首次披露！国家级电网险遭大停电，数十处电站通信设备被攻击瘫痪

前情回顾·我怎么被黑的？

• 从瘫痪到恢复：一家老牌医院如何熬过勒索软件攻击后的5个月？

• 因外包人员失误：这家保险巨头内网沦陷、发生严重数据泄露事件

• Okta被黑溯源：系统设计曝重大漏洞，机器账号未做安全防护

• 勒索攻击溯源报告：一个帐号被盗，一个城市政务服务停摆

安全内参1月29日消息，去年12月，波兰电网基础设施遭遇了一次网络攻击，险些引发大规模停电。最新报告显示，黑客对该国不同地区的多处能源设施发动攻击，至少导致约30个站点的通信设备失效。

美国工控安全公司Dragos参与了其中一家受攻击组织的取证调查。Dragos表示，黑客成功禁用了用于监测和控制其他设备的通信系统，这类系统被称为远程终端单元（RTU）。黑客攻击让这些RTU无法运行，且无法修复。不过，在这近30个站点中，此次攻击并未引发停电，也未对发电和输电设备造成其他影响。

Dragos表示，攻击者针对的大多数设备并非直接隶属于控制基础设施，而是与电网安全和稳定性监测相关的系统。尽管它们不是主动的发电控制系统，但在监测功能和维持电网稳定方面仍发挥着重要作用。该公司指出，如果攻击者获得了这些系统的完全运行控制权，可能会造成“显著不同”的影响。

Dragos还表示，此次攻击似乎是“机会主义”的，而非经过充分策划和精准定向的行动。

受影响的站点由多家能源实体负责管理，其中包括2家热电联产电厂，以及多处用于管理风电和光伏等可再生能源调度的设施。Dragos并未披露其调查涉及的是哪一家实体。

同时破坏IT、OT系统以扩大攻击影响

欧洲终端安全厂商ESET上周发布报告披露称，此次攻击涉及一种被称为擦除器（wiper）的恶意软件，其目的是擦除目标设施中IT系统上的文件。不过，目前尚不清楚攻击者是否实际启动了该擦除功能来清除这些系统。

结合Dragos披露的最新情况，可以推断，这是一场多管齐下的网络攻击，同时针对了IT系统和OT（运营技术）系统。IT系统通常是工程师用于监控和管理运行情况的笔记本电脑或台式Windows系统，而OT系统则是工厂或设施中执行实际功能或操作的工业设备。

通过同时攻击IT和OT系统，攻击者不仅能够扰乱运行，还能削弱工程师监控这些功能或恢复运行的能力，从而放大攻击影响。这正是2015年针对乌克兰电网的一次攻击中所发生的情况，而那次攻击被认为同样由袭击波兰的这一组织实施。

在那次行动中，黑客结合了多种手段来扩大停电影响。他们使用脚本断开断路器，引发停电，同时还覆盖了RTU上的固件，使操作人员无法向RTU下达重新接通断路器、恢复供电的指令。他们还擦除了操作人员的IT系统，以制造混乱，使其更难从攻击中恢复并恢复供电。

Dragos表示，波兰此次攻击缺乏这种协调有序的攻击序列，可能是因为黑客攻击的近30个站点中，每一个站点都需要执行不同的人工操作才能产生影响，无法通过单一的自动化工具同时攻击所有站点。

攻击者偏向“机会主义”动机

尽管波兰遭到的这次攻击被发现时，尚未对电网造成任何影响，但波兰当局表示，如果攻击成功，可能会导致多达50万名波兰民众断电。这意味着，如果攻击者操纵或禁用了其已获得访问权限的OT设备，确实有可能引发大规模停电。

Dragos表示，攻击者具备造成比仅仅禁用通信设备更大破坏的能力，但此次攻击看起来更像是机会主义行为，而非精准定向、周密策划的行动。更有可能的是，黑客发现了一些存在漏洞、可以被访问的系统，并对其进行测试和探索，试图了解自己能够做到什么，但缺乏足够的时间和准备来实施更进一步的破坏。如果给予更多时间，攻击者本可以造成更为严重的影响，而他们最终只是利用了当时能够利用的一切。

Dragos写道：“这次行动看起来十分仓促，但无法评估其背后的原因。”

不过，Dragos指出，即便假设攻击者采取了更多行动，由于波兰当前电网的结构方式，此类攻击更可能导致局部停电，而非全国范围内的大规模停电。

Dragos表示，波兰发生的事件是对电网运营商的一次警告：规模较小的可再生能源系统如今也已成为攻击目标。这是首起针对分布式能源资源的重大网络攻击，而这些较小规模的风电、光伏和热电联产设施，正日益成为全球电网的重要组成部分。

沙虫组织被指为幕后黑手

以上信息来自Dragos公司前天（周二）发布的分析报告。据波兰政府及波兰计算机应急响应团队预告，他们将在明天（周五）发布一份包含更多技术细节的报告。

波兰政府已将矛头指向俄罗斯，ESET也以“中等置信度”将此次攻击归因于沙虫（Sandworm）组织。Sandworm是一个与俄罗斯总参谋部情报总局（GRU）相关的黑客组织。Dragos似乎也同意这一判断，不过其使用的名称是Electrum。

Sandworm曾在2015年和2016年对乌克兰电网部分区域发动过多次协同攻击。这些攻击与波兰此次事件存在一些相似之处，但也存在重要差异。

此前的攻击针对的是集中式设施或变电站，这些设施负责控制大范围区域内的能源分配。例如，2015年的攻击针对的是管理跨区域能量流动的配电控制中心，而2016年的攻击则针对了一座输电变电站。相比之下，波兰此次攻击针对的是位于这些设施上游、并向其供能的设备和系统。这类系统数量更多，但各自负责的发电和配电份额较小，因此需要同时攻击更多系统，才能产生显著影响。

然而，由于这些系统具有分布式特性，运营商依赖通过互联网进行远程连接来管理和控制它们，这在潜在上使其可被黑客访问。此外，由于这些系统通常比大型集中式系统获得的安全关注更少，它们也更加脆弱。

边界设备漏洞助长了攻击

Dragos表示，为了接触到RTU，攻击者首先利用了“防火墙等边缘系统”中的漏洞。防火墙作为互联网与其后方设备之间的网关，用于防止未经授权的访问。但波兰的这些防火墙或“边缘系统”存在漏洞，使攻击者能够绕过防护并访问RTU。

Dragos并未说明攻击者利用的漏洞具体性质，例如是否涉及防火墙软件中未打补丁的安全漏洞，或是运营人员在配置中的错误，从而让黑客得以绕过防护。但由于这些设备具有相同的配置或漏洞，攻击者几乎在30个站点中都成功绕过了防护。

运营人员通过单一的SCADA系统使用RTU来管理大量设施。出于效率考虑，资产所有者往往在所有站点部署相同型号、相同配置的RTU，这使攻击者更容易入侵，并设计针对多个RTU的协同攻击。

Dragos指出：“当相同型号的防火墙在多个发电站点部署，并且存在相同的漏洞或配置错误时，单一的利用手段就可能演变为系统级的全面失陷。”

Dragos还指出，攻击者在多个被攻击站点中“未触发检测机制”便成功入侵系统。这一点，加之网络日志记录不足，使得在行动被发现之后，调查人员很难判断攻击者是否曾尝试下达可能影响电力分配的指令。

尽管看起来攻击者并未向RTU及其所控制的设备下达指令，Dragos表示，由于设备和网络日志记录不足，无法确定攻击者是否曾尝试这样做，还是仅仅专注于禁用RTU。

分布式电站被协同攻击极易引发电网故障

波兰与许多国家一样，其部分电力来源于数量众多的小型可再生能源资源，可再生能源约占其发电量的25%。

用于管理这些资源的系统往往在地理上分散于各个地区。针对单个可再生能源设施发动攻击，其影响小于攻击集中式变电站，但Dragos指出，如果攻击者能够操纵这些设施，并对其中许多同时发动协同攻击，仍有可能造成广泛影响。

去年发生在西班牙和葡萄牙的一次停电事件就证明了这一点。当时，涉及可再生能源系统的频率波动导致不稳定，并在伊比利亚电网中引发级联效应。西班牙的这次停电并未被归因于网络攻击，但它展示了当这些分布式系统引发频率波动时，电网其他部分为了平衡供需而进行调整和响应，可能会产生怎样的后果。

Dragos指出，尽管受影响的设施仅占波兰能源供应中的一小部分，但如果这部分发电能力突然且同时丧失，其对电网频率的影响将非常明显，甚至可能引发其他系统的级联故障。这种频率波动在去年的伊比利亚电网崩溃中发挥了作用，也几乎存在于过去10年中大多数重大停电事件之中。

注：奇安信客户如有兴趣，可联系对口销售，免费获取进一步的分析报告，包括原厂商报告全文等。

参考资料：https://www.zetter-zeroday.com/attack-against-polands-grid-disrupted-communication-devices-at-about-30-sites/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。