从乌克兰电网被攻击事件 看我国基础电网面临的安全风险及处置建议 作者:王得金

乌克兰电网被攻击事件始末

2015年12月23日,乌克兰伊万诺-弗兰科夫斯克地区(人口140万)大约一半的家庭断电数小时。据乌克兰新闻通信社报道,这次大规模停电事件,是黑客在乌克兰国家电网中植入了恶意软件,从而导致发电站意外关闭。这是首次由黑客攻击行为导致的大规模停电事件,引起公众的极大恐慌。黑客使用的高破坏性的恶意软件,攻击并感染了乌克兰至少三个地区电力部门的基础设施,导致发电设备产生故障。

同月31日,英国路透社对该事件进行了报道,并称乌克兰当局正在对一次针对其国家电网的可疑攻击事件进行调查。同时,2015年12月30日深夜开始,克里米亚半岛发生大规模断电。当地政府能源主管官员说,至少四分之一电力供应中断,原因是“乌克兰切断供电”。而乌克兰方面则表示,断电原因是电塔被炸。新华社相关报道指出,这是克里米亚半岛一个多月来第二次大规模停电。乌克兰官员指出,这是由俄罗斯黑客发起的攻击。同时,为了让电力公司的维修部门无法正常工作,黑客利用恶意软件定时拨打电话,让维修人员一直保持忙碌。俄罗斯方面则拒绝承认,认为乌克兰官员只是希望借此引起国际媒体的注意。乌克兰国家安全局在公开的声明中称其曾成功阻拦过由“俄罗斯联邦安全局”发送的恶意软件,被拦截的软件设计目的就在于执行网络攻击对电力系统造成干扰引起停电,幸亏之前已经被成功发现和预防。俄罗斯方面尚未对此作出回应。

前任美国空军网络战官员Robert Lee则认为,此时就认可乌克兰国家安全局的判断还为时尚早。如果乌克兰的指控被确认,那将会是首个与网络攻击相关的电力中断事件。对于一个国家的工业目标进行网络攻击造成大规模影响的事件少有记录在案。如果此次断电确为黑客所为那就会在将来造成一系列类似的断电事件,对于国际其它国家也会产生威胁。

乌克兰电网被攻击事件的技术诱因

美国达拉斯信息安全公司iSight Partners网络间谍情报的负责人约翰·胡尔特奎斯特表示,这是一个里程碑式的事件,因为我们之前只看到过针对能源领域的破坏性事件,比如黑客攻击了石油公司,但是却从来没有遇到过现在这种导致大规模停电的情况,这是网络安全行业首次目睹导致停电的网络攻击。胡尔特奎斯特认为,这起攻击所用的恶意软件名为”BlackEnergy(黑暗力量)”,攻击者应是被称为“沙虫(Sandworm)”的俄罗斯黑客组织,他们先前曾攻陷过美国和欧洲的电力供应商。当时欧美国家大量的战略设施在这些攻击事件中受到了不同程度的损害,而且入侵者原本还可以给这些地区带来更严重的损失,甚至还可以让这些受此类攻击影响的国家长期停电。

据 ESET 公司表示,此次乌克兰大规模的停电主要由于电力系统的设计缺陷,而出现了漏洞,该漏洞导致 Microsoft Office 文档被袭击,当打开此类文档时,电脑即刻中招,只要电脑中安装了覆盖面广泛的 Office 软件,都有可能受到该漏洞的影响。同时,这种恶意软件还会被用来创建电源故障,从而威胁到大多数人的生命安全。

此次乌克兰电网遭到网络攻击也暴露出电厂脆弱性。有专家曾指出,电厂控制着关键基础设施的工业系统很容易受到攻击。2015年,韩国核电站也曾遭到黑客的威胁。该名黑客泄露了核电站约1万名员工的个人信息、核电站程序运行说明、空调和冷却系统设计图、阀门设计图等文件。除了带来大面积停电,信息外泄等危险外,针对电厂的网络攻击还会带来经济上的损失。2015年7月,剑桥大学风险研究中心与保险公司Lloyd一起发布的报告显示,每破坏50个向电网供电的发电机,就会导致2430亿美元至10000亿美元的经济损失。

乌克兰电网被攻击事件的主要手段

ESET 公司的研究人员已经证实,乌克兰电力部门感染了BlackEnergy恶意软件,该软件最初于 2007 年被发现,并通过不断地更新添加了许多新功能,其中包括使被感染的计算机无法重启的功能。最近,ESET 公司发现,BlackEnergy 恶意软件再次更新,并增加了被称为 KillDisk 的组件,它能够破坏计算机硬盘驱动器的关键部分,因此可以用于实施针对新闻媒体企业及电力行业的攻击。与此同时,最新的 BlackEnergy 恶意软件还包括了一个 SSH 后门,以帮助攻击者可以永久访问受感染的计算机。下表为BlackEnergy演进及影响的进化表,详细记录了BlackEnergy的演进历程。同时,有关安全机构发现,随着BlackEnergy的恶意软件程序的演进,黑客利用该恶意软件不仅可以向Windows电脑发起攻击,还可向基于ARM或MIPS架构的路由器和Linux系统展开破坏。

乌克兰电网被攻击事件的攻击推演

结合网络上的公开报道和目前收集到的信息,可假想此次攻击的可能流程如下:

1. 攻击者使用Office沙虫漏洞(CVE-2014-4114)进行水坑攻击,受害主机会执行恶意程序与远端C&C服务器进行交互,一些系统信息会被发送到C&C服务端上;

2. 沙虫(宏病毒)进行恶意操作,利用工控HMI的远程执行漏洞(CVE-2014-0751)进行内网攻击,从而直接控制内网的HMI(从已有样本分析出可能涉及GE Cimplicity, Advantech/BroadwinWebAccess,Siemens WinCC等工控的HMI,且上述HMI已经ZoomEye网络空间测绘雷达探查确认);

3. 攻击者利用漏洞向HMI植入BlackEnergy;

4. 植入的BlackEnergy开启Dropbear SSH后门,设置监听于6789端口,以便于主机通信;或者有可能攻击者远程启动BlackEnergy中的KillDisk组件破坏主机磁盘(格盘),从而造成破坏性影响。

我国工控安全面临的问题及对策建议

根据对工控设备的研究积累以及对相关组件和防护手段的分析,我们粗浅地认为,目前工控系统普遍存在以下几个问题:

1. 相对封闭,过去没人关注,安全性相对差。

2. 过去工控系统都在互联网接触不到的地方,但现在随着网络、3G网络发展,很多工控的采集点都暴露到了互联网上,可以被攻击,随后作为跳板进入工控管理系统,从而控制整个设施。

3. 工控系统普遍CPU计算能力很弱,所以加密和认证部分脆弱,容易被攻破。

4. 同样由于CPU和计算能力弱,很容易通过发送大量连接数据,导致CPU负载过高,设备失去响应。

5. 大量工控系统核心是西门子等国外公司的产品,这些产品是否存在后门存在未知因素。

基于国外做法的启发,结合我国工控设备尤其是基础能源领域,建议考虑以下的应对处置方法加以强化和防范:

1. 加大对网络空间以工控系统为重点的测绘工作,全面掌握暴露在互联网上的工控系统类别、类型、安全性现状,并利用网络空间测绘雷达等专业产品,对基础领域的内部IP网络,进行常态化监测,时刻掌握工控设备的安全基本态势。

2. 加强现有工控系统的安全评测工作,可以由国家单位组织,国内安全公司参与,对现有典型工业控制系统做一次安全测评进行摸底工作。

3. 加强工控系统设备和系统供应商产品和公司自身的安全测评,加强供应链安全。强化在基础设施新建项目上,尤其是在信息化项目规划和具体设计中,增加信息安全风险评估,引入第三方安全机构或厂商对技术及实施方案进行审查。

4. 通过运营商汇聚互联网上工控系统的网络流量,对流量进行安全审计。利用网络流量审计技术,对电网等基础设施IP网络内外网流量进行监测分析,及时发现网络攻击行为并予以预警处置,提升自我防范的基础能力。积极跟踪并掌握信息安全最新动态,及时掌握行业安全事件及漏洞风险情报,尽早发现自身隐患并积极预见处置。

2016-04-02 14:11
来源:中国信息安全杂志(2016.03)
热门推荐更多
热点新闻更多