图片来源@视觉中国

文 | BT财经

现实版的“黑客帝国”正在美国上演。

工作人员在电脑面前为了修补漏洞加班加点，油箱耗尽的汽车司机们在加油站骂骂咧咧，警察们在追踪着各项痕迹来寻找元凶，而网线另一头的黑客们正洋洋得意地看着到账的加密数字货币。

科洛尼尔被黑客勒索

5月10日，“#美国宣布进入国家紧急状态#”的话题登上微博热搜，在短短的半天时间就获得了1.2亿阅读。

然而这个热搜却是一个让人哭笑不得的乌龙事件，而真实情况的来龙去脉也颇为神奇，至于结果，依照现有的进展大概率也只会不了了之。

当地时间5月7日，最近一年颇为活跃的黑客组织黑暗面（DarkSide）对美国最大燃油管道运营商科洛尼尔（Colonial Pipeline）的信息系统发起了攻击，通过加密手段锁住该公司计算机系统并劫持了该公司近100GB的数据。

这是DarkSide一年来破坏力度最大的一次攻击。据BBC报道，此番DarkSide仍采取了他们一直以来的攻击方式。

受害公司的计算机屏幕会跳出告知通知，表明其计算机和服务器已经被黑客加密；随后DarkSide会罗列出所有偷取、上锁的数据，并将“个人信息泄露页面”的URL发给受害公司，要求他们在截止日期之前支付赎金，否则一些消息会自动被公布到网络，同时数据会从公司的计算机和服务器上删除，而赎金的金额会随着时间的推移不断上涨。

科洛尼尔在第二日便将情况上报给了美国政府，并以公开声明的方式向大众承认遭受黑客攻击，但表明自己并没有支付赎金的意愿。

随后，科洛尼尔关闭了一条每日运送250万桶燃料，长达5500英里的输油管道。平日里这条管道承担了人口密集的美国东海岸45%的燃料供给，关闭引发了人们对汽油、柴油和航空煤油现货短缺的担忧，美国人出行离不开汽车，大量用户涌入加油站囤货，汽油价格也小幅上涨。

国内媒体所谓“美国进入国家紧急状态”正是基于此。

不过根据美国政府的官方网站，虽然美国总统拜登对此事表明了关切，但是这事儿真的犯不上美国全国直接落入到紧急状态窘迫之中。

当地时间5月9日，实际上是美国的交通部联邦汽车运输安全管理局宣布17个州和华盛顿特区进入紧急状态，进入紧急状态并非是崩盘，而是意味着可以解除针对燃料运输的各种限制，以保障石油产品通过公路快速运输。

虽然科洛尼尔在官方声明中表现得很强势，但根据彭博社的报道，其在受到攻击后不久就和DarkSide达成了和解，支付了彼时价值500万美元的75枚比特币作为赎金。

5月19日，科洛尼尔承认并没有遵从FBI的建议，出于大局考虑支付了赎金。

收到赎金后，DarkSide将解密工具发给了科洛尼尔。即便如此，科洛尼尔也用了6天的时间才恢复输油管道的正常运转，甚至在恢复过程中还出现了宕机状况。

5月13日，美国总统拜登在评论里表示政府会采取更多措施封杀DarkSide，降低其破坏能力，同时他还指出根据多方调查，从来不攻击俄语系统的DarkSide是来自俄罗斯和东欧的黑客集团。虽然与俄罗斯政府没有直接关联，但他认为俄罗斯应对做出实际行动来管制这些勒索的黑客。

在科洛尼尔勒索发生后，拜登签署了一份加强美国网络安全防御的行政命令。在今年4月，美国就曾呼吁各国政府将勒索软件定义为国家安全威胁，并对拒绝参与打击黑客行动的国家“施加压力”。

虚拟货币成为黑客“帮凶”

DarkSide的名字一下子就让大众想到了《星球大战》里堕入黑暗面的达斯维达。但要强调的是，达斯维达最终回归了光明，或许DarkSide正是希望传达自己并非坏人，而是正邪交织形象。

因为新冠疫情的影响，越来越多的公司转向线上办公，工程师们在自家登陆公司网络使得攻破防线变得相对容易，这也给了DarkSide可趁之机。

一大批黑客组织变得格外活跃，DarkSide还发布公开信昭告犯案原则：“我们只会攻击付得起赎金金额的公司”，“基于我们的攻击原则，我们不会攻击医院、学校、大学、非营利组织和政府部门”。

或许是为了证明自己言论的可行度，2020年10月，DarkSide向慈善组织“儿童国际”和“水项目”分别捐赠了0.88比特币，但被无情拒绝，理由是不接受非法所得。

根据媒体的统计，DarkSide这一年来通过勒索各家公司所获取的比特币市值超过9000万美元，平均每个受害者支付了价值190万美元的比特币。

据统计，有1550万美元归DarkSide的开发商所有，7470万美元归其附属公司所有，大部分都被转移到加密货币交易所，并兑换成了法定货币，绝对算得上是流程清晰、成功率颇高的“抢钱行为”。

DarkSide并非是单打独斗的个体，而是商业化十足的成熟黑客团伙。

除了用软件黑入公司系统直接勒索比特币，DarkSide还会把自己开发出来的勒索软件提供给买家，要是买家勒索成功，他们会从赎金中抽取一定比例的收入。此外，他们还会向其它别有用心者出售遭到勒索软件攻击的受害公司的内幕信息，在资本市场再捞一笔。

5月10日，DarkSide发布了一则声明回应了勒索科洛尼尔事件：“我们的目标是赚钱，而不是为社会制造问题。我们会克制，细致地审查合作伙伴，以避免造成恶劣的社会后果”，“我们是非政治性的，我们不参与地缘政治。”

这种理直气壮、义正言辞的作风实在是让人哭笑不得。想想《武林外传》里面白展堂教训郭芙蓉的时候说过：“什么叫盗亦有道，全都是胡说八道，贼就是贼。”

宣扬只要钱的黑客依旧是黑客，DarkSide仍在继续作案。

5月14日，东芝技术公司的法国子公司也遭遇了DarkSide的攻击，泄漏了包括护照文件、项目文档在内的740GB的数据。至于东芝是否支付了赎金，外界还不得而知。

5月17日，也许是最近的过分高调造成惹祸上身，DarkSide宣布停止运营，其泄漏站点已经无法访问。DarkSide的运营商上发表公告称受到了执法机构和美国的压力，目前已无法访问基础架构的公共部分：博客、付款服务器和DOS服务器。

不过，Darkside “很有良心”地将解密工具分发给会员，会员可以自行完成剩余的“催收”工作。

背后的黑客产业链

Check Point研究显示，与2020年初相比，今年全球遭受勒索软件攻击的组织增加102%，在加密数字货币狂热下，黑客们出击越发频繁。

在这样的热潮下，DarkSide真的甘心从江湖销声匿迹了吗？——多数人并不相信。

根据美媒报道，安全公司EMSIsoft、FireEye和Intel471的专家一直认为停止运营只是一个“退出骗局”，是勒索软件运营商用来隐藏踪迹和撤退的典型行为。虽然DarkSide消失了，幕后的黑客们可能已经换好了新的马甲，筹备起下一步行动。

虽然区块链分析公司Elliptic追踪到了DarkSide的比特币钱包，估算其获得的收益，并推断其俄罗斯流行的Hydra暗网市场进行的交易。但是真正去找到网线背后的黑手则是困难重重，大概率会不了了之。

根据推测，DarkSide所有者很可能曾是REvil的会员，软件本身也可能是基于REvil代码开发的。

REvil也是近两年活跃的黑客组织，他们侵入了苹果公司相关的网络，以泄露MacBook的产品蓝图为威胁勒索5000万美元。此外，REvil多次攻破与名人有关的公司系统，还宣称要建立拍卖网站来拍卖受害者的失窃数据，连特朗普也曾是他们的敲诈对象。

2020年，REvil的发言人在和俄罗斯知名的科技博主对话中宣称在1年内获得了超过1亿美元的收入，他们的目标是获得20亿美元。据悉，多数公司有能力恢复数据，但是担心被窃取的数据会被泄露给竞争对手造成难以预估的后果，三分之一的受害公司会愿意支付赎金。此外，他们还表示自己非常讲信誉，言出必行，毕竟受害公司必须确认花钱就不会有问题，否则也不会轻易掏钱。

虽然黑客们一再表明自己只是要钱的“侠盗”，但是在美国人眼中，自己不能轻易击破的反派一定和俄罗斯脱离不了干系。

不少网络安全公司坚定地认为这一系列的黑客团伙都是俄罗斯军方网络部队的下属分支，只不过经历多次转型后拆分开独立运营了。

随着科洛尼尔慢慢恢复运营，此次的黑客危机暂时告一段落。

但是在居家办公和线上办公越发普及的当下，联网被入侵的风险会越来越高；信息的重要性越高，黑客也越能拿捏受害公司，勒索行为或许永远不能避免。

如何让黑客们无处隐形会是长期的难题，查封暗网交易、监管数字加密货币流通可能是执法机构可采取的最有效的追踪犯罪痕迹的手段之一。