让我们设想一种“可能发生的小概率事件”——对美国电网的网络攻击。技术超群但心怀恶意的一群人,在阴暗的角落经年累月炮制出一款恶意软件,起个绰号叫“厄瑞玻斯”木马,凭此控制了美国东北地区的电网系统。他们确定谁还没有安装业界十年前就已熟知的防范网络攻击的硬件。
然后,在命中注定的一天,他们激活了恶意软件,导致50个电厂的机组因过载而烧毁,从芝加哥到纽约、华盛顿特区的广大范围陷入一片黑暗,涉及15个州9300万民众遭遇停电。尽管部分地区在24小时内恢复了供电,然而全面恢复整个电网尚需数周时间——美国遭受的经济损失总计达到2403亿美元,在最坏的情况下,损失或可上万亿美元。
这是劳埃德与剑桥大学风险研究中心联合发布的报告《商业停电》中假设的场景,反映了公用事业领域所面临的网络入侵正在快速增长。报告同时关注了颇具挑战性的问题——网络攻击的演化速度甚至超过相应的防御手段,如何投资公用事业使之能够免于网络攻击的威胁?
劳埃德并不想危言耸听。“厄瑞玻斯网络攻击致使供电瘫痪的场景是极端情况,不太可能会发生。该报告不是预言,本意不在于强调国家某些特定基础设施的脆弱性。”报告的作者称:“设计这种极端场景是为了测试保险从业者的一些假设,并强调一些应对此类事件的预案。”
然而,该报告也不是在编造纯粹想象中的威胁。使发电机组瘫痪的关键手段,最初是在2007年由爱达荷州国家实验室呈现的,实验还附带一段视频,展示如何使机组烧毁。这段视频当年一经CNN发布,发电机组的脆弱性就成为众多研究的对象,并引发了业界的一些举措。
接受"曙光攻击"测试的柴油发电机开始冒出黑烟,2007年
该方法被称为“曙光攻击”,它利用远程控制手段,高速连续地开关发电机组的旋转断路器,利用发电机自身的惯性使供电与负荷之间的相位角脱离同步,这将导致发电机过热,最终烧毁,引发火灾甚至爆炸。
参与“曙光攻击”防范的工程师在2013年撰文指出,一些硬件设备,如Cooper电力系统的iGR-933旋转设备隔离装置,或Schweitzer工程实验室的751A馈线保护继电器,可以监测异相位情况,使发电机免受其影响。伦敦劳埃德提出的场景假设“大多数公司已升级其变电所安全,但仍有10%左右的发电机仍然存在这种脆弱性。”
至于潜在的破坏者如何获取电站系统的控制权,报告列举了一些为人熟知的方法,包括“锁定一些电厂日常运维关键人员的电脑或个人电子设备;旨在削弱公司网络核心与控制系统的‘网络欺诈’攻击;黑客远程登录控制系统;以及对网络监控设施的物理入侵。”
劳埃德的报告强调,潜在的网络破坏者需要极其复杂和谨慎才能不受察觉地入侵,进而同时对多个发电机组实施攻击。“发电厂商非常了解系统遭受网络入侵的可能性,并已经部署了复杂严格的安全流程,人力以及系统架构,加以防范。”报告称,“通常,控制系统与外部通信系统之间由防火墙隔离;需要在外部通信和内部控制两个系统间传递的信息将接受严格的扫描和处置。”
即便如此,(美国)国土安全部产业控制系统网络紧急事件应对小组(ICS-CERT)还是备案了这种类型的入侵,利用诸如笔记本电脑和个人PC这种“网络主机”,运行公用事业控制系统以及SCADA(数据采集与监控)网络。去年末,ICS-CERT报告了多起类BlackEnergy恶意软件入侵渗透诸多电网、油气管线以及供水系统控制软件的案例。
国家安全专家向美国之音新闻透露,肇事者有可能是俄罗斯黑客,渗透可能早在2011年已开始,波及GECimplicity控制软件平台。专家称,2012年,施耐德电气的SCADA系统也受到黑客攻击。劳埃德的报告举出了1999年以来一系列针对工业控制系统的网络攻击。
针对公用事业IT网络的渗透攻击急速增长,使得从大量普通事件中甄别出威胁性攻击非常困难,例如数据盗窃者试图劫持系统平台,使之成为邮件僵尸。ICS-CERT报告称,去年报告网络攻击的公司中,公用事业公司居于前列,取代了以往的核心制造业,和通信供应商。
大多数网络攻击仍然企图从公共机构、IT公司、金融机构和零售商窃取数据——今天的大众在线处理很多财务和商业业务,网络攻击最坏的情况令人非常担忧。
工业领域的网络入侵者,如Stuxnet、Shamoon蠕虫还攻击过伊朗铀浓缩以及沙特石油设施,这对维持现代经济运行的基础设施构成严重的威胁。劳埃德报告列举的经济冲击包括“资产和设施的直接破坏,供电公司销售收入下降,业务损失供应链混乱,”潜在保险赔偿金额约214亿至711亿美元。
IT互联系统日益增多,像智能电表、配电网络自动化装置、建筑能源控制系统等,也进一步扩大了网络攻击“受害者”的规模。最近的调查预测,到这一个十年结束,公用事业公司将在网络安全上花费72.5-140亿美元,其中绝大部分投入SCADA网络和工业控制系统中。
我们仍无法确定公用事业领域所面临的网络威胁是否会进一步恶化。上个月,网络安全公司Tripwire公布了一份针对400为能源高管以及IT专业人士的调查,近半数的组织相信他们能够在24小时内确认针对核心系统的网络攻击,86%的人认为所需时间少于一周。但作为IT通信供应商Belden子公司的Tripwire,以及FireEye、Verizon等其他一些网络安全机构的研究发现,一些潜藏于公司网络的入侵和渗透,甚至要花一个月才能发现。
原标题:骇客帝国:公用电网面临网络攻击
