時(shí)間正值2015年12月23號(hào)下午3：30，烏克蘭西部伊萬(wàn)諾-弗蘭科夫斯克地區(qū)的居民們結(jié)束了一天的工作，陸續(xù)走向通往溫暖家中的寒冷街道。而在負(fù)責(zé)當(dāng) 地電力供應(yīng)的Prykarpattyaoblenergo控制中心，運(yùn)維人員也即將完成自己的當(dāng)次輪班。但就在這一切順利推進(jìn)的同時(shí)，平靜被打破了——一 位當(dāng)值人員在整理桌上文件時(shí)，突然發(fā)現(xiàn)自己的計(jì)算機(jī)屏幕上的光標(biāo)開(kāi)始四處游移。

他看到光標(biāo)指向負(fù)責(zé)當(dāng)?shù)刈冸娬緮嗦菲鞯膶?dǎo)航按鈕，點(diǎn)擊對(duì)話框并選擇斷開(kāi)斷路器——這項(xiàng)操作將使得整座變電站全面下線。接下來(lái)，屏幕上出現(xiàn)了確認(rèn)窗口以復(fù)核上述操作，這位運(yùn)維人員目瞪口呆地看著光標(biāo)移動(dòng)到框體之內(nèi)并點(diǎn)擊了確定。這時(shí)他已經(jīng)可以肯定，城外的某處區(qū)域內(nèi)數(shù)以千計(jì)的居民將因此陷入黑暗與寒冷當(dāng)中。

這位運(yùn)維人員立刻抓起鼠標(biāo)，試圖奪回對(duì)光標(biāo)的控制權(quán)——但他的反應(yīng)似乎還是慢了一點(diǎn)。光標(biāo)隨后朝著另一個(gè)斷路器控制按鈕移動(dòng)，而設(shè)備亦突然將他從控制面板中登出。雖然他反復(fù)嘗試重復(fù)登錄，但攻擊者變更了他的密碼內(nèi)容，使其無(wú)法順利完成驗(yàn)證。這時(shí)候，他能做的只有無(wú)奈地盯著屏幕，眼睜睜地看著設(shè)備中的惡意幽靈斷開(kāi)一個(gè)又一個(gè)斷路器，最終導(dǎo)致約30座變電站下線。然而攻擊者并沒(méi)有就這樣停下腳步。此次攻擊還影響到另外兩座配電中心，這意味著遭遇下線的變電站數(shù)量幾乎翻了一倍，使得超過(guò)23萬(wàn)名居民陷入無(wú)電可用的困境。不僅如此，其亦無(wú)法從總計(jì)三座電力供應(yīng)中心的兩座處獲取備用電力，這意味著運(yùn)維人員自身也被停電引發(fā)的黑暗所籠罩。

天才般的網(wǎng)絡(luò)作戰(zhàn)計(jì)劃

作為有史以來(lái)首例得到確認(rèn)的電力設(shè)施攻擊行動(dòng)，此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網(wǎng)絡(luò)并發(fā)動(dòng)功能測(cè)試攻擊的機(jī)會(huì)主義者;根據(jù)相關(guān)廣泛調(diào)查得出的最新結(jié)論，這群惡意人士擁有高超的技術(shù)水平及藏身策略。他們已經(jīng)拿出幾個(gè)月時(shí)間對(duì)攻擊細(xì)節(jié)進(jìn)行精心策劃，包括首先偵察并研究網(wǎng)絡(luò)條件、獲取運(yùn)維人員登錄憑證，而后發(fā)動(dòng)這次嚴(yán)密編排下的同步攻擊活動(dòng)。

“此次攻擊顯示出其非凡的能力，”調(diào)查協(xié)助人員Robert M. Lee表示。Lee原先曾在美國(guó)空軍擔(dān)任網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)軍官，如今則成為關(guān)鍵性基礎(chǔ)設(shè)施安全廠商Dragos Security公司的聯(lián)合創(chuàng)始人。“就成熟程度而言E安全/文，大多數(shù)人關(guān)注的主要是攻擊活動(dòng)中所使用的惡意軟件，”他解釋稱。“但對(duì)我來(lái)講，真正代表著攻擊手段成熟度的其實(shí)是個(gè)中邏輯、規(guī)劃與操作，乃至整個(gè)攻擊過(guò)程中的實(shí)施步驟。而這一次攻擊顯然非常成熟。”

烏克蘭迅速將攻擊發(fā)起者認(rèn)定為俄羅斯。Lee并沒(méi)有給出任何具體的攻擊發(fā)動(dòng)者猜測(cè)，但表示他發(fā)現(xiàn)此次攻擊活動(dòng)中不同層級(jí)乃至不同定位間的分工與協(xié)作方式非常明確且高效。這意味著此次攻擊很可能源自多方的通力配合——也許是網(wǎng)絡(luò)犯罪集團(tuán)與政府支持攻擊者間配合完成。

“這次攻擊活動(dòng)顯然由資金充裕且人員水平出色的團(tuán)隊(duì)完成。……但這并不一定意味著其由民族國(guó)家所支持，”他解釋稱。也許最初是由網(wǎng)絡(luò)犯罪分子獲取到網(wǎng)絡(luò)的初始接入途徑，而后將其交付至民族國(guó)家以實(shí)際執(zhí)行入侵活動(dòng)。

烏克蘭控制系統(tǒng)之安全水平意外高于美國(guó)境內(nèi)部分設(shè)施

無(wú)論如何，此次攻擊成功影響到了烏克蘭的發(fā)電設(shè)施，并給全球各國(guó)的諸多配電中心帶來(lái)值得借鑒的重要啟示，專家們表示。而更令人意外的是，烏克蘭控制系統(tǒng)的安全水平高于美國(guó)境內(nèi)部分設(shè)施，因?yàn)槠鋼碛薪?jīng)過(guò)明確劃分的控制中心業(yè)務(wù)網(wǎng)絡(luò)并輔以強(qiáng)大的防火墻方案。不過(guò)最終，其仍然沒(méi)能帶來(lái)理想的安全保護(hù)水平——SCADA網(wǎng)絡(luò)遠(yuǎn)程登錄與用于控制電網(wǎng)的監(jiān)督控制與數(shù)據(jù)采集網(wǎng)絡(luò)并沒(méi)有使用雙因素認(rèn)證機(jī)制，這使得攻擊者能夠在劫持到登錄憑證之后順利控制其中的斷路器系統(tǒng)，從而達(dá)成令供電設(shè)施下線的最終目標(biāo)。

另外，烏克蘭境內(nèi)的停電狀態(tài)并沒(méi)有持續(xù)太久：全部地區(qū)的停電時(shí)長(zhǎng)在一到六小時(shí)之間。不過(guò)在此次攻擊的兩個(gè)月之后，控制中心仍然沒(méi)有全面恢復(fù)運(yùn)轉(zhuǎn)，美國(guó)最近發(fā)布的一份報(bào)告指出。參加相關(guān)調(diào)查工作的烏克蘭與美國(guó)計(jì)算機(jī)安全專家們指出，攻擊者們覆寫(xiě)了16座變電站的關(guān)鍵性設(shè)備固件，這意味著這些設(shè)備將無(wú)法對(duì)來(lái)自運(yùn)維人員的任何遠(yuǎn)程指令做出回應(yīng)。雖然電力供給已經(jīng)恢復(fù)，但工作人員仍然需要以手動(dòng)方式控制斷路器。

不過(guò)這樣的結(jié)果其實(shí)還好，或者說(shuō)要比美國(guó)設(shè)施遭受攻擊后的表現(xiàn)更好，專家們表示。由于美國(guó)境內(nèi)大多數(shù)電力供應(yīng)控制系統(tǒng)根本不提供手動(dòng)操作功能，這意味著一旦攻擊者們破壞了其自動(dòng)化系統(tǒng)，那么工作人員將很難找到可行的方式快速恢復(fù)供電。

攻擊活動(dòng)時(shí)間線

美國(guó)的眾多機(jī)構(gòu)正在幫助烏克蘭方面開(kāi)展攻擊活動(dòng)調(diào)查，其中包括FBI與DHS(美國(guó)國(guó)土安全部)。Lee與Michael J. Assante則從屬于參與其中的計(jì)算機(jī)安全專家，二位在華盛頓特區(qū)的SANS研究所負(fù)責(zé)計(jì)算機(jī)安全教學(xué)工作，并計(jì)劃發(fā)布一份與其當(dāng)前分析工作相關(guān)的報(bào)告。根據(jù)他們的說(shuō)法，調(diào)查人員驚喜地發(fā)現(xiàn)，烏克蘭配電公司擁有龐大的防火墻日志與系統(tǒng)日志存量，足以幫助他們重構(gòu)事件原貌——這種儲(chǔ)備與強(qiáng)大的日志記錄能力在任何企業(yè)網(wǎng)絡(luò)當(dāng)中都相當(dāng)罕見(jiàn)，更遑論關(guān)鍵性基礎(chǔ)設(shè)施環(huán)境下了。

美國(guó)也在利用同樣的串行到以太網(wǎng)轉(zhuǎn)換模式支撐配電網(wǎng)絡(luò)體系。

根據(jù)Lee與一位協(xié)助調(diào)查的烏克蘭安全專家所言，此次攻擊始于去年春季針對(duì)IT人員與系統(tǒng)管理員的魚(yú)叉式釣魚(yú)攻擊——而這類群體負(fù)責(zé)的正是烏克蘭國(guó)內(nèi)各供電企業(yè)的網(wǎng)絡(luò)管理工作。烏克蘭供電網(wǎng)絡(luò)分為24個(gè)區(qū)，每個(gè)區(qū)涵蓋11到27個(gè)省份，各每個(gè)供電區(qū)歸屬于不同的配電公司。該釣魚(yú)活動(dòng)針對(duì)三家供電企業(yè)的員工發(fā)送附帶惡意word文檔的電子郵件。一旦員工點(diǎn)擊該附件，系統(tǒng)會(huì)彈出對(duì)話框以要求其啟用文檔宏。如果點(diǎn)擊確定，其將調(diào)用名為BlackEnergy3的程序——其各類變種已經(jīng)廣泛感染歐洲及美國(guó)境內(nèi)的其它系統(tǒng)——從而感染當(dāng)前設(shè)備并為攻擊者開(kāi)啟后門(mén)。這種方法值得關(guān)注，因?yàn)槟壳按蠖鄶?shù)入侵活動(dòng)都在利用軟件程序編碼錯(cuò)誤或者安全漏洞。但在釣魚(yú)攻擊當(dāng)中，攻擊者利用微軟Word程序中的既有功能。使用宏功能的作法早在上世紀(jì)九十年代就已經(jīng)出現(xiàn)，而如今這種老式手段又開(kāi)始卷土重來(lái)。

在最初的侵入活動(dòng)中，攻擊者僅僅觸及到了企業(yè)網(wǎng)絡(luò)。不過(guò)他們?nèi)匀荒軌蚪尤隨CADA網(wǎng)絡(luò)并控制電力網(wǎng)絡(luò)。相關(guān)供電企業(yè)明智地利用防火墻對(duì)這些網(wǎng)絡(luò)加以隔離，意味著攻擊者面前只有兩種可行選項(xiàng)：要么尋求防火墻中可資利用的安全漏洞，要么搜索其它侵入途徑——他們選擇了后者。

在幾個(gè)月時(shí)間當(dāng)中，他們進(jìn)行了廣泛的網(wǎng)絡(luò)偵察、探索與映射工作，并最終獲得了訪問(wèn)Windows域控制器以管理網(wǎng)絡(luò)內(nèi)用戶賬戶的能力。以此為基礎(chǔ)，他們收集到相關(guān)員工登錄憑證以及部分工作用VPN以遠(yuǎn)程登錄至該SCADA網(wǎng)絡(luò)。一旦進(jìn)入到SCADA網(wǎng)絡(luò)當(dāng)中，惡意人士們就開(kāi)始逐步實(shí)施后續(xù)攻擊計(jì)劃。

讓客戶身陷黑暗還不夠，他們希望令運(yùn)維人員同樣目不視物

首先，他們對(duì)負(fù)責(zé)為兩座控制中心提供后備電力的不間斷電源(或者簡(jiǎn)稱UPS)進(jìn)行了重新配置。事實(shí)上，讓用戶們身陷黑暗還遠(yuǎn)遠(yuǎn)不夠——攻擊者們打算在停電時(shí)讓運(yùn)維人員同樣無(wú)電可用。這是一種非常大膽且激進(jìn)的作法，甚至可以說(shuō)是對(duì)供電企業(yè)的一種赤裸裸的挑釁，Lee解釋稱。

每家供電企業(yè)在其網(wǎng)絡(luò)中使用的分發(fā)管理系統(tǒng)都有所不同，而在偵察階段，攻擊者對(duì)其分別進(jìn)行了認(rèn)真研究。在此之后，他們編寫(xiě)的惡意固件在十幾座變電站中成功通過(guò)串行到以太網(wǎng)轉(zhuǎn)換機(jī)制取代了合法固件(該轉(zhuǎn)換機(jī)制負(fù)責(zé)處理來(lái)自SCADA網(wǎng)絡(luò)并用于控制變電站系統(tǒng)的命令)。“這種針對(duì)特定目的的惡意固件更新(指向工業(yè)控制系統(tǒng))此前從未出現(xiàn)過(guò)，”Lee表示。“從攻擊的角度來(lái)看，這絕對(duì)是種天才之舉。我的意思是，他們雖然目的邪惡，但手段確實(shí)非常高明。”

在完成了惡意固件安裝之后，攻擊者們也就做好了組織惡意行為的前期準(zhǔn)備。

2015年12月23號(hào)下午3：30左右，攻擊者們通過(guò)被劫持的VPN接入到SCADA網(wǎng)絡(luò)，并發(fā)送命令以禁用已經(jīng)被其重新配置的UPS系統(tǒng)。在此之后，他們開(kāi)始斷開(kāi)斷路器。不過(guò)著手破壞之前，他們還針對(duì)客戶呼叫中心發(fā)起了一輪電話拒絕服務(wù)攻擊，旨在防止客戶向運(yùn)維人員報(bào)告斷電狀況。TDoS攻擊與DDoS攻擊非常相似，同樣是向Web服務(wù)器發(fā)送大量數(shù)量。在這種情況下，服務(wù)中心的電話系統(tǒng)被大量似乎來(lái)自莫斯科的偽造呼叫所占用，這使得合法主叫方被淹沒(méi)在通話請(qǐng)求當(dāng)中。Lee指出E安全/文，此舉證明了攻擊者行動(dòng)的復(fù)雜性與規(guī)劃水平。網(wǎng)絡(luò)犯罪分子——甚至是部分國(guó)家支持下的惡意集團(tuán)——都不具備如此長(zhǎng)遠(yuǎn)與完善的攻擊設(shè)計(jì)思路。“真正的高水平攻擊者會(huì)將自己的精力投入到某些看似可能性極低的場(chǎng)景之下，從而確保自身能夠覆蓋一切潛在狀況，”他解釋稱。

此舉當(dāng)然給了攻擊者們更多時(shí)間以執(zhí)行惡意任務(wù)，因?yàn)樵谶@段時(shí)間內(nèi)運(yùn)維人員的設(shè)備已經(jīng)被劫持，因此無(wú)法確切發(fā)現(xiàn)已經(jīng)出現(xiàn)的異常狀況——一部分變電站停止運(yùn)轉(zhuǎn)。不過(guò)如果這屬于俄羅斯針對(duì)烏克蘭開(kāi)展的政策性攻擊，那么類似的TDoS手段可能是為了實(shí)現(xiàn)另一項(xiàng)目標(biāo)，Lee與Assante指出——即激起烏克蘭客戶的怒火并削弱烏克蘭電力企業(yè)與政府在民眾中的受信程度。

隨著攻擊者斷開(kāi)斷路器并導(dǎo)致一系列變電站下線，他們正開(kāi)始對(duì)部分變電站串行到以太網(wǎng)轉(zhuǎn)換器中的固件進(jìn)行覆蓋，旨在利用惡意固件替換合法固件。這種影響是不可逆轉(zhuǎn)且不可恢復(fù)的，意味著各轉(zhuǎn)換器無(wú)法接收正常命令。“一旦對(duì)固件進(jìn)行覆寫(xiě)，運(yùn)維人員將無(wú)法對(duì)其進(jìn)行恢復(fù)。大家必須身處現(xiàn)場(chǎng)并以手動(dòng)方式進(jìn)行合閘操作，”Lee解釋稱。“利用固件篡改破壞這些網(wǎng)關(guān)意味著我們只剩下惟一一種修復(fù)方式——重新安裝新的設(shè)備并將其接入業(yè)務(wù)網(wǎng)絡(luò)。”

在完成上述操作之后，他們接下來(lái)利用一款名為KillDisk的惡意軟件對(duì)運(yùn)營(yíng)電站中的文件進(jìn)行清除，從而中斷正常操作。KillDisk能夠?qū)ο到y(tǒng)文件進(jìn)行清除或者覆蓋，這意味著計(jì)算機(jī)將立刻陷入崩潰。另外，由于其同時(shí)會(huì)覆蓋各主引導(dǎo)記錄，因此受感染計(jì)算機(jī)亦無(wú)法進(jìn)行重啟。

KillDisk中的部分組件必須進(jìn)行手動(dòng)設(shè)置，不過(guò)Lee表示攻擊者利用兩種方式通過(guò)邏輯炸彈在90分鐘之內(nèi)自動(dòng)啟動(dòng)KillDisk并實(shí)施攻擊。具體時(shí)間點(diǎn)約在下午5：00，而同一時(shí)間Prykarpattyaoblenergo在其官方網(wǎng)站上發(fā)布了一項(xiàng)公告，這也是客戶們第一次得到正式通知、了解到部分服務(wù)區(qū)的電力已然中斷——工作人員們正在積極處理并尋找問(wèn)題根源。半小時(shí)之后，KillDisk已經(jīng)完成了惡意活動(dòng)。這時(shí)運(yùn)維人員也基本弄清了造成停電的原因，Prykarpattyaoblenergo公司隨即發(fā)布了第二項(xiàng)公告，提醒客戶們此次停電為黑客所為。

俄羅斯是否為幕后黑手?

烏克蘭情報(bào)機(jī)構(gòu)已經(jīng)完全肯定地指出，俄羅斯是此次攻擊的幕后黑手，不過(guò)其目前尚未給出任何確切證據(jù)來(lái)支持這項(xiàng)結(jié)論。不過(guò)考慮到兩個(gè)國(guó)家之間緊張的政治局勢(shì)，這樣的判斷也算在情理之中。E安全/文自俄羅斯于2014年吞并克里米亞地區(qū)以來(lái)，克里米亞當(dāng)局一直在對(duì)當(dāng)?shù)貫蹩颂m能源企業(yè)進(jìn)行國(guó)有化轉(zhuǎn)制，這使得烏克蘭與俄羅斯雙方彼此嚴(yán)重?cái)骋暋６以跒蹩颂m遭遇12月停電事故之前，親烏克蘭活動(dòng)人士已經(jīng)開(kāi)始對(duì)克里米亞地區(qū)的變電站發(fā)動(dòng)實(shí)體襲擊，由此導(dǎo)致200萬(wàn)克里米亞居民無(wú)電可用的結(jié)果令俄羅斯及其當(dāng)?shù)睾＼娀胤矫嫦喈?dāng)惱火。考慮到這一點(diǎn)，我們有理由相信俄羅斯打算通過(guò)此次攻擊對(duì)烏克蘭進(jìn)行的克里米亞變電站襲擊進(jìn)行報(bào)復(fù)。

不過(guò)攻擊烏克蘭各供電公司的惡意人士們至少在克里米亞變電站遭受攻擊的六個(gè)月之前就已經(jīng)開(kāi)始運(yùn)作此事。因此雖然克里米亞攻擊有可能屬于此次停電的導(dǎo)火索之一，但很明顯這并不屬于一時(shí)起意而進(jìn)行的反擊活動(dòng)，Lee表示。Lee同時(shí)指出，取證證據(jù)表明，攻擊者當(dāng)初可能并不打算令烏克蘭陷入停電——但克里米亞變電站攻擊事件令他們轉(zhuǎn)變了惡意行為思路。

“著眼于數(shù)據(jù)，看起來(lái)攻擊者們已經(jīng)完成了既定情報(bào)收集與其它規(guī)劃目標(biāo)，”他指出。“因此我們推斷其已經(jīng)結(jié)束了整項(xiàng)行動(dòng)。”

他同時(shí)推測(cè)，如果俄羅斯方面真的是此次攻擊的幕后組織者，那么其動(dòng)機(jī)可能與當(dāng)前推斷完全不同。舉例來(lái)說(shuō)，最近烏克蘭議會(huì)一直在探討一項(xiàng)法案，將烏克蘭境內(nèi)的各私有電力企業(yè)進(jìn)行國(guó)有化轉(zhuǎn)制。其中部分企業(yè)由一位同普京關(guān)系密切的俄羅斯金融寡頭所持有。Lee表示，此次攻擊可能是為了向?yàn)蹩颂m當(dāng)局發(fā)出警告，即不要插手影響這些私營(yíng)供電企業(yè)。

這項(xiàng)分析結(jié)論也得到攻擊活動(dòng)中其它細(xì)節(jié)信息的支持：事實(shí)上，黑客們完全可以在此基礎(chǔ)上造成更大的破壞，特別是實(shí)體破壞后果，從而保證此次停電在嚴(yán)重程度與時(shí)間長(zhǎng)度方面進(jìn)一步提升。美國(guó)政府曾于2007年公布過(guò)一項(xiàng)攻擊，其中黑客們完全可以利用21行惡意代碼對(duì)電力系統(tǒng)進(jìn)行遠(yuǎn)程破壞。

Lee表示，關(guān)于烏克蘭電網(wǎng)攻擊的一切事實(shí)都證明，此次事件主要是為了表達(dá)態(tài)度或者說(shuō)傳遞信息。“‘我們要引起重視，同時(shí)要傳遞一條信息，’”攻擊者的行為可以這樣進(jìn)行解讀。“這是一種很符合黑手黨作法的思路。‘呵呵，你們以為能夠奪走克里米亞的電力供應(yīng)?那我也能奪走你的電力供應(yīng)!’”

無(wú)論停電事故的真正意圖是什么，這都是有史以來(lái)第一次針對(duì)電力網(wǎng)絡(luò)開(kāi)展的攻擊行為。Prykarpattyaoblenergo公司的運(yùn)維人員當(dāng)時(shí)可能根本不知道屏幕上四處亂動(dòng)的光標(biāo)究竟意味著什么。但如今全世界的運(yùn)維人員都得到了一項(xiàng)明確的警告——目前這種攻擊持續(xù)時(shí)間不長(zhǎng)且危害并不嚴(yán)重，但下一次可就不一定了。