> 科技 >

正文 >新发现的高压变电站恶意软件网络武器已经导致停电

新发现的高压变电站恶意软件网络武器已经导致停电

   2017-06-13 10:52   作者:   编辑:郭晴天
字号:T T

去年12月17日午夜前七分钟,在基辅北部的一座高压变电站发生了一大批炸弹。

但是,如果你站在20英亩的闪闪发光的金属变压器和线圈之外,你不会听到爆炸声或看到闪光。这不是那种炸弹。这是一个恶意的软件,一直躲在控制室里面几英里远的地方,等待正确的时间来揭示自己。下午11:53,逻辑炸弹向变电站发出一系列预先编程的命令,将一个断路器倒下,直到基辅西部及其周围的一片房子陷入黑暗中。

新发现的网络安全问题

技术人员对Pivnichna变电站作出了回应,并将断路器从电脑控制开始,1点后恢复供电。仅次于电脑中断的第二个确定案例,触发电力停电,与之前的12个月相比,乌克兰 - 这是一个惊喜,影响远远少于客户和一小部分时间。在基辅袭击后的六个月内,安全研究人员怀疑为什么黑客甚至打扰了这样一个短暂的破坏,并且推测有人正在用乌克兰作为更严重的攻击的测试场。

现在黑暗的评估似乎得到了证实。两家安防公司的研究人员星期一宣布,他们终于找到并分析了引发基辅停电的恶意软件,远远逊于想象中。圣安东尼奥的Dragos被称为“CrashOverride”的计算机代码和ESET在斯洛伐克的“Industroyer”是一种真正的网络武器,可以映射电站的控制网络,并且在最少的人力指导下,直接发出恶意命令关键设备。世界上只有一次看到恶意软件设计用于这种破坏,2010年的Stuxnet病毒用于对伊朗的核计划。CrashOverride是第一个针对平民的人,也是第一个针对国家电力供应的这种恶意软件。

创建CrashOverrride是不清楚的。ESET和Dragos都表示,它是从零开始构建的,没有任何通常的指纹,允许分析师将一个黑客活动与另一个进行联系。乌克兰在三年前与俄罗斯发生敌对战争之后,面临着近乎圣经的网络攻击事件,许多人明确地指责莫斯科。但是CrashOverride不是这样。

唯一确定的事情是,Dragos首席执行官Robert Lee说,恶意软件并不是一次性的武器。它的设计从头开始,可以轻松重新配置各种目标,并包含一些在基辅攻击中甚至没有发射的有效载荷。

“这是一场噩梦,”李说。“目前状态下的恶意软件将可用于欧洲的每个电厂。这是一个旨在瞄准其他地方的框架。“

ESET首先查找恶意软件样本,该公司与Dragos分享了初步分析结果,该数据库继续查找代码的其他示例和新组件。北美电力可靠性公司(负责电网安全的行业组织)上周,美国和加拿大的电力公司都提醒了新的恶意软件。

NERC首席安全官马库斯•萨克斯(Marcus Sachs)表示:“我们认为我们目前的保护措施是一个初步的障碍,我们正在为这个恶意软件的北美公用事业提供额外的技术信息。”

CrashOverride标志着电子军备竞赛的重大升级,在俄罗斯和北韩等美国对手的公开网络轰炸之时,以及对电网脆弱性的警惕性越来越大。能源部去年1月评估说,美国现在面临着一场网络攻击的“迫在眉睫的危险”,这将导致长时间的级联中断,“破坏美国生命线网络,关键的国防基础设施和大部分经济” 也可能危及数百万公民的健康和安全。“

Lee表示,CrashOverride是为了引起区域性停电而建立的,目前的形式没有能力按照2003年东北部美国停电的顺序启动一个级联,也不容易被重新利用到其他工业控制系统,如水处理厂或天然气管道。但是,创建程序的专业知识和资源的数量预示着更加危险的恶意软件即将到来。他说:“这个事情是一个神圣的时刻,是对网格编码的理解。”

这是因为该代码针对一个称为SCADA的关键技术,用于监控和数据采集。SCADA网络本质上是一个电子神经系统,允许操作员远程监控和控制所有的泵,电机,继电器和阀门,这些都是社会基础设施的基础。这项技术从20世纪40年代开始就从电力行业发展成为对配电日益复杂化的解决方案,需要不断监测和调整分散在全国各地的数千个变电站的设备。公用事业公司不是在每个场地保持技术人员,而是开始将变电站设备连接到集中控制中心的仪表和旋钮,首先通过无线电连接,然后通过串行端口和数字网络连接变电站设备,图形计算机控制器更换仪表和旋钮。

作为更无辜时间的产品,主要的SCADA协议从未设计为安全性。退伍军人SCADA安全大师戴尔·彼得森说:“我们使用”设计不安全“一词。“您可以在没有任何身份验证的情况下打开和关闭继电器。攻击者想要的一切都是设备的一个记录功能。

到20世纪90年代,美国正在将SCADA视为一个潜在的关键漏洞。1997年,克林顿总统下令对电网进行风险评估,他的顾问发现漏洞很多,包括通过公司网络和开放式拨号调制解调器可达的设备。

自此以来,电力行业一直在制定和执行更严格的安全标准。但是随着国家网络攻击者的进入,风险只有增长,业界现在把网络停电作为一个计划,就像极端天气引发的不可避免的中断一样。NERC的Sachs说,关键是要确保快速恢复,如果发生停电,不管原因如何。“

这个阴沉的前景远远低于2015年12月第一次乌克兰的强权。在这次攻击中,入侵者使用传统的黑客工具和技术来抓住Windows控制室中的Windows机器,在这些控制室中,它们将鼠标光标拖动到屏幕上,并点击了三台本地变电站的控制。造成的停电只剩下22.5万人没有权力。乌克兰的安全部队将袭击归咎于俄罗斯。

在成功的情况下,这次袭击从网络战的角度来看是一个严重的弱点:没有扩大规模。黑客需要由坐在键盘上的控制系统专家进行人工操作。该限制被CrashOverride消除,CrashOverride一旦配置和部署,就会在工厂网络的最低级别看不到且自动运行。

在基辅使用的代码包括在欧洲流行的四个SCADA协议的可交换模块。当正确的模块被激活时,它以远程变电站的合法Windows进程控制设备的名称运行。CrashOverride会杀死原始程序,并通过SCADA链接开始发出自己的命令,循环通过一系列断路器地址并系统地跳过它们,然后再次从顶部开始。即使控制中心能够发送自己的命令来恢复电路,CrashOverride将再次击中断路器,连续运行在无限循环中。“这就像一个网站上的一个弹出窗口,你关闭它,它只是继续开放,”李说。“他们正在做断路器。”

彼得森说,他希望CrashOverride能够启发模仿的努力,特别是在国家的国家攻击者中。“看到这么长时间以来预测的东西实际上发生了......更多的人会认为他们应该这样做。”

Dragos的Joe Slowik说:“如果我们还没有足够的唤醒电话,那就是这样做的。“时间到了,直到一个人幸运地或故意地瞄准一个美国公民所关心的网络,而不是说”乌克兰关心“。”