之前我們報導過,在 2016 年 11 月 25 日晚至 26 日全天,舊金山的城市捷運系統(Municipal Rail,俗稱 「Muni」)突然向市民敞開了免費的大門,購票機器上顯示著「暫停服務」,並標貼著「免費乘車」的便條。由於時間正撞上感恩節後,市民還以為是政府給大家送過節禮呢,直到看到車站裡所有的電腦螢幕上都寫著「你被駭了。所有訊息已加密。聯繫我們解密(cryptom27@yandex.com)。」
這名/這群自稱為 Andy Saolis 的駭客首先是和 SFMTA 負責人聯繫,索取 100 比特幣(約為 73000 美元)作為解密交換條件。而 SFMTA 的發言人則表示:「我們從來都沒考慮過要支付贖金」。
雖然在早期有外媒報導,本次駭客入侵影響了 SFMTA 裡 1/4(2112 台/8656 台 )的電腦,並造成售票機無法正常工作,因而逼得SFMTA 選擇將入站閘門保持常開,所有市民都可以免費入站坐車。所幸在於,駭客入侵併沒有影響到火車、巴士和有軌電車。
但 SFMTA 在 11 月 28 日正式發出聲明解釋,本次駭客入侵主要是入侵了辦公室裡的電腦以及他們的電子郵件。並聲明:
SFMTA 的網路並沒有被入侵,駭客也沒有穿破我們的防火牆。Muni 的操作和安全都沒有受到影響。我們的購票系統也沒有受到入侵。並且,雖很多媒體都有報導——但我們的資料並沒有受到入侵。
機構解釋道,暫停售票機和打開地鐵閘門都是一種應急機制,為的是儘可能減少事件對市民的影響。並說明,受影響的電腦約為 900 台,也沒有報導所稱 2000 多台那麼誇張。
並且,由於 SFMTA 的技術團隊可以透過還原備份的方式對受影響電腦進行恢復,並宣稱於 11 月 28 日上午已經恢復部分電腦正常執行,並於後續兩天完成所有電腦修復工作。
過於張揚的駭客自己也被駭了
不過,SFMTA 這個版本的故事,可和駭客 Andy Saolis 所發佈的不一樣。
據悉,駭客宣稱透過這次入侵,他(們)獲得了 30G 的訊息,其中包括 Muni 員工資料、客戶訊息以及其他技術資料,而且售票系統癱瘓也是他(們)的傑作。
當外媒嘗試透過聯繫駭客留下的電子郵箱地址時,駭客欣然地表示「歡迎!」,並用不太標準的英語回覆指責 SFMTA 只顧著賺錢,卻不安置一些好點的電腦系統。還要給大家留下比特幣錢包帳號,以防有誰想給他捐錢支援他的「正義之舉」。
非常戲劇化的是,在 11 月 29 日,Forbes 和 Krebs on Security 分別報導了駭客 Andy Saolis 反被另外兩名匿名駭客入侵了郵箱,並發現這個勒索 SFMTA 的駭客是勒索慣犯。
雖然 SFMTA 堅決拒絕繳納贖金,但從 Andy Saolis 的郵件內容判斷,有不少公司是選擇了就範。根據反向入侵的駭客保守統計,Andy Saolis 自今年八月以來,大概成功透過勒索收入了價值 140000 美元的比特幣。郵件顯示,11 月 20 日,駭客成功透過勒索一家基於美國的生產公司獲得了 63 比特幣(約為 45000 美元)。
同時,也有被勒索的公司成功和駭客講價、壓價的,而且那還是一家中國公司,成功將贖金從 40 比特幣(約為 17599 美元)講價講到 24 比特幣(約為 29166 美元)交易。
其中也有被勒索對象,願意多給駭客付錢以請求獲取加強訊息安全的建議。例如,有一位受害者就多支付了 20 比特幣的贖金,換來了駭客的一條建議鏈接,讓其在重新聯網前裝上 Oracle 在 2015 年發佈的一個安全補丁。
自稱 Andy Saolis 的駭客主要使用了名為 Mamba 和 HDD Cryptor 的勒索軟體工具,Hold Security Inc 的首席訊息安全官 Alex Holden 表示:
看來這個駭客運用了好幾種不同的工具來掃描網上大量的訊息以尋找某種特定的安全缺陷,並尤其針對 Oracle Corp. 的產品。
並且認為本次舊金山公交受到的駭客攻擊應該為非針對性行為,很可能只是因為其中員工以外打開了某個嵌有勒索軟體工具的彈出視窗造成了感染。
公共機構安全升級刻不容緩
雖然本次的安全危機透過系統備份來恢復解決了,但不代表公共機構不需要加強自己的系統安全係數。
今年 2 月的時候,駭客透過軟體工具挾持了好萊塢長老會紀念醫療中心的網路,令這家醫院的運營處於癱瘓狀態。最後,醫院決定向駭客支付 40 個比特幣,約等於 1.7 萬美元作為贖金,並透過重置計算機系統恢復執行。
安全專家 Michael Assante 表示,「在一些高級的駭客入侵中,他們不僅會禁用操作系統,同時還會使得重置功能失效。」他是系統網路安全協會(SANS Institute)工業控制系統安全董事。
而 Justin Fier,安全公司 Darktrace 的電子訊息安全董事則擔憂:
好在這次攻擊沒有影響到火車的運行,但我更希望駭客不會再根據現實情況進行調整,並指向我們更為成熟的基建設施。
公共機構還是需要趕緊升級自己的系統安全,萬一下次遇到個更高級與惡意的駭客呢?
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!