2017年,電網有時候看起來確實十分脆弱,似乎任人宰割。俄羅斯黑客對各處電網頻頻下手的新聞時常見諸報端,滲透核電站、染指美國能源設施控制系統、采用新型自動化惡意軟件引發烏克蘭斷電……
就在上周,又有報道朝鮮黑客入侵了美國能源設施。看到這些新聞,難免會覺得,黑客引發的大停電,好像不是歷史上僅有的兩次,而是近乎每周都在發生。
雖然電力設施的黑客威脅如此真實,但也不是每次電網滲透都是核戰危機級別。這些電網入侵事件的后果也大不相同,可以從簡單的數據盜竊,到災難性的基礎設施崩潰。如果對這些警報采取相同反應,無異于混淆街頭搶劫與洲際彈道導彈襲擊。公眾對能源設施“入侵”的理解,也大相徑庭。從簡單的惡意軟件感染,到國家級登月計劃。
美國前國家安全局(NSA)分析師羅博·李,現任關鍵基礎設施安全公司Dragos總裁。他認為,過去幾年見證了對工業控制系統(ICS)黑客攻擊嘗試“赤裸裸的激增”,比如電力設施、供水和制造業。但他同時指出,保持分寸感很關鍵:
Dragos追蹤的全球數百個資金充裕的黑客組織中,約有50個針對有ICS的公司下手。其中,Dragos僅發現了6到7個黑客組織觸及了所謂的“運營”網絡——對物理基礎設施的實際控制。而這僅有的幾個黑客組織中,又只有兩個,是已知實際觸發了真實物理破壞的:方程式黑客小組——據稱是用震網惡意軟件摧毀了伊朗核濃縮離心機的NSA黑客團隊;還有沙蟲黑客組織——烏克蘭兩次大停電的背后黑手。
因此,當黑客僅僅“滲透”了某能源設施的新聞出現時——比如朝鮮黑客最近所做的,最好帶著上述數據加以解讀,而不是直接設想下一個震網或沙蟲來襲。為此,下面給出了電網黑客攻擊的漸進過程,幫助大家以恰當的恐慌等級,來面對即將到來的電網滲透。
第一步:網絡入侵
政府機構或媒體警告稱黑客已入侵某電力設施時,絕大多數情況下,這些入侵者并未滲透控制實際電流的系統,比如斷路器、發電機和變壓器。他們侵入的是平凡得多的其他目標:企業電子郵件賬戶、瀏覽器和Web服務器。
這些滲透通常始于魚叉式網絡釣魚郵件,或“水坑”攻擊——通過劫持用戶經常訪問的網站來感染目標用戶,未必與傳統犯罪或間諜黑客活動有什么區別。最重要的是,它們不會產生導致任何物理破壞的途徑。某些情況下,黑客會為未來攻擊做做偵察,但盡管如此,也觸碰不到能干擾發電或電力傳輸的實際控制系統。
比如說,本周早些時候,安全公司火眼泄露的一份報告,揭示朝鮮黑客曾攻擊過美國能源設施。安全新聞網站Cyberscoop的跟進報告斷言,這些攻擊嘗試中至少有一次,成功滲透了美國能源公司。但火眼接下來的博客文章指出,其分析師僅發現了黑客向目標受害者發送魚叉式網絡釣魚郵件的證據——相當常規的黑客行動,并未顯露出逼近任何敏感控制系統的跡象。
火眼聲明中闡述道:“我們并未觀測到涉嫌朝鮮黑客使用任何供電ICS專用入侵或操縱工具及方法。而且,我們尚未發現朝鮮黑客對此類功能擁有訪問權。”
朝鮮無疑懷有控制美國電網的野心,他們已經邁出第一步的事實也很明顯了。但直到目前,這些攻擊,以及其他止步于IT入侵級別的攻擊,最多也就只應被看做是種預兆,而不是迫在眉睫的黑客大斷電威脅。
第二步:運行訪問
不斷刺探能源公司IT系統的黑客,應加以關注。刺探運行技術(OT)系統的黑客,則是嚴重得多的問題。當黑客滲透了OT,或者獲取了所謂的運營訪問權限,他們就從幾乎每家現代企業都會有的計算機系統,摸到了更為專業和定制的電力設備控制系統——邁向操縱物理基礎設施的重要一步。
比如說,最近的一起黑客活動中,賽門鐵克揭示,被其命名為DragonFly 2.0的黑客小組,就獲取到了“一小撮”美國能源公司的運行訪問權限(DragonFly 2.0很可能就是今年夏天被報侵入一家美國核設施的那組俄羅斯黑客。)這伙入侵者甚至走到了截屏電力系統人機交互界面(HMI)的地步,這樣他們就能研究該系統,準備翻轉實際開關,發起全面電網攻擊。
安全培訓組織SANS研究所講師,電網安全專家麥克·阿桑特說:“網絡釣魚嘗試和潛在的感染,是權限階梯中的一步。研究HMI,就是在梯子上爬了好幾階了。”此處,他對比的是最近朝鮮的網絡釣魚和DragonFly 2.0的攻擊。
理論上,OT系統與IT系統是物理隔離的,二者之間沒有網絡連接。但ICS安全公司Claroty共同創始人嘉里娜·安托娃稱,除運營系統與外部網絡嚴格斷開的核電廠外,該物理隔離往往不是那么牢不可破。她說,Claroty分析過的所有ICS設置,都能找到“明顯”的途徑進入其OT系統。“對網絡做個拓撲圖示,從IT到OT的路線清晰可見。進入方法總有那么幾個備選。”
Dragos的李對此持不同意見:鑒于實際成功跨過該物理隔離的黑客比例之小,個中差別,絕非雞毛蒜皮。這里面有部分原因在于,IT系統某種程度上是標準化的,OT系統則多是定制而隱晦的,沒那么好弄懂。“黑客基本上培訓加練習就能完全入侵IT網絡。但若想進入運行網絡,面對這些奇奇怪怪的設備和設置,他們將不得不辛苦學習。”
第三步:協同攻擊
即便入侵者對電網控制系統有了“手握開關”級權限,對該權限的有效利用,也比看起來難得多。事實上,翻轉該開關前的所有動作,都僅僅是預備階段,只代表了電網黑客工作的20%。
除了電力設施可能含有的各種奇奇怪怪的罕見設備,其實際過程也可能需要真正的專業技術才能操縱,還要加上幾個月的更多努力和資源——不僅僅是斷開幾個斷路器造成停電。李說,即便黑客掌握了這些控制系統,“我也能很確信地說,他們仍未到達切斷電源的那一步。他們可以斷開一些斷路器,但他們對此動作的效果一無所知。他們不知道自己可能會被安全系統阻止。”
比如說,全球首起黑客所致大斷電的2015年末烏克蘭停電事件中,入侵者遠程訪問配電站控制系統,手動斷開了該國3個不同設施中的數十個斷路器——大多數情況中是真的劫持了配電站操作員的鼠標控制。響應該起攻擊的分析師認為,這應該需要幾個月的策劃,還須有數十人的團隊協同作戰。即便如此,其導致的斷電也就持續了6個小時,影響到約25萬烏克蘭人。
黑客基本上不得不在斷電的規模和持續時間上做出選擇。如果想要對整個美國東部電網下手,需要的資源會指數級倍增。如果還想讓這么大規模的電網斷電一星期,那就是指數級的指數級了。
某些電網黑客似乎確實在策劃更大規模更具破壞力的行動。第二次烏克蘭停電攻擊使用了一款名為Crash Override/Industroyer的惡意軟件,能夠自動化電網設備擾亂指令發送過程,且能自適應不同國家的設置,可跨多個目標廣泛部署。
該超級先進的電網黑客惡意軟件令人十分不安。但這種軟件也相當罕見。一款這種黑天鵝式的惡意軟件,與幾十起比魚叉式網絡釣魚也高明不到哪兒去的電網滲透事件之間,還是存在巨大的差距的。無論大小深淺,電網入侵當然不是件好事。但最好認識到帶妝彩排和真正大事件之間的差別——尤其是在將來會有更多此類事件出現的情況下
京公網安備 11010502049343號