【公益译文】乌克兰电网分析报告

2015年底的乌克兰电厂攻击事件,攻击者在数分钟内发起攻击,进攻3个配电公司,导致数小时内22.5万用户停电,到现在这次攻击被误认为只与BlackEnergy 3 和KillDisk 相关,其实攻击者最终利用的工控系统工具跨越多个SCADA DMS实现。同时需要注意的最重要的一点,信息共享在协调性攻击识别方面发挥关键作用,且为采取适当的响应行动提供了指导。 回顾2015年底乌克兰电厂事件

2015 年12 月23 日,乌克兰区域配电公司Kyivoblenergo 通知客户业务中断,原因是第三方非法入侵了公司的计算机与SCADA 系统:约当地时间下午3:35 分起,7 台110kV与23 台35kV 变电站中断了三个小时。之后,公司声明该攻击还影响了配电网的其他部分,操作被迫转换到手动模式。

乌克兰新闻媒体在采访后对此事件做了详细报道,确定一来自国外的攻击者远程控制了SCADA 配电管理系统 。根据Kyivoblenergo 对客户的实时情况通报,最初判断这次业务中断影响到了约8 万名客户。不过,之后发现三家配电公司受到攻击,导致业务数次中断,多地断电,约22.5 万名客户受到影响。

攻击甫一发生,乌克兰政府官员即声称断电由网络攻击造成,俄罗斯安全部门应对此事负责。随后,乌克兰调查人员联手私营公司及美国政府,对此事展开分析,帮助确定断电事件的根因 。自2015 年12 月25 日事件发生后,E-ISAC 与SANS 研究院的工控团队便与业内可信成员及组织进行合作,分析事件原因。

乌克兰电网分析报告总结分析出了乌克兰攻击中使用的所有技术

攻击者使用了各种能力,包括鱼叉钓鱼邮件、BlackEnergy 3 恶意软件变种,还对植入恶意软件的微软Office 文档进行操控,以此为据点,攻入电力公司的IT 网络13。他们能够进入系统,获取凭证与信息,最终获得工控系统网络的访问权限。此外,攻击者的专业性不仅体现在联网基础设施方面(如不间断电源(UPS)),还体现在能够通过监控系统(如图2 所示的人机界面)操作工控系统。

攻击者开发出了两种SCADA 劫持方法(一种为定制,另一种为通用),并成功地将其用于三家公司的不同类型的SCADA/DMS 系统。

最后,攻击者还展示了其攻击变电站现场设备的能力与意愿,通过写入定制的恶意固件,使串口以太网转换器等设备无法运行并恢复14。其中一个场景,攻击者还使用电话系统向电力公司的呼叫中心发起了数千通会话,使客户无法接入呼叫中心反馈断电情况。不过,攻击者最强大的能力并非体现在对工具的选择或其专业性上,而是体现在能够进行长期侦测操作,以了解环境,实施高度协调的分阶段、多站点攻击。

如下合并列表列示了攻击者使用的所有技术:

  1. 鱼叉钓鱼,用以获取对电力公司业务网络的访问权限;
  2. BlackEnergy 3,出现在所有这些电力公司攻击中;
  3. 窃取业务网络凭证;
  4. 使用虚拟专有网(VPN)进入工控系统网络;
  5. 使用环境中现有的远程接入工具或直接从类似操作员人机界面的远程工作站发送命令;
  6. 影响串口转以太网通信设备的固件;
  7. 使用改造过的KillDisk 清除受攻击组织系统的主引导记录,并删除目标日志;
  8. 利用UPS 系统,通过定时业务中断影响接电负载;
  9. 针对呼叫中心的电话拒绝服务攻击。

攻击者还有很多机会发动类似的攻击

攻击者有许多机会发动这次攻击。攻击前,这些电力公司的相关信息可公开获取,包括基础设施详细清单(如远程终端单元RTU 厂商及工控系统厂商网上发布的版本信息);从业务网络VPN 访问工控系统看似缺少双重认证; 此外,防火墙允许攻击者利用系统内部的远程访问能力从环境外部进行远程管理。再者,根据媒体报道,似乎缺乏内部能力(如网络安全监控)持续监控工控系统网络或通过主动防御措施查找异常与威胁。这些漏洞为攻击者提供了可乘之机,可在环境中驻留长达6个月或更长时间,对环境进行侦测并发动攻击。

根据国土安全部相关报告中提到的细节,攻击者对全部三个攻击目标均使用了一致的攻击方法。攻击者还将这种一致性战术用于攻击现场可控部件,导致现场设备永久损坏。

这些电力公司为何受到攻击还无定论。根据公开报道,无法确定攻击者是否基于现有通用技术、系统架构、侦测操作或服务领域对目标进行了选择。从机会角度分析,攻击者选择具体目标时主要考虑的可能是其攻击工控系统的把握与能力,包括如下决定因素:

  • 使用通用系统与配置的目标;
  • 具有共同集中控制点的多个系统;
  • 工控系统影响持续时间预估(如长期或短期);
  • 实现目标所要求的现有能力;
  • 执行操作并被发现的可能性;
  • 能够访问环境并在环境中自由行动的能力。

工控系统网络攻击链示意图

工控系统网络攻击链于2015 年由SANS 研究院出版,作者为迈克尔·阿山特(Michanel Assante)和罗伯特·李(Robert M. Lee),两人根据工控系统的特点将洛克希德·马丁所绘制的传统网络攻击链进行了修改20。工控系统网络攻击链给出了一系列步骤,经由这些步骤,攻击者可对工控系统流程成功发动攻击及/ 或对设备造成可控、可预测的物理损害。

报告只关注技术分析 攻击者并不在报告关注之列

本联合报告汇总了从公共渠道获取的相关信息,澄清了重要的攻击细节,总结了经验教训,并提出防护建议,助力工控系统领域应对此类攻击。攻击发起者并不在本报告关注范围之内。

本文为联合小组就乌克兰电网攻击所做的分析报告,旨在为业内人士提供学习资源,从中吸取教训。该分析报告的红绿灯协议(TLP)标志为白色,即可不受限分发,但受版权控制。本文作为防御用例(DUC),基于相关公开信息,总结了乌克兰工控系统(ICS)事件中可吸取的重要经验教训,提出了一些缓解思路。供电信息分享与分析中心(E-ISAC)联合SANS 研究院,对从多个公共渠道获取的公开信息做了概要介绍。此外,SANS 团队分析了整个事件。针对电力系统数据采集与监控系统(SCADA)的安全防御,本文提出了具体的缓解思路,广大工控系统防护者或可从中获益。

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:%e4%b9%8c%e5%85%8b%e5%85%b0%e7%94%b5%e7%bd%91%e6%94%bb%e5%87%bb%e5%88%86%e6%9e%9020161101

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

发表评论