他看到光標指向負責當地變電站斷路器的導航按鈕，點擊對話框并選擇斷開斷路器——這項操作將使得整座變電站全面下線。接下來，屏幕上出現了確認窗口以復核上述操作，這位運維人員目瞪口呆地看著光標移動到框體之內并點擊了確定。這時他已經可以肯定，城外的某處區域內數以千計的居民將因此陷入黑暗與寒冷當中。

這位運維人員立刻抓起鼠標，試圖奪回對光標的控制權——但他的反應似乎還是慢了一點。光標隨后朝著另一個斷路器控制按鈕移動，而設備亦突然將他從控制面板中登出。雖然他反復嘗試重復登錄，但攻擊者變更了他的密碼內容，使其無法順利完成驗證。這時候，他能做的只有無奈地盯著屏幕，眼睜睜地看著設備中的惡意幽靈斷開一個又一個斷路器，最終導致約30座變電站下線。然而攻擊者并沒有就這樣停下腳步。此次攻擊還影響到另外兩座配電中心，這意味著遭遇下線的變電站數量幾乎翻了一倍，使得超過23萬名居民陷入無電可用的困境。不僅如此，其亦無法從總計三座電力供應中心的兩座處獲取備用電力，這意味著運維人員自身也被停電引發的黑暗所籠罩。

天才般的網絡作戰計劃

作為有史以來首例得到確認的電力設施攻擊行動，此次烏克蘭電力中心遇襲案的組織者們并不是碰巧接入其網絡并發動功能測試攻擊的機會主義者；根據相關廣泛調查得出的最新結論，這群惡意人士擁有高超的技術水平及藏身策略。他們已經拿出幾個月時間對攻擊細節進行精心策劃，包括首先偵察并研究網絡條件、獲取運維人員登錄憑證，而后發動這次嚴密編排下的同步攻擊活動。

“此次攻擊顯示出其非凡的能力，”調查協助人員Robert M. Lee表示。Lee原先曾在美國空軍擔任網絡戰作戰軍官，如今則成為關鍵性基礎設施安全廠商Dragos Security公司的聯合創始人。“就成熟程度而言E安全/文，大多數人關注的主要是攻擊活動中所使用的惡意軟件，”他解釋稱。“但對我來講，真正代表著攻擊手段成熟度的其實是個中邏輯、規劃與操作，乃至整個攻擊過程中的實施步驟。而這一次攻擊顯然非常成熟。”

烏克蘭迅速將攻擊發起者認定為俄羅斯。Lee并沒有給出任何具體的攻擊發動者猜測，但表示他發現此次攻擊活動中不同層級乃至不同定位間的分工與協作方式非常明確且高效。這意味著此次攻擊很可能源自多方的通力配合——也許是網絡犯罪集團與政府支持攻擊者間配合完成。

“這次攻擊活動顯然由資金充裕且人員水平出色的團隊完成。……但這并不一定意味著其由民族國家所支持，”他解釋稱。也許最初是由網絡犯罪分子獲取到網絡的初始接入途徑，而后將其交付至民族國家以實際執行入侵活動。

烏克蘭控制系統之安全水平意外高于美國境內部分設施

無論如何，此次攻擊成功影響到了烏克蘭的發電設施，并給全球各國的諸多配電中心帶來值得借鑒的重要啟示，專家們表示。而更令人意外的是，烏克蘭控制系統的安全水平高于美國境內部分設施，因為其擁有經過明確劃分的控制中心業務網絡并輔以強大的防火墻方案。不過最終，其仍然沒能帶來理想的安全保護水平——SCADA網絡遠程登錄與用于控制電網的監督控制與數據采集網絡并沒有使用雙因素認證機制，這使得攻擊者能夠在劫持到登錄憑證之后順利控制其中的斷路器系統，從而達成令供電設施下線的最終目標。

另外，烏克蘭境內的停電狀態并沒有持續太久：全部地區的停電時長在一到六小時之間。不過在此次攻擊的兩個月之后，控制中心仍然沒有全面恢復運轉，美國最近發布的一份報告指出。參加相關調查工作的烏克蘭與美國計算機安全專家們指出，攻擊者們覆寫了16座變電站的關鍵性設備固件，這意味著這些設備將無法對來自運維人員的任何遠程指令做出回應。雖然電力供給已經恢復，但工作人員仍然需要以手動方式控制斷路器。

不過這樣的結果其實還好，或者說要比美國設施遭受攻擊后的表現更好，專家們表示。由于美國境內大多數電力供應控制系統根本不提供手動操作功能，這意味著一旦攻擊者們破壞了其自動化系統，那么工作人員將很難找到可行的方式快速恢復供電。

攻擊活動時間線

美國的眾多機構正在幫助烏克蘭方面開展攻擊活動調查，其中包括FBI與DHS(美國國土安全部)。Lee與Michael J. Assante則從屬于參與其中的計算機安全專家，二位在華盛頓特區的SANS研究所負責計算機安全教學工作，并計劃發布一份與其當前分析工作相關的報告。根據他們的說法，調查人員驚喜地發現，烏克蘭配電公司擁有龐大的防火墻日志與系統日志存量，足以幫助他們重構事件原貌——這種儲備與強大的日志記錄能力在任何企業網絡當中都相當罕見，更遑論關鍵性基礎設施環境下了。

美國也在利用同樣的串行到以太網轉換模式支撐配電網絡體系。

根據Lee與一位協助調查的烏克蘭安全專家所言，此次攻擊始于去年春季針對IT人員與系統管理員的魚叉式釣魚攻擊——而這類群體負責的正是烏克蘭國內各供電企業的網絡管理工作。烏克蘭供電網絡分為24個區，每個區涵蓋11到27個省份，各每個供電區歸屬于不同的配電公司。該釣魚活動針對三家供電企業的員工發送附帶惡意word文檔的電子郵件。一旦員工點擊該附件，系統會彈出對話框以要求其啟用文檔宏。如果點擊確定，其將調用名為BlackEnergy3的程序——其各類變種已經廣泛感染歐洲及美國境內的其它系統——從而感染當前設備并為攻擊者開啟后門。這種方法值得關注，因為目前大多數入侵活動都在利用軟件程序編碼錯誤或者安全漏洞。但在釣魚攻擊當中，攻擊者利用微軟Word程序中的既有功能。使用宏功能的作法早在上世紀九十年代就已經出現，而如今這種老式手段又開始卷土重來。

在最初的侵入活動中，攻擊者僅僅觸及到了企業網絡。不過他們仍然能夠接入SCADA網絡并控制電力網絡。相關供電企業明智地利用防火墻對這些網絡加以隔離，意味著攻擊者面前只有兩種可行選項：要么尋求防火墻中可資利用的安全漏洞，要么搜索其它侵入途徑——他們選擇了后者。

在幾個月時間當中，他們進行了廣泛的網絡偵察、探索與映射工作，并最終獲得了訪問Windows域控制器以管理網絡內用戶賬戶的能力。以此為基礎，他們收集到相關員工登錄憑證以及部分工作用VPN以遠程登錄至該SCADA網絡。一旦進入到SCADA網絡當中，惡意人士們就開始逐步實施后續攻擊計劃。

讓客戶身陷黑暗還不夠，他們希望令運維人員同樣目不視物

首先，他們對負責為兩座控制中心提供后備電力的不間斷電源(或者簡稱UPS)進行了重新配置。事實上，讓用戶們身陷黑暗還遠遠不夠——攻擊者們打算在停電時讓運維人員同樣無電可用。這是一種非常大膽且激進的作法，甚至可以說是對供電企業的一種赤裸裸的挑釁，Lee解釋稱。

每家供電企業在其網絡中使用的分發管理系統都有所不同，而在偵察階段，攻擊者對其分別進行了認真研究。在此之后，他們編寫的惡意固件在十幾座變電站中成功通過串行到以太網轉換機制取代了合法固件(該轉換機制負責處理來自SCADA網絡并用于控制變電站系統的命令)。“這種針對特定目的的惡意固件更新(指向工業控制系統)此前從未出現過，”Lee表示。“從攻擊的角度來看，這絕對是種天才之舉。我的意思是，他們雖然目的邪惡，但手段確實非常高明。”

在完成了惡意固件安裝之后，攻擊者們也就做好了組織惡意行為的前期準備。

2015年12月23號下午3：30左右，攻擊者們通過被劫持的VPN接入到SCADA網絡，并發送命令以禁用已經被其重新配置的UPS系統。在此之后，他們開始斷開斷路器。不過著手破壞之前，他們還針對客戶呼叫中心發起了一輪電話拒絕服務攻擊，旨在防止客戶向運維人員報告斷電狀況。TDoS攻擊與DDoS攻擊非常相似，同樣是向Web服務器發送大量數量。在這種情況下，服務中心的電話系統被大量似乎來自莫斯科的偽造呼叫所占用，這使得合法主叫方被淹沒在通話請求當中。Lee指出E安全/文，此舉證明了攻擊者行動的復雜性與規劃水平。網絡犯罪分子——甚至是部分國家支持下的惡意集團——都不具備如此長遠與完善的攻擊設計思路。“真正的高水平攻擊者會將自己的精力投入到某些看似可能性極低的場景之下，從而確保自身能夠覆蓋一切潛在狀況，”他解釋稱。

此舉當然給了攻擊者們更多時間以執行惡意任務，因為在這段時間內運維人員的設備已經被劫持，因此無法確切發現已經出現的異常狀況——一部分變電站停止運轉。不過如果這屬于俄羅斯針對烏克蘭開展的政策性攻擊，那么類似的TDoS手段可能是為了實現另一項目標，Lee與Assante指出——即激起烏克蘭客戶的怒火并削弱烏克蘭電力企業與政府在民眾中的受信程度。

隨著攻擊者斷開斷路器并導致一系列變電站下線，他們正開始對部分變電站串行到以太網轉換器中的固件進行覆蓋，旨在利用惡意固件替換合法固件。這種影響是不可逆轉且不可恢復的，意味著各轉換器無法接收正常命令。“一旦對固件進行覆寫，運維人員將無法對其進行恢復。大家必須身處現場并以手動方式進行合閘操作，”Lee解釋稱。“利用固件篡改破壞這些網關意味著我們只剩下惟一一種修復方式——重新安裝新的設備并將其接入業務網絡。”

在完成上述操作之后，他們接下來利用一款名為KillDisk的惡意軟件對運營電站中的文件進行清除，從而中斷正常操作。KillDisk能夠對系統文件進行清除或者覆蓋，這意味著計算機將立刻陷入崩潰。另外，由于其同時會覆蓋各主引導記錄，因此受感染計算機亦無法進行重啟。

KillDisk中的部分組件必須進行手動設置，不過Lee表示攻擊者利用兩種方式通過邏輯炸彈在90分鐘之內自動啟動KillDisk并實施攻擊。具體時間點約在下午5：00，而同一時間Prykarpattyaoblenergo在其官方網站上發布了一項公告，這也是客戶們第一次得到正式通知、了解到部分服務區的電力已然中斷——工作人員們正在積極處理并尋找問題根源。半小時之后，KillDisk已經完成了惡意活動。這時運維人員也基本弄清了造成停電的原因，Prykarpattyaoblenergo公司隨即發布了第二項公告，提醒客戶們此次停電為黑客所為。

俄羅斯是否為幕后黑手？

烏克蘭情報機構已經完全肯定地指出，俄羅斯是此次攻擊的幕后黑手，不過其目前尚未給出任何確切證據來支持這項結論。不過考慮到兩個國家之間緊張的政治局勢，這樣的判斷也算在情理之中。E安全/文自俄羅斯于2014年吞并克里米亞地區以來，克里米亞當局一直在對當地烏克蘭能源企業進行國有化轉制，這使得烏克蘭與俄羅斯雙方彼此嚴重敵視。而且在烏克蘭遭遇12月停電事故之前，親烏克蘭活動人士已經開始對克里米亞地區的變電站發動實體襲擊，由此導致200萬克里米亞居民無電可用的結果令俄羅斯及其當地海軍基地方面相當惱火。考慮到這一點，我們有理由相信俄羅斯打算通過此次攻擊對烏克蘭進行的克里米亞變電站襲擊進行報復。

不過攻擊烏克蘭各供電公司的惡意人士們至少在克里米亞變電站遭受攻擊的六個月之前就已經開始運作此事。因此雖然克里米亞攻擊有可能屬于此次停電的導火索之一，但很明顯這并不屬于一時起意而進行的反擊活動，Lee表示。Lee同時指出，取證證據表明，攻擊者當初可能并不打算令烏克蘭陷入停電——但克里米亞變電站攻擊事件令他們轉變了惡意行為思路。

“著眼于數據，看起來攻擊者們已經完成了既定情報收集與其它規劃目標，”他指出。“因此我們推斷其已經結束了整項行動。”

他同時推測，如果俄羅斯方面真的是此次攻擊的幕后組織者，那么其動機可能與當前推斷完全不同。舉例來說，最近烏克蘭議會一直在探討一項法案，將烏克蘭境內的各私有電力企業進行國有化轉制。其中部分企業由一位同普京關系密切的俄羅斯金融寡頭所持有。Lee表示，此次攻擊可能是為了向烏克蘭當局發出警告，即不要插手影響這些私營供電企業。

這項分析結論也得到攻擊活動中其它細節信息的支持：事實上，黑客們完全可以在此基礎上造成更大的破壞，特別是實體破壞后果，從而保證此次停電在嚴重程度與時間長度方面進一步提升。美國政府曾于2007年公布過一項攻擊，其中黑客們完全可以利用21行惡意代碼對電力系統進行遠程破壞。

Lee表示，關于烏克蘭電網攻擊的一切事實都證明，此次事件主要是為了表達態度或者說傳遞信息。“‘我們要引起重視，同時要傳遞一條信息，’”攻擊者的行為可以這樣進行解讀。“這是一種很符合黑手黨作法的思路。‘呵呵，你們以為能夠奪走克里米亞的電力供應？那我也能奪走你的電力供應！’”

無論停電事故的真正意圖是什么，這都是有史以來第一次針對電力網絡開展的攻擊行為。Prykarpattyaoblenergo公司的運維人員當時可能根本不知道屏幕上四處亂動的光標究竟意味著什么。但如今全世界的運維人員都得到了一項明確的警告——目前這種攻擊持續時間不長且危害并不嚴重，但下一次可就不一定了。