考虑到发动类似攻击的途径之多元、手段之丰富,加之震网树立了极为成功的样板,必然会有人循着这条路不断前进……
第九章 工控系统失控(接上)
极光发电机实验(Aurora Generator Test)名称取自罗马神话中的“风之母”奥罗拉女神,其根源是2003年的美国东南大停电事故。停电只持续了2天,却足够令人们痛定思痛,考虑远程攻击发电机造成不可收拾局面的可能性。迈克•阿桑特(Mike Assante)受命组建实验团队。
“风之母”奥罗拉
2001年时,阿桑特是一名在华盛顿工作的海军情报军官,工作单位是联邦调查局(FBI)新成立的国家基础设施防护中心,主要任务是对能源基础设施的网络攻击及其潜在风险进行研究。一年后,他退出现役,来到了美国最大的电力公司之一——俄亥俄州的美利坚电力公司。美利坚电力让他负责一个基础设施防护项目。从那时起,阿桑特就开始思考这样一个问题:会不会出现某种能对电网造成物理破坏的网络攻击呢?
在俄亥俄,阿桑特偶然读到了《华盛顿邮报》上一篇关于爱达荷国家实验室(INL)“国家SCADA测试平台”项目的报道。报道中,联邦能源管理委员会主席在看过研究人员一次模拟演示之后,惊得瞠目结舌。这次模拟演示的内容是,黑客轻而易举的通过关闭发电机润滑装置,成功破坏了它的涡轮机。活动中的金属结构失去了润滑油的润滑,涡轮机骤然停转,巨大的力量将它压成碎块。这位主席事后接受华盛顿邮报采访时说:“我当时要是穿着纸尿裤就好了。”演示对他触动之大,可见一斑。而看过这篇报道的阿桑特,其内心活动自不待言。
于是,阿桑特只身一人来到INL“朝圣”,对“国家SCADA测试平台”项目的专家团队钦羡不已。除了控制系统工程师,实验室还聘请了一支由刚从大学乃至高中毕业的年轻人组成的黑客攻击团队。他们的工作富有激情、成果丰硕,总是能够在已经运行多年、受到充分信赖的系统中发现新的脆弱点。实验室甚至建造了自己的变电站,和一个半径7英里的小型独立电网,以便让研究者对电网实施自由测试,而不会对公共电网造成影响。阿桑特一想到在真实电网、而非模拟环境中进行安全测试和研究,就心旌摇荡、不可自持。2005年,他辞掉了美利坚电力公司的工作,来到了INL。
来了之后,他带着几名同事,开始研究如何构设出一个“网络攻击造成物理破坏”的真实情境。彼时,在电网网络安全领域,绝大多数人的注意力都在入侵通信网络、并通过控制断路器造成断电的问题上。然而,这种断电事故,可以通过重置断路器的方式很快得到妥善处置。那么,如果攻击攻破或绕过安全防护系统、对发电机实施物理破坏怎么办?处理这种情况,可没那么容易。
他们决定,通过攻击保护继电器来侵入发电机。保护继电器是一种监控电网内部变化、在电网遇到可能危害配电线路的危险情况时,触发断路器“跳闸”的安全设备。在2008年2月的大断电事故中,这种设备起到了非常重要的作用。当时,佛罗里达电力照明公司的一名现场工程师,在调查某个变电站中出故障的开关时关掉了保护继电器,瞬间引发了佛州近60万用户断电。这位工程师没想到,他这一条线出问题不要紧,紧接着38个变电站都受到了波及。其中一个变电站是为核电厂供电的,它的停电造成了核电厂自动停机事故。
保护继电器不仅可以触发断路器跳闸,还能在感知到电网处于危险境地时,切断发电机和其他重要设备与电网的连接。我们知道,(美国)电网运行频率为60赫兹,那么与之连接的设备必须与之同步运行,否则就会出问题。如果将一个运行在其他频率上的设备插入电网,不同频造间的“扭矩”就会对设备造成破坏。当一台发电机接入电网时,电网的负载会对发电机产生一个“阻滞”的力,就像地球重力让上坡的汽车受到“阻滞”一样。那么,当发电机和电网之间的断路器开闸、使发电机脱离电网时,发电机就会因失去电网负载的“阻滞”而加速。仅10毫秒,发电机就会加速到无法与电网同步的频率上。如果此时断路器合闸,让已经不再彼此同步的发电机和电网重新连接,就会出现类似汽车撞墙的效果。接入以较低频率运行的电网时,正以较高频率运行的发电机输出的多余电力无处可去,只能形成一个对自身的反作用力,从而对发电机造成损害。在过去的事故中,这种现象曾作为事故原因反复出现。
既然如此,阿桑特团队在实验中面对的问题就很简单了——如果保护继电器可以用于保护设备不受破坏,那么为何不反其道而行之,专门用它来对设备实施破坏呢?解决问题往往比提出问题更容易,攻击方案很快成型。其内容包括:编写可以更改(数字型)保护继电器设置的恶意代码,让断路器时通时断且不断重复这一操作,使发电机造成“断开电网——频率异步——接入电网——造成破坏”的恶性循环。此时,保护继电器将无法提供任何保护,发电机则完全处于裸奔状态。“这简直就是恶魔的诅咒,”乔•韦斯说,“用户阻止类似攻击发生的设备和机制,却被攻击者用来实施攻击。”国土安全部也在关于此次实验的一份报告中写道,通过对保护电路进行突然、反复的“打开——闭合”操作,继电器的功能“从提供保护,变成了引起破坏。”
他们用全新价(100万美元)的1/3,买下了一台从阿拉斯加油田淘汰下来的瓦锡兰发电机,作为进行“现场直播”的道具。
人们在实验现场看到,攻击总共持续了3分钟,但实际上攻击可以在15秒内完成。攻击者在代码中加入了一些停顿,以便让工程人员在攻击起效的每个阶段评估破坏程度、测试安全系统的状态。每当断路器闭合、让以较高频率运转的发电机接入电网时,发电机都会因过剩能量带来反作用力而震荡、并发出巨大的声响,直到最后,本应耦合在一起的柴油引擎和发电机转子相互脱离、发电机彻底损毁。
在运营中心负责监控电网异常行为的工人们,事先未被告知即将进行这次实验。在实验开始前,他们也没有在监控台发现任何不对劲的地方。安全系统可以熨平电网中经常出现的轻微波动,但对于破坏性攻击却没法做出任何反应。国土安全部控制系统安全项目负责人、极光发电机实验监管组长佩里•彼得森(Perry Pederson)说,“我们发动攻击时,打开、闭合断路器的速度太快,安全系统根本反应不过来。”
自从2007年极光发电机实验之后,类似的破坏性网络攻击曾再次出现。2009年,《60分钟》栏目报道了桑迪亚国家实验室研究员的一个演示。演示中,研究人员通过简单更改发热元件配置和禁用用于辅助温控的循环泵,造成炼油厂关键设备过热。
但是,直到目前,除了震网病毒和马卢奇郡事件,现实世界中还没有其他的破坏性工控系统网络攻击发生。专家们对此给出了一系列可能的理由——要实现类似攻击比我们想象的要难,掌握攻击所需技能和资源的人往往缺乏发动攻击的动机,想发动类似攻击的人却往往没有这些技能和手段。
只有一件事确定无疑。考虑到发动类似攻击的途径之多元、手段之丰富,加之震网树立了极为成功的样板,必然会有人循着这条路不断前进,并在未来的某天跨越能力或动机的门槛,给世人带来新的惊奇。(待续)
译者:李云凡
