熱線電(diàn)話(huà):
400-0351-366
轉載 首次針對(duì)繼電(diàn)保護裝置的(de)網絡攻擊——2016年(nián)烏克蘭電(diàn)力事(shì)件(jiàn)再分析
編輯:2022-12-13 11:08:04
摘要
在2017年(nián)發現(xiàn)并初步分析後,大衆将CRASHOVERRIDE視(shì)為(wèi)針對(duì)烏克蘭電(diàn)力公司運營的(de)颠覆性破壞事(shì)件(jiàn)。與2015年(nián)發生(shēng)在該地(dì)區(qū)的(de)攻擊類似,CRASHOVERRIDE通(tōng)過操縱工(gōng)業(yè)控制系統(ICS)中斷了電(diàn)力供應并延遲恢複操作(zuò)來(lái)延長(cháng)沖擊時(shí)間(jiān)。然而,CRASHOVERRIDE事(shì)件(jiàn)隻是一個(gè)野心勃勃的(de)攻擊計(jì)劃的(de)冰山一角,而不是其預期目的(de)。除了電(diàn)力中斷的(de)範圍顯著擴大外(wài),CRASHOVERRIDE還(hái)試圖通(tōng)過拒絕服務(DoS)攻擊目标操作(zuò)中涉及的(de)繼電(diàn)保護裝置,這(zhè)與2015年(nián)的(de)攻擊事(shì)件(jiàn)大不相(xiàng)同。雖然此次攻擊行動失敗了,但(dàn)這(zhè)一行動背後最可能的(de)意圖及其對(duì)電(diàn)力公司運營和(hé)保護的(de)影響卻很(hěn)少受到關注或分析。即使實際執行失敗,本文(wén)将重新分析2016年(nián)這(zhè)一次的(de)CRASHOVERRIDE事(shì)件(jiàn)和(hé)其可能的(de)攻擊意圖。
引言
在2017年(nián)年(nián)中的(de)公開(kāi)報告中,一些分析師(shī)稱CRASHOVERRIDE(也稱Industroyer)是自(zì)Stuxnet以來(lái)對(duì)工(gōng)業(yè)控制系統最 大的(de)威脅。然後,從(cóng)受影響的(de)客戶數量和(hé)持續時(shí)間(jiān)來(lái)看(kàn),此次事(shì)件(jiàn)的(de)初步影響比2015年(nián)烏克蘭電(diàn)力事(shì)件(jiàn)的(de)影響要小(xiǎo)。但(dàn)是,技(jì)術上(shàng)卻比2015年(nián)的(de)烏克蘭斷電(diàn)更為(wèi)複雜(zá),原因是工(gōng)業(yè)控制系統(ICS)的(de)惡意操作(zuò)由程序完成,而不是通(tōng)過與系統的(de)手動交互進行部署,表面上(shàng)出現(xiàn)故障或缺乏重大影響使一些人(rén)忽視(shì)了CRASHOVERRIDE的(de)嚴重性或重要性。就所取得的(de)影響和(hé)效果而言,CRASHOVERRIDE事(shì)件(jiàn)比2015的(de)斷電(diàn)程度低(dī)。然而,在野心和(hé)意圖方面,CRASHOVERRIDE試圖獲得比2015年(nián)更大和(hé)更嚴重的(de)影響。根據對(duì)各種有(yǒu)效載荷的(de)分析,CRASHOVERRIDE試圖造成比2015年(nián)更廣泛的(de)停電(diàn),并将潛在的(de)破壞性事(shì)件(jiàn)作(zuò)為(wèi)攻擊序列的(de)最後一步。盡管對(duì)CRASHOVERRIDE表面上(shàng)分析得很(hěn)透徹,包括在Black Hat等活動上(shàng)的(de)公開(kāi)演講,其背後的(de)重大影響,特别是其預期的(de)範圍和(hé)潛在的(de)結果,在很(hěn)大程度上(shàng)仍然被忽視(shì)。在本文(wén)中,我們将從(cóng)不同的(de)角度來(lái)探讨CRASHOVERRIDE事(shì)件(jiàn)。我們不再關注2016年(nián)12月(yuè)CRASHOVERRIDE事(shì)件(jiàn)後在Ukrenergo“北”站發生(shēng)的(de)事(shì)情,而将探讨攻擊者ELECTRUM,在給定受害者環境中部署的(de)軟件(jiàn)的(de)設計(jì)和(hé)配置的(de)情況下(xià),可能尋求實現(xiàn)的(de)目标。攻擊者在設計(jì)和(hé)部署CRASHOVERRIDE和(hé)相(xiàng)關的(de)模塊時(shí)犯了許多錯(cuò)誤。然而,這(zhè)一攻擊的(de)範圍和(hé)含義引起了電(diàn)力公司經營者的(de)深切關注。通(tōng)過探索和(hé)理(lǐ)解CRASHOVERRIDE試圖但(dàn)最終未能實現(xiàn)的(de)目标,相(xiàng)關ICS資産所有(yǒu)者和(hé)運營商可以準備更好(hǎo)的(de)手段來(lái)預防未來(lái)的(de)攻擊,并防止潛在的(de)破壞性結果。
回顧CRASHOVERRIDE事(shì)件(jiàn)
有(yǒu)幾個(gè)報告回顧了CRASHOVERRIDE事(shì)件(jiàn):從(cóng)以惡意軟件(jiàn)為(wèi)中心的(de)模塊化(huà)ICS操作(zuò)框架分析[1]到導緻CRASHOVERRIDE部署和(hé)後續操作(zuò)的(de)入侵生(shēng)命周期概述[2]。圖1提供了CRASHOVERRIDE執行的(de)流程。每一份報告及其分析主要集中在Ukrenergo“北部”變電(diàn)站事(shì)件(jiàn)後的(de)觀察項目上(shàng)。雖然這(zhè)種分析是針對(duì)觀察到的(de)事(shì)件(jiàn)進行的(de),但(dàn)其忽略了攻擊者在這(zhè)次攻擊中雖然未能成功執行但(dàn)可能試圖實現(xiàn)的(de)目标。
圖1:CRASHOVERRIDE事(shì)件(jiàn)的(de)攻擊流程
CRASHOVERRIDE影響了電(diàn)力傳輸運營,導緻烏克蘭基輔停電(diàn)約一小(xiǎo)時(shí),規模和(hé)持續時(shí)間(jiān)都(dōu)明(míng)顯小(xiǎo)于2015年(nián)的(de)襲擊。2015年(nián)的(de)事(shì)件(jiàn)是通(tōng)過人(rén)工(gōng)操作(zuò)控制系統,通(tōng)過遠(yuǎn)程登錄來(lái)操縱工(gōng)控系統工(gōng)作(zuò)站,2016年(nián)的(de)事(shì)件(jiàn)卻利用CRASHOVERRIDE框架對(duì)軟件(jiàn)中的(de)ICS系統操作(zuò)進行編碼。這(zhè)個(gè)操作(zuò)代表了攻擊者tradecraft的(de)一個(gè)重大改進,在軟件(jiàn)中對(duì)ICS攻擊進行編碼,使得攻擊的(de)規模遠(yuǎn)遠(yuǎn)大于手動交互系統。回顧日(rì)志(zhì)數據和(hé)其他(tā)與CRASHOVERRIDE事(shì)件(jiàn)相(xiàng)關的(de)數據顯示,攻擊的(de)預期規模遠(yuǎn)遠(yuǎn)大于2015,但(dàn)最終實現(xiàn)的(de)攻擊規模遠(yuǎn)遠(yuǎn)沒有(yǒu)達到攻擊者的(de)預期。
将跨多個(gè)通(tōng)信協議(yì)IEC-101、IEC-104、IEC-61850和(hé)OPC DA的(de)電(diàn)力傳輸控制系統作(zuò)為(wèi)攻擊目标,CRASHOVERRIDE有(yǒu)一個(gè)非常簡單而有(yǒu)效的(de)操作(zuò)目标:将斷路(lù)器(qì)和(hé)相(xiàng)關設備的(de)物(wù)理(lǐ)狀态從(cóng)“閉合”(允許電(diàn)力流動)改為(wèi)“打開(kāi)……”。CRASHOVERRIDE的(de)效果有(yǒu)些變化(huà),其包含直接改變潮流或“strobing”的(de)選項,即在打開(kāi)和(hé)關閉狀态之間(jiān)連續切換。然而,在受害者的(de)環境中似乎隻使用了立即的(de)“打開(kāi)”和(hé)“關閉”效果。
雖然在功能上(shàng)看(kàn)起來(lái)是一個(gè)簡單的(de)“開(kāi)-關”按鈕,但(dàn)是為(wèi)了實現(xiàn)成功的(de)通(tōng)信和(hé)狀态更改,這(zhè)些标準的(de)實現(xiàn)不僅僅是直接地(dì)、一步地(dì)從(cóng)一個(gè)邏輯狀态轉換到另一個(gè)邏輯狀态。要實現(xiàn)對(duì)目标RTU或其他(tā)系統的(de)實際物(wù)理(lǐ)操作(zuò),需要遵循離散的(de)、必需的(de)步驟進行邏輯消息傳遞。準确理(lǐ)解特定協議(yì)以及供應商對(duì)協議(yì)的(de)實際實現(xiàn)需要知道(dào)給定協議(yì)通(tōng)信的(de)“狀态性”,以便進行适當的(de)交互。
計(jì)算(suàn)機(jī)科(kē)學包括編程和(hé)通(tōng)信的(de)有(yǒu)狀态性概念,而協議(yì)可以是有(yǒu)狀态的(de),也可以是無狀态的(de)。有(yǒu)狀态協議(yì)用于記錄或考慮通(tōng)信流中的(de)前一個(gè)事(shì)件(jiàn),而無狀态事(shì)件(jiàn)可以忽略或不需要考慮這(zhè)些項。例如,帶有(yǒu)握手和(hé)會話(huà)管理(lǐ)的(de)TCP協議(yì)代表一個(gè)有(yǒu)狀态協議(yì),而UDP流本質上(shàng)是無狀态的(de)。
CRASHOVERRIDE是基于一個(gè)半模塊化(huà)的(de)結構,不同的(de)effects模塊執行特定的(de)協議(yì)通(tōng)信,通(tōng)常由一個(gè)通(tōng)用的(de)發射器(qì)執行。基于CRASHOVERRIDE的(de)effects模塊的(de)實現(xiàn),開(kāi)發人(rén)員(yuán)要麽不知道(dào),要麽未能在其軟件(jiàn)中為(wèi)特定的(de)ICS通(tōng)信協議(yì)實現(xiàn)适當的(de)狀态通(tōng)信。盡管這(zhè)潛在地(dì)表明(míng)對(duì)目标系統和(hé)底層協議(yì)的(de)測試或理(lǐ)解不好(hǎo),但(dàn)考慮到複雜(zá)系統和(hé)供應商對(duì)更通(tōng)用協議(yì)标準的(de)不同實現(xiàn),此類錯(cuò)誤并不罕見或獨特。此錯(cuò)誤的(de)一種可能是測試環境。軟件(jiàn)中的(de)協議(yì)仿真器(qì)(如公共可用的(de)IEC服務器(qì)項目)不強制執行狀态和(hé)相(xiàng)關的(de)通(tōng)信超時(shí)。物(wù)理(lǐ)硬件(jiàn)将根據相(xiàng)關通(tōng)信标準的(de)供應商來(lái)使用這(zhè)些項。由于設備限制、錯(cuò)誤或完全無知,在CRASHOVERRIDE執行的(de)受害者環境中,實際的(de)接收系統要麽由于狀态标準的(de)不正确實現(xiàn)而拒絕無效的(de)通(tōng)信,要麽由于類似的(de)原因而忽略。其影響可與無效TCP握手協議(yì)相(xiàng)比較,從(cóng)而導緻實際通(tōng)信的(de)缺失。
回顧CRASHOVERRIDE事(shì)件(jiàn)的(de)意圖是很(hěn)重要的(de)。當審查受害者環境中的(de)預定目标時(shí),确定用于操縱的(de)控制系統的(de)數量比實際停機(jī)的(de)數量大,範圍更廣。根據事(shì)件(jiàn)中的(de)可用數據,至少有(yǒu)七個(gè)OPC服務器(qì)(每個(gè)服務器(qì)都(dōu)有(yǒu)多個(gè)受管理(lǐ)的(de)OPC實例)以及至少八個(gè)IEC-101控制器(qì)和(hé)400多個(gè)IEC-104通(tōng)信控制點成為(wèi)目标。此外(wài),所有(yǒu)觀察到的(de)基于IEC-61850攻擊模塊的(de)實例都(dōu)掃描了适用主機(jī)的(de)本地(dì)子(zǐ)網,并嘗試對(duì)所有(yǒu)子(zǐ)網進行中斷,目标數量基本上(shàng)等于受影響子(zǐ)網上(shàng)此類設備的(de)數量。基于這(zhè)一信息和(hé)目标意圖,CRASHOVERRIDE試圖在數百個(gè)單獨的(de)控制系統中進行大範圍停電(diàn),目的(de)是造成比2015年(nián)事(shì)件(jiàn)大一個(gè)數量級的(de)破壞性影響。
本質上(shàng)講:ELECTRUM試圖通(tōng)過CRASHOVERRIDE操縱多個(gè)系統,造成廣泛的(de)電(diàn)力傳輸中斷。然而,在涉及控制操作(zuò)的(de)所有(yǒu)四個(gè)協議(yì)和(hé)所有(yǒu)相(xiàng)關系統中,實際停電(diàn)的(de)影響相(xiàng)對(duì)較小(xiǎo)并且快速恢複,這(zhè)主要是由于Ukrenergo能夠手動重新閉合受影響的(de)斷路(lù)器(qì)。基于其視(shì)圖攻擊的(de)範圍和(hé)目标,CRASHOVERRIDE的(de)實際影響可以判斷為(wèi)一個(gè)失敗。
然而,僅僅是在ELECTRUM未能成功執行廣泛的(de)傳輸中斷時(shí)停止進一步分析,就忽略了其嘗試中斷操作(zuò)後的(de)幾個(gè)有(yǒu)趣的(de)元素。與2015年(nián)事(shì)件(jiàn)類似,CRASHOVERRIDE部署了一個(gè)雨刮器(qì)模塊,以阻止恢複,并删除配置和(hé)相(xiàng)關文(wén)件(jiàn),以阻止受感染的(de)SCADA系統恢複。這(zhè)部分攻擊似乎已成功執行,并導緻操作(zuò)員(yuán)失去(qù)對(duì)環境中ICS操作(zuò)的(de)控制和(hé)查看(kàn)。這(zhè)是一個(gè)非常重要的(de)影響,因為(wèi)它限制了遠(yuǎn)程操作(zuò)和(hé)協調的(de)靈活性,同時(shí)由于操作(zuò)中的(de)遠(yuǎn)程視(shì)圖丢失,可能會掩蓋傳輸環境中的(de)一些微(wēi)妙的(de)問(wèn)題。
在上(shàng)述雨刮器(qì)模塊的(de)影響後,緊接着是一個(gè)有(yǒu)趣的(de)步驟,其在最初的(de)分析中被忽略了:在操作(zuò)環境中使用四個(gè)西(xī)門子(zǐ)SIPROTEC保護繼電(diàn)器(qì)的(de)一個(gè)公開(kāi)的(de)漏洞嘗試拒絕服務攻擊。此時(shí),ELECTRUM的(de)攻擊序列試圖切斷傳輸設備的(de)電(diàn)源,對(duì)控制該設備的(de)SCADA系統造成失去(qù)控制和(hé)失去(qù)視(shì)線的(de)影響,然後消除斷電(diàn)傳輸線上(shàng)的(de)繼電(diàn)保護。鑒于Ukrenergo采用手動恢複操作(zuò)的(de)能力和(hé)意願,在無法完全了解ICS環境狀态的(de)情況下(xià),CRASHOVERRIDE從(cóng)電(diàn)力傳輸的(de)即時(shí)中斷升級為(wèi)手動恢複服務時(shí)的(de)不穩定或不安全的(de)系統狀态。要分析和(hé)理(lǐ)解2016年(nián)烏克蘭事(shì)件(jiàn)的(de)影響和(hé)重要性,必須了解保護繼電(diàn)器(qì)及其在電(diàn)力運行中的(de)作(zuò)用。
電(diàn)力設施運行中的(de)保護繼電(diàn)器(qì)
保護繼電(diàn)器(qì)在電(diàn)力設施運行中起着至關重要的(de)作(zuò)用。保護繼電(diàn)器(qì)使用先進的(de)算(suàn)法保護傳輸或發電(diàn)設備免受有(yǒu)害條件(jiàn)的(de)影響。最終,“繼電(diàn)保護的(de)功能是當電(diàn)力系統的(de)任何元件(jiàn)發生(shēng)短路(lù)時(shí),立即停止運行,或當它開(kāi)始以任何可能形式導緻損壞或以其他(tā)方式幹擾系統其他(tā)部分有(yǒu)效運行時(shí),立即停止運行”。在下(xià)圖2中, 相(xiàng)對(duì)于發電(diàn)、輸電(diàn)和(hé)配電(diàn)操作(zuò)中的(de)位置,繼電(diàn)器(qì)位置被突出顯示。
圖2:與電(diàn)力操作(zuò)相(xiàng)關的(de)保護繼電(diàn)器(qì)位置概述
保護繼電(diàn)器(qì)用于動态監測電(diàn)力系統,并在檢測到故障時(shí)清除或減輕系統故障。現(xiàn)代的(de)數字保護繼電(diàn)器(qì)系統可以執行各種診斷和(hé)監測功能。它們識别從(cóng)電(diàn)流到電(diàn)壓到頻(pín)率的(de)項目,保護電(diàn)力系統不受異常、潛在破壞行為(wèi)的(de)影響,同時(shí)向最終用戶提供輸出和(hé)反饋。圖3顯示了該流程。數字繼電(diàn)器(qì)的(de)關鍵是能夠在難以置信的(de)小(xiǎo)時(shí)間(jiān)增量內(nèi)精 确地(dì)執行正确的(de)動作(zuò),以保持受保護系統的(de)完整性。
圖3:保護繼電(diàn)器(qì)視(shì)圖
數字保護繼電(diàn)器(qì)通(tōng)過不利但(dàn)定期觀察的(de)波動參數确保電(diàn)網穩定。在發生(shēng)直接的(de)、即時(shí)的(de)事(shì)件(jiàn)或攻擊時(shí),數字中繼通(tōng)過将設備從(cóng)整體(tǐ)-現(xiàn)在已被破壞的(de)系統中分離來(lái)确保恢複能力。電(diàn)力傳輸(繼電(diàn)器(qì)保護和(hé)規範流向變壓器(qì)和(hé)相(xiàng)關設備的(de)電(diàn)流)和(hé)發電(diàn)(繼電(diàn)器(qì)防止包括旋轉頻(pín)率在內(nèi)的(de)多個(gè)因素中的(de)電(diàn)位波動)都(dōu)有(yǒu)特定的(de)繼電(diàn)器(qì)技(jì)術。保護繼電(diàn)器(qì)應用的(de)例子(zǐ)包括發電(diàn)資産的(de)相(xiàng)距保護;在斷路(lù)器(qì)故障時(shí)啓動保護;變壓器(qì)和(hé)輸電(diàn)系統協調以防止過電(diàn)流條件(jiàn);保護發電(diàn)機(jī)資産免受頻(pín)率異常的(de)影響。
考慮到各個(gè)現(xiàn)場(chǎng)的(de)保護行動,受保護資産和(hé)電(diàn)網組件(jiàn)之間(jiān)的(de)協調是必要的(de),以确保整個(gè)系統的(de)穩定性。當保護繼電(diàn)器(qì)工(gōng)作(zuò)以隔離傳輸或發電(diàn)中的(de)損壞時(shí),在電(diàn)力系統應力或分布式中斷期間(jiān),這(zhè)種自(zì)動響應可産生(shēng)正反饋回路(lù),導緻廣泛的(de)錯(cuò)位。在這(zhè)些極端情況下(xià),無論電(diàn)網保護機(jī)制如何,都(dōu)可能産生(shēng)廣泛的(de)影響,例如2003年(nián)的(de)美(měi)加電(diàn)力事(shì)件(jiàn)和(hé)2003年(nián)的(de)意大利大停電(diàn)。在這(zhè)些情況下(xià),壓力系統中的(de)網絡效應會導緻大範圍的(de)中斷,盡管這(zhè)種中斷具有(yǒu)破壞性,但(dàn)比過載或其他(tā)應力設備的(de)物(wù)理(lǐ)損壞可能導緻的(de)設備和(hé)容量的(de)潛在損失更可取。
為(wèi)了強調繼電(diàn)器(qì)故障時(shí)會發生(shēng)什麽,2019年(nián)7月(yuè)影響紐約市(shì)的(de)停電(diàn)源于一次和(hé)二次繼電(diàn)器(qì)未能隔離故障線路(lù),影響變電(diàn)站的(de)配電(diàn)故障。系統傳感器(qì)和(hé)常駐繼電(diàn)器(qì)之間(jiān)的(de)接線不當導緻繼電(diàn)器(qì)無法對(duì)故障情況做出響應。在這(zhè)種情況下(xià),保護系統的(de)故障會造成特定站點的(de)物(wù)理(lǐ)損壞,以及造成數千用戶的(de)計(jì)劃外(wài)停機(jī)。如果繼電(diàn)器(qì)正常工(gōng)作(zuò),故障線路(lù)将被隔離并斷電(diàn),從(cóng)而保持變電(diàn)站其餘部分的(de)功能。最終,當适當控制和(hé)實施時(shí),保護繼電(diàn)器(qì)可以确保電(diàn)力服務的(de)穩定性,并保護實物(wù)資産不受各種自(zì)然或非自(zì)然波動的(de)影響。
後CRASHOVERRIDE效應
在中斷受害者環境中的(de)電(diàn)流後,CRASHOVERRIDE會導緻能見度下(xià)降和(hé)失控。如圖4所示。
圖4:CRASHOVERRIDE中斷後效果
乍一看(kàn),上(shàng)述序列事(shì)件(jiàn)的(de)影響主要體(tǐ)現(xiàn)在服務恢複,操作(zuò)SCADA/DCS設備以禁止重新啓動和(hé)控制,并删除配置文(wén)件(jiàn)以拒絕快速恢複。這(zhè)一系列事(shì)件(jiàn)是非平凡的(de),具有(yǒu)巨大的(de)破壞性,但(dàn)正如烏克蘭人(rén)對(duì)2015事(shì)件(jiàn)的(de)反應所表明(míng)的(de),資産所有(yǒu)者可以并表示願意快速進入受影響的(de)站點的(de)手動系統操作(zuò),以便盡快恢複受影響的(de)服務。如果不考慮實際影響,2016事(shì)件(jiàn)的(de)意圖是在CRASHOVERRIDE effects模塊中設計(jì)的(de)更大範圍的(de)中斷,如先前所描述的(de),目的(de)是在數百個(gè)設備中引起傳輸服務的(de)非常大範圍的(de)中斷。
僅上(shàng)述廣泛的(de)影響就使得手動恢複服務(在攻擊按設計(jì)成功的(de)情況下(xià))變得困難,因為(wèi)操作(zuò)的(de)設備數量衆多。然而,這(zhè)隻是整個(gè)攻擊邏輯的(de)一半,從(cóng)操作(zuò)和(hé)攻擊影響評估來(lái)看(kàn),使SIPROTEC保護繼電(diàn)器(qì)功能失效的(de)序列事(shì)件(jiàn)的(de)最後階段最有(yǒu)趣。在攻擊進展方面,攻擊者在打開(kāi)系統斷路(lù)器(qì)并通(tōng)過雨刮器(qì)攻擊移除操作(zuò)員(yuán)對(duì)系統操作(zuò)的(de)可見性後,對(duì)保護繼電(diàn)器(qì)執行拒絕服務(DoS)。一開(kāi)始從(cóng)一條未通(tōng)電(diàn)的(de)線路(lù)上(shàng)移除保護似乎是荒謬的(de),因為(wèi)在這(zhè)個(gè)階段,沒有(yǒu)什麽真正需要保護的(de)。但(dàn)是,真正的(de)影響焦點在于廣泛的(de)輸電(diàn)中斷,以及根據之前對(duì)烏克蘭恢複運營的(de)觀察得出的(de)假設,即資産所有(yǒu)者将通(tōng)過手動方式盡快恢複服務,盡管無法看(kàn)到實際系統狀态。
攻擊保護繼電(diàn)器(qì)可以很(hěn)快引起嚴重的(de)後果,包括與電(diàn)網自(zì)保護動作(zuò)相(xiàng)關的(de)“孤島”事(shì)件(jiàn),以及由于故障而導緻設備損壞的(de)可能性。然而,在CRASHOVERRIDE場(chǎng)景中,ELECTRUM似乎旨在在物(wù)理(lǐ)恢複時(shí)為(wèi)重新連接的(de)輸電(diàn)線路(lù)創造不安全、不穩定的(de)條件(jiàn)。在這(zhè)種情況下(xià),手動關閉斷路(lù)器(qì)可能會出現(xiàn)無數字保護的(de)過電(diàn)流情況。DoS可執行文(wén)件(jiàn)CVE-2015-5374中針對(duì)的(de)漏洞是功能性DoS,而不是網絡可訪問(wèn)性DoS。基于此,CRASHOVERRIDE從(cóng)一個(gè)即時(shí)中斷事(shì)件(jiàn)演變為(wèi)一個(gè)延遲的(de)潛在物(wù)理(lǐ)破壞攻擊。如圖5所示,通(tōng)過遠(yuǎn)程終端單元(RTU)操作(zuò)的(de)傳輸中斷是最後一個(gè)更嚴重的(de)階段的(de)前兆:抑制保護系統,因此當恢複服務時(shí),目标電(diàn)路(lù)不再安全,并受到損壞。
圖5:CRASHOVERRIDE攻擊意圖
DoS狀态将受害者SIPROTEC設備置于“固件(jiàn)更新”模式。在傳統SIPROTEC設備(尤其是內(nèi)存)可用資源有(yǒu)限的(de)情況下(xià),觸發的(de)效果在合法固件(jiàn)更新實例中非常實用和(hé)有(yǒu)用。然而,當激活時(shí),受影響的(de)SIPROTEC不再執行設計(jì)的(de)保護功能,包括在相(xiàng)關傳輸線上(shàng)的(de)過電(diàn)流保護,即使仍然存在、通(tōng)電(diàn)和(hé)網絡可訪問(wèn)。基本上(shàng),接收裝置被放(fàng)置在不工(gōng)作(zuò)的(de)保持模式中以備将來(lái)的(de)指示。當在正常或預期操作(zuò)之外(wài)觸發時(shí),從(cóng)目标SIPROTEC中繼的(de)角度來(lái)看(kàn),這(zhè)是一個(gè)任務殺傷。SIPROTEC仍然存在于網絡中,但(dàn)由于利用漏洞,它不再執行預期的(de)功能。其結果是電(diàn)力傳輸中的(de)一個(gè)未受保護的(de)鏈路(lù),正常的(de)保護措施被禁用。
利用此漏洞的(de)情況是由一個(gè)精心編制的(de)UDP數據包觸發的(de),該數據包指向UDP-50000,字節序列如圖6所示。發送此序列将使版本4.25之前的(de)SIPROTEC和(hé)SIPROTEC Compact設備進入上(shàng)一段中描述的(de)非功能待機(jī)模式。公開(kāi)可用的(de)漏洞攻擊框架已經包含了這(zhè)一功能,使得不成熟的(de)實體(tǐ)可以廣泛地(dì)訪問(wèn)它,盡管這(zhè)是針對(duì)較舊(jiù)的(de)系統版本的(de)。
圖6:西(xī)門子(zǐ)SIPROTEC DoS數據包示例
盡管ELECTRUM在Ukrenergo網絡中以SIPROTEC設備為(wèi)目标的(de)二進制文(wén)件(jiàn)中正确地(dì)實現(xiàn)了DoS條件(jiàn),但(dàn)對(duì)方在整個(gè)通(tōng)信實現(xiàn)中犯了編碼錯(cuò)誤,影響了可執行文(wén)件(jiàn)的(de)功能。受害者網絡中四個(gè)SIPROTEC設備的(de)特定IP地(dì)址可能是在CRASHOVERRIDE事(shì)件(jiàn)中使用的(de)DoS二進制文(wén)件(jiàn)中硬編碼的(de)。然而,當執行時(shí),地(dì)址在通(tōng)信socket創建期間(jiān)被向後讀取。如圖7所示,特定地(dì)址被模糊化(huà)。雖然所有(yǒu)設備與CRASHOVERRIDE操縱傳輸系統的(de)其他(tā)控制系統位于同一子(zǐ)網上(shàng),socket創建中缺乏endian意識導緻了無意義的(de)通(tōng)信,并使CRASHOVERRIDE中SIPROTEC DoS的(de)精 确實現(xiàn)變得惰性。
圖7:拒絕服務模塊流量的(de)數據包捕獲
繼電(diàn)保護拒絕服務攻擊的(de)含義
評估SIPROTEC設備本應被禁用時(shí)的(de)預期狀态,顯示其意圖令人(rén)後怕。這(zhè)強調了CRASHOVERRIDE是一個(gè)非常嚴重的(de)攻擊,盡管它的(de)目标因之前提到的(de)各種錯(cuò)誤而失敗。由于ELECTRUM未能禁用受害者現(xiàn)場(chǎng)使用的(de)保護繼電(diàn)器(qì),也未按預期操作(zuò)過多的(de)RTU,因此對(duì)攻擊者試圖實現(xiàn)的(de)目标是推測性的(de),但(dàn)是存在充分的(de)信息來(lái)對(duì)該組織在2016年(nián)的(de)最終目标做出明(míng)智的(de)判斷。
ELECTRUM通(tōng)過邏輯方法斷開(kāi)斷路(lù)器(qì)後,使保護設備失效。攻擊者随後部署服務擦除和(hé)重新映射等措施以抑制邏輯恢複,同時(shí)還(hái)使各種SCADA設備無法正常工(gōng)作(zuò),從(cóng)而消除對(duì)傳輸站點的(de)準确理(lǐ)解、診斷和(hé)遠(yuǎn)程操作(zuò)。根據對(duì)2015年(nián)烏克蘭事(shì)件(jiàn)的(de)分析,烏克蘭當局擁有(yǒu)并願意在電(diàn)力公司運營出現(xiàn)緊急情況時(shí)執行手動恢複程序。當處于邏輯失視(shì)狀态時(shí),保護繼電(diàn)器(qì)仍通(tōng)電(diàn)且名義上(shàng)處于激活狀态,但(dàn)确定其狀态的(de)功能受到抑制,如果未完全移除,鑒于公用事(shì)業(yè)的(de)網絡的(de)總體(tǐ)狀态,其被設計(jì)為(wèi)一個(gè)大規模的(de)傳輸和(hé)控制中斷事(shì)件(jiàn)。因此,運營商處于這(zhè)樣一種情況:他(tā)們試圖在降級的(de)運營環境中盡快将運營恢複到正常狀态,而對(duì)該環境的(de)當前狀态沒有(yǒu)準确的(de)了解,包括即将恢複的(de)線路(lù)上(shàng)的(de)保護系統的(de)功能。
當輸電(diàn)設備在沒有(yǒu)保護繼電(diàn)器(qì)的(de)情況下(xià)重新連接到整個(gè)電(diàn)力設施網絡時(shí),潛在後果的(de)範圍是令人(rén)擔憂的(de),并超出了立即輸電(diàn)中斷的(de)影響範圍。如果ELECTRUM成功地(dì)實現(xiàn)了全面的(de)傳輸中斷,最明(míng)顯的(de)影響是設備在沒有(yǒu)保護的(de)情況下(xià)重新連接時(shí)電(diàn)流會急劇(jù)升高(gāo)。這(zhè)會在重新連接的(de)線路(lù)上(shàng)産生(shēng)過電(diàn)流現(xiàn)象,可能(取決于其他(tā)備份和(hé)物(wù)理(lǐ)保護系統)對(duì)傳輸設備造成物(wù)理(lǐ)損壞。考慮到CRASHOVERRIDE的(de)設計(jì)目的(de)是通(tōng)過操縱數百個(gè)設備造成大規模的(de)傳輸中斷,而手動重接(以比正常SCADA操作(zuò)可能的(de)速度更慢(màn)、更慎重的(de)速度進行)基本上(shàng)一次隻能連接幾條線路(lù),因此在恢複過程中隻有(yǒu)少數重新連接的(de)線路(lù)上(shàng)會出現(xiàn)潛在的(de)過電(diàn)流現(xiàn)象。通(tōng)常,這(zhè)種情況會導緻故障,并通(tōng)過繼電(diàn)保護恢複。但(dàn)考慮到攻擊的(de)設計(jì),這(zhè)樣的(de)保護被從(cóng)操作(zuò)中移除,允許潛在的(de)破壞性場(chǎng)景發揮出來(lái)。通(tōng)常,這(zhè)種情況會引起故障但(dàn)會通(tōng)過繼電(diàn)保護恢複。而CRASHOVERRIDE攻擊的(de)設計(jì)是把繼電(diàn)保護從(cóng)操作(zuò)中移除,從(cóng)而讓潛在的(de)破壞性場(chǎng)景爆發出來(lái)。
值得注意的(de)是,上(shàng)述內(nèi)容很(hěn)大程度上(shàng)代表了ELECTRUM執行CRASHOVERRIDE攻擊的(de)意圖,但(dàn)攻擊者為(wèi)考慮到這(zhè)種攻擊在實際操作(zuò)環境中是否會成功。各種系統冗餘和(hé)物(wù)理(lǐ)保護機(jī)制的(de)存在可能會緩解Ukrenergo現(xiàn)場(chǎng)的(de)潛在破壞性狀況。一般來(lái)說(shuō),特定地(dì)點的(de)影響将取決于一系列其他(tā)因素,如冗餘繼電(diàn)器(qì)和(hé)備用保護裝置的(de)存在和(hé)功能,這(zhè)些因素使從(cóng)CRASHOVERRIDE到任何傳輸地(dì)點的(de)推廣難以實現(xiàn)。然而,整個(gè)事(shì)件(jiàn)序列表明(míng),ELECTRUM方面有(yǒu)非常明(míng)确的(de)意圖将目标傳輸站點置于不安全和(hé)潛在危險的(de)狀态。考慮到CRASHOVERRIDE對(duì)傳輸操作(zuò)的(de)預期(如果未實現(xiàn))影響規模,重新連接時(shí)的(de)潛在負載将是巨大的(de),并且有(yǒu)可能在引起傳輸設備物(wù)理(lǐ)損壞的(de)情況進行修正,因為(wèi)要修理(lǐ)和(hé)更換齒輪從(cóng)而導緻更長(cháng)時(shí)間(jiān)的(de)中斷。
斷電(diàn)傳輸,消除過程視(shì)圖和(hé)控制,禁用保護系統,以及知道(dào)受害者求助于手動恢複操作(zuò),這(zhè)些都(dōu)标明(míng)這(zhè)是一個(gè)複雜(zá)的(de),多階段的(de)攻擊,其遠(yuǎn)不止是在有(yǒu)限的(de)時(shí)間(jiān)內(nèi)中斷電(diàn)流這(zhè)麽簡單。相(xiàng)反,分析CRASHOVERRIDE攻擊,它的(de)設計(jì)目的(de)将此次攻擊事(shì)件(jiàn)從(cóng)一個(gè)邏輯性很(hěn)強、以網絡為(wèi)中心的(de)攻擊事(shì)件(jiàn)轉移到由網絡引發的(de)、迄今為(wèi)止隻有(yǒu)Stuxnet成功實現(xiàn)的(de)物(wù)理(lǐ)破壞事(shì)件(jiàn)這(zhè)個(gè)獨特領域。如果CRASHOVERRIDE能達到ELECTRUM預期的(de)效果,基于當前目标傳輸設備的(de)數量,潛在的(de)斷電(diàn)将比2015年(nián)更為(wèi)廣泛。此外(wài),如果在系統恢複之前禁用保護會對(duì)傳輸操作(zuò)造成物(wù)理(lǐ)損壞,則電(diàn)力中斷的(de)持續時(shí)間(jiān)可能會延長(cháng)到幾個(gè)月(yuè)或更長(cháng)。雖然考慮到電(diàn)力傳輸中的(de)無數其他(tā)控制和(hé)保護措施,即使CRASHOVERRIDE按預期工(gōng)作(zuò),其實際效果仍不清楚,但(dàn)這(zhè)次攻擊執行的(de)步驟順序明(míng)顯地(dì)表明(míng),與過去(qù)的(de)電(diàn)力服務中斷相(xiàng)比,這(zhè)是一次更複雜(zá)和(hé)更令人(rén)擔憂的(de)攻擊。
CRASHOVERRIDE作(zuò)為(wèi)保護攻擊的(de)經驗教訓
多次CRASHOVERRIDE事(shì)件(jiàn)分析和(hé)各種各樣的(de)與目标相(xiàng)關的(de)文(wén)物(wù)表明(míng),ELECTRUM攻擊者的(de)意圖是超過2015年(nián)事(shì)件(jiàn)的(de)影響,但(dàn)由于對(duì)受害者環境中的(de)ICS通(tōng)信協議(yì)的(de)理(lǐ)解或實施不力而失敗。即使部署的(de)所有(yǒu)項目都(dōu)按預期進行,電(diàn)力傳輸和(hé)變電(diàn)站設計(jì)的(de)基本方面也可能會阻止攻擊按預期進行。然而,關注ELECTRUM的(de)失敗掩蓋了CRASHOVERRIDE背後令人(rén)擔憂的(de)意圖。通(tōng)過對(duì)在失去(qù)控制和(hé)視(shì)線攻擊情況下(xià)的(de)傳輸中斷進行定時(shí),并禁用受影響電(diàn)路(lù)上(shàng)的(de)保護繼電(diàn)器(qì),ELECTRUM意圖産生(shēng)更為(wèi)顯著和(hé)持久的(de)影響:傳輸設備的(de)物(wù)理(lǐ)退化(huà)或破壞,從(cóng)而産生(shēng)持續數月(yuè)而不是數小(xiǎo)時(shí)的(de)影響。
ELECTRUM的(de)攻擊因各種原因失敗,但(dàn)這(zhè)一事(shì)件(jiàn)仍然給電(diàn)力公司運營商提供多個(gè)教訓,從(cóng)發電(diàn)到輸電(diàn)再到配電(diàn)。運營商必須認識到,攻擊者的(de)能力已經遠(yuǎn)遠(yuǎn)超出了關閉電(diàn)源和(hé)采用某些機(jī)制來(lái)延遲恢複這(zhè)個(gè)範圍,而是瞄準了支撐電(diàn)力公司運營的(de)基本保護系統。這(zhè)種以保護為(wèi)中心的(de)攻擊也出現(xiàn)在最近(jìn)的(de)事(shì)件(jiàn)中,如TRISIS。雖然CRASHOVERRIDE和(hé)TRISIS在執行過程中都(dōu)失敗了(而且可能都(dōu)被目标系統內(nèi)的(de)其他(tā)安全措施所阻止),但(dàn)它們表明(míng)了攻擊者将ICS環境中的(de)作(zuò)戰擴展到潛在的(de)物(wù)理(lǐ)破壞性的(de)明(míng)确意圖。這(zhè)類襲擊的(de)影響是重大和(hé)嚴重的(de)。在急于恢複CRASHOVERRIDE中的(de)傳輸時(shí),如果攻擊者成功地(dì)破壞了保護機(jī)制和(hé)操作(zuò)員(yuán)對(duì)保護系統的(de)可見性,操作(zuò)員(yuán)可能會無意地(dì)啓用物(wù)理(lǐ)破壞。
快速準确地(dì)診斷ICS影響并有(yǒu)效地(dì)響應中斷需要努力提高(gāo)可見性、監控和(hé)根本原因的(de)分析能力。在CRASHOVERRIDE的(de)攻擊下(xià),識别斷路(lù)器(qì)操作(zuò)與保護繼電(diàn)器(qì)通(tōng)信的(de)組合可以提醒資産所有(yǒu)者,對(duì)手正試圖為(wèi)潛在的(de)破壞性事(shì)件(jiàn)設置必要的(de)先決條件(jiàn)。這(zhè)是一個(gè)結合多個(gè)觀測值的(de)威脅行為(wèi)分析的(de)例子(zǐ),可以用于快速檢測、處理(lǐ)和(hé)響應ICS環境中的(de)事(shì)件(jiàn)序列。以這(zhè)種方式,受害者可以正确地(dì)掌握所檢測到的(de)事(shì)件(jiàn)序列的(de)範圍和(hé)潛在影響,執行一個(gè)更精确的(de)響應,而不是簡單地(dì)匆忙手動恢複操作(zuò),反而産生(shēng)一個(gè)不安全的(de)操作(zuò)環境。
在更高(gāo)的(de)層次上(shàng),在ICS網絡殺戮事(shì)件(jiàn)鏈的(de)範圍內(nèi)有(yǒu)效地(dì)檢測或響應CRASHOVERRIDE,這(zhè)是真正啓用和(hé)執行攻擊所必需的(de),從(cóng)而産生(shēng)更強的(de)防禦能力。以IT為(wèi)中心的(de)信息強調了ELECTRUM對(duì)控制系統網絡的(de)滲透,與後續的(de)ICS特定通(tōng)信可以加速後續中斷事(shì)件(jiàn)的(de)根本原因分析。這(zhè)也為(wèi)操作(zuò)人(rén)員(yuán)提供了足夠的(de)可見性和(hé)知識(即使沒有(yǒu)禁用的(de)SCADA設備),以便将事(shì)件(jiàn)識别為(wèi)跨多個(gè)網格操作(zuò)層的(de)協調攻擊。因此,公用事(shì)業(yè)可以采取适當的(de)和(hé)慎重的(de)行動去(qù)響應事(shì)件(jiàn)、恢複操作(zuò)。此外(wài),受害者将掌握有(yǒu)關入侵和(hé)後續攻擊的(de)全部的(de)知識,以确保完成網絡恢複和(hé)補救,以防止潛在的(de)環境再危害。
最後,資産所有(yǒu)者和(hé)運營商可能會低(dī)估CRASHOVERRIDE和(hé)ELECTRUM的(de)意圖,由于在攻擊實施過程中多次失敗,以及對(duì)電(diàn)力公司運營和(hé)安全措施的(de)一些錯(cuò)誤理(lǐ)解。然而,采取這(zhè)樣的(de)立場(chǎng)不僅是錯(cuò)誤的(de),而且是危險的(de)。從(cóng)2015年(nián)烏克蘭手動事(shì)件(jiàn)到自(zì)動化(huà)程度逐步提高(gāo)的(de)CRASHOVERRIDE事(shì)件(jiàn),攻擊事(shì)件(jiàn)發出了一個(gè)明(míng)确的(de)信号,即對(duì)手在每次攻擊中都(dōu)在不斷學習(xí)和(hé)改進。CRASHOVERRIDE攻擊本身(shēn)可能沒有(yǒu)達到它的(de)目的(de),但(dàn)ELECTRUM組織(和(hé)其他(tā)攻擊者)将從(cóng)這(zhè)次事(shì)件(jiàn)中吸取教訓,并适應未來(lái)的(de)行動。CRASHOVERRIDE的(de)缺點表明(míng)了對(duì)ICS網絡進行網絡攻擊以産生(shēng)物(wù)理(lǐ)影響的(de)複雜(zá)性,但(dàn)CRASHOVERRIDE事(shì)件(jiàn)的(de)發生(shēng)清楚地(dì)表明(míng)了攻擊者不斷提高(gāo)攻擊能力的(de)意圖和(hé)願望。ICS資産所有(yǒu)者和(hé)運營商必須認真對(duì)待此類嘗試,并在攻擊者部署功能齊全、具有(yǒu)ICS意識的(de)攻擊之前部署防禦措施。
結論
CRASHOVERRIDE攻擊是一次失敗的(de)操作(zuò),尤其是從(cóng)相(xiàng)對(duì)于2015烏克蘭電(diàn)力事(shì)件(jiàn)的(de)實際影響來(lái)看(kàn)。然而,對(duì)這(zhè)一事(shì)件(jiàn)及其影響的(de)進一步分析揭示了比其前身(shēn)更為(wèi)複雜(zá)、微(wēi)妙和(hé)令人(rén)擔憂的(de)攻擊。通(tōng)過嘗試對(duì)傳輸操作(zuò)、ICS可見性和(hé)最終保護離子(zǐ)系統進行多階段操作(zuò),ELECTRUM攻擊者試圖為(wèi)受害者恢複操作(zuò)時(shí)可能發生(shēng)的(de)物(wù)理(lǐ)破壞事(shì)件(jiàn)創建先決條件(jiàn)。雖然對(duì)CRASHOVERRIDE成功執行時(shí)達到的(de)危害隻是一個(gè)推測,但(dàn)在分析了攻擊的(de)所有(yǒu)階段後,對(duì)手的(de)意圖似乎很(hěn)明(míng)顯,這(zhè)就為(wèi)制造不安全的(de)環境創造了條件(jiàn),在受害者的(de)傳輸設備內(nèi)造成潛在破壞性的(de)攻擊。
2016年(nián)的(de)受害者逃過了最壞的(de)情況。在未來(lái),電(diàn)力公司運營商必須了解對(duì)手是如何實施這(zhè)一攻擊的(de),及其對(duì)運營的(de)影響。通(tōng)過采用一整套攻擊方法來(lái)審查ELECTRUM嘗試做什麽,ICS資産所有(yǒu)者和(hé)運營商可以開(kāi)始開(kāi)發和(hé)部署所需的(de)可見性、彈性和(hé)響應措施,以應對(duì)像CRASHOVERRIDE這(zhè)樣的(de)攻擊。
緻謝(xiè)
與許多事(shì)情一樣,沒有(yǒu)其他(tā)人(rén)的(de)努力和(hé)幫助,這(zhè)篇論文(wén)是不可能産生(shēng)的(de)。這(zhè)主要是歸功于Selena Larson,Reid Wightman和(hé)Dragos的(de)Nick Tsamis對(duì)內(nèi)容和(hé)技(jì)術的(de)審查;Schweitzer Engineering Laboratories (SEL) 實驗室的(de)Tim Watkins和(hé)Will Edwards對(duì)電(diàn)力系統和(hé)保護繼電(diàn)器(qì)理(lǐ)解方面的(de)具體(tǐ)幫助;以及Oak Ridge National Laboratory (ORNL)的(de)Maggie Morganti和(hé)Mike Marshall,他(tā)們就電(diàn)力設施保護系統展開(kāi)了廣泛的(de)讨論。
參考文(wén)獻
【1】 CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations – Dragos; Win32/Industroyer: A New Threat for Industrial Control Systems – Anton Cherepanov, ESET
【2】 Anatomy of an Attack: Detecting and Defeating CRASHOVERRIDE – Joe Slowik, Dragos (Virus Bulletin 2018). Dragos WorldView subscribers can review a more in-depth version of this report in TR-2018-19: CRASHOVERRIDE Attack in Review
聯系地(dì)址:山西(xī)省太原市(shì)綜改示範區(qū)學府園區(qū)長(cháng)治路(lù)227号高(gāo)新國(guó)際B座
郵編:030006
企業(yè)郵箱:sxtk_mail@163.com
電(diàn)話(huà):400-0351-366 18903512955
版權所有(yǒu):山西宅甯信息科技有限公司 備案号: