瘫痪了美国“输油管大动脉”的黑客组织，到底是什么来头？

全美最长输油管线之一的东岸油管系统，7日遭到勒索软件黑了，负责营运此管线的“殖民管线公司”被迫切断整个系统，可能影响多达5000万人。

这是美国过去一年多来，第二桩已知的大型油管业者被黑事故，专家认为此油管是美国的能源大动脉，问题非常严重。

美国输油管大动脉被黑

美国殖民管线公司（Colonial Pipeline）7日晚间宣布，公司成为网络攻击的受害者，当时业界以为这项攻击直接影响到管制石油输运的控制系统。到了8日，殖民管线再发声明，表示是公司电脑网络遭到勒索软件攻击，公司为免进一步信息外泄、引发部分输油管遭实质攻击，主动暂停所有管线运作。

这家公司的管线从德州连到新泽西州，横越8850公里，每天运油量超过250万桶，将墨西哥湾沿岸炼油厂的汽油、柴油、飞机燃料和家用取暖油等，输往美国南部及东部，包括纽约港及大纽约地区几个机场。美国东岸约45％燃料消耗量，是由殖民管线输送，公司管线约可涉及5000万人。

这是个严重问题，因为这个油管相当于美国国内石油运输的内颈动脉。如果殖民管线公司遭到勒索软件攻击事件造成输油管长时间关闭，各方主要担忧的是必须维持主要机场的飞机燃料供应。

美国媒体指出，此事暴露两项危机：

一是凸显美国老旧的能源基础建设脆弱不堪，7日被黑的输油管，自1960年代初期使用至今，已近60年。

二是美国官员指出，近几个月勒索软件的攻击频率及其技术都在提升，受害者包括华盛顿特区的警察局、多家医院及制造业者，许多单位担心类似事件曝光会颜面无光，多半息事宁人，因此问题可能比外界所知还普遍。

这是美国近一年多来第二桩已知的大型油管业者被黑事故，去年美国国土安全部旗下的网络安全及基础设施安全局（CISA）曾宣布，一家石油管线公司旗下的天然气压缩设施，遭到勒索软件攻击，造成设施关闭2天，但CISA当时未透露是哪家公司。

殖民管线公司是一家未上市的民营公司，他们不像上市公司那样面临压力，必须详细揭露各项资讯。截至8日为止，公司拒绝说明是否计划支付赎金，也没有说明何时恢复正常营运。纽约时报指出，此举多半表示，这家公司考虑支付赎金，或甚至已经付了赎金。

瘫痪美国输油管的黑客组织浮出水面，标榜从来不攻击医院学校，拿到钱会捐款慈善

联邦调查局（FBI）正式指控骇客团体“黑暗面”（DarkSide）要负责。“黑暗面”在网络犯罪领域算是相对新的成员，还有自己的商业模式与行为准则，她们宣称，“我们的目的是钱，不是国家混乱”。

被FBI点名后，更在暗网的官网发布声明，被专家认为是正式致歉的声明，可能他们对于自己的行动导致美国最大输油管网络停摆，至今也感到意外。

根据“黑暗面”自行发布的行为准则，他们只锁定能支付指定赎金的企业，并不想毁掉那些公司的生意。同时还声明，医院与养老中心等医疗业、学校和大学等教育业、非盈利组织与政府部门都不在他们的攻击之列。

“黑暗面”将服务出租给出价最高的竞标者，还“跟勒索软件开发人员分享利益”，直指此举本质上是“将部分不义之财投入研发更有效勒索软件”的商业模式，又经常标榜自己是一种“数字罗宾汉”，从公司窃取金钱给其他人，还会捐赠收益给慈善团体，但多数慈善团体婉拒他们的“好意”。

背后背景不简单，刻意跟俄罗斯惹上关系

但是，这么大一件事情，竟然被成立不久的黑客组织认领，很多电脑界内部人士就认为可能有猫腻，认为这个黑客组织可能做不了这么大的事情。

果不其然，随后的报道，刻意跟俄罗斯惹上了关系。

IBM顾问凯瑟姆（Limor Kessem）在《Security Intelligence》网站撰文指出，“黑暗面”招募分支团体入伙时，要求精通技术又说俄语的人士申请，还进一步强调他们对“说英语的个性”（English speaking personalities）不感兴趣。

“黑暗面”本身不会攻击俄罗斯方面的电脑，会刻意避开语言布局跟17个前苏联国家及叙利亚阿拉伯语一致的电脑。据说“黑暗面”会首先查询受害者电脑的预设语言设定，只要是俄语、乌克兰语、格鲁吉亚语和白俄罗斯语等，就会跳过，直接转往下一位受害者。

据说，“黑暗面”价码就比较低，大约20万美元到200万美元，还会在每一个勒索信放进独特的密钥，显示“黑暗面”会针对每一位受害者修改攻击方式，“相对于骇客团体，『黑暗面』很有选择性”。

后续美国输油管大动脉的调查，后续到底会引导到哪里？

最后结论是美国基础设施太落后了，需要拜登的大型基础设施建设计划快速通过么？

还是会不会火烧到俄罗斯，美国会不会指控俄罗斯操纵黑客行动，甚至美国会不会更进一步对于俄罗斯进行进一步制裁？还有待事情发展和后续报道。