黑掉电网“三部曲”
作者: 日期:2017年10月20日 阅:7,498

2017年,电网有时候看起来确实十分脆弱,似乎任人宰割。俄罗斯黑客对各处电网频频下手的新闻时常见诸报端,渗透核电站、染指美国能源设施控制系统、采用新型自动化恶意软件引发乌克兰断电……

就在上周,又有报道朝鲜黑客入侵了美国能源设施。看到这些新闻,难免会觉得,黑客引发的大停电,好像不是历史上仅有的两次,而是近乎每周都在发生。

虽然电力设施的黑客威胁如此真实,但也不是每次电网渗透都是核战危机级别。这些电网入侵事件的后果也大不相同,可以从简单的数据盗窃,到灾难性的基础设施崩溃。如果对这些警报采取相同反应,无异于混淆街头抢劫与洲际弹道导弹袭击。公众对能源设施“入侵”的理解,也大相径庭。从简单的恶意软件感染,到国家级登月计划。

美国前国家安全局(NSA)分析师罗博·李,现任关键基础设施安全公司Dragos总裁。他认为,过去几年见证了对工业控制系统(ICS)黑客攻击尝试“赤裸裸的激增”,比如电力设施、供水和制造业。但他同时指出,保持分寸感很关键:

Dragos追踪的全球数百个资金充裕的黑客组织中,约有50个针对有ICS的公司下手。其中,Dragos仅发现了6到7个黑客组织触及了所谓的“运营”网络——对物理基础设施的实际控制。而这仅有的几个黑客组织中,又只有两个,是已知实际触发了真实物理破坏的:方程式黑客小组——据称是用震网恶意软件摧毁了伊朗核浓缩离心机的NSA黑客团队;还有沙虫黑客组织——乌克兰两次大停电的背后黑手。

因此,当黑客仅仅“渗透”了某能源设施的新闻出现时——比如朝鲜黑客最近所做的,最好带着上述数据加以解读,而不是直接设想下一个震网或沙虫来袭。为此,下面给出了电网黑客攻击的渐进过程,帮助大家以恰当的恐慌等级,来面对即将到来的电网渗透。

第一步:网络入侵

政府机构或媒体警告称黑客已入侵某电力设施时,绝大多数情况下,这些入侵者并未渗透控制实际电流的系统,比如断路器、发电机和变压器。他们侵入的是平凡得多的其他目标:企业电子邮件账户、浏览器和Web服务器。

这些渗透通常始于鱼叉式网络钓鱼邮件,或“水坑”攻击——通过劫持用户经常访问的网站来感染目标用户,未必与传统犯罪或间谍黑客活动有什么区别。最重要的是,它们不会产生导致任何物理破坏的途径。某些情况下,黑客会为未来攻击做做侦察,但尽管如此,也触碰不到能干扰发电或电力传输的实际控制系统。

比如说,本周早些时候,安全公司火眼泄露的一份报告,揭示朝鲜黑客曾攻击过美国能源设施。安全新闻网站Cyberscoop的跟进报告断言,这些攻击尝试中至少有一次,成功渗透了美国能源公司。但火眼接下来的博客文章指出,其分析师仅发现了黑客向目标受害者发送鱼叉式网络钓鱼邮件的证据——相当常规的黑客行动,并未显露出逼近任何敏感控制系统的迹象。

火眼声明中阐述道:“我们并未观测到涉嫌朝鲜黑客使用任何供电ICS专用入侵或操纵工具及方法。而且,我们尚未发现朝鲜黑客对此类功能拥有访问权。”

朝鲜无疑怀有控制美国电网的野心,他们已经迈出第一步的事实也很明显了。但直到目前,这些攻击,以及其他止步于IT入侵级别的攻击,最多也就只应被看做是种预兆,而不是迫在眉睫的黑客大断电威胁。

第二步:运行访问

不断刺探能源公司IT系统的黑客,应加以关注。刺探运行技术(OT)系统的黑客,则是严重得多的问题。当黑客渗透了OT,或者获取了所谓的运营访问权限,他们就从几乎每家现代企业都会有的计算机系统,摸到了更为专业和定制的电力设备控制系统——迈向操纵物理基础设施的重要一步。

比如说,最近的一起黑客活动中,赛门铁克揭示,被其命名为DragonFly 2.0的黑客小组,就获取到了“一小撮”美国能源公司的运行访问权限(DragonFly 2.0很可能就是今年夏天被报侵入一家美国核设施的那组俄罗斯黑客。)这伙入侵者甚至走到了截屏电力系统人机交互界面(HMI)的地步,这样他们就能研究该系统,准备翻转实际开关,发起全面电网攻击。

安全培训组织SANS研究所讲师,电网安全专家麦克·阿桑特说:“网络钓鱼尝试和潜在的感染,是权限阶梯中的一步。研究HMI,就是在梯子上爬了好几阶了。”此处,他对比的是最近朝鲜的网络钓鱼和DragonFly 2.0的攻击。

理论上,OT系统与IT系统是物理隔离的,二者之间没有网络连接。但ICS安全公司Claroty共同创始人嘉里娜·安托娃称,除运营系统与外部网络严格断开的核电厂外,该物理隔离往往不是那么牢不可破。她说,Claroty分析过的所有ICS设置,都能找到“明显”的途径进入其OT系统。“对网络做个拓扑图示,从IT到OT的路线清晰可见。进入方法总有那么几个备选。”

Dragos的李对此持不同意见:鉴于实际成功跨过该物理隔离的黑客比例之小,个中差别,绝非鸡毛蒜皮。这里面有部分原因在于,IT系统某种程度上是标准化的,OT系统则多是定制而隐晦的,没那么好弄懂。“黑客基本上培训加练习就能完全入侵IT网络。但若想进入运行网络,面对这些奇奇怪怪的设备和设置,他们将不得不辛苦学习。”

第三步:协同攻击

即便入侵者对电网控制系统有了“手握开关”级权限,对该权限的有效利用,也比看起来难得多。事实上,翻转该开关前的所有动作,都仅仅是预备阶段,只代表了电网黑客工作的20%

除了电力设施可能含有的各种奇奇怪怪的罕见设备,其实际过程也可能需要真正的专业技术才能操纵,还要加上几个月的更多努力和资源——不仅仅是断开几个断路器造成停电。李说,即便黑客掌握了这些控制系统,“我也能很确信地说,他们仍未到达切断电源的那一步。他们可以断开一些断路器,但他们对此动作的效果一无所知。他们不知道自己可能会被安全系统阻止。

比如说,全球首起黑客所致大断电的2015年末乌克兰停电事件中,入侵者远程访问配电站控制系统,手动断开了该国3个不同设施中的数十个断路器——大多数情况中是真的劫持了配电站操作员的鼠标控制。响应该起攻击的分析师认为,这应该需要几个月的策划,还须有数十人的团队协同作战。即便如此,其导致的断电也就持续了6个小时,影响到约25万乌克兰人。

黑客基本上不得不在断电的规模和持续时间上做出选择。如果想要对整个美国东部电网下手,需要的资源会指数级倍增。如果还想让这么大规模的电网断电一星期,那就是指数级的指数级了。

某些电网黑客似乎确实在策划更大规模更具破坏力的行动。第二次乌克兰停电攻击使用了一款名为Crash Override/Industroyer的恶意软件,能够自动化电网设备扰乱指令发送过程,且能自适应不同国家的设置,可跨多个目标广泛部署。

该超级先进的电网黑客恶意软件令人十分不安。但这种软件也相当罕见。一款这种黑天鹅式的恶意软件,与几十起比鱼叉式网络钓鱼也高明不到哪儿去的电网渗透事件之间,还是存在巨大的差距的。无论大小深浅,电网入侵当然不是件好事。但最好认识到带妆彩排和真正大事件之间的差别——尤其是在将来会有更多此类事件出现的情况下。

相关阅读

美国的电网有多危险?
调查报告披露乌克兰电网遭黑客攻击细节
蜻蜓又来了:全球数百电网系统遭黑客染指

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章