特斯拉遭黑客入侵雲系統「挖礦」，官方稱漏洞已解決

虛擬貨幣熱度不減，黑客也開始瞄準這一市場，竊取硬體的計算能力用來挖礦。

軟體安全公司RedLock的研究人員近日發現，黑客攻擊了特斯拉在亞馬遜雲系統AWS上的賬戶，並用它來運行挖礦軟體。這一最新的網路攻擊案還暴露了特斯拉的某些非公開數據，其中包括與特斯拉汽車相關的敏感遙測信息。但特斯拉方面稱，根據初步調查，目前並沒有發現對用戶數據或者汽車安全性產生影響。

此前，黑客還利用類似的方法攻擊過咖啡零售巨頭星巴克、谷歌旗下的視頻網站YouTube、英國政府信息部門、英國保險公司Aviva和荷蘭SIM卡製造巨頭金雅拓等。而此次特斯拉受到的黑客攻擊進一步暴露了這種新型網路襲擊手法的狡猾。

RedLock公司相關人士對第一財經記者表示，黑客是通過一個叫做Kubernetes的管理控制台作為入口潛入亞馬遜雲AWS系統的，而且使用多種策略避開使用公共「採礦池」，從而隱藏了真實的IP地址，令這種惡意行為更加難以被監測到。Kubernetes是谷歌開發的一個開源系統，全球超過半數企業用戶都在使用這種軟體系統，來部署和管理大量基於雲的應用程序和資源。但特斯拉的該控制台無需任何密碼，存在較大的安全隱患。

數字貨幣的瘋狂上漲導致挖礦風潮正在催生越來越多的網路犯罪。紐約研究機構DataTrek Research聯合創始人Nick Colas對第一財經記者表示：「全球黑客都在瞄準虛擬貨幣，未來一定會看到更多網路犯罪案。」

這起事件背後暴露的是虛擬貨幣世界的網路犯罪新名詞——Cryptojacking。在這種網路攻擊方式當中，黑客通過部署軟體來竊取計算機中央處理器（CPU）的計算能力，從而達到挖礦的目的。

芝加哥大學計算機系教授趙燕斌對第一財經記者表示：「和傳統的黑客攻擊不同，在這種新的網路攻擊中，黑客不以竊取用戶數據等信息為目的，而是為了竊取硬體的計算能力。」

眾所周知，挖礦需要強大的計算能力以及由此產生的高昂的電費。不過，趙燕斌指出，從已有的案例來看，這些以挖礦為目的的黑客行為利潤極低。「挖礦是一個『偽隨機』的過程，因為黑客在挖之前是不知道自己能賺取多少利潤的，這些利潤取決於多少人和你競爭，以及對方使用了多少硬體設備。」趙燕斌向第一財經記者解釋道，「所以這些黑客礦工並不聰明。」

在RedLock公司發現了特斯拉的風險後，便立即幫助特斯拉解決了安全漏洞，不過公司沒有透露黑客利用該漏洞賺取了多少利潤，也沒有透露黑客是挖了哪一種數字貨幣。

RedLock CTO Gaurav Kumar表示，企業應該及時監控可以的網路行為來避免系統被攻擊。「從這起事件中得出的經驗是響亮和明確的，證明雲系統是有可能被黑客找到漏洞從而進行攻擊的。」Kumar在一份聲明中說道，「在我們的研究中，亞馬遜雲、微軟雲和谷歌都在努力致力於網路安全，去年並沒有發生重大的網路襲擊案。」

不過，Kumar強調，網路安全是一個應該被全業界共同引起關注的事件，所有行業參與者都有義務監控他們的網路基礎設施和網路配置，並時刻觀察可疑的網路訪問，這幾點做不到，網路安全無從談起。

責編：寧佳彥

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！