2017年，電網(wǎng)有時候看起來確實(shí)十分脆弱，似乎任人宰割。俄羅斯黑客對各處電網(wǎng)頻頻下手的新聞時常見諸報端，滲透核電站、染指美國能源設(shè)施控制系統(tǒng)、采用新型自動化惡意軟件引發(fā)烏克蘭斷電……

就在上周，又有報道朝鮮黑客入侵了美國能源設(shè)施?？吹竭@些新聞，難免會覺得，黑客引發(fā)的大停電，好像不是歷史上僅有的兩次，而是近乎每周都在發(fā)生。

雖然電力設(shè)施的黑客威脅如此真實(shí)，但也不是每次電網(wǎng)滲透都是核戰(zhàn)危機(jī)級別。這些電網(wǎng)入侵事件的后果也大不相同，可以從簡單的數(shù)據(jù)盜竊，到災(zāi)難性的基礎(chǔ)設(shè)施崩潰。如果對這些警報采取相同反應(yīng)，無異于混淆街頭搶劫與洲際彈道導(dǎo)彈襲擊。公眾對能源設(shè)施“入侵”的理解，也大相徑庭。從簡單的惡意軟件感染，到國家級登月計劃。

美國前國家安全局(NSA)分析師羅博·李，現(xiàn)任關(guān)鍵基礎(chǔ)設(shè)施安全公司Dragos總裁。他認(rèn)為，過去幾年見證了對工業(yè)控制系統(tǒng)(ICS)黑客攻擊嘗試“赤裸裸的激增”，比如電力設(shè)施、供水和制造業(yè)。但他同時指出，保持分寸感很關(guān)鍵：

Dragos追蹤的全球數(shù)百個資金充裕的黑客組織中，約有50個針對有ICS的公司下手。其中，Dragos僅發(fā)現(xiàn)了6到7個黑客組織觸及了所謂的“運(yùn)營”網(wǎng)絡(luò)——對物理基礎(chǔ)設(shè)施的實(shí)際控制。而這僅有的幾個黑客組織中，又只有兩個，是已知實(shí)際觸發(fā)了真實(shí)物理破壞的：方程式黑客小組——據(jù)稱是用震網(wǎng)惡意軟件摧毀了伊朗核濃縮離心機(jī)的NSA黑客團(tuán)隊(duì)；還有沙蟲黑客組織——烏克蘭兩次大停電的背后黑手。

因此，當(dāng)黑客僅僅“滲透”了某能源設(shè)施的新聞出現(xiàn)時——比如朝鮮黑客最近所做的，最好帶著上述數(shù)據(jù)加以解讀，而不是直接設(shè)想下一個震網(wǎng)或沙蟲來襲。為此，下面給出了電網(wǎng)黑客攻擊的漸進(jìn)過程，幫助大家以恰當(dāng)?shù)目只诺燃墸瑏砻鎸磳⒌絹淼碾娋W(wǎng)滲透。

第一步：網(wǎng)絡(luò)入侵

政府機(jī)構(gòu)或媒體警告稱黑客已入侵某電力設(shè)施時，絕大多數(shù)情況下，這些入侵者并未滲透控制實(shí)際電流的系統(tǒng)，比如斷路器、發(fā)電機(jī)和變壓器。他們侵入的是平凡得多的其他目標(biāo)：企業(yè)電子郵件賬戶、瀏覽器和Web服務(wù)器。

這些滲透通常始于魚叉式網(wǎng)絡(luò)釣魚郵件，或“水坑”攻擊——通過劫持用戶經(jīng)常訪問的網(wǎng)站來感染目標(biāo)用戶，未必與傳統(tǒng)犯罪或間諜黑客活動有什么區(qū)別。最重要的是，它們不會產(chǎn)生導(dǎo)致任何物理破壞的途徑。某些情況下，黑客會為未來攻擊做做偵察，但盡管如此，也觸碰不到能干擾發(fā)電或電力傳輸?shù)膶?shí)際控制系統(tǒng)。

比如說，本周早些時候，安全公司火眼泄露的一份報告，揭示朝鮮黑客曾攻擊過美國能源設(shè)施。安全新聞網(wǎng)站Cyberscoop的跟進(jìn)報告斷言，這些攻擊嘗試中至少有一次，成功滲透了美國能源公司。但火眼接下來的博客文章指出，其分析師僅發(fā)現(xiàn)了黑客向目標(biāo)受害者發(fā)送魚叉式網(wǎng)絡(luò)釣魚郵件的證據(jù)——相當(dāng)常規(guī)的黑客行動，并未顯露出逼近任何敏感控制系統(tǒng)的跡象。

火眼聲明中闡述道：“我們并未觀測到涉嫌朝鮮黑客使用任何供電ICS專用入侵或操縱工具及方法。而且，我們尚未發(fā)現(xiàn)朝鮮黑客對此類功能擁有訪問權(quán)。”

朝鮮無疑懷有控制美國電網(wǎng)的野心，他們已經(jīng)邁出第一步的事實(shí)也很明顯了。但直到目前，這些攻擊，以及其他止步于IT入侵級別的攻擊，最多也就只應(yīng)被看做是種預(yù)兆，而不是迫在眉睫的黑客大斷電威脅。

第二步：運(yùn)行訪問

不斷刺探能源公司IT系統(tǒng)的黑客，應(yīng)加以關(guān)注。刺探運(yùn)行技術(shù)(OT)系統(tǒng)的黑客，則是嚴(yán)重得多的問題。當(dāng)黑客滲透了OT，或者獲取了所謂的運(yùn)營訪問權(quán)限，他們就從幾乎每家現(xiàn)代企業(yè)都會有的計算機(jī)系統(tǒng)，摸到了更為專業(yè)和定制的電力設(shè)備控制系統(tǒng)——邁向操縱物理基礎(chǔ)設(shè)施的重要一步。

比如說，最近的一起黑客活動中，賽門鐵克揭示，被其命名為DragonFly 2.0的黑客小組，就獲取到了“一小撮”美國能源公司的運(yùn)行訪問權(quán)限(DragonFly 2.0很可能就是今年夏天被報侵入一家美國核設(shè)施的那組俄羅斯黑客。)這伙入侵者甚至走到了截屏電力系統(tǒng)人機(jī)交互界面(HMI)的地步，這樣他們就能研究該系統(tǒng)，準(zhǔn)備翻轉(zhuǎn)實(shí)際開關(guān)，發(fā)起全面電網(wǎng)攻擊。

安全培訓(xùn)組織SANS研究所講師，電網(wǎng)安全專家麥克·阿桑特說：“網(wǎng)絡(luò)釣魚嘗試和潛在的感染，是權(quán)限階梯中的一步。研究HMI，就是在梯子上爬了好幾階了。”此處，他對比的是最近朝鮮的網(wǎng)絡(luò)釣魚和DragonFly 2.0的攻擊。

理論上，OT系統(tǒng)與IT系統(tǒng)是物理隔離的，二者之間沒有網(wǎng)絡(luò)連接。但I(xiàn)CS安全公司Claroty共同創(chuàng)始人嘉里娜·安托娃稱，除運(yùn)營系統(tǒng)與外部網(wǎng)絡(luò)嚴(yán)格斷開的核電廠外，該物理隔離往往不是那么牢不可破。她說，Claroty分析過的所有ICS設(shè)置，都能找到“明顯”的途徑進(jìn)入其OT系統(tǒng)。“對網(wǎng)絡(luò)做個拓?fù)鋱D示，從IT到OT的路線清晰可見。進(jìn)入方法總有那么幾個備選。”

Dragos的李對此持不同意見：鑒于實(shí)際成功跨過該物理隔離的黑客比例之小，個中差別，絕非雞毛蒜皮。這里面有部分原因在于，IT系統(tǒng)某種程度上是標(biāo)準(zhǔn)化的，OT系統(tǒng)則多是定制而隱晦的，沒那么好弄懂。“黑客基本上培訓(xùn)加練習(xí)就能完全入侵IT網(wǎng)絡(luò)。但若想進(jìn)入運(yùn)行網(wǎng)絡(luò)，面對這些奇奇怪怪的設(shè)備和設(shè)置，他們將不得不辛苦學(xué)習(xí)。”

第三步：協(xié)同攻擊

即便入侵者對電網(wǎng)控制系統(tǒng)有了“手握開關(guān)”級權(quán)限，對該權(quán)限的有效利用，也比看起來難得多。事實(shí)上，翻轉(zhuǎn)該開關(guān)前的所有動作，都僅僅是預(yù)備階段，只代表了電網(wǎng)黑客工作的20%。

除了電力設(shè)施可能含有的各種奇奇怪怪的罕見設(shè)備，其實(shí)際過程也可能需要真正的專業(yè)技術(shù)才能操縱，還要加上幾個月的更多努力和資源——不僅僅是斷開幾個斷路器造成停電。李說，即便黑客掌握了這些控制系統(tǒng)，“我也能很確信地說，他們?nèi)晕吹竭_(dá)切斷電源的那一步。他們可以斷開一些斷路器，但他們對此動作的效果一無所知。他們不知道自己可能會被安全系統(tǒng)阻止。”

比如說，全球首起黑客所致大斷電的2015年末烏克蘭停電事件中，入侵者遠(yuǎn)程訪問配電站控制系統(tǒng)，手動斷開了該國3個不同設(shè)施中的數(shù)十個斷路器——大多數(shù)情況中是真的劫持了配電站操作員的鼠標(biāo)控制。響應(yīng)該起攻擊的分析師認(rèn)為，這應(yīng)該需要幾個月的策劃，還須有數(shù)十人的團(tuán)隊(duì)協(xié)同作戰(zhàn)。即便如此，其導(dǎo)致的斷電也就持續(xù)了6個小時，影響到約25萬烏克蘭人。

黑客基本上不得不在斷電的規(guī)模和持續(xù)時間上做出選擇。如果想要對整個美國東部電網(wǎng)下手，需要的資源會指數(shù)級倍增。如果還想讓這么大規(guī)模的電網(wǎng)斷電一星期，那就是指數(shù)級的指數(shù)級了。

某些電網(wǎng)黑客似乎確實(shí)在策劃更大規(guī)模更具破壞力的行動。第二次烏克蘭停電攻擊使用了一款名為Crash Override/Industroyer的惡意軟件，能夠自動化電網(wǎng)設(shè)備擾亂指令發(fā)送過程，且能自適應(yīng)不同國家的設(shè)置，可跨多個目標(biāo)廣泛部署。

該超級先進(jìn)的電網(wǎng)黑客惡意軟件令人十分不安。但這種軟件也相當(dāng)罕見。一款這種黑天鵝式的惡意軟件，與幾十起比魚叉式網(wǎng)絡(luò)釣魚也高明不到哪兒去的電網(wǎng)滲透事件之間，還是存在巨大的差距的。無論大小深淺，電網(wǎng)入侵當(dāng)然不是件好事。但最好認(rèn)識到帶妝彩排和真正大事件之間的差別——尤其是在將來會有更多此類事件出現(xiàn)的情況下