iWeekly
上任仅一周,哥斯达黎加总统罗德里戈·查韦斯(Rodrigo Chaves)便遇到了可能是职业生涯最大的挑战:一个勒索软件团伙自今年4月对哥斯达黎加政府的电脑系统发起攻击以来,已经将赎金提高到2000万美元,16日,对方更是宣布在哥政府内部也有同伙,并表示目的是推翻当前政府。不过,有分析师认为,尽管该团伙不断向哥政府施压,但真正的目的可能仅仅是金钱。
遭遇黑客攻击的哥斯达黎加政府
“我们在你们的政府里有内部合作人士。我们也在努力进入你们的其他系统。你们别无选择,只能付钱给我们。我们还知道你们已经聘请了数据恢复专家,但不要试图寻找变通办法。”当地时间16日,哥斯达黎加政府收到了来自勒索软件团伙“康迪”(Conti)的这样一条消息。
据了解,这个说俄语的康迪组织最早在今年4月中旬便对哥斯达黎加的政府部门发起了网络攻击——那时距离查韦斯赢得总统大选刚刚过去两周。根据一份公开的报告,第一个受到攻击的政府部门是财政部——从4月18日起,财政部便一直没有数据服务;此外,还包括劳动和社会保障部,科学、创新、技术和电信部,以及国家气象研究所等。
而据美联社报道,康迪组织发起的攻击扰乱了哥斯达黎加的税收、养老金支付、出口监管和政府雇员薪酬等系统。黑客锁定了政府机构的许多电脑,一些政府人员至今仍然无法进入他们的电脑系统。就连哥斯达黎加小城市卡塔戈的一家电力供应商的管理系统也遭到了严重破坏。
据悉,康迪组织最初要求哥斯达黎加政府支付1000万美元赎金,避免公布从财政部窃取的信息。但哥斯达黎加政府一直拒绝支付,于是,在5月9日,康迪更新了它的数据泄密网站,放出了它从哥斯达黎加政府部门窃取的672GB数据文件中97%的内容。
查韦斯在5月8日正式就任哥斯达黎加新总统后,签署的第一批总统令中的一项,就是宣布哥斯达黎加因此次黑客攻击事件进入国家紧急状态。康迪回应道:“我们决心通过网络攻击来推翻政府,我们已经展示了所有力量,而你们宣布进入紧急状态。”康迪随后将赎金提高到2000万美元,并呼吁哥斯达黎加民众向政府施压,迫使后者支付费用。
哥斯达黎加总统罗德里戈·查韦斯宣誓就职。
“毫不夸张地说,我们正处于战争当中。”查韦斯在5月16日的新闻发布会上说。他表示,哥斯达黎加正在打击一个国家恐怖组织,它所发起的攻击范围比之前所知更广——共有27家政府机构受到影响,其中包括许多市政当局和国有公用事业公司。他指责上一任总统卡洛斯·阿尔瓦拉多(Carlos Alvarado)没有在网络安全方面投资,也没有在政府任期即将结束时更积极地应对这些攻击。
康迪,“最残忍”的勒索软件团伙
康迪,一个讲俄语的顶级勒索软件组织,被认为是勒索软件圈内最残忍的帮派之一,通常会不择手段地进行双重勒索,如果受害者不能在最后期限到来之前付款,它就会威胁将所有盗窃得来的数据公之于众,或者将它们用于未来的攻击中。网络安全网站Threat Post指出,康迪采用的是一种新的勒索模式“勒索软件即服务”(ransomware-as-a-service,简称RaaS),拥有庞大的分支机构网络和访问代理,可以任其处置,以完成肮脏的勾当。
据了解,康迪臭名昭著的行径之一是针对一些遭遇袭击后会引发危及生命的后果的机构,包括医院、紧急电话调度公司、紧急医疗服务机构和执法部门。2021年5月,康迪攻击了爱尔兰的卫生服务部门,导致爱尔兰医疗系统中断数周,据当地官员表示,修复这场攻击带来的影响需要花费数千万欧元。此外,它还曾攻击美国东南部天然气供应商Colonial Pipeline,以及美国肉类供应的食品行业巨头JBS。
据美国联邦调查局(FBI)称,康迪在过去的两年里已经制造了数百起勒索软件事件,共有1000多名受害者向该组织支付了超过1.5亿美元的赎金。FBI表示,这给了康迪一个怪异的“荣誉”,即成为有史以来获利最多的勒索软件团伙。
目前,美国国务院已经悬赏1000万美元,希望获取能够帮助确认康迪领导人身份或找到其位置的信息。美国还将提供高达500万美元的悬赏,以获得任何策划康迪勒索软件攻击的人的信息。
勒索软件团伙对政府的威胁性几何
《华盛顿邮报》认为,哥斯达黎加向世界展示了勒索软件犯罪团伙可以对一个国家造成的混乱。“这次黑客攻击在(哥斯达黎加)全国各地播下了恐惧的种子,因为企业和个人担心他们与政府机构共享的敏感信息会被公开,然后被用来对付自己。”
不仅如此,康迪似乎也在试图加剧其他国家的焦虑。在其网站上发布的一份声明中,康迪承诺哥斯达黎加“只是一个示范版本”,将继续进行更严重的袭击。
安全公司Stairwell的首席逆向工程师塞拉斯·卡特勒(Silas Cutler)认为,在像哥斯达黎加这样的发展中国家,网络攻击的后果可能和军事行动或自然灾害一样严重。在给Threat Post的一封电子邮件中,他写道:“康迪袭击后,哥斯达黎加进入紧急状态,这是对世界其他国家的一个重要号召。”“虽然紧急状态的直接影响可能有限,但它将这次攻击的严重程度列为自然灾害或军事行动的同一等级。”
另一名安全专业人士、安全公司KnowBe4的数据驱动防御宣传专家罗杰·格莱姆斯(Roger Grimes)指出,除了康迪的双重勒索,还有其他一些勒索软件团伙采取的别的方式,都在助长更多的勒索软件攻击,因为大多数目标组织都愿意付钱,而不是冒着泄露敏感数据的风险,这为勒索行为提供了更大的动力。
格莱姆斯认为,康迪很有可能还获取了每个哥斯达黎加政府员工在勒索软件活跃期间访问的所有政府网站的个人登录凭证,这对于使用政府在线服务器的普通公民来说也将是重大隐患。“如果哥斯达黎加在这些被泄露的域名中存储了面向客户的网站,那么这些客户的认证信息——通常会在客户访问的其它网站和服务器上重复使用——也很可能遭到泄露。”
但对于康迪所声称的将“推翻哥斯达黎加政府”,分析人士认为,除了金钱因素之外的动机可能性并不大。“我们以前从未见过类似的情况,这很特别。但推翻政府的威胁只是他们所制造的噪音,不必太认真。”奥地利病毒安全软件公司Emsisoft的勒索软件分析师布雷特·卡洛(Brett Callow)告诉美联社。“我认为这只是一次以营利为目的的网络攻击,仅此而已。”
新闻及图片来源:美联社、华盛顿邮报、Threat Post,部分图片来自网络
iWeekly周末画报独家稿件,未经许可,请勿转载
© 2014 现代传播 Modern Media Co,Ltd.