乌克兰电网攻击纪实

乌克兰电网攻击纪实

This model paper was revised by the Standardization Office on December 10, 2020

乌克兰电网攻击纪实：能力逆天的狡猾黑客

（原标题：乌克兰电网攻击纪实：能力逆天的狡猾黑客）

摘要：时间正值2015年12月23号下午3：30，乌克兰西部伊万诺-弗兰科夫斯克地区的居民们结束了一天的工作，陆续走向通往温暖家中的寒冷街道。而在负责当 地电力供应的Prykarpattyaoblenergo控制中心，运维人员也即将完成自己的当次轮班。但就在这一切顺利推进的同时，平静被打破了——一 位当值人员在整理桌上文件时，突然发现自己的计算机屏幕上的光标开始四处游移。

他看到光标指向负责当地变电站断路器的导航按钮，点击对话框并选择断开断路器——这项操作将使得整座变电站全面下线。接下来，屏幕上出现了确认窗口以复核上述操作，这位运维人员目瞪口呆地看着光标移动到框体之内并点击了确定。这时他已经可以肯定，城外的某处区域内数以千计的居民将因此陷入黑暗与寒冷当中。

这位运维人员立刻抓起鼠标，试图夺回对光标的控制权——但他的反应似乎还是慢了一点。光标随后朝着另一个断路器控制按钮移动，而设备亦突然将他从控制面板中登出。虽然他反复尝试重复登录，但攻击者变更了他的密码内容，使其无法顺利完成验证。这时候，他能做的只有无奈地盯着屏幕，眼睁睁地看着设备中的恶意幽灵断开一个又一个断路器，最终导致约30座变电站下线。然而攻击者并没有就这样停下脚步。此次攻击还影响到另外两座配电中心，这意味着遭遇下线的变电站数量几乎翻了一倍，使得超过23万名居民陷入无电可用的困境。不仅如此，其亦无法从总计三座电力供应中心的两座处获取备用电力，这意味着运维人员自身也被停电引发的黑暗所笼罩。

天才般的网络作战计划

作为有史以来首例得到确认的电力设施攻击行动，此次乌克兰电力中心遇袭案的组织者们并不是碰巧接入其网络并发动功能测试攻击的机会主义者;根据相关广泛调查得出的最新结论，这群恶意人士拥有高超的技术水平及藏身策略。他们已经拿出几个月时间对攻击细节进行精心策划，包括首先侦察并研究网络条件、获取运维人员登录凭证，而后发动这次严密编排下的同步攻击活动。

“此次攻击显示出其非凡的能力，”调查协助人员Robert M. Lee表示。Lee原先曾在美国空军担任网络战作战军官，如今则成为关键性基础设施安全厂商Dragos Security公司的联合创始人。“就成熟程度而言E安全/文，大多数人关注的主要是攻击活动中所使用的恶意软件，”他解释称。“但对我来讲，真正代表着攻击手段成熟度的其实是个中逻辑、规划与操作，乃至整个攻击过程中的实施步骤。而这一次攻击显然非常成熟。”

乌克兰迅速将攻击发起者认定为俄罗斯。Lee并没有给出任何具体的攻击发动者猜测，但表示他发现此次攻击活动中不同层级乃至不同定位间的分工与协作方式非常明确且高效。这意味着此次攻击很可能源自多方的通力配合——也许是网络犯罪集团与政府支持攻击者间配合完成。

“这次攻击活动显然由资金充裕且人员水平出色的团队完成。……但这并不一定意味着其由民族国家所支持，”他解释称。也许最初是由网络犯罪分子获取到网络的初始接入途径，而后将其交付至民族国家以实际执行入侵活动。

乌克兰控制系统之安全水平意外高于美国境内部分设施

无论如何，此次攻击成功影响到了乌克兰的发电设施，并给全球各国的诸多配电中心带来值得借鉴的重要启示，专家们表示。而更令人意外的是，乌克兰控制系统的安全水平高于美国境内部分设施，因为其拥有经过明确划分的控制中心业务网络并辅以强大的防火墙方案。不过最终，其仍然没能带来理想的安全保护水平——SCADA网络远程登录与用于控制电网的监督控制与数据采集网络并没有使用双因素认证机制，这使得攻击者能够在劫持到登录凭证之后顺利控制其中的断路器系统，从而达成令供电设施下线的最终目标。

另外，乌克兰境内的停电状态并没有持续太久：全部地区的停电时长在一到六小时之间。不过在此次攻击的两个月之后，控制中心仍然没有全面恢复运转，美国最近发布的一份报告指出。参加相关调查工作的乌克兰与美国计算机安全专家们指出，攻击者们覆写了16座变电站的关键性设备固件，这意味着这些设备将无法对来自运维人员的任何远程指令做出回应。虽然电力供给已经恢复，但工作人员仍然需要以手动方式控制断路器。

不过这样的结果其实还好，或者说要比美国设施遭受攻击后的表现更好，专家们表示。由于美国境内大多数电力供应控制系统根本不提供手动操作功能，这意味着一旦攻击者们破坏了其自动化系统，那么工作人员将很难找到可行的方式快速恢复供电。

攻击活动时间线

美国的众多机构正在帮助乌克兰方面开展攻击活动调查，其中包括FBI与DHS（美国国土安全部）。Lee与Michael J. Assante则从属于参与其中的计算机安全专家，二位在华盛顿特区的SANS研究所负责计算机安全教学工作，并计划发布一份与其当前分析工作相关的报告。根据他们的说法，调查人员惊喜地发现，乌克兰配电公司拥有庞大的防火墙日志与系统日志存量，足以帮助他们重构事件原貌——这种储备与强大的日志记录能力在任何企业网络当中都相当罕见，更遑论关键性基础设施环境下了。

美国也在利用同样的串行到以太网转换模式支撑配电网络体系。

根据Lee与一位协助调查的乌克兰安全专家所言，此次攻击始于去年春季针对IT人员与系统管理员的鱼叉式钓鱼攻击——而这类群体负责的正是乌克兰国内各供电企业的网络管理工作。乌克兰供电网络分为24个区，每个区涵盖11到27个省份，各每个供电区归属于不同的配电公司。该钓鱼活动针对三家供电企业的员工发送附带恶意word文档的电子邮件。一旦员工点击该附件，系统会弹出对话框以要求其启用文档宏。如果点击确定，其将调用名为BlackEnergy3的程序——其各类变种已经广泛感染欧洲及美国境内的其它系统——从而感染当前设备并为攻击者开启后门。这种方法值得关注，因为目前大多数入侵活动都在利用软件程序编码错误或者安全漏洞。但在钓鱼攻击当中，攻击者利用微软Word程序中的既有功能。使用宏功能的作法早在上世纪九十年代就已经出现，而如今这种老式手段又开始卷土重来。

在最初的侵入活动中，攻击者仅仅触及到了企业网络。不过他们仍然能够接入SCADA网络并控制电力网络。相关供电企业明智地利用防火墙对这些网络加以隔离，意味着攻击者面前只有两种可行选项：要么寻求防火墙中可资利用的安全漏洞，要么搜索其它侵入途径——他们选择了后者。

在几个月时间当中，他们进行了广泛的网络侦察、探索与映射工作，并最终获得了访问Windows域控制器以管理网络内用户账户的能力。以此为基础，他们收集到相关员工登录凭证以及部分工作用VPN以远程登录至该SCADA网络。一旦进入到SCADA网络当中，恶意人士们就开始逐步实施后续攻击计划。

让客户身陷黑暗还不够，他们希望令运维人员同样目不视物

首先，他们对负责为两座控制中心提供后备电力的不间断电源（或者简称UPS）进行了重新配置。事实上，让用户们身陷黑暗还远远不够——攻击者们打算在停电时让运维人员同样无电可用。这是一种非常大胆且激进的作法，甚至可以说是对供电企业的一种赤裸裸的挑衅，Lee解释称。

每家供电企业在其网络中使用的分发管理系统都有所不同，而在侦察阶段，攻击者对其分别进行了认真研究。在此之后，他们编写的恶意固件在十几座变电站中成功通过串行到以太网转换机制取代了合法固件（该转换机制负责处理来自SCADA网络并用于控制变电站系统的命令）。“这种针对特定目的的恶意固件更新（指向工业控制系统）此前从未出现过，”Lee表示。“从攻击的角度来看，这绝对是种天才之举。我的意思是，他们虽然目的邪恶，但手段确实非常高明。”

在完成了恶意固件安装之后，攻击者们也就做好了组织恶意行为的前期准备。

2015年12月23号下午3：30左右，攻击者们通过被劫持的VPN接入到SCADA网络，并发送命令以禁用已经被其重新配置的UPS系统。在此之后，他们开始断开断路器。不过着手破坏之前，他们还针对客户呼叫中心发起了一轮电话拒绝服务攻击，旨在防止客户向运维人员报告断电状况。TDoS攻击与DDoS攻击非常相似，同样是向Web服务器发送大量数量。在这种情况下，服务中心的电话系统被大量似乎来自莫斯科的伪造呼叫所占用，这使得合法主叫方被淹没在通话请求当中。Lee指出E安全/文，此举证明了攻击者行动的复杂性与规划水平。网络犯罪分子——甚至是部分国家支持下的恶意集团——都不具备如此长远与完善的攻击设计思路。“真正的高水平攻击者会将自己的精力投入到某些看似可能性极低的场景之下，从而确保自身能够覆盖一切潜在状况，”他解释称。