【猎云网(微信号:ilieyun
)】11月21日报道(编译:田小雪)
编者注:本文作者为 ANDY GREENBERG,外媒科技专栏作家。
2017年,全球各地接连出现了电网黑客事件。在过去四个月中,俄罗斯一黑客团体渗透了一家核电站,并且侵入了美国能源公共事业控制系统。除此之外,另一同样来自俄罗斯的黑客团体,利用新型自动化恶意软件导致乌克兰出现电力中断。就在前不久,北朝鲜黑客团体又蓄意破坏了美国一处能源公共设施。这些事件,我们都能从新闻报道中看到。由此,不少人认为,以往发生概率极低的电网黑客事件,现在几乎每周都有。
然而,虽然电力基础设施被黑威胁的确存在,但不是每次遭遇电网渗透,国家就都必须进入Defcon 1最高战备状态。如若每次都绷紧神经应对这些电网渗透和黑客事件,那就好比用洲际弹道导弹来处理街头斗殴一样小题大做。我们通常所说的能源基础设施遭到破坏所指范围很广,既包括小规模恶意软件攻击,也包括耗费大量时间金钱的国家心血付诸东流。这些事件轻重程度不同,因而产生的影响也不同,有些只是数据被盗,但有些则可能给基础设施带来严重灾难。
Rob Lee是前美国国家安全局(即National Security Agency,简称NSA)分析专家,现在担任核心基础设施安全公司Dragos的负责人。他指出,在过去几年中,黑客已经越来越试图侵入电力资源、水资源和制造业等工业控制系统。不过,对于这些黑客事件具体的数量和频率,我们还是要心里有个数。在全球范围内,Dragos跟踪调查了几百个甚至几千个资金充裕的黑客团体。其中,大约有50个专门以与工业控制系统相关的公司为侵入对象。不过,在这些团体中,只有六七个触及了目标公司所谓的“操作运营”网络,掌握了对这些公司物质基础设施的实际控制权。而在这六七个当中,只有两个真正造成了破坏。其中一个是Equation Group,借助Stuxnet恶意软件破坏了伊朗的核浓缩离心机;另一个是沙虫(Sandworm)团队,是乌克兰电力中断事故的幕后黑手。
所以,当你再听到黑客渗透能源基础设施的新闻报道时,先在脑子里想想这些数字,千万不要不经思索就直接将它们定义为Stuxnet或者Sandworm事件。用Lee的话说:“这是一个存在死亡的世界,如果我们站出来过度宣扬其严重性,那肯定会带来负面影响,说不定就真成严重事件了。”
下面,简单列出了电网黑客事件的三种不同判定等级,以便帮助民众正确理解这些事件的严重性,并且采取适当的应对措施。
(一)网络层面的攻击
每当政府机构或者新闻媒体警告说,有黑客团体对发电站进行破坏时,那么在很大程度上,黑客都没有渗透到对电力掌握实际控制权的系统当中,比如说断路器、发电机和变压器等等。而只是侵入了企业邮件帐户、浏览器和网页服务器这类相对较为边缘的目标系统。
通常情况下,这些电网渗透始于定向钓鱼邮件,或者操控目标用户经常访问的网站,设置恶意圈套,“感染”这些用户。有时候,与传统意义上的罪犯和间谍黑客活动并无多大区别。不过,最为重要的是,他们无法通过某些恶性手段造成负面影响和实际破坏。在一些案例当中,黑客只是想要为未来实施攻击提前做好巡逻准备工作,无论如何都是无法触及实际控制系统的,因而不会对发电或者输电过程产生危害。
举个例子,就在上个月,安全公司FireEye流出了一份报告,引起了民众的警惕甚至恐慌。该报告揭露,来自北朝鲜的黑客团体已经针对美国能源设备设施进行了攻击。随后,安全新闻网站Cyberscoop又出了一份报告,坚持表示该黑客团体至少已经成功渗透了美国某一处能源基础设施。因而,作为回应,FireEye通过一篇博客进行了澄清,指出公司分析人员只是发现了一些浅层次的表面证据,黑客仅仅给目标对象发送了一系列定向钓鱼邮件,遵循的是比较常见的攻击方式,并没有涉及到真正敏感的实际控制系统。
FireEye发布的声明,具体是这样说的:“我们并没有发现任何存在嫌疑的北朝鲜人士,利用任何工具或者方法,来破坏或者操纵专门管理调节电力能源供给的工业控制系统网络。另外,到目前为止,我们也没有找到任何证据,能够证明任何与北朝鲜相关的人士,有能力通过上述方式来实施黑客攻击。”
毫无疑问,北朝鲜确实有对美国电网系统进行牵制、施加影响力的野心。而且,他们已经跨出了第一步,这个事实非常重要,不能忽视。但到目前为止,这些黑客攻击以及其他一些仅仅止步于IT破坏层面的活动,就算是在最坏的情况下,也都只能看作是不好的征兆,而不能放大成迫在眉睫的威胁,认为很快就会出现大规模黑客活动或者可能会带来灾难性的影响。
(二)实际操作方面的攻击
黑客不停在能源公司IT系统周围徘徊,可能会带来一些问题,因此应该给予一定重视。而如果黑客在所谓的操作技术系统周围徘徊,或者某些专家口中的OT系统,那情况就要更加严重了。如果黑客渗透进了OT系统,能够对操作系统进行访问甚至控制,那他们的攻击范围,将会从每家现代企业都有的普通计算机系统,转移到电力设备专门使用的个性化控制系统。要知道,一旦跨过这一步,那么距离恶意操纵物质基础设施也就不远了。
比如,根据Symantec的介绍,在最近发生的一次黑客事件中,一个叫做DragonFly 2.0的黑客团体,就通过不正当方式拿到了对美国多家能源公司的访问权。而这个DragonFly 2.0很有可能就是今年夏天侵入美国一处核能设备设施的俄罗斯黑客团体。他们拿走了电力系统人机界面的截图,或许是想带回去仔细研究,为下一次完整真正的电网黑客攻击做好准备工作。
安全培训组织SANS Institute的电网安全专家兼指导员Mike Assante表示:“如果将各种黑客攻击活动比做梯子,那么网络钓鱼和病毒感染就处在同一层上,都属于比较低级的。但人机界面这个问题,就要再往上一层了。你把北朝鲜的网络钓鱼与Dragonfly 2.0的攻击对比起来看,就能够很清楚地看出来了。”
工业控制系统安全公司Claroty的联合创始人Galina Antova介绍说,从理论上来说,OT系统与IT系统二者之间,不存在任何网络连接。但是,核电站比较特殊。尽管它们严格限制自己的操作系统与外界网络连接,但事实上这之间的缝隙通常都是可以渗透的。她表示,Claroty从来没有对某一工业控制设施的各项设置进行过分析,也从来没有找到过某一“狭小”通道进入OT系统。但如果把所有网络都测画出来,那就能够看到数个从IT系统到OT系统的通道。
但对于这样一种观点,Dragos公司的Lee却不赞同。他认为,在现实生活中,只有极少数黑客能够成功穿过二者之间的缝隙,所以上述情形出现的可能性非常小。在某种程度上,这是因为IT系统大多是标准的,而OT系统则是具体且深奥的,所以相对来说没有那么熟悉。Lee表示:“针对IT系统,他们可以接受特定培训并且不断练习。只要这样,就完全能够攻击IT网络。但OT系统就不一样了,他们必须要了解具体的设备和设置,才能够操控OT网络。”
(三)协同攻击
Lee指出,就算黑客直接“把手放在开关上”去访问或者操控电网控制系统,那么保证较高的访问效率,还是一个大难题。用他的话说,虽然这个步骤看上去简单,但其实,按下开关之前的所有动作,都只属于准备阶段,仅仅代表黑客20%的工作量。
除了设备设施在设置上比较晦涩难懂以外,实际操作过程也是需要专业知识和技能作为支撑的。另外,还要花上几个月的时间去获取资源,并且对这些资源加以充分利用,做好充足的准备工作,并不是打开断路器让它停电这么简单。甚至在黑客拿到这些控制系统的访问权之后,也还不能保证它彻底断电。没错,他们是可以关掉其中一些断路器,但关掉之后会发生什么,却一无所知。或许,他们会受到安全系统的阻碍。总之,一切皆有可能。
2015年末,在乌克兰发生的断电事件,是至今为止唯一一起明确由黑客所为的攻击事件。他们通过远程访问并且控制配电站的控制系统,在该国三处不同电力设施场所同时打开了数十个断路器。而在许多其他案例中,都是直接攻击电站操作员的鼠标。相关分析人员认为,对于这样一起黑客攻击事件,可能需要好几个月的计划准备工作,并且需要团队中的几十位成员之间保证高效协作。
作为黑客,他们必须要在断电的范围和时长之间做出选择。如果他们想要让整个东部地区都断电,那所需要的资源量将会呈几何级增长。而如果他们想要断电一个星期,那所需要的资源量,将会在上述几何级增长的基础之上继续呈几何级增长。
目前看来,有些电网黑客似乎真在计划规模更大、破坏力更强的攻击行动。乌克兰的第二次断电事件,使用的是一款叫做Crash Override或者Industroyer的恶意软件。该软件能够实现向电网设备发送破坏命令这一过程的自动化,并且适用于不同国家的电网系统设置,因此可以用来攻击的目标范围就更广。
当然了,虽然这种极度先进的电网恶意攻击软件着实让人头疼,但它们出现的概率还是比较低的。在黑天鹅恶意软件和诸多以定向网络钓鱼为主的电网渗透事件之间,还是存在较大缺口的。总之一句话,即便电网黑客攻击是一个棘手的问题,但是合理认识不同类型攻击事件之间的差别,才能帮助我们更好地采取应对措施。
