昨天我們已經(jīng)報(bào)道黑客周五入侵了舊金山市交通局(MUNI),超過(guò)2000臺(tái)計(jì)算機(jī)系統(tǒng)被黑,導(dǎo)致上周末乘客能夠免費(fèi)坐地鐵的快訊。
市里所有地鐵站的電腦屏幕上均顯示:
“你已被黑,所有數(shù)據(jù)已加密,聯(lián)系我們(cryptom27@yandex.com)ID:681”。
由于整個(gè)地鐵售票系統(tǒng)都停運(yùn)了,舊金山交通局直接開(kāi)放了檢票口,允許顧客免費(fèi)乘車(chē)。國(guó)外媒體報(bào)道稱(chēng),內(nèi)部消息說(shuō)系統(tǒng)已經(jīng)被黑好幾天了。舊金山交通局已正式確認(rèn)本次被黑事件,并表示并未影響到其他服務(wù)。發(fā)言人則說(shuō),針對(duì)此次事件,目前仍在調(diào)查中。
勒索要求73,000贖金
雖說(shuō)地鐵車(chē)輛本身并沒(méi)有被惡意軟件入侵,而且MUNI也聲稱(chēng)地鐵售票系統(tǒng)在11月27號(hào)一早就已經(jīng)恢復(fù)運(yùn)營(yíng)。舊金山的市交通局也提到會(huì)其他的公共交通設(shè)施保持警惕,除了地鐵之外,還有有軌電車(chē)、公共汽車(chē)和舊金山的標(biāo)志性纜車(chē)。
除了一個(gè)名為Andy Saolis的假名,目前并沒(méi)有發(fā)現(xiàn)其他人或組織對(duì)這起攻擊事件負(fù)責(zé)。但是據(jù)當(dāng)?shù)孛襟w報(bào)道,市交通局收到的勒索是,除非支付價(jià)值73,000美元的比特幣作為贖金,否則該政府機(jī)構(gòu)的電腦依舊在入侵者的掌控之中。
Andy Saolis這個(gè)化名通常在利用HDDCryptor勒索軟件的攻擊中被使用。HDDCryptor勒索攻擊就是用市面上能夠買(mǎi)到的工具來(lái)對(duì)硬盤(pán)和網(wǎng)絡(luò)進(jìn)行加密,這種勒索軟件隨機(jī)生成密鑰,感染W(wǎng)indows設(shè)備,并覆蓋硬盤(pán)的MBR阻止系統(tǒng)正常啟動(dòng)。
主引導(dǎo)記錄(MBR)是硬盤(pán)的第一個(gè)扇區(qū)(512bytes),其中會(huì)存儲(chǔ)bootloader。bootloader是引導(dǎo)裝載程序,負(fù)責(zé)引導(dǎo)當(dāng)前操作系統(tǒng)。
目標(biāo)電腦被感染的原因通常是無(wú)意中運(yùn)行或下載了郵件中的惡意可執(zhí)行文件,然后惡意軟件就會(huì)通過(guò)網(wǎng)絡(luò)蔓延到一發(fā)不可收拾。
cryptom27@yandex.com,這個(gè)郵箱被匿名犯罪者使用,會(huì)指向一個(gè)用來(lái)支付贖金的俄羅斯郵箱地址。這個(gè)郵箱地址還可以聯(lián)系到其他的網(wǎng)絡(luò)攻擊行為。
這個(gè)黑客可能是個(gè)慣犯
在聯(lián)系這個(gè)郵箱之后,會(huì)收到一段來(lái)自入侵者的陳述,整條陳述都是用蹩腳的英語(yǔ)寫(xiě)出來(lái)的。
“我們并不是為了引起關(guān)注或傳播什么新聞!我們的軟件完全是自動(dòng)運(yùn)行的,所以我們并不會(huì)設(shè)定什么專(zhuān)門(mén)的攻擊目標(biāo)!入侵舊金山市交通局2000臺(tái)計(jì)算機(jī)簡(jiǎn)直是太容易了!我們?cè)诘蓉?fù)責(zé)人跟我們聯(lián)系,但看起來(lái)他們并不想跟我們協(xié)商!既然這樣,我們明天就會(huì)把這個(gè)郵箱關(guān)了!”
同樣的郵箱地址cryptom27@yandex.com還出現(xiàn)在今年9月份的一起被稱(chēng)為Mamba的勒索事件中。那次事件中勒索軟件的部署策略跟這次是十分相似的。
黑客同樣提供了一個(gè)清單,上面聲稱(chēng)MUNI網(wǎng)絡(luò)中2,112臺(tái)計(jì)算機(jī)都已經(jīng)被他們控制了,差不多可以占到總共8,656臺(tái)電腦的四分之一。黑客還說(shuō)MUNI有一天時(shí)間來(lái)跟他們達(dá)成協(xié)議。
對(duì)這個(gè)入侵者我們還是知之甚少,他的真實(shí)身份到目前為止還是一個(gè)謎,不過(guò)這起事件再次發(fā)出警示,國(guó)家對(duì)關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)依舊十分薄弱。