整理 | 鄭麗媛 出品 | CSDN(ID:CSDNnews)
【CSDN 編者按】在過去的網路安全神話裡,我們總以為“被黑”是科技巨頭才需要擔心的事情。但現實遠比你想的更殘酷。如今,只要你的企業有聯網裝置、有員工賬戶、有業務資料,就可能是下一個受害者——哪怕你是一家已經經營了 158 年的傳統公司。
“一個被猜中的密碼,摧毀了一家百年企業。”
這不是聳人聽聞的標題黨,而是一起在英國真實發生的網路安全事故——據 BBC 紀錄片《Panorama》披露,一家擁有 158 年曆史的老牌運輸企業 KNP(Knights of Old),只因一個被猜中的員工密碼,慘遭駭客入侵,核心系統被加密鎖死。最終,700+ 名員工一夜之間失業,企業宣佈破產,158 年曆史至此終結。
頗為最諷刺的是,直到今天,那位設定了“弱密碼”的員工,還不知道自己是致使公司倒塌的導火索。
百年企業,一夜“資料歸零”
KNP,全稱 Knights of Old,是一家總部位於英國北安普敦郡的老牌運輸公司,擁有超過 500 輛卡車,服務遍佈全英國。它的歷史可以追溯到 19 世紀,一直是本地物流行業的重要支柱。
而就在 2023 年 6 月,這家百年企業遭遇了致命打擊:駭客組織 Akira 成功攻入了 KNP 內部網路系統。
據瞭解,Akira 是一個 2023 年迅速崛起的國際勒索團伙,核心成員疑似來自已解體的 Conti 組織。據悉自 2023 年 3 月以來,Akira 已在全球範圍內攻擊超過 250 家機構,成功勒索金額超 4200 萬美元。他們的主要攻擊手法是“雙重勒索”:先竊取核心資料,再進行全盤加密;如果不付款,就威脅公開資料。
據專家推測,Akira 入侵 KNP 內部系統的方式,並非高深複雜的零日漏洞或社會工程學等,而是一種最為基礎且粗暴的方式:純猜。具體來說,他們鎖定了一名KNP員工的賬戶,通過暴力破解、窮舉一些常見密碼(如12345678、welcome1、password123)或利用其洩露的其他密碼去“撞庫”,成功獲取了 KNP 內部系統的訪問許可權。
入侵 KNP 系統後,Akira 第一時間部署了勒索軟體,將企業所有資料進行加密,包括:客戶資訊、車輛排程、送貨排期、會計與財務系統等等——短短數小時內,KNP 內部系統全面癱瘓。所有員工被鎖在業務系統之外,無法排程卡車,無法收發訂單,甚至無法確認已有客戶的運輸狀態。
駭客勒索:一封冷血留言,和 500 萬英鎊的贖金
在加密完 KNP 的核心業務資料、並鎖死其全部內部系統後,駭客組織 Akira 給 KNP 留下了一封“典型”的勒索信,語氣冷酷、譏諷意味十足:
“如果你正在閱讀這條資訊,這就說明你們的內部系統已經完全或部分癱瘓……別急著哭,也別急著恨,先讓我們展開一個建設性的對話吧。”
Akira 在勒索信中,並未明確索要金額,但KNP隨後委託第三方勒索談判機構進行評估,結果顯示贖金可能高達 500 萬英鎊(約合人民幣 4849 萬元)。
而 KNP,作為一家傳統物流企業,根本拿不出這筆錢。
對外,KNP並沒有具體披露是哪個環節的安全設定出了問題,只表示他們“已採取了行業標準的 IT 防護措施”,併購買了網路攻擊安全保險。可問題在於:當對方已經掌握了你係統的鑰匙時,再多的防護措施,也只是裝飾。
據悉,當時 KNP 的保險方 Solace Global 緊急派出了“網路危機”響應小組趕赴現場。可根據該公司顧問 Paul Cashmore 在紀錄片中的回憶,KNP 已處於“最糟糕的情況”:
●所有業務資料均被加密
●所有伺服器與備份系統均已損毀
●連災備系統也未能倖免
●所有終端(包括 PC、辦公裝置)也被攻陷
換言之,KNP 從 IT 系統到底層架構,全線崩潰——Paul Cashmore 感慨:“這幾乎是我們能想到的最壞的情況了。”
因此,儘管保險方啟動了危機響應團隊,但面對“伺服器、備份、災備系統全部損毀”的局面,也無能為力:KNP公司支付不起贖金,所有資料最終無法恢復,只能宣佈破產,700 多名員工被迫離職。
事件發生後,KNP 管理層也並未將“密碼洩露”的責任推向員工。公司董事 Paul Abbott 坦言,他甚至都沒告訴那名涉事員工,是他的弱密碼導致了整場災難:“如果是你,你會想知道嗎?”
KNP 的悲劇,並非個例
令人意外的是,KNP 的悲劇還並非個例。
過去一年中,英國多家知名企業均遭遇類似攻擊,包括 M&S、Co-op、Harrods 等。其中,Co-op 甚至確認其 650 萬會員資料全部被盜。根據英國政府公開資料,2024 年勒索攻擊在英企中發生約1.9萬起,數量驚人。英國國家打擊犯罪局(NCA)也披露,自 2022 年以來,每週的網路攻擊事件已從 20 起飆升至 35–40 起。
全球安全公司 Group-IB 曾提到,目前全球最活躍的勒索團伙背後,背後甚至有“售後客服”、“談判代表”、“資料公關”等完整鏈條。一些勒索組織甚至像創業公司一樣,開源勒索軟體供他人使用,從中抽取分成,形成所謂的 RaaS(勒索軟體即服務)模式,使得攻擊門檻大大降低。
甚至,隨著 AI 技術的日益演進,如今的網路攻擊手法都不需要太多技術能力:“有些攻擊者只需打個電話冒充員工,就能騙過 IT 客服拿到系統訪問許可權。”
而對於被勒索的企業來說,儘管 NCA 等官方組織呼籲不要輕易支付贖金,但這卻是恢復資料最“快”的方式:一邊是上百萬英鎊的業務損失,一邊是“花幾萬英鎊贖回資料”的權衡下,通常在金額不太過分的情況下,企業往往會選擇後者。
可正如 NCA 情報總監 James Babbage 所說:“正是一次次的支付,才養肥了這個犯罪生態。”
由於 IT 安全是非“利潤中心”,因此選擇節省開支?
BBC 對於 KNP 這一事件的報道,在各大開發者社群引起了不小的關注與討論。
其中熱度最高、點贊最多的一個評論,是一個直擊重點的提問:“為什麼明明是一家 158 歲的公司,其 IT 安全防護水平還停留在 158 年前?”
對於這個疑問,多數程式設計師一言道出真相:因為 IT 是企業中的“成本中心”,而非“利潤中心”——大多數公司根本不想對成本中心進行投資。
-
“我從事的是非技術相關領域的工作,但我曾向 IT 團隊和營運長提到,公司系統太容易意外清除所有之前的流程/工單了,可以最佳化一下。如果工作流程中的任何人不小心按了幾個按鈕,恢復起來就會非常麻煩,但他當時回答我說‘誰會傻到按控制鍵給全刪除了?’結果,在我休假的時候,這件事真的發生了,最終導致了數百萬美元的訂單損失……”
-
“我有一個商業客戶,連續兩任都是非常聰明的 CFO。他們明白網路安全很重要,也願意為此付費。我記得第一位 CFO 告訴我,如果他們的系統癱瘓,每小時將損失約 5 萬美元,所以他根本不會猶豫每月幾百美元的反病毒保護費。”
-
“光是‘成本中心’這個詞,就足以讓大多數 IT 工作者陷入痛苦回憶了。很多公司都在 IT 方面節省開支,因為高管和 CEO 都是技術盲,對技術升級(他們不理解)沒有興趣進行投資。”
值得一提的是,在 KNP 事件過後,其董事 Paul Abbott 開始面向各地企業分享自身教訓。他提出了一個新概念:“Cyber MOT”——即仿照汽車年檢制度,強制企業每年對自身網路系統進行安全體檢。
“我們必須制定一些硬性規則,讓企業的 IT 系統在應對網路犯罪時具備最基本的韌性。”
簡單來說,可以包括啟用多因素認證(MFA)、禁止使用重複密碼、嚴格限制員工許可權、引入員工網路安全培訓、定期更新和清查賬號系統等。
對於開發者、IT 人員、安全工程師而言,也許我們無法徹底阻止攻擊的發生,但至少應該確保——密碼不是最先被攻破的那道門。而改變這一切的第一步,或許就是從改掉那個“123456”的密碼開始。
參考連結:
https://www.bbc.com/news/articles/cx2gx28815wo
https://www.tomshardware.com/tech-industry/cyber-security/158-year-old-company-forced-to-close-after-ransomware-attack-precipitated-by-a-single-guessed-password-700-jobs-lost-after-hackers-demand-unpayable-sum
想要學習Linux系統的讀者可以點選"閱讀原文"按鈕來了解書籍《Linux就該這麼學》,同時也非常適合專業的運維人員閱讀,成為輔助您工作的高價值工具書!
