熱線電話:
? ??400-0351-366
轉(zhuǎn)載 首次針對繼電保護裝置的網(wǎng)絡攻擊——2016年烏克蘭電力事件再分析
編輯:2022-12-13 11:08:04
摘要
在2017年發(fā)現(xiàn)并初步分析后,大眾將CRASHOVERRIDE視為針對烏克蘭電力公司運營的顛覆性破壞事件。與2015年發(fā)生在該地區(qū)的攻擊類似,CRASHOVERRIDE通過操縱工業(yè)控制系統(tǒng)(ICS)中斷了電力供應并延遲恢復操作來延長沖擊時間。然而,CRASHOVERRIDE事件只是一個野心勃勃的攻擊計劃的冰山一角,而不是其預期目的。除了電力中斷的范圍顯著擴大外,CRASHOVERRIDE還試圖通過拒絕服務(DoS)攻擊目標操作中涉及的繼電保護裝置,這與2015年的攻擊事件大不相同。雖然此次攻擊行動失敗了,但這一行動背后最可能的意圖及其對電力公司運營和保護的影響卻很少受到關(guān)注或分析。即使實際執(zhí)行失敗,本文將重新分析2016年這一次的CRASHOVERRIDE事件和其可能的攻擊意圖。
引言
在2017年年中的公開報告中,一些分析師稱CRASHOVERRIDE(也稱Industroyer)是自Stuxnet以來對工業(yè)控制系統(tǒng)最 大的威脅。然后,從受影響的客戶數(shù)量和持續(xù)時間來看,此次事件的初步影響比2015年烏克蘭電力事件的影響要小。但是,技術(shù)上卻比2015年的烏克蘭斷電更為復雜,原因是工業(yè)控制系統(tǒng)(ICS)的惡意操作由程序完成,而不是通過與系統(tǒng)的手動交互進行部署,表面上出現(xiàn)故障或缺乏重大影響使一些人忽視了CRASHOVERRIDE的嚴重性或重要性。就所取得的影響和效果而言,CRASHOVERRIDE事件比2015的斷電程度低。然而,在野心和意圖方面,CRASHOVERRIDE試圖獲得比2015年更大和更嚴重的影響。根據(jù)對各種有效載荷的分析,CRASHOVERRIDE試圖造成比2015年更廣泛的停電,并將潛在的破壞性事件作為攻擊序列的最后一步。盡管對CRASHOVERRIDE表面上分析得很透徹,包括在Black Hat等活動上的公開演講,其背后的重大影響,特別是其預期的范圍和潛在的結(jié)果,在很大程度上仍然被忽視。在本文中,我們將從不同的角度來探討CRASHOVERRIDE事件。我們不再關(guān)注2016年12月CRASHOVERRIDE事件后在Ukrenergo“北”站發(fā)生的事情,而將探討攻擊者ELECTRUM,在給定受害者環(huán)境中部署的軟件的設(shè)計和配置的情況下,可能尋求實現(xiàn)的目標。攻擊者在設(shè)計和部署CRASHOVERRIDE和相關(guān)的模塊時犯了許多錯誤。然而,這一攻擊的范圍和含義引起了電力公司經(jīng)營者的深切關(guān)注。通過探索和理解CRASHOVERRIDE試圖但最終未能實現(xiàn)的目標,相關(guān)ICS資產(chǎn)所有者和運營商可以準備更好的手段來預防未來的攻擊,并防止?jié)撛诘钠茐男越Y(jié)果。
回顧CRASHOVERRIDE事件
有幾個報告回顧了CRASHOVERRIDE事件:從以惡意軟件為中心的模塊化ICS操作框架分析[1]到導致CRASHOVERRIDE部署和后續(xù)操作的入侵生命周期概述[2]。圖1提供了CRASHOVERRIDE執(zhí)行的流程。每一份報告及其分析主要集中在Ukrenergo“北部”變電站事件后的觀察項目上。雖然這種分析是針對觀察到的事件進行的,但其忽略了攻擊者在這次攻擊中雖然未能成功執(zhí)行但可能試圖實現(xiàn)的目標。
圖1:CRASHOVERRIDE事件的攻擊流程
CRASHOVERRIDE影響了電力傳輸運營,導致烏克蘭基輔停電約一小時,規(guī)模和持續(xù)時間都明顯小于2015年的襲擊。2015年的事件是通過人工操作控制系統(tǒng),通過遠程登錄來操縱工控系統(tǒng)工作站,2016年的事件卻利用CRASHOVERRIDE框架對軟件中的ICS系統(tǒng)操作進行編碼。這個操作代表了攻擊者tradecraft的一個重大改進,在軟件中對ICS攻擊進行編碼,使得攻擊的規(guī)模遠遠大于手動交互系統(tǒng)?;仡櫲罩緮?shù)據(jù)和其他與CRASHOVERRIDE事件相關(guān)的數(shù)據(jù)顯示,攻擊的預期規(guī)模遠遠大于2015,但最終實現(xiàn)的攻擊規(guī)模遠遠沒有達到攻擊者的預期。
將跨多個通信協(xié)議IEC-101、IEC-104、IEC-61850和OPC DA的電力傳輸控制系統(tǒng)作為攻擊目標,CRASHOVERRIDE有一個非常簡單而有效的操作目標:將斷路器和相關(guān)設(shè)備的物理狀態(tài)從“閉合”(允許電力流動)改為“打開……”。CRASHOVERRIDE的效果有些變化,其包含直接改變潮流或“strobing”的選項,即在打開和關(guān)閉狀態(tài)之間連續(xù)切換。然而,在受害者的環(huán)境中似乎只使用了立即的“打開”和“關(guān)閉”效果。
雖然在功能上看起來是一個簡單的“開-關(guān)”按鈕,但是為了實現(xiàn)成功的通信和狀態(tài)更改,這些標準的實現(xiàn)不僅僅是直接地、一步地從一個邏輯狀態(tài)轉(zhuǎn)換到另一個邏輯狀態(tài)。要實現(xiàn)對目標RTU或其他系統(tǒng)的實際物理操作,需要遵循離散的、必需的步驟進行邏輯消息傳遞。準確理解特定協(xié)議以及供應商對協(xié)議的實際實現(xiàn)需要知道給定協(xié)議通信的“狀態(tài)性”,以便進行適當?shù)慕换ァ?/span>
計算機科學包括編程和通信的有狀態(tài)性概念,而協(xié)議可以是有狀態(tài)的,也可以是無狀態(tài)的。有狀態(tài)協(xié)議用于記錄或考慮通信流中的前一個事件,而無狀態(tài)事件可以忽略或不需要考慮這些項。例如,帶有握手和會話管理的TCP協(xié)議代表一個有狀態(tài)協(xié)議,而UDP流本質(zhì)上是無狀態(tài)的。
CRASHOVERRIDE是基于一個半模塊化的結(jié)構(gòu),不同的effects模塊執(zhí)行特定的協(xié)議通信,通常由一個通用的發(fā)射器執(zhí)行?;?/span>CRASHOVERRIDE的effects模塊的實現(xiàn),開發(fā)人員要么不知道,要么未能在其軟件中為特定的ICS通信協(xié)議實現(xiàn)適當?shù)臓顟B(tài)通信。盡管這潛在地表明對目標系統(tǒng)和底層協(xié)議的測試或理解不好,但考慮到復雜系統(tǒng)和供應商對更通用協(xié)議標準的不同實現(xiàn),此類錯誤并不罕見或獨特。此錯誤的一種可能是測試環(huán)境。軟件中的協(xié)議仿真器(如公共可用的IEC服務器項目)不強制執(zhí)行狀態(tài)和相關(guān)的通信超時。物理硬件將根據(jù)相關(guān)通信標準的供應商來使用這些項。由于設(shè)備限制、錯誤或完全無知,在CRASHOVERRIDE執(zhí)行的受害者環(huán)境中,實際的接收系統(tǒng)要么由于狀態(tài)標準的不正確實現(xiàn)而拒絕無效的通信,要么由于類似的原因而忽略。其影響可與無效TCP握手協(xié)議相比較,從而導致實際通信的缺失。
回顧CRASHOVERRIDE事件的意圖是很重要的。當審查受害者環(huán)境中的預定目標時,確定用于操縱的控制系統(tǒng)的數(shù)量比實際停機的數(shù)量大,范圍更廣。根據(jù)事件中的可用數(shù)據(jù),至少有七個OPC服務器(每個服務器都有多個受管理的OPC實例)以及至少八個IEC-101控制器和400多個IEC-104通信控制點成為目標。此外,所有觀察到的基于IEC-61850攻擊模塊的實例都掃描了適用主機的本地子網(wǎng),并嘗試對所有子網(wǎng)進行中斷,目標數(shù)量基本上等于受影響子網(wǎng)上此類設(shè)備的數(shù)量?;谶@一信息和目標意圖,CRASHOVERRIDE試圖在數(shù)百個單獨的控制系統(tǒng)中進行大范圍停電,目的是造成比2015年事件大一個數(shù)量級的破壞性影響。
本質(zhì)上講:ELECTRUM試圖通過CRASHOVERRIDE操縱多個系統(tǒng),造成廣泛的電力傳輸中斷。然而,在涉及控制操作的所有四個協(xié)議和所有相關(guān)系統(tǒng)中,實際停電的影響相對較小并且快速恢復,這主要是由于Ukrenergo能夠手動重新閉合受影響的斷路器。基于其視圖攻擊的范圍和目標,CRASHOVERRIDE的實際影響可以判斷為一個失敗。
然而,僅僅是在ELECTRUM未能成功執(zhí)行廣泛的傳輸中斷時停止進一步分析,就忽略了其嘗試中斷操作后的幾個有趣的元素。與2015年事件類似,CRASHOVERRIDE部署了一個雨刮器模塊,以阻止恢復,并刪除配置和相關(guān)文件,以阻止受感染的SCADA系統(tǒng)恢復。這部分攻擊似乎已成功執(zhí)行,并導致操作員失去對環(huán)境中ICS操作的控制和查看。這是一個非常重要的影響,因為它限制了遠程操作和協(xié)調(diào)的靈活性,同時由于操作中的遠程視圖丟失,可能會掩蓋傳輸環(huán)境中的一些微妙的問題。
在上述雨刮器模塊的影響后,緊接著是一個有趣的步驟,其在最初的分析中被忽略了:在操作環(huán)境中使用四個西門子SIPROTEC保護繼電器的一個公開的漏洞嘗試拒絕服務攻擊。此時,ELECTRUM的攻擊序列試圖切斷傳輸設(shè)備的電源,對控制該設(shè)備的SCADA系統(tǒng)造成失去控制和失去視線的影響,然后消除斷電傳輸線上的繼電保護。鑒于Ukrenergo采用手動恢復操作的能力和意愿,在無法完全了解ICS環(huán)境狀態(tài)的情況下,CRASHOVERRIDE從電力傳輸?shù)募磿r中斷升級為手動恢復服務時的不穩(wěn)定或不安全的系統(tǒng)狀態(tài)。要分析和理解2016年烏克蘭事件的影響和重要性,必須了解保護繼電器及其在電力運行中的作用。
電力設(shè)施運行中的保護繼電器
保護繼電器在電力設(shè)施運行中起著至關(guān)重要的作用。保護繼電器使用先進的算法保護傳輸或發(fā)電設(shè)備免受有害條件的影響。最終,“繼電保護的功能是當電力系統(tǒng)的任何元件發(fā)生短路時,立即停止運行,或當它開始以任何可能形式導致?lián)p壞或以其他方式干擾系統(tǒng)其他部分有效運行時,立即停止運行”。在下圖2中, 相對于發(fā)電、輸電和配電操作中的位置,繼電器位置被突出顯示。
圖2:與電力操作相關(guān)的保護繼電器位置概述
保護繼電器用于動態(tài)監(jiān)測電力系統(tǒng),并在檢測到故障時清除或減輕系統(tǒng)故障?,F(xiàn)代的數(shù)字保護繼電器系統(tǒng)可以執(zhí)行各種診斷和監(jiān)測功能。它們識別從電流到電壓到頻率的項目,保護電力系統(tǒng)不受異常、潛在破壞行為的影響,同時向最終用戶提供輸出和反饋。圖3顯示了該流程。數(shù)字繼電器的關(guān)鍵是能夠在難以置信的小時間增量內(nèi)精 確地執(zhí)行正確的動作,以保持受保護系統(tǒng)的完整性。
圖3:保護繼電器視圖
數(shù)字保護繼電器通過不利但定期觀察的波動參數(shù)確保電網(wǎng)穩(wěn)定。在發(fā)生直接的、即時的事件或攻擊時,數(shù)字中繼通過將設(shè)備從整體-現(xiàn)在已被破壞的系統(tǒng)中分離來確?;謴湍芰?。電力傳輸(繼電器保護和規(guī)范流向變壓器和相關(guān)設(shè)備的電流)和發(fā)電(繼電器防止包括旋轉(zhuǎn)頻率在內(nèi)的多個因素中的電位波動)都有特定的繼電器技術(shù)。保護繼電器應用的例子包括發(fā)電資產(chǎn)的相距保護;在斷路器故障時啟動保護;變壓器和輸電系統(tǒng)協(xié)調(diào)以防止過電流條件;保護發(fā)電機資產(chǎn)免受頻率異常的影響。
考慮到各個現(xiàn)場的保護行動,受保護資產(chǎn)和電網(wǎng)組件之間的協(xié)調(diào)是必要的,以確保整個系統(tǒng)的穩(wěn)定性。當保護繼電器工作以隔離傳輸或發(fā)電中的損壞時,在電力系統(tǒng)應力或分布式中斷期間,這種自動響應可產(chǎn)生正反饋回路,導致廣泛的錯位。在這些極端情況下,無論電網(wǎng)保護機制如何,都可能產(chǎn)生廣泛的影響,例如2003年的美加電力事件和2003年的意大利大停電。在這些情況下,壓力系統(tǒng)中的網(wǎng)絡效應會導致大范圍的中斷,盡管這種中斷具有破壞性,但比過載或其他應力設(shè)備的物理損壞可能導致的設(shè)備和容量的潛在損失更可取。
為了強調(diào)繼電器故障時會發(fā)生什么,2019年7月影響紐約市的停電源于一次和二次繼電器未能隔離故障線路,影響變電站的配電故障。系統(tǒng)傳感器和常駐繼電器之間的接線不當導致繼電器無法對故障情況做出響應。在這種情況下,保護系統(tǒng)的故障會造成特定站點的物理損壞,以及造成數(shù)千用戶的計劃外停機。如果繼電器正常工作,故障線路將被隔離并斷電,從而保持變電站其余部分的功能。最終,當適當控制和實施時,保護繼電器可以確保電力服務的穩(wěn)定性,并保護實物資產(chǎn)不受各種自然或非自然波動的影響。
后CRASHOVERRIDE效應
在中斷受害者環(huán)境中的電流后,CRASHOVERRIDE會導致能見度下降和失控。如圖4所示。
圖4:CRASHOVERRIDE中斷后效果
乍一看,上述序列事件的影響主要體現(xiàn)在服務恢復,操作SCADA/DCS設(shè)備以禁止重新啟動和控制,并刪除配置文件以拒絕快速恢復。這一系列事件是非平凡的,具有巨大的破壞性,但正如烏克蘭人對2015事件的反應所表明的,資產(chǎn)所有者可以并表示愿意快速進入受影響的站點的手動系統(tǒng)操作,以便盡快恢復受影響的服務。如果不考慮實際影響,2016事件的意圖是在CRASHOVERRIDE effects模塊中設(shè)計的更大范圍的中斷,如先前所描述的,目的是在數(shù)百個設(shè)備中引起傳輸服務的非常大范圍的中斷。
僅上述廣泛的影響就使得手動恢復服務(在攻擊按設(shè)計成功的情況下)變得困難,因為操作的設(shè)備數(shù)量眾多。然而,這只是整個攻擊邏輯的一半,從操作和攻擊影響評估來看,使SIPROTEC保護繼電器功能失效的序列事件的最后階段最有趣。在攻擊進展方面,攻擊者在打開系統(tǒng)斷路器并通過雨刮器攻擊移除操作員對系統(tǒng)操作的可見性后,對保護繼電器執(zhí)行拒絕服務(DoS)。一開始從一條未通電的線路上移除保護似乎是荒謬的,因為在這個階段,沒有什么真正需要保護的。但是,真正的影響焦點在于廣泛的輸電中斷,以及根據(jù)之前對烏克蘭恢復運營的觀察得出的假設(shè),即資產(chǎn)所有者將通過手動方式盡快恢復服務,盡管無法看到實際系統(tǒng)狀態(tài)。
攻擊保護繼電器可以很快引起嚴重的后果,包括與電網(wǎng)自保護動作相關(guān)的“孤島”事件,以及由于故障而導致設(shè)備損壞的可能性。然而,在CRASHOVERRIDE場景中,ELECTRUM似乎旨在在物理恢復時為重新連接的輸電線路創(chuàng)造不安全、不穩(wěn)定的條件。在這種情況下,手動關(guān)閉斷路器可能會出現(xiàn)無數(shù)字保護的過電流情況。DoS可執(zhí)行文件CVE-2015-5374中針對的漏洞是功能性DoS,而不是網(wǎng)絡可訪問性DoS。基于此,CRASHOVERRIDE從一個即時中斷事件演變?yōu)橐粋€延遲的潛在物理破壞攻擊。如圖5所示,通過遠程終端單元(RTU)操作的傳輸中斷是最后一個更嚴重的階段的前兆:抑制保護系統(tǒng),因此當恢復服務時,目標電路不再安全,并受到損壞。
圖5:CRASHOVERRIDE攻擊意圖
DoS狀態(tài)將受害者SIPROTEC設(shè)備置于“固件更新”模式。在傳統(tǒng)SIPROTEC設(shè)備(尤其是內(nèi)存)可用資源有限的情況下,觸發(fā)的效果在合法固件更新實例中非常實用和有用。然而,當激活時,受影響的SIPROTEC不再執(zhí)行設(shè)計的保護功能,包括在相關(guān)傳輸線上的過電流保護,即使仍然存在、通電和網(wǎng)絡可訪問?;旧?,接收裝置被放置在不工作的保持模式中以備將來的指示。當在正?;蝾A期操作之外觸發(fā)時,從目標SIPROTEC中繼的角度來看,這是一個任務殺傷。SIPROTEC仍然存在于網(wǎng)絡中,但由于利用漏洞,它不再執(zhí)行預期的功能。其結(jié)果是電力傳輸中的一個未受保護的鏈路,正常的保護措施被禁用。
利用此漏洞的情況是由一個精心編制的UDP數(shù)據(jù)包觸發(fā)的,該數(shù)據(jù)包指向UDP-50000,字節(jié)序列如圖6所示。發(fā)送此序列將使版本4.25之前的SIPROTEC和SIPROTEC Compact設(shè)備進入上一段中描述的非功能待機模式。公開可用的漏洞攻擊框架已經(jīng)包含了這一功能,使得不成熟的實體可以廣泛地訪問它,盡管這是針對較舊的系統(tǒng)版本的。
圖6:西門子SIPROTEC DoS數(shù)據(jù)包示例
盡管ELECTRUM在Ukrenergo網(wǎng)絡中以SIPROTEC設(shè)備為目標的二進制文件中正確地實現(xiàn)了DoS條件,但對方在整個通信實現(xiàn)中犯了編碼錯誤,影響了可執(zhí)行文件的功能。受害者網(wǎng)絡中四個SIPROTEC設(shè)備的特定IP地址可能是在CRASHOVERRIDE事件中使用的DoS二進制文件中硬編碼的。然而,當執(zhí)行時,地址在通信socket創(chuàng)建期間被向后讀取。如圖7所示,特定地址被模糊化。雖然所有設(shè)備與CRASHOVERRIDE操縱傳輸系統(tǒng)的其他控制系統(tǒng)位于同一子網(wǎng)上,socket創(chuàng)建中缺乏endian意識導致了無意義的通信,并使CRASHOVERRIDE中SIPROTEC DoS的精 確實現(xiàn)變得惰性。
圖7:拒絕服務模塊流量的數(shù)據(jù)包捕獲
繼電保護拒絕服務攻擊的含義
評估SIPROTEC設(shè)備本應被禁用時的預期狀態(tài),顯示其意圖令人后怕。這強調(diào)了CRASHOVERRIDE是一個非常嚴重的攻擊,盡管它的目標因之前提到的各種錯誤而失敗。由于ELECTRUM未能禁用受害者現(xiàn)場使用的保護繼電器,也未按預期操作過多的RTU,因此對攻擊者試圖實現(xiàn)的目標是推測性的,但是存在充分的信息來對該組織在2016年的最終目標做出明智的判斷。
ELECTRUM通過邏輯方法斷開斷路器后,使保護設(shè)備失效。攻擊者隨后部署服務擦除和重新映射等措施以抑制邏輯恢復,同時還使各種SCADA設(shè)備無法正常工作,從而消除對傳輸站點的準確理解、診斷和遠程操作。根據(jù)對2015年烏克蘭事件的分析,烏克蘭當局擁有并愿意在電力公司運營出現(xiàn)緊急情況時執(zhí)行手動恢復程序。當處于邏輯失視狀態(tài)時,保護繼電器仍通電且名義上處于激活狀態(tài),但確定其狀態(tài)的功能受到抑制,如果未完全移除,鑒于公用事業(yè)的網(wǎng)絡的總體狀態(tài),其被設(shè)計為一個大規(guī)模的傳輸和控制中斷事件。因此,運營商處于這樣一種情況:他們試圖在降級的運營環(huán)境中盡快將運營恢復到正常狀態(tài),而對該環(huán)境的當前狀態(tài)沒有準確的了解,包括即將恢復的線路上的保護系統(tǒng)的功能。
當輸電設(shè)備在沒有保護繼電器的情況下重新連接到整個電力設(shè)施網(wǎng)絡時,潛在后果的范圍是令人擔憂的,并超出了立即輸電中斷的影響范圍。如果ELECTRUM成功地實現(xiàn)了全面的傳輸中斷,最明顯的影響是設(shè)備在沒有保護的情況下重新連接時電流會急劇升高。這會在重新連接的線路上產(chǎn)生過電流現(xiàn)象,可能(取決于其他備份和物理保護系統(tǒng))對傳輸設(shè)備造成物理損壞??紤]到CRASHOVERRIDE的設(shè)計目的是通過操縱數(shù)百個設(shè)備造成大規(guī)模的傳輸中斷,而手動重接(以比正常SCADA操作可能的速度更慢、更慎重的速度進行)基本上一次只能連接幾條線路,因此在恢復過程中只有少數(shù)重新連接的線路上會出現(xiàn)潛在的過電流現(xiàn)象。通常,這種情況會導致故障,并通過繼電保護恢復。但考慮到攻擊的設(shè)計,這樣的保護被從操作中移除,允許潛在的破壞性場景發(fā)揮出來。通常,這種情況會引起故障但會通過繼電保護恢復。而CRASHOVERRIDE攻擊的設(shè)計是把繼電保護從操作中移除,從而讓潛在的破壞性場景爆發(fā)出來。
值得注意的是,上述內(nèi)容很大程度上代表了ELECTRUM執(zhí)行CRASHOVERRIDE攻擊的意圖,但攻擊者為考慮到這種攻擊在實際操作環(huán)境中是否會成功。各種系統(tǒng)冗余和物理保護機制的存在可能會緩解Ukrenergo現(xiàn)場的潛在破壞性狀況。一般來說,特定地點的影響將取決于一系列其他因素,如冗余繼電器和備用保護裝置的存在和功能,這些因素使從CRASHOVERRIDE到任何傳輸?shù)攸c的推廣難以實現(xiàn)。然而,整個事件序列表明,ELECTRUM方面有非常明確的意圖將目標傳輸站點置于不安全和潛在危險的狀態(tài)??紤]到CRASHOVERRIDE對傳輸操作的預期(如果未實現(xiàn))影響規(guī)模,重新連接時的潛在負載將是巨大的,并且有可能在引起傳輸設(shè)備物理損壞的情況進行修正,因為要修理和更換齒輪從而導致更長時間的中斷。
斷電傳輸,消除過程視圖和控制,禁用保護系統(tǒng),以及知道受害者求助于手動恢復操作,這些都標明這是一個復雜的,多階段的攻擊,其遠不止是在有限的時間內(nèi)中斷電流這么簡單。相反,分析CRASHOVERRIDE攻擊,它的設(shè)計目的將此次攻擊事件從一個邏輯性很強、以網(wǎng)絡為中心的攻擊事件轉(zhuǎn)移到由網(wǎng)絡引發(fā)的、迄今為止只有Stuxnet成功實現(xiàn)的物理破壞事件這個獨特領(lǐng)域。如果CRASHOVERRIDE能達到ELECTRUM預期的效果,基于當前目標傳輸設(shè)備的數(shù)量,潛在的斷電將比2015年更為廣泛。此外,如果在系統(tǒng)恢復之前禁用保護會對傳輸操作造成物理損壞,則電力中斷的持續(xù)時間可能會延長到幾個月或更長。雖然考慮到電力傳輸中的無數(shù)其他控制和保護措施,即使CRASHOVERRIDE按預期工作,其實際效果仍不清楚,但這次攻擊執(zhí)行的步驟順序明顯地表明,與過去的電力服務中斷相比,這是一次更復雜和更令人擔憂的攻擊。
CRASHOVERRIDE作為保護攻擊的經(jīng)驗教訓
多次CRASHOVERRIDE事件分析和各種各樣的與目標相關(guān)的文物表明,ELECTRUM攻擊者的意圖是超過2015年事件的影響,但由于對受害者環(huán)境中的ICS通信協(xié)議的理解或?qū)嵤┎涣Χ?。即使部署的所有項目都按預期進行,電力傳輸和變電站設(shè)計的基本方面也可能會阻止攻擊按預期進行。然而,關(guān)注ELECTRUM的失敗掩蓋了CRASHOVERRIDE背后令人擔憂的意圖。通過對在失去控制和視線攻擊情況下的傳輸中斷進行定時,并禁用受影響電路上的保護繼電器,ELECTRUM意圖產(chǎn)生更為顯著和持久的影響:傳輸設(shè)備的物理退化或破壞,從而產(chǎn)生持續(xù)數(shù)月而不是數(shù)小時的影響。
ELECTRUM的攻擊因各種原因失敗,但這一事件仍然給電力公司運營商提供多個教訓,從發(fā)電到輸電再到配電。運營商必須認識到,攻擊者的能力已經(jīng)遠遠超出了關(guān)閉電源和采用某些機制來延遲恢復這個范圍,而是瞄準了支撐電力公司運營的基本保護系統(tǒng)。這種以保護為中心的攻擊也出現(xiàn)在最近的事件中,如TRISIS。雖然CRASHOVERRIDE和TRISIS在執(zhí)行過程中都失敗了(而且可能都被目標系統(tǒng)內(nèi)的其他安全措施所阻止),但它們表明了攻擊者將ICS環(huán)境中的作戰(zhàn)擴展到潛在的物理破壞性的明確意圖。這類襲擊的影響是重大和嚴重的。在急于恢復CRASHOVERRIDE中的傳輸時,如果攻擊者成功地破壞了保護機制和操作員對保護系統(tǒng)的可見性,操作員可能會無意地啟用物理破壞。
快速準確地診斷ICS影響并有效地響應中斷需要努力提高可見性、監(jiān)控和根本原因的分析能力。在CRASHOVERRIDE的攻擊下,識別斷路器操作與保護繼電器通信的組合可以提醒資產(chǎn)所有者,對手正試圖為潛在的破壞性事件設(shè)置必要的先決條件。這是一個結(jié)合多個觀測值的威脅行為分析的例子,可以用于快速檢測、處理和響應ICS環(huán)境中的事件序列。以這種方式,受害者可以正確地掌握所檢測到的事件序列的范圍和潛在影響,執(zhí)行一個更精確的響應,而不是簡單地匆忙手動恢復操作,反而產(chǎn)生一個不安全的操作環(huán)境。
在更高的層次上,在ICS網(wǎng)絡殺戮事件鏈的范圍內(nèi)有效地檢測或響應CRASHOVERRIDE,這是真正啟用和執(zhí)行攻擊所必需的,從而產(chǎn)生更強的防御能力。以IT為中心的信息強調(diào)了ELECTRUM對控制系統(tǒng)網(wǎng)絡的滲透,與后續(xù)的ICS特定通信可以加速后續(xù)中斷事件的根本原因分析。這也為操作人員提供了足夠的可見性和知識(即使沒有禁用的SCADA設(shè)備),以便將事件識別為跨多個網(wǎng)格操作層的協(xié)調(diào)攻擊。因此,公用事業(yè)可以采取適當?shù)暮蜕髦氐男袆尤ロ憫录⒒謴筒僮?。此外,受害者將掌握有關(guān)入侵和后續(xù)攻擊的全部的知識,以確保完成網(wǎng)絡恢復和補救,以防止?jié)撛诘沫h(huán)境再危害。
最后,資產(chǎn)所有者和運營商可能會低估CRASHOVERRIDE和ELECTRUM的意圖,由于在攻擊實施過程中多次失敗,以及對電力公司運營和安全措施的一些錯誤理解。然而,采取這樣的立場不僅是錯誤的,而且是危險的。從2015年烏克蘭手動事件到自動化程度逐步提高的CRASHOVERRIDE事件,攻擊事件發(fā)出了一個明確的信號,即對手在每次攻擊中都在不斷學習和改進。CRASHOVERRIDE攻擊本身可能沒有達到它的目的,但ELECTRUM組織(和其他攻擊者)將從這次事件中吸取教訓,并適應未來的行動。CRASHOVERRIDE的缺點表明了對ICS網(wǎng)絡進行網(wǎng)絡攻擊以產(chǎn)生物理影響的復雜性,但CRASHOVERRIDE事件的發(fā)生清楚地表明了攻擊者不斷提高攻擊能力的意圖和愿望。ICS資產(chǎn)所有者和運營商必須認真對待此類嘗試,并在攻擊者部署功能齊全、具有ICS意識的攻擊之前部署防御措施。
結(jié)論
CRASHOVERRIDE攻擊是一次失敗的操作,尤其是從相對于2015烏克蘭電力事件的實際影響來看。然而,對這一事件及其影響的進一步分析揭示了比其前身更為復雜、微妙和令人擔憂的攻擊。通過嘗試對傳輸操作、ICS可見性和最終保護離子系統(tǒng)進行多階段操作,ELECTRUM攻擊者試圖為受害者恢復操作時可能發(fā)生的物理破壞事件創(chuàng)建先決條件。雖然對CRASHOVERRIDE成功執(zhí)行時達到的危害只是一個推測,但在分析了攻擊的所有階段后,對手的意圖似乎很明顯,這就為制造不安全的環(huán)境創(chuàng)造了條件,在受害者的傳輸設(shè)備內(nèi)造成潛在破壞性的攻擊。
2016年的受害者逃過了最壞的情況。在未來,電力公司運營商必須了解對手是如何實施這一攻擊的,及其對運營的影響。通過采用一整套攻擊方法來審查ELECTRUM嘗試做什么,ICS資產(chǎn)所有者和運營商可以開始開發(fā)和部署所需的可見性、彈性和響應措施,以應對像CRASHOVERRIDE這樣的攻擊。
致謝
與許多事情一樣,沒有其他人的努力和幫助,這篇論文是不可能產(chǎn)生的。這主要是歸功于Selena Larson,Reid Wightman和Dragos的Nick Tsamis對內(nèi)容和技術(shù)的審查;Schweitzer Engineering Laboratories (SEL) 實驗室的Tim Watkins和Will Edwards對電力系統(tǒng)和保護繼電器理解方面的具體幫助;以及Oak Ridge National Laboratory (ORNL)的Maggie Morganti和Mike Marshall,他們就電力設(shè)施保護系統(tǒng)展開了廣泛的討論。
參考文獻
【1】 CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations – Dragos; Win32/Industroyer: A New Threat for Industrial Control Systems – Anton Cherepanov, ESET
【2】 Anatomy of an Attack: Detecting and Defeating CRASHOVERRIDE – Joe Slowik, Dragos (Virus Bulletin 2018). Dragos WorldView subscribers can review a more in-depth version of this report in TR-2018-19: CRASHOVERRIDE Attack in Review
聯(lián)系地址:山西省太原市綜改示范區(qū)學府園區(qū)長治路227號高新國際B座
郵編:030006
企業(yè)郵箱:sxtk_mail@163.com
電話:400-0351-366 18903512955
版權(quán)所有:山西天科信息安全科技有限公司 備案號:晉ICP備18011408號-1