首次针对继电保护实验装置的网络攻击——2016年
日期 : 2019-10-15 18:37
有几个报告回顾了CRASHOVERRIDE事件:从以恶意软件为中心的模块化ICS操作框架分析[1]到导致CRASHOVERRIDE部署和后续操作的入侵生命周期概述[2]。图1提供了CRASHOVERRIDE执行的流程。每一份报告及其分析主要集中在Ukrenergo“北部”变电站事件后的观察项目上。虽然这种分析是针对观察到的事件进行的,但其忽略了攻击者在这次攻击中虽然未能成功执行但可能试图实现的目标。
回顾CRASHOVERRIDE事件的意图是很重要的。当审查受害者环境中的预定目标时,确定用于操纵的控制系统的数量比实际停机的数量大,范围更广。根据事件中的可用数据,至少有七个OPC服务器(每个服务器都有多个受管理的OPC实例)以及至少八个IEC-101控制器和400多个IEC-104通信控制点成为目标。此外,所有观察到的基于IEC-61850攻击模块的实例都扫描了适用主机的本地子网,并尝试对所有子网进行中断,目标数量基本上等于受影响子网上此类设备的数量。基于这一信息和目标意图,CRASHOVERRIDE试图在数百个单独的控制系统中进行大范围停电,目的是造成比2015年事件大一个数量级的破坏性影响。
本质上讲:ELECTRUM试图通过CRASHOVERRIDE操纵多个系统,造成广泛的电力传输中断。然而,在涉及控制操作的所有四个协议和所有相关系统中,实际停电的影响相对较小并且快速恢复,这主要是由于Ukrenergo能够手动重新闭合受影响的断路器。基于其视图攻击的范围和目标,CRASHOVERRIDE的实际影响可以判断为一个失败。
然而,仅仅是在ELECTRUM未能成功执行广泛的传输中断时停止进一步分析,就忽略了其尝试中断操作后的几个有趣的元素。与2015年事件类似,CRASHOVERRIDE部署了一个雨刮器模块,以阻止恢复,并删除配置和相关文件,以阻止受感染的SCADA系统恢复。这部分攻击似乎已成功执行,并导致操作员失去对环境中ICS操作的控制和查看。这是一个非常重要的影响,因为它限制了远程操作和协调的灵活性,同时由于操作中的远程视图丢失,可能会掩盖传输环境中的一些微妙的问题。
电力设施运行中的保护继电器
保护继电器在电力设施运行中起着至关重要的作用。保护继电器使用先进的算法保护传输或发电设备免受有害条件的影响。最终,“继电保护的功能是当电力系统的任何元件发生短路时,立即停止运行,或当它开始以任何可能形式导致损坏或以其他方式干扰系统其他部分有效运行时,立即停止运行”。在下图2中, 相对于发电、输电和配电操作中的位置,继电器位置被突出显示。
仅上述广泛的影响就使得手动恢复服务(在攻击按设计成功的情况下)变得困难,因为操作的设备数量众多。然而,这只是整个攻击逻辑的一半,从操作和攻击影响评估来看,使SIPROTEC保护继电器功能失效的序列事件的最后阶段最有趣。在攻击进展方面,攻击者在打开系统断路器并通过雨刮器攻击移除操作员对系统操作的可见性后,对保护继电器执行拒绝服务(DoS)。一开始从一条未通电的线路上移除保护似乎是荒谬的,因为在这个阶段,没有什么真正需要保护的。但是,真正的影响焦点在于广泛的输电中断,以及根据之前对乌克兰恢复运营的观察得出的假设,即资产所有者将通过手动方式尽快恢复服务,尽管无法看到实际系统状态。
2016年的受害者逃过了最坏的情况。在未来,电力公司运营商必须了解对手是如何实施这一攻击的,及其对运营的影响。通过采用一整套攻击方法来审查ELECTRUM尝试做什么,ICS资产所有者和运营商可以开始开发和部署所需的可见性、弹性和响应措施,以应对像CRASHOVERRIDE这样的攻击。