前,尽可能多地打印出你的信息."锤子之前经历过短暂的停电。他想,也许有人把车撞在了路边的电线上,估计工厂不到几个小时就会恢复正常。
但是当他到达时,他发现有些不对劲。他看到员工疯狂拔掉电脑插头,然后阅读勒索信息。“我甚至不知道比特币是什么。”他说。
克雷索纳工厂
图片:彭博社商业周刊威廉·梅班
正常情况下,他的工厂有1180名员工,每天24小时不间断运转,每年生产260多万磅铝制品。经过工厂的人们可以感受到熔炉的热量,回收的金属在这里被熔炼成一个巨大的圆柱体。加热后,这些圆柱体将被压入一个60磅的圆形模具中,成为窗框和地板等产品的一部分。这个过程就像把橡皮泥推进饼干切割器。它的客户包括特斯拉和福特。
这个制造业在计算机出现之前就诞生了,但是计算机使它变得更加复杂。海德鲁拥有超过5万个模具,并使用软件跟踪正在生产的产品,指导员工应该从货架上选择哪些模具。但是现在,因为他们不能从客户那里得到订单,机械师不知道生产什么。于是,合路的员工开始给客户打电话,让他们发短信或者邮件把订单发到自己的个人邮箱账户。当公司的电子邮件系统关闭时,工厂员工会交换电话号码,并通过群发短信进行交流。
克雷斯纳的“临时作战室”
图片:彭博社商业周刊威廉·梅班
订单开始一个接一个地慢慢发出。车间工人只能在知道要做什么之前检查每份订单的纸质副本。好在工厂仓库里有一批旧电脑,锤子放在“作战室”打印表格。“我们去了斯台普斯,买了几乎一台空他们的打印机、纸张和墨盒。”销售员的电脑也遭到入侵,无事可做,于是哈默让他们戴上安全装备,给车间工人发纸质订单。
网络崩溃后,纸质工单维持了工厂的正常运转
图片:彭博社商业周刊威廉·梅班
第一周,哈默住在工厂,偶尔会在办公室的沙发上小睡一会儿。他在合路无法接入网络,所以无法向供应商支付每月的账单,他们也打电话问在哪里付款。于是哈默从柜子里拿出一台旧传真机,让供应商传真付款明细,然后转发给海得拉巴的银行。有传真机的供应商先拿到了货款。
哈默仍在试图找出谁袭击了工厂并逃脱了。“追踪过程非常耗时耗力,”他说。“我们因为恶人而如此悲惨。这个人根本就是恐怖分子。更可怕的是,他的名字不为人知,长相也不为人知。你不知道他从哪里来,也不知道他是如何到达那里的。”
锤子
图片:彭博社商业周刊威廉·梅班
没有人知道是谁袭击了海底捞,但各种迹象都指向了东欧的一个有组织的网络犯罪集团,他们仍然逍遥法外。去年,该组织入侵销售点系统,窃取信用卡号码,成为头条新闻,安全研究人员称之为FIN6。FIN6曾经索要价值数十万美元的比特币赎金。“FIN”的意思是“以钱为目的”,命名是为了区别于其他军事黑客组织。
FIN6的旗舰武器是一种叫做LockerGoga的病毒。这种病毒以其恶意软件中的一个文件命名,有几十种变种。Heidru认为,攻击者已经在他们的网络中部署了不止一种类型,因此从公司系统中移除他们更加困难。
勒索软件黑客的入侵或多或少是随机的,他们会使用一个可以自我复制的蠕虫软件程序来渗透到企业网络中。然而,在海德堡事件中,攻击者劫持了一封来自意大利客户的合法电子邮件,并修改了附件以获得访问权限。12月5日,这个附件一打开,恶意代码就开始执行,入侵者就能访问整个网络。但他们等到3月才发动攻击。Heidru不知道黑客是一开始就攻击了客户的电脑,还是在邮件传输过程中截获并更改了。
Heidru并不是第一家受到洛克尔戈加病毒攻击的工业公司。2019年1月,招聘法国工程公司欧创科技。同年,美国化学公司汉森和迈图也收到了病毒的拷贝。过去大型工业公司并不是勒索软件攻击的常见目标,因此一些计算机安全研究人员怀疑黑客攻击它们的目的是造成损害,而不是勒索钱财。
勒索软件不仅加密了海底捞的电脑,还更改了每个管理员的账户密码,然后注销了这些账户,重启了电脑,员工很难看到赎金纸条,也无法知道具体的赎金金额和比特币钱包地址,只有一个电子邮件地址。网络安全公司Mandiant的高级副总裁Charles Carmakal表示,FIN6可能是故弄玄虚,目的是让挪威海都的高管更加被动。但德鲁的挪威总部表示,没有证据表明黑客想要钱以外的东西。
挪威国家刑事调查局的调查人员仍在从黑客那里筛选大量数据。他们认为不太可能逮捕罪犯,因为网络犯罪集团使用加密应用程序,并以加密货币支付,这使得窃听设备和搜查令等传统调查工具变得无用。此外,调查跨境犯罪的文书工作极其繁琐,警方必须提交大量申请才能检索可能存储在外国服务器上的证据。“罪犯可以自由交流,但执法人员无法读取他们的对话。”负责调查的检察官克努特·范·约斯坦说。
在海得拉巴的总部,应急小组在会议室里花了几周时间重建整个网络。团队成员害怕黑客再次入侵,所以高度戒备,连清洁工都进不了会议室。De Vliegher在奥斯陆接受采访时表示:“房间很乱,但这是最安全的房间,所以我们不希望任何人留下诸如偷拍和麦克风之类的东西。”
图片中的设备连接到公司网络。为了提醒员工不要打开机器,上面贴着“禁止使用”的标语
图片:彭博社商业周刊威廉·梅班
为了恢复正常运行,海德鲁必须首先建立一个完全没有病毒的计算机安全区,并慢慢将其他确认安全的机器转移到新的网络中。恢复进展相当缓慢。勒索事件发生三周后,美国只有四台电脑可用。
法国员工建立了一条临时装配线,组装未受感染的新电脑,并组建了一个“接力队”,将新电脑运送到欧洲各地。工人们驱车前往法国中部的加油站,用安全的电脑替换被感染的电脑。在奥斯陆以东的蒙努尔工厂,住在附近的退休工人临时外出帮助打印和整理订单。
Hedlu的高管们很高兴公司只损失了6000万美元。在袭击后的黑暗日子里,有人担心会拖欠太多订单,会让整个公司陷入低谷。德弗里奇说:“我们之所以走出困境,变得更加强大,是因为3.5万人无怨无悔地加班,牺牲了周末休息时间,从事其他岗位的工作。“但如果一家公司没有人愿意这么做,那么这家公司很快就会倒闭。”
去年9月,彭博商业周刊记者发现,海德鲁公司一切基本恢复正常,但仍未完全恢复。在穆尼尔,员工仍然无法访问控制生产线的软件。幸运的是,一家产品类型相似的丹麦工厂幸存了下来,那里的一名员工用u盘复制了一份程序副本,交给了Munur公司。Munnur公司的电工也担任IT人员的职务,设法安装了一个新的副本。虽然软件是丹麦语,但在Munnuer上运行良好。