编者按
美国务院曾于2024年底首次实施“网络安全运营需求外国援助计划”(FALCON),协助哥斯达黎加处理了该国最大炼油厂RECOPE遭受的勒索软件攻击。
美国务院“网络安全运营需求外国援助计划”旨在利用私营部门事件最佳响应能力,在48小时内提供网络安全事件响应服务,是美国为支持盟友并将美国价值观注入全球数字规范而制定的数项举措之一。美国负责网络空间和数字政策的无任所大使纳撒尼尔·菲克称,哥斯达黎加炼油厂勒索软件遭攻击事件是对该计划首次现实考验;美国务院在接到哥斯达黎加的援助请求后,立即提供了应急软件和其他虚拟支持,同时在36小时内派遣一支团队前往该国提供现场响应服务;该团队由美国务院人员和两家私营公司的人员组成,在哥斯达黎加开展了10天工作,随后一直提供在线支持;该团队帮助哥斯达黎加炼油厂调查事件,将勒索软件攻击者驱离系统,从备份中恢复数据,让系统恢复在线,并加强系统抵御未来恶意网络活动的防御能力。整场行动花费约50万美元,只是“网络安全运营需求外国援助计划”1000万美元资金的一小部分。
美国和哥斯达黎加均认为,“网络安全运营需求外国援助计划”的首次实践运用应成为未来“数字化外国援助的典范”。纳撒尼尔·菲克表示,此次合作是一场“数字团结”(美国政府2024年5月发布的国际网络空间和数字政策战略提出的核心概念)行动,本质上体现了在危机期间做出具体而迅速反应的能力;许多美国政府和军事实体可以派遣团队到国外调查网络事件,但无法修复所发现问题,这就是“网络安全运营需求外国援助计划”脱颖而出的原因,特朗普新政府“绝对”应该保留该计划。哥斯达黎加表示,美国提供的取证服务极大地帮助该国确定了攻击性质,美国新政府将会明白网络安全合作在向拉丁美洲提供援助方面将发挥着关键的作用。
奇安网情局编译有关情况,供读者参考。
美国负责网络空间和数字政策的无任所大使纳撒尼尔·菲克称,2024年对哥斯达黎加最大炼油厂的潜在灾难性勒索软件攻击是对美国国务院新的网络安全事件快速响应工具的首次现实考验。
美国务院的网络空间与数字政策局“网络安全运营需求外国援助计划”(FALCON),这是美国为支持盟友并将美国价值观注入全球数字规范而制定的几项举措之一。
纳撒尼尔·菲克表示,“我们的目标是提供迅速而果断的支持,我们做到了。”他强调,“网络安全运营需求外国援助计划”(FALCON)旨在利用多家供应商的“最佳”私营部门事件响应能力,理想情况下是在首次请求后的48小时内——在首次案例中,大约需要36小时。
美国政府此前承认派遣了一支团队前往哥斯达黎加,但没有具体说明是通过“网络安全运营需求外国援助计划”(FALCON)派遣的。
近年来,哥斯达黎加经常成为恶意网络攻击的目标。2022年,该国遭受了臭名昭著的俄罗斯相关网络犯罪集团Conti发起的一系列严重勒索软件攻击,哥斯达黎加政府因此受到影响数月。拜登政府向哥斯达黎加提供了2500万美元,以加强其数字防御和弹性。
2024年12月,美国南方司令部宣布网络犯罪集团已经针对哥斯达黎加的电信和技术系统展开攻击。
国际社会的关注使哥斯达黎加成为美国在该地区网络和技术问题上的战略合作伙伴,并成为美国政府反勒索软件倡议的积极倡导者。
此次炼油厂袭击事件发生在感恩节前一天。在全国范围内进口、精炼和分销化石燃料并运营其管道的国营哥斯达黎加石油加工公司(RECOPE)联系政府,称其管理系统遭到了勒索软件的攻击。
哥斯达黎加科学、创新、技术和电信部派遣了一支专家团队前往现场,并联系了美国务院寻求帮助。
纳撒尼尔·菲克表示,他在得知袭击事件后“几小时内”就与哥斯达黎加总统通了电话。他称,“我们提供了应急软件和其他虚拟支持,同时与我们的执行伙伴合作,在哥斯达黎加首都圣何塞实地部署。第二天早上——感恩节早上——我们的人员就登上了飞机,下午,他们就坐在哥斯达黎加的同事旁边,敲着键盘,努力解决问题。”
这个小团队由美国务院人员和两家私营公司的联邦合同制人员组成。纳撒尼尔·菲克拒绝透露参与其中的公司的名称,因为他担心这些公司的参与也会成为勒索软件运营者的攻击目标。
纳撒尼尔·菲克还拒绝透露使用了哪些策略。“网络安全运营需求外国援助计划”(FALCON)团队在当地待了大约10天,随后一直提供在线支持,直到12月中旬。纳撒尼尔·菲克称,该小组帮助炼油厂“调查事件,将勒索软件攻击者从系统中驱逐出去,从备份中恢复数据,让系统恢复在线,并加强系统抵御未来恶意网络活动的防御能力。”
整个行动花费约50万美元,只是“网络安全运营需求外国援助计划”(FALCON)1000万美元资金的一小部分。美国国务院发言人表示,自哥斯达黎加事件发生以来,“网络安全运营需求外国援助计划”(FALCON)团队已经2个月没有被使用过。
识别和响应
哥斯达黎加科学、创新、技术和电信部部长保拉·博甘特斯·萨莫拉表示,美国取证服务“极大地帮助我们确定了RECOPE遭受了何种攻击”。
尽管美国尚未正式将此次攻击归咎于特定行为者,但保拉·博甘特斯·萨莫拉表示,曾在全球各地无区别地发动攻击的活跃勒索软件团伙RansomHub应对此负责。
该组织要求哥斯达黎加支付500万美元以重新获得该公司服务器的访问权限,否则将在暗网上出售被锁定的数据。然而,哥斯达黎加政府有严格的政策,不遵守勒索软件的要求。
保拉·博甘特斯·萨莫拉表示,调查发现,RansomHub通过网络钓鱼电子邮件进入了RECOPE的系统,并在其网络中潜伏了“数月”。
虽然哥斯达黎加实施了一系列内部网络安全措施,例如将关键数据备份到不同的服务器,因此响应过程较为平稳,但炼油厂的运营仍受到影响长达“数天”。由于许多付款流程必须手动完成,油罐车拥堵在加油站。
保拉·博甘特斯·萨莫拉表示,在政府披露针对国有实体的网络攻击后,公众中也出现了一种“紧急感”——这与2021年Colonial Pipeline遭受严重勒索软件攻击后美国东部部分地区的恐慌并无二致。
哥斯达黎加政府向公众强调,“我们的石油储备足够,我们正在应对网络攻击。”
“数字团结在行动”
美国和哥斯达黎加均认为,“网络安全运营需求外国援助计划”(FALCON)的首次实时使用应成为未来数字化外国援助的典范。
纳撒尼尔·菲克表示,“最大的收获是,这是数字团结的行动——本质上是我们在危机期间做出具体而迅速反应的能力。许多美国政府和军事实体可以派遣一个团队到国外调查网络事件,但他们无法修复他们发现的问题。这就是我们的计划脱颖而出的原因。”
纳撒尼尔·菲克表示,当选总统唐纳德·特朗普的政府“绝对”应该保留该计划,他已与过渡官员讨论过此事。
纳撒尼尔·菲克表示,“人们对利用FALCON来为我们的技术领导层争取支持非常感兴趣”,此次响应的细节已经与美国国会和联邦调查局等其他联邦机构分享。
除了“网络安全运营需求外国援助计划”(FALCON)以外,美国务院的网络空间与数字政策局还开始部署其他援助工作,包括2024年12月在图瓦卢铺设海底电缆,以及最近与越南政府成员一起举办针对朝鲜恶意活动的网络威胁培训研讨会。
保拉·博甘特斯·萨莫拉2024年12月访问了华盛顿,并会见了拜登政府官员和国会议员,讨论了哥斯达黎加如何使用美国拨款开展网络防御。保拉·博甘特斯·萨莫拉表示,其“非常有信心”“网络安全运营需求外国援助计划”(FALCON)将在美国新政府的领导下继续运行。她称,“美国拥有世界上最好的网络安全机构,对我来说,知道我们得到了他们的支持,让我睡得更踏实。”
除国家间的战略关系外,此次合作还促使其他拉丁美洲国家思考如何加强自身的网络安全。
保拉·博甘特斯·萨莫拉表示,“这是一个成功的故事,我非常肯定美国新政府将会明白他们在确保就如此重要的问题向该地区其他国家提供援助方面发挥着多么关键的作用。”
推荐阅读
文章来源:奇安网情局
如有侵权请联系:admin#unsafe.sh