羅馬尼亞國家水務(wù)署遭勒索軟件攻擊 黑客濫用BitLocker加密約千臺電腦

羅馬尼亞負責全國水資源管理的政府機構(gòu)——國家水務(wù)署（Administra?ia Na?ional? Apele Romane）近日遭遇嚴重勒索軟件襲擊，約一千臺計算機被迫下線，波及該機構(gòu)在全國 11 個區(qū)域辦事處中的 10 個。本次事件導致電子郵件、數(shù)據(jù)庫、官網(wǎng)以及地理信息系統(tǒng)等關(guān)鍵數(shù)字業(yè)務(wù)中斷，但當局強調(diào)，全國水務(wù)基礎(chǔ)設(shè)施的運行控制仍保持在“正常參數(shù)范圍內(nèi)”。

據(jù)官方說明，水務(wù)調(diào)度目前主要通過值班調(diào)度與語音通信等方式進行，這意味著在信息系統(tǒng)大面積癱瘓的情況下，運營人員已臨時回退到以人工協(xié)調(diào)為主的工作模式。截至目前，尚無任何黑客組織公開聲稱對此次入侵負責，但攻擊者在系統(tǒng)中留下信息，要求該機構(gòu)在七天內(nèi)與其聯(lián)系，這一做法與典型勒索軟件團伙的談判套路高度相似。

羅馬尼亞國家網(wǎng)絡(luò)安全局（DNSC）表示，攻擊的初始入侵途徑尚未查明，相關(guān)取證工作仍在進行中。調(diào)查發(fā)現(xiàn)，黑客并未使用自制或第三方加密工具，而是直接調(diào)用了微軟 Windows 內(nèi)置的合法功能 BitLocker，對系統(tǒng)磁盤進行加密鎖定，從而阻斷管理方對受感染終端的訪問。在正常情況下，BitLocker用于數(shù)據(jù)保護，但一旦攻擊者獲取到管理員權(quán)限或恢復密鑰控制權(quán)，便可將這一安全功能轉(zhuǎn)化為勒索武器。

DNSC 正會同羅馬尼亞國內(nèi)情報部門聯(lián)合調(diào)查事件來源，并推進受影響信息系統(tǒng)的恢復工作。當局尚未披露惡意程序在內(nèi)部網(wǎng)絡(luò)中橫向傳播的細節(jié)，也未說明是否涉及高權(quán)限憑據(jù)泄露。目前官方?jīng)]有給出數(shù)字系統(tǒng)全面恢復的時間表，多數(shù)核心業(yè)務(wù)仍需依賴人工與線下流程維持運轉(zhuǎn)。

盡管羅馬尼亞此次事件未直接導致水務(wù)設(shè)施物理損壞，但近期歐洲多起案例顯示，針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊已具有現(xiàn)實的實體破壞風險。例如 2024 年丹麥柯厄鎮(zhèn)曾因黑客操縱水壓控制，出現(xiàn)管道爆裂和短時斷水，后來被歸因于親俄組織 Z-Pentest；次年丹麥選舉網(wǎng)站又遭到與 NoName057(16)有關(guān)的分布式拒絕服務(wù)攻擊。

本月早些時候，德國也因一系列針對選舉系統(tǒng)和空中交通管制網(wǎng)絡(luò)的網(wǎng)絡(luò)事件召見俄羅斯大使，一些歐洲政府將此類持續(xù)升級的攻擊視作“混合戰(zhàn)”一部分，把針對關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字打擊與地緣政治施壓相聯(lián)系。安全業(yè)內(nèi)普遍指出，公用事業(yè)和基礎(chǔ)設(shè)施領(lǐng)域在網(wǎng)絡(luò)安全投入方面長期滯后，運維團隊常在保障業(yè)務(wù)連續(xù)性與加強防護之間艱難平衡，往往在發(fā)生重大事件后才被迫加固防線。

目前尚難判斷這起羅馬尼亞水務(wù)署事件是否屬于更大規(guī)模協(xié)調(diào)行動的一環(huán)，但其發(fā)生的時間點、攻擊對象以及利用合法加密功能實施勒索的技術(shù)路徑，都與近年愈發(fā)頻繁的國家背景或機會主義式關(guān)鍵基礎(chǔ)設(shè)施攻擊高度吻合。在調(diào)查與系統(tǒng)修復完成之前，這一事件將繼續(xù)考驗當?shù)毓膊块T在極端條件下依靠人工手段維持水務(wù)運營的能力。