新研究暗示2016年烏克蘭停電事件背後的潛在原因
據外媒報導,2016年12月,俄羅斯黑客在烏克蘭國家電網運營商Ukrenergo的網絡中植入了一種被稱為Industroyer或Crash Override的惡意軟件。而在聖誕節前兩天的午夜,網絡犯罪分子利用已經部署好的惡意軟件破壞了烏克蘭首都基輔附近一個傳輸站的所有斷路器,從而導致首都大部分地區斷電。
雖然這起網絡攻擊引發了一系列問題,但卻沒有給出明確的答案:首先,這次網絡攻擊的真正動機是什麼?第二,為什麼一個惡意軟件能夠如此強大,它可以瞬間讓整個城市進入黑暗之中,而一個小時後工廠的工人只需要打開斷路器就能修復?
對此,來自工業控制系統網絡安全公司Dragos的研究人員近日發布了一篇論文,他們在文中重建了2016年烏克蘭斷電的時間線,希望能為尋找上述問題的答案獲得一些啟發。在這篇題為《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研究團隊梳理了惡意軟件的代碼並重新訪問了Ukrenergo的網絡日誌。他們得出的結論是,有證據表明,黑客的意圖是造成更大強度的物理破壞,如果沒有幾個月也會將停電時間延長到數週甚至可能危及到現場工廠工人的生命。如果是這樣的話,那麼攻擊基輔電力供應的惡意軟件將只是另外兩種惡意代碼–Stuxnet和Triton的其中一種,這兩種曾分別攻擊過伊朗和沙特阿拉伯。
然而問題的實質則在於細節。文章作者、Dragos分析師Joe Slowik表示:“雖然這最終是一個直接的破壞性事件,但部署的工具和使用它們的順序強烈表明,攻擊者想要做的不僅僅是把燈關掉幾個小時。他們試圖創造條件,對目標傳輸站造成物理破壞。”
更具體一點說,Joe和Dragos給出的理論暗示了黑客利用Crash Override發送自動脈衝來觸發斷路器進而利用由西門子生產的Siprotec保護繼電器的一個已知漏洞。儘管在2015年發布了一個修復上述漏洞的安全補丁,但烏克蘭的許多電網站並沒有更新它們的系統,這就位黑客們打開了一扇門,他們只需要發出一個電脈衝就能讓安全繼電器在休眠狀態下失效。
為了搞明白這點,Dragos搜索了Ukrenergo的日誌並將它所發現的信息的原始線程聯繫起來。他們第一次重構了黑客的操作方式,具體如下:首先,黑客部署了Crash Override;然後他們用它來處罰基輔北部一個電網站的每一個斷路器進而導致大規模停電;一個小時後,他們發射了一個雨刷組件從而使發射站的電腦無法工作並阻止了對發射站數字系統的監控;死後,黑客破壞了該電站的4個Siprotec保護繼電器,從而使電站容易受到危險高頻率電力的影響。
事實上,這一事件並沒有持續到最後。雖然Dragos無法找到黑客計劃失敗的原因,但它懷疑黑客的某些網絡配置錯誤或現場工作人員在發現正在休眠的Siprotec繼電器時做出的快速反應可能是挽救局面的原因。