美国重要港口休斯敦港8月遭到网络攻击,攻击者疑似有国家背景。幸运的是,官方在攻击早期阶段及时发现了攻击者,事件没有干扰到港口运营。
美国有线新闻网(CNN)援引海岸警卫队的事故分析报告及美国高级网络安全官员的公开声明报道称,墨西哥湾沿岸重要港口休斯敦港上个月(8月)遭受网络攻击,攻击者疑似有国家背景。官方网站显示,休斯敦港每年的货物吞吐量可达2.47亿吨,是墨西哥湾沿岸最大的港口之一。幸运的是,官方早期调查发现了入侵者,尚未对港口的船运活动进行干扰。报道称,尽管美国政府正努力加固关键基础设施的网络防御,但黑客们仍突入了休斯敦港。这表明外国间谍对美国关键海运港口的兴趣十分浓厚。美国海岸警卫队网络司令部就此事件发布分析报告称,“如果此次入侵未被察觉,攻击者就会利用窃取的登陆证书获得远程进入(港口IT)网络的自由权限”。这份标注有“官方专用”的报告警告,“一旦拥有进入网络的无限制权力,攻击者的下一步行动就会有更多选择,有可能会对港口运营造成影响。”
攻击者疑似拥有国家背景
据信,休斯敦港事件是一起更大范围间谍活动的组成部分,幕后主使者的身份目前尚不清楚,但美国网络安全与基础设施安全局局长珍・伊丝特莉(Jen Easterly)在周四的参议院听证会上声称,一个有外国政府背景的黑客组织应该对此事件负责。伊丝特莉在参议院国土安全与政府事务委员会组织的听证会上确认被攻击目标是休斯敦港,同时声称网络攻击者的身份“始终都很复杂”。“就此事而言,我和同事们仍需调查,但我认为入侵者拥有国家背景。”“入侵事件目前造成的影响有限,但我们仍将继续跟进并同与会大家保持沟通,”她说。海岸警卫队在分析报告中没有提及“外国政府”或“休斯敦港”的字眼,其新闻发言人在接受CNN采访时表示,“海岸警卫队无法确认近期网络攻击事件的幕后主使者”。休斯敦港新闻发言人宣称,“今年8月,休斯敦港方面在《海上运输安全法案》(MTSA)指导下,遵循设施安全计划成功化解了一起网络安全威胁,港口运营数据或系统没有受到影响。”有传言称,休斯敦港事件是一起更大范围网络入侵的组成部分。据信,入侵的黑客们把目标锁定在防务承包商、运输企业和其他组织身上。美国政府上周曾公开对上述目标发出过预警。“我们估计这群黑客的背后有国家的支持,他们的任务是代表外国政府从事间谍活动,”美国威胁情报厂商Mandiant的高级分析师萨拉・琼斯(Sarah Jones)接受CNN采访时说。
官方紧急隔离了受攻击服务器
海岸警卫队的报告显示,一群身份不明的黑客利用密码管理软件中未被发现的漏洞,于世界标准时间8月19日14时38分入侵了休斯敦港的某个服务器,然后在服务器内植入恶意代码。据了解,他们可以借助该代码对IT系统进行更深层次的入侵。初始入侵发生90分钟后,黑客窃取了某款微软软件的登录证书。海岸警卫队报告称,该款软件常被团体或组织用来管理密码和登陆网络。几分钟后,港口工作人员隔离了遭受攻击的服务器,“切断了网络无授权登陆。”前海岸警卫队成员、特朗普执政时期的白宫网络安全官员肖恩・普兰基(Sean Plankey)表示,有关人员在休斯敦港事件中的快速反应表明,海岸警卫队在网络空间的实力越来越强大。“也许我们的对手比大多数美国人都清楚一点,即美国的经济十分依赖港口,”普兰基对CNN记者说。
安全事件高发促使行业加强改进
近年来不断发生的安全事件促使美国官员将更多注意力放在海洋运输网络安全领域。2019年2月,一艘开往纽约港和新泽西港的轮船遭受恶意软件攻击,导致船上计算机系统功能下降。海岸警卫队随即发布公共警示,批评该船尽管主控系统未受影响,但却缺乏“有效的网络安全措施”。今年1月,美国政府发布海洋运输网络安全计划,确定“今后五年将补足海洋运输网络安全方面的差距和薄弱环节”。海洋运输系统信息共享与分析中心负责人斯科特・迪克森(Scott Dickerson)表示,近年来海运行业已经在强化网络防御方面取得了不小的进展。“几座港口已经建立了信息交换机制,参加者可以借此进行更有效的合作,提高本地供应链的网络可靠性及快速复原能力,”他对CNN说。(文章来源:互联网安全内参)