91精品久久久久久无码人妻|porn在线视频一区二区|国产精品国产三级国产a|久久成人国产精品免费

摘要  

在2017年發(fā)現(xiàn)并初步分析后，大眾將CRASHOVERRIDE視為針對(duì)烏克蘭電力公司運(yùn)營(yíng)的顛覆性破壞事件。與2015年發(fā)生在該地區(qū)的攻擊類似，CRASHOVERRIDE通過操縱工業(yè)控制系統(tǒng)（ICS）中斷了電力供應(yīng)并延遲恢復(fù)操作來延長(zhǎng)沖擊時(shí)間。然而，CRASHOVERRIDE事件只是一個(gè)野心勃勃的攻擊計(jì)劃的冰山一角，而不是其預(yù)期目的。除了電力中斷的范圍顯著擴(kuò)大外，CRASHOVERRIDE還試圖通過拒絕服務(wù)（DoS）攻擊目標(biāo)操作中涉及的繼電保護(hù)裝置，這與2015年的攻擊事件大不相同。雖然此次攻擊行動(dòng)失敗了，但這一行動(dòng)背后最可能的意圖及其對(duì)電力公司運(yùn)營(yíng)和保護(hù)的影響卻很少受到關(guān)注或分析。即使實(shí)際執(zhí)行失敗，本文將重新分析2016年這一次的CRASHOVERRIDE事件和其可能的攻擊意圖。  

引言  

在2017年年中的公開報(bào)告中，一些分析師稱CRASHOVERRIDE（也稱Industroyer）是自Stuxnet以來對(duì)工業(yè)控制系統(tǒng)最 大的威脅。然后，從受影響的客戶數(shù)量和持續(xù)時(shí)間來看，此次事件的初步影響比2015年烏克蘭電力事件的影響要小。但是，技術(shù)上卻比2015年的烏克蘭斷電更為復(fù)雜，原因是工業(yè)控制系統(tǒng)（ICS）的惡意操作由程序完成，而不是通過與系統(tǒng)的手動(dòng)交互進(jìn)行部署，表面上出現(xiàn)故障或缺乏重大影響使一些人忽視了CRASHOVERRIDE的嚴(yán)重性或重要性。就所取得的影響和效果而言，CRASHOVERRIDE事件比2015的斷電程度低。然而，在野心和意圖方面，CRASHOVERRIDE試圖獲得比2015年更大和更嚴(yán)重的影響。根據(jù)對(duì)各種有效載荷的分析，CRASHOVERRIDE試圖造成比2015年更廣泛的停電，并將潛在的破壞性事件作為攻擊序列的最后一步。盡管對(duì)CRASHOVERRIDE表面上分析得很透徹，包括在Black Hat等活動(dòng)上的公開演講，其背后的重大影響，特別是其預(yù)期的范圍和潛在的結(jié)果，在很大程度上仍然被忽視。在本文中，我們將從不同的角度來探討CRASHOVERRIDE事件。我們不再關(guān)注2016年12月CRASHOVERRIDE事件后在Ukrenergo“北”站發(fā)生的事情，而將探討攻擊者ELECTRUM，在給定受害者環(huán)境中部署的軟件的設(shè)計(jì)和配置的情況下，可能尋求實(shí)現(xiàn)的目標(biāo)。攻擊者在設(shè)計(jì)和部署CRASHOVERRIDE和相關(guān)的模塊時(shí)犯了許多錯(cuò)誤。然而，這一攻擊的范圍和含義引起了電力公司經(jīng)營(yíng)者的深切關(guān)注。通過探索和理解CRASHOVERRIDE試圖但最終未能實(shí)現(xiàn)的目標(biāo)，相關(guān)ICS資產(chǎn)所有者和運(yùn)營(yíng)商可以準(zhǔn)備更好的手段來預(yù)防未來的攻擊，并防止?jié)撛诘钠茐男越Y(jié)果。  

回顧CRASHOVERRIDE事件  

有幾個(gè)報(bào)告回顧了CRASHOVERRIDE事件：從以惡意軟件為中心的模塊化ICS操作框架分析[1]到導(dǎo)致CRASHOVERRIDE部署和后續(xù)操作的入侵生命周期概述[2]。圖1提供了CRASHOVERRIDE執(zhí)行的流程。每一份報(bào)告及其分析主要集中在Ukrenergo“北部”變電站事件后的觀察項(xiàng)目上。雖然這種分析是針對(duì)觀察到的事件進(jìn)行的，但其忽略了攻擊者在這次攻擊中雖然未能成功執(zhí)行但可能試圖實(shí)現(xiàn)的目標(biāo)。  

圖1：CRASHOVERRIDE事件的攻擊流程  

CRASHOVERRIDE影響了電力傳輸運(yùn)營(yíng)，導(dǎo)致烏克蘭基輔停電約一小時(shí)，規(guī)模和持續(xù)時(shí)間都明顯小于2015年的襲擊。2015年的事件是通過人工操作控制系統(tǒng)，通過遠(yuǎn)程登錄來操縱工控系統(tǒng)工作站，2016年的事件卻利用CRASHOVERRIDE框架對(duì)軟件中的ICS系統(tǒng)操作進(jìn)行編碼。這個(gè)操作代表了攻擊者tradecraft的一個(gè)重大改進(jìn)，在軟件中對(duì)ICS攻擊進(jìn)行編碼，使得攻擊的規(guī)模遠(yuǎn)遠(yuǎn)大于手動(dòng)交互系統(tǒng)?；仡櫲罩緮?shù)據(jù)和其他與CRASHOVERRIDE事件相關(guān)的數(shù)據(jù)顯示，攻擊的預(yù)期規(guī)模遠(yuǎn)遠(yuǎn)大于2015，但最終實(shí)現(xiàn)的攻擊規(guī)模遠(yuǎn)遠(yuǎn)沒有達(dá)到攻擊者的預(yù)期。  

將跨多個(gè)通信協(xié)議IEC-101、IEC-104、IEC-61850和OPC DA的電力傳輸控制系統(tǒng)作為攻擊目標(biāo)，CRASHOVERRIDE有一個(gè)非常簡(jiǎn)單而有效的操作目標(biāo)：將斷路器和相關(guān)設(shè)備的物理狀態(tài)從“閉合”（允許電力流動(dòng)）改為“打開……”。CRASHOVERRIDE的效果有些變化，其包含直接改變潮流或“strobing”的選項(xiàng)，即在打開和關(guān)閉狀態(tài)之間連續(xù)切換。然而，在受害者的環(huán)境中似乎只使用了立即的“打開”和“關(guān)閉”效果。  

雖然在功能上看起來是一個(gè)簡(jiǎn)單的“開-關(guān)”按鈕，但是為了實(shí)現(xiàn)成功的通信和狀態(tài)更改，這些標(biāo)準(zhǔn)的實(shí)現(xiàn)不僅僅是直接地、一步地從一個(gè)邏輯狀態(tài)轉(zhuǎn)換到另一個(gè)邏輯狀態(tài)。要實(shí)現(xiàn)對(duì)目標(biāo)RTU或其他系統(tǒng)的實(shí)際物理操作，需要遵循離散的、必需的步驟進(jìn)行邏輯消息傳遞。準(zhǔn)確理解特定協(xié)議以及供應(yīng)商對(duì)協(xié)議的實(shí)際實(shí)現(xiàn)需要知道給定協(xié)議通信的“狀態(tài)性”，以便進(jìn)行適當(dāng)?shù)慕换ァ?/span>  

計(jì)算機(jī)科學(xué)包括編程和通信的有狀態(tài)性概念，而協(xié)議可以是有狀態(tài)的，也可以是無(wú)狀態(tài)的。有狀態(tài)協(xié)議用于記錄或考慮通信流中的前一個(gè)事件，而無(wú)狀態(tài)事件可以忽略或不需要考慮這些項(xiàng)。例如，帶有握手和會(huì)話管理的TCP協(xié)議代表一個(gè)有狀態(tài)協(xié)議，而UDP流本質(zhì)上是無(wú)狀態(tài)的。  

CRASHOVERRIDE是基于一個(gè)半模塊化的結(jié)構(gòu)，不同的effects模塊執(zhí)行特定的協(xié)議通信，通常由一個(gè)通用的發(fā)射器執(zhí)行?；?/span>CRASHOVERRIDE的effects模塊的實(shí)現(xiàn)，開發(fā)人員要么不知道，要么未能在其軟件中為特定的ICS通信協(xié)議實(shí)現(xiàn)適當(dāng)?shù)臓顟B(tài)通信。盡管這潛在地表明對(duì)目標(biāo)系統(tǒng)和底層協(xié)議的測(cè)試或理解不好，但考慮到復(fù)雜系統(tǒng)和供應(yīng)商對(duì)更通用協(xié)議標(biāo)準(zhǔn)的不同實(shí)現(xiàn)，此類錯(cuò)誤并不罕見或獨(dú)特。此錯(cuò)誤的一種可能是測(cè)試環(huán)境。軟件中的協(xié)議仿真器（如公共可用的IEC服務(wù)器項(xiàng)目）不強(qiáng)制執(zhí)行狀態(tài)和相關(guān)的通信超時(shí)。物理硬件將根據(jù)相關(guān)通信標(biāo)準(zhǔn)的供應(yīng)商來使用這些項(xiàng)。由于設(shè)備限制、錯(cuò)誤或完全無(wú)知，在CRASHOVERRIDE執(zhí)行的受害者環(huán)境中，實(shí)際的接收系統(tǒng)要么由于狀態(tài)標(biāo)準(zhǔn)的不正確實(shí)現(xiàn)而拒絕無(wú)效的通信，要么由于類似的原因而忽略。其影響可與無(wú)效TCP握手協(xié)議相比較，從而導(dǎo)致實(shí)際通信的缺失。  

回顧CRASHOVERRIDE事件的意圖是很重要的。當(dāng)審查受害者環(huán)境中的預(yù)定目標(biāo)時(shí)，確定用于操縱的控制系統(tǒng)的數(shù)量比實(shí)際停機(jī)的數(shù)量大，范圍更廣。根據(jù)事件中的可用數(shù)據(jù)，至少有七個(gè)OPC服務(wù)器（每個(gè)服務(wù)器都有多個(gè)受管理的OPC實(shí)例）以及至少八個(gè)IEC-101控制器和400多個(gè)IEC-104通信控制點(diǎn)成為目標(biāo)。此外，所有觀察到的基于IEC-61850攻擊模塊的實(shí)例都掃描了適用主機(jī)的本地子網(wǎng)，并嘗試對(duì)所有子網(wǎng)進(jìn)行中斷，目標(biāo)數(shù)量基本上等于受影響子網(wǎng)上此類設(shè)備的數(shù)量?；谶@一信息和目標(biāo)意圖，CRASHOVERRIDE試圖在數(shù)百個(gè)單獨(dú)的控制系統(tǒng)中進(jìn)行大范圍停電，目的是造成比2015年事件大一個(gè)數(shù)量級(jí)的破壞性影響。  

本質(zhì)上講：ELECTRUM試圖通過CRASHOVERRIDE操縱多個(gè)系統(tǒng)，造成廣泛的電力傳輸中斷。然而，在涉及控制操作的所有四個(gè)協(xié)議和所有相關(guān)系統(tǒng)中，實(shí)際停電的影響相對(duì)較小并且快速恢復(fù)，這主要是由于Ukrenergo能夠手動(dòng)重新閉合受影響的斷路器?；谄湟晥D攻擊的范圍和目標(biāo)，CRASHOVERRIDE的實(shí)際影響可以判斷為一個(gè)失敗。  

然而，僅僅是在ELECTRUM未能成功執(zhí)行廣泛的傳輸中斷時(shí)停止進(jìn)一步分析，就忽略了其嘗試中斷操作后的幾個(gè)有趣的元素。與2015年事件類似，CRASHOVERRIDE部署了一個(gè)雨刮器模塊，以阻止恢復(fù)，并刪除配置和相關(guān)文件，以阻止受感染的SCADA系統(tǒng)恢復(fù)。這部分攻擊似乎已成功執(zhí)行，并導(dǎo)致操作員失去對(duì)環(huán)境中ICS操作的控制和查看。這是一個(gè)非常重要的影響，因?yàn)樗拗屏诉h(yuǎn)程操作和協(xié)調(diào)的靈活性，同時(shí)由于操作中的遠(yuǎn)程視圖丟失，可能會(huì)掩蓋傳輸環(huán)境中的一些微妙的問題。  

在上述雨刮器模塊的影響后，緊接著是一個(gè)有趣的步驟，其在最初的分析中被忽略了：在操作環(huán)境中使用四個(gè)西門子SIPROTEC保護(hù)繼電器的一個(gè)公開的漏洞嘗試拒絕服務(wù)攻擊。此時(shí)，ELECTRUM的攻擊序列試圖切斷傳輸設(shè)備的電源，對(duì)控制該設(shè)備的SCADA系統(tǒng)造成失去控制和失去視線的影響，然后消除斷電傳輸線上的繼電保護(hù)。鑒于Ukrenergo采用手動(dòng)恢復(fù)操作的能力和意愿，在無(wú)法完全了解ICS環(huán)境狀態(tài)的情況下，CRASHOVERRIDE從電力傳輸?shù)募磿r(shí)中斷升級(jí)為手動(dòng)恢復(fù)服務(wù)時(shí)的不穩(wěn)定或不安全的系統(tǒng)狀態(tài)。要分析和理解2016年烏克蘭事件的影響和重要性，必須了解保護(hù)繼電器及其在電力運(yùn)行中的作用。  

電力設(shè)施運(yùn)行中的保護(hù)繼電器  

 保護(hù)繼電器在電力設(shè)施運(yùn)行中起著至關(guān)重要的作用。保護(hù)繼電器使用先進(jìn)的算法保護(hù)傳輸或發(fā)電設(shè)備免受有害條件的影響。最終，“繼電保護(hù)的功能是當(dāng)電力系統(tǒng)的任何元件發(fā)生短路時(shí)，立即停止運(yùn)行，或當(dāng)它開始以任何可能形式導(dǎo)致?lián)p壞或以其他方式干擾系統(tǒng)其他部分有效運(yùn)行時(shí)，立即停止運(yùn)行”。在下圖2中, 相對(duì)于發(fā)電、輸電和配電操作中的位置，繼電器位置被突出顯示。  

圖2：與電力操作相關(guān)的保護(hù)繼電器位置概述  

保護(hù)繼電器用于動(dòng)態(tài)監(jiān)測(cè)電力系統(tǒng)，并在檢測(cè)到故障時(shí)清除或減輕系統(tǒng)故障。現(xiàn)代的數(shù)字保護(hù)繼電器系統(tǒng)可以執(zhí)行各種診斷和監(jiān)測(cè)功能。它們識(shí)別從電流到電壓到頻率的項(xiàng)目，保護(hù)電力系統(tǒng)不受異常、潛在破壞行為的影響，同時(shí)向最終用戶提供輸出和反饋。圖3顯示了該流程。數(shù)字繼電器的關(guān)鍵是能夠在難以置信的小時(shí)間增量?jī)?nèi)精 確地執(zhí)行正確的動(dòng)作，以保持受保護(hù)系統(tǒng)的完整性。  

圖3：保護(hù)繼電器視圖  

數(shù)字保護(hù)繼電器通過不利但定期觀察的波動(dòng)參數(shù)確保電網(wǎng)穩(wěn)定。在發(fā)生直接的、即時(shí)的事件或攻擊時(shí)，數(shù)字中繼通過將設(shè)備從整體-現(xiàn)在已被破壞的系統(tǒng)中分離來確保恢復(fù)能力。電力傳輸（繼電器保護(hù)和規(guī)范流向變壓器和相關(guān)設(shè)備的電流）和發(fā)電（繼電器防止包括旋轉(zhuǎn)頻率在內(nèi)的多個(gè)因素中的電位波動(dòng)）都有特定的繼電器技術(shù)。保護(hù)繼電器應(yīng)用的例子包括發(fā)電資產(chǎn)的相距保護(hù)；在斷路器故障時(shí)啟動(dòng)保護(hù)；變壓器和輸電系統(tǒng)協(xié)調(diào)以防止過電流條件；保護(hù)發(fā)電機(jī)資產(chǎn)免受頻率異常的影響。  

考慮到各個(gè)現(xiàn)場(chǎng)的保護(hù)行動(dòng)，受保護(hù)資產(chǎn)和電網(wǎng)組件之間的協(xié)調(diào)是必要的，以確保整個(gè)系統(tǒng)的穩(wěn)定性。當(dāng)保護(hù)繼電器工作以隔離傳輸或發(fā)電中的損壞時(shí)，在電力系統(tǒng)應(yīng)力或分布式中斷期間，這種自動(dòng)響應(yīng)可產(chǎn)生正反饋回路，導(dǎo)致廣泛的錯(cuò)位。在這些極端情況下，無(wú)論電網(wǎng)保護(hù)機(jī)制如何，都可能產(chǎn)生廣泛的影響，例如2003年的美加電力事件和2003年的意大利大停電。在這些情況下，壓力系統(tǒng)中的網(wǎng)絡(luò)效應(yīng)會(huì)導(dǎo)致大范圍的中斷，盡管這種中斷具有破壞性，但比過載或其他應(yīng)力設(shè)備的物理?yè)p壞可能導(dǎo)致的設(shè)備和容量的潛在損失更可取。  

為了強(qiáng)調(diào)繼電器故障時(shí)會(huì)發(fā)生什么，2019年7月影響紐約市的停電源于一次和二次繼電器未能隔離故障線路，影響變電站的配電故障。系統(tǒng)傳感器和常駐繼電器之間的接線不當(dāng)導(dǎo)致繼電器無(wú)法對(duì)故障情況做出響應(yīng)。在這種情況下，保護(hù)系統(tǒng)的故障會(huì)造成特定站點(diǎn)的物理?yè)p壞，以及造成數(shù)千用戶的計(jì)劃外停機(jī)。如果繼電器正常工作，故障線路將被隔離并斷電，從而保持變電站其余部分的功能。最終，當(dāng)適當(dāng)控制和實(shí)施時(shí)，保護(hù)繼電器可以確保電力服務(wù)的穩(wěn)定性，并保護(hù)實(shí)物資產(chǎn)不受各種自然或非自然波動(dòng)的影響。  

后CRASHOVERRIDE效應(yīng)  

在中斷受害者環(huán)境中的電流后，CRASHOVERRIDE會(huì)導(dǎo)致能見度下降和失控。如圖4所示。  

圖4：CRASHOVERRIDE中斷后效果  

乍一看，上述序列事件的影響主要體現(xiàn)在服務(wù)恢復(fù)，操作SCADA/DCS設(shè)備以禁止重新啟動(dòng)和控制，并刪除配置文件以拒絕快速恢復(fù)。這一系列事件是非平凡的，具有巨大的破壞性，但正如烏克蘭人對(duì)2015事件的反應(yīng)所表明的，資產(chǎn)所有者可以并表示愿意快速進(jìn)入受影響的站點(diǎn)的手動(dòng)系統(tǒng)操作，以便盡快恢復(fù)受影響的服務(wù)。如果不考慮實(shí)際影響，2016事件的意圖是在CRASHOVERRIDE effects模塊中設(shè)計(jì)的更大范圍的中斷，如先前所描述的，目的是在數(shù)百個(gè)設(shè)備中引起傳輸服務(wù)的非常大范圍的中斷。  

僅上述廣泛的影響就使得手動(dòng)恢復(fù)服務(wù)（在攻擊按設(shè)計(jì)成功的情況下）變得困難，因?yàn)椴僮鞯脑O(shè)備數(shù)量眾多。然而，這只是整個(gè)攻擊邏輯的一半，從操作和攻擊影響評(píng)估來看，使SIPROTEC保護(hù)繼電器功能失效的序列事件的最后階段最有趣。在攻擊進(jìn)展方面，攻擊者在打開系統(tǒng)斷路器并通過雨刮器攻擊移除操作員對(duì)系統(tǒng)操作的可見性后，對(duì)保護(hù)繼電器執(zhí)行拒絕服務(wù)（DoS）。一開始從一條未通電的線路上移除保護(hù)似乎是荒謬的，因?yàn)樵谶@個(gè)階段，沒有什么真正需要保護(hù)的。但是，真正的影響焦點(diǎn)在于廣泛的輸電中斷，以及根據(jù)之前對(duì)烏克蘭恢復(fù)運(yùn)營(yíng)的觀察得出的假設(shè)，即資產(chǎn)所有者將通過手動(dòng)方式盡快恢復(fù)服務(wù)，盡管無(wú)法看到實(shí)際系統(tǒng)狀態(tài)。  

攻擊保護(hù)繼電器可以很快引起嚴(yán)重的后果，包括與電網(wǎng)自保護(hù)動(dòng)作相關(guān)的“孤島”事件，以及由于故障而導(dǎo)致設(shè)備損壞的可能性。然而，在CRASHOVERRIDE場(chǎng)景中，ELECTRUM似乎旨在在物理恢復(fù)時(shí)為重新連接的輸電線路創(chuàng)造不安全、不穩(wěn)定的條件。在這種情況下，手動(dòng)關(guān)閉斷路器可能會(huì)出現(xiàn)無(wú)數(shù)字保護(hù)的過電流情況。DoS可執(zhí)行文件CVE-2015-5374中針對(duì)的漏洞是功能性DoS，而不是網(wǎng)絡(luò)可訪問性DoS?；诖?，CRASHOVERRIDE從一個(gè)即時(shí)中斷事件演變?yōu)橐粋€(gè)延遲的潛在物理破壞攻擊。如圖5所示，通過遠(yuǎn)程終端單元（RTU）操作的傳輸中斷是最后一個(gè)更嚴(yán)重的階段的前兆：抑制保護(hù)系統(tǒng)，因此當(dāng)恢復(fù)服務(wù)時(shí)，目標(biāo)電路不再安全，并受到損壞。  

圖5：CRASHOVERRIDE攻擊意圖  

DoS狀態(tài)將受害者SIPROTEC設(shè)備置于“固件更新”模式。在傳統(tǒng)SIPROTEC設(shè)備（尤其是內(nèi)存）可用資源有限的情況下，觸發(fā)的效果在合法固件更新實(shí)例中非常實(shí)用和有用。然而，當(dāng)激活時(shí)，受影響的SIPROTEC不再執(zhí)行設(shè)計(jì)的保護(hù)功能，包括在相關(guān)傳輸線上的過電流保護(hù)，即使仍然存在、通電和網(wǎng)絡(luò)可訪問。基本上，接收裝置被放置在不工作的保持模式中以備將來的指示。當(dāng)在正?；蝾A(yù)期操作之外觸發(fā)時(shí)，從目標(biāo)SIPROTEC中繼的角度來看，這是一個(gè)任務(wù)殺傷。SIPROTEC仍然存在于網(wǎng)絡(luò)中，但由于利用漏洞，它不再執(zhí)行預(yù)期的功能。其結(jié)果是電力傳輸中的一個(gè)未受保護(hù)的鏈路，正常的保護(hù)措施被禁用。  

利用此漏洞的情況是由一個(gè)精心編制的UDP數(shù)據(jù)包觸發(fā)的，該數(shù)據(jù)包指向UDP-50000，字節(jié)序列如圖6所示。發(fā)送此序列將使版本4.25之前的SIPROTEC和SIPROTEC Compact設(shè)備進(jìn)入上一段中描述的非功能待機(jī)模式。公開可用的漏洞攻擊框架已經(jīng)包含了這一功能，使得不成熟的實(shí)體可以廣泛地訪問它，盡管這是針對(duì)較舊的系統(tǒng)版本的。  

圖6：西門子SIPROTEC DoS數(shù)據(jù)包示例  

盡管ELECTRUM在Ukrenergo網(wǎng)絡(luò)中以SIPROTEC設(shè)備為目標(biāo)的二進(jìn)制文件中正確地實(shí)現(xiàn)了DoS條件，但對(duì)方在整個(gè)通信實(shí)現(xiàn)中犯了編碼錯(cuò)誤，影響了可執(zhí)行文件的功能。受害者網(wǎng)絡(luò)中四個(gè)SIPROTEC設(shè)備的特定IP地址可能是在CRASHOVERRIDE事件中使用的DoS二進(jìn)制文件中硬編碼的。然而，當(dāng)執(zhí)行時(shí)，地址在通信socket創(chuàng)建期間被向后讀取。如圖7所示，特定地址被模糊化。雖然所有設(shè)備與CRASHOVERRIDE操縱傳輸系統(tǒng)的其他控制系統(tǒng)位于同一子網(wǎng)上，socket創(chuàng)建中缺乏endian意識(shí)導(dǎo)致了無(wú)意義的通信，并使CRASHOVERRIDE中SIPROTEC DoS的精 確實(shí)現(xiàn)變得惰性。  

圖7：拒絕服務(wù)模塊流量的數(shù)據(jù)包捕獲  

繼電保護(hù)拒絕服務(wù)攻擊的含義  

評(píng)估SIPROTEC設(shè)備本應(yīng)被禁用時(shí)的預(yù)期狀態(tài)，顯示其意圖令人后怕。這強(qiáng)調(diào)了CRASHOVERRIDE是一個(gè)非常嚴(yán)重的攻擊，盡管它的目標(biāo)因之前提到的各種錯(cuò)誤而失敗。由于ELECTRUM未能禁用受害者現(xiàn)場(chǎng)使用的保護(hù)繼電器，也未按預(yù)期操作過多的RTU，因此對(duì)攻擊者試圖實(shí)現(xiàn)的目標(biāo)是推測(cè)性的，但是存在充分的信息來對(duì)該組織在2016年的最終目標(biāo)做出明智的判斷。  

ELECTRUM通過邏輯方法斷開斷路器后，使保護(hù)設(shè)備失效。攻擊者隨后部署服務(wù)擦除和重新映射等措施以抑制邏輯恢復(fù)，同時(shí)還使各種SCADA設(shè)備無(wú)法正常工作，從而消除對(duì)傳輸站點(diǎn)的準(zhǔn)確理解、診斷和遠(yuǎn)程操作。根據(jù)對(duì)2015年烏克蘭事件的分析，烏克蘭當(dāng)局擁有并愿意在電力公司運(yùn)營(yíng)出現(xiàn)緊急情況時(shí)執(zhí)行手動(dòng)恢復(fù)程序。當(dāng)處于邏輯失視狀態(tài)時(shí)，保護(hù)繼電器仍通電且名義上處于激活狀態(tài)，但確定其狀態(tài)的功能受到抑制，如果未完全移除，鑒于公用事業(yè)的網(wǎng)絡(luò)的總體狀態(tài)，其被設(shè)計(jì)為一個(gè)大規(guī)模的傳輸和控制中斷事件。因此，運(yùn)營(yíng)商處于這樣一種情況：他們?cè)噲D在降級(jí)的運(yùn)營(yíng)環(huán)境中盡快將運(yùn)營(yíng)恢復(fù)到正常狀態(tài)，而對(duì)該環(huán)境的當(dāng)前狀態(tài)沒有準(zhǔn)確的了解，包括即將恢復(fù)的線路上的保護(hù)系統(tǒng)的功能。  

當(dāng)輸電設(shè)備在沒有保護(hù)繼電器的情況下重新連接到整個(gè)電力設(shè)施網(wǎng)絡(luò)時(shí)，潛在后果的范圍是令人擔(dān)憂的，并超出了立即輸電中斷的影響范圍。如果ELECTRUM成功地實(shí)現(xiàn)了全面的傳輸中斷，最明顯的影響是設(shè)備在沒有保護(hù)的情況下重新連接時(shí)電流會(huì)急劇升高。這會(huì)在重新連接的線路上產(chǎn)生過電流現(xiàn)象，可能（取決于其他備份和物理保護(hù)系統(tǒng)）對(duì)傳輸設(shè)備造成物理?yè)p壞?？紤]到CRASHOVERRIDE的設(shè)計(jì)目的是通過操縱數(shù)百個(gè)設(shè)備造成大規(guī)模的傳輸中斷，而手動(dòng)重接（以比正常SCADA操作可能的速度更慢、更慎重的速度進(jìn)行）基本上一次只能連接幾條線路，因此在恢復(fù)過程中只有少數(shù)重新連接的線路上會(huì)出現(xiàn)潛在的過電流現(xiàn)象。通常，這種情況會(huì)導(dǎo)致故障，并通過繼電保護(hù)恢復(fù)。但考慮到攻擊的設(shè)計(jì)，這樣的保護(hù)被從操作中移除，允許潛在的破壞性場(chǎng)景發(fā)揮出來。通常，這種情況會(huì)引起故障但會(huì)通過繼電保護(hù)恢復(fù)。而CRASHOVERRIDE攻擊的設(shè)計(jì)是把繼電保護(hù)從操作中移除，從而讓潛在的破壞性場(chǎng)景爆發(fā)出來。  

值得注意的是，上述內(nèi)容很大程度上代表了ELECTRUM執(zhí)行CRASHOVERRIDE攻擊的意圖，但攻擊者為考慮到這種攻擊在實(shí)際操作環(huán)境中是否會(huì)成功。各種系統(tǒng)冗余和物理保護(hù)機(jī)制的存在可能會(huì)緩解Ukrenergo現(xiàn)場(chǎng)的潛在破壞性狀況。一般來說，特定地點(diǎn)的影響將取決于一系列其他因素，如冗余繼電器和備用保護(hù)裝置的存在和功能，這些因素使從CRASHOVERRIDE到任何傳輸?shù)攸c(diǎn)的推廣難以實(shí)現(xiàn)。然而，整個(gè)事件序列表明，ELECTRUM方面有非常明確的意圖將目標(biāo)傳輸站點(diǎn)置于不安全和潛在危險(xiǎn)的狀態(tài)?？紤]到CRASHOVERRIDE對(duì)傳輸操作的預(yù)期（如果未實(shí)現(xiàn)）影響規(guī)模，重新連接時(shí)的潛在負(fù)載將是巨大的，并且有可能在引起傳輸設(shè)備物理?yè)p壞的情況進(jìn)行修正，因?yàn)橐蘩砗透鼡Q齒輪從而導(dǎo)致更長(zhǎng)時(shí)間的中斷。  

斷電傳輸，消除過程視圖和控制，禁用保護(hù)系統(tǒng)，以及知道受害者求助于手動(dòng)恢復(fù)操作，這些都標(biāo)明這是一個(gè)復(fù)雜的，多階段的攻擊，其遠(yuǎn)不止是在有限的時(shí)間內(nèi)中斷電流這么簡(jiǎn)單。相反，分析CRASHOVERRIDE攻擊，它的設(shè)計(jì)目的將此次攻擊事件從一個(gè)邏輯性很強(qiáng)、以網(wǎng)絡(luò)為中心的攻擊事件轉(zhuǎn)移到由網(wǎng)絡(luò)引發(fā)的、迄今為止只有Stuxnet成功實(shí)現(xiàn)的物理破壞事件這個(gè)獨(dú)特領(lǐng)域。如果CRASHOVERRIDE能達(dá)到ELECTRUM預(yù)期的效果，基于當(dāng)前目標(biāo)傳輸設(shè)備的數(shù)量，潛在的斷電將比2015年更為廣泛。此外，如果在系統(tǒng)恢復(fù)之前禁用保護(hù)會(huì)對(duì)傳輸操作造成物理?yè)p壞，則電力中斷的持續(xù)時(shí)間可能會(huì)延長(zhǎng)到幾個(gè)月或更長(zhǎng)。雖然考慮到電力傳輸中的無(wú)數(shù)其他控制和保護(hù)措施，即使CRASHOVERRIDE按預(yù)期工作，其實(shí)際效果仍不清楚，但這次攻擊執(zhí)行的步驟順序明顯地表明，與過去的電力服務(wù)中斷相比，這是一次更復(fù)雜和更令人擔(dān)憂的攻擊。  

CRASHOVERRIDE作為保護(hù)攻擊的經(jīng)驗(yàn)教訓(xùn)  

多次CRASHOVERRIDE事件分析和各種各樣的與目標(biāo)相關(guān)的文物表明，ELECTRUM攻擊者的意圖是超過2015年事件的影響，但由于對(duì)受害者環(huán)境中的ICS通信協(xié)議的理解或?qū)嵤┎涣Χ?。即使部署的所有?xiàng)目都按預(yù)期進(jìn)行，電力傳輸和變電站設(shè)計(jì)的基本方面也可能會(huì)阻止攻擊按預(yù)期進(jìn)行。然而，關(guān)注ELECTRUM的失敗掩蓋了CRASHOVERRIDE背后令人擔(dān)憂的意圖。通過對(duì)在失去控制和視線攻擊情況下的傳輸中斷進(jìn)行定時(shí)，并禁用受影響電路上的保護(hù)繼電器，ELECTRUM意圖產(chǎn)生更為顯著和持久的影響：傳輸設(shè)備的物理退化或破壞，從而產(chǎn)生持續(xù)數(shù)月而不是數(shù)小時(shí)的影響。  

 ELECTRUM的攻擊因各種原因失敗，但這一事件仍然給電力公司運(yùn)營(yíng)商提供多個(gè)教訓(xùn)，從發(fā)電到輸電再到配電。運(yùn)營(yíng)商必須認(rèn)識(shí)到，攻擊者的能力已經(jīng)遠(yuǎn)遠(yuǎn)超出了關(guān)閉電源和采用某些機(jī)制來延遲恢復(fù)這個(gè)范圍，而是瞄準(zhǔn)了支撐電力公司運(yùn)營(yíng)的基本保護(hù)系統(tǒng)。這種以保護(hù)為中心的攻擊也出現(xiàn)在最近的事件中，如TRISIS。雖然CRASHOVERRIDE和TRISIS在執(zhí)行過程中都失敗了（而且可能都被目標(biāo)系統(tǒng)內(nèi)的其他安全措施所阻止），但它們表明了攻擊者將ICS環(huán)境中的作戰(zhàn)擴(kuò)展到潛在的物理破壞性的明確意圖。這類襲擊的影響是重大和嚴(yán)重的。在急于恢復(fù)CRASHOVERRIDE中的傳輸時(shí)，如果攻擊者成功地破壞了保護(hù)機(jī)制和操作員對(duì)保護(hù)系統(tǒng)的可見性，操作員可能會(huì)無(wú)意地啟用物理破壞。  

快速準(zhǔn)確地診斷ICS影響并有效地響應(yīng)中斷需要努力提高可見性、監(jiān)控和根本原因的分析能力。在CRASHOVERRIDE的攻擊下，識(shí)別斷路器操作與保護(hù)繼電器通信的組合可以提醒資產(chǎn)所有者，對(duì)手正試圖為潛在的破壞性事件設(shè)置必要的先決條件。這是一個(gè)結(jié)合多個(gè)觀測(cè)值的威脅行為分析的例子，可以用于快速檢測(cè)、處理和響應(yīng)ICS環(huán)境中的事件序列。以這種方式，受害者可以正確地掌握所檢測(cè)到的事件序列的范圍和潛在影響，執(zhí)行一個(gè)更精確的響應(yīng)，而不是簡(jiǎn)單地匆忙手動(dòng)恢復(fù)操作，反而產(chǎn)生一個(gè)不安全的操作環(huán)境。  

在更高的層次上，在ICS網(wǎng)絡(luò)殺戮事件鏈的范圍內(nèi)有效地檢測(cè)或響應(yīng)CRASHOVERRIDE，這是真正啟用和執(zhí)行攻擊所必需的，從而產(chǎn)生更強(qiáng)的防御能力。以IT為中心的信息強(qiáng)調(diào)了ELECTRUM對(duì)控制系統(tǒng)網(wǎng)絡(luò)的滲透，與后續(xù)的ICS特定通信可以加速后續(xù)中斷事件的根本原因分析。這也為操作人員提供了足夠的可見性和知識(shí)（即使沒有禁用的SCADA設(shè)備），以便將事件識(shí)別為跨多個(gè)網(wǎng)格操作層的協(xié)調(diào)攻擊。因此，公用事業(yè)可以采取適當(dāng)?shù)暮蜕髦氐男袆?dòng)去響應(yīng)事件、恢復(fù)操作。此外，受害者將掌握有關(guān)入侵和后續(xù)攻擊的全部的知識(shí)，以確保完成網(wǎng)絡(luò)恢復(fù)和補(bǔ)救，以防止?jié)撛诘沫h(huán)境再危害。  

最后，資產(chǎn)所有者和運(yùn)營(yíng)商可能會(huì)低估CRASHOVERRIDE和ELECTRUM的意圖，由于在攻擊實(shí)施過程中多次失敗，以及對(duì)電力公司運(yùn)營(yíng)和安全措施的一些錯(cuò)誤理解。然而，采取這樣的立場(chǎng)不僅是錯(cuò)誤的，而且是危險(xiǎn)的。從2015年烏克蘭手動(dòng)事件到自動(dòng)化程度逐步提高的CRASHOVERRIDE事件，攻擊事件發(fā)出了一個(gè)明確的信號(hào)，即對(duì)手在每次攻擊中都在不斷學(xué)習(xí)和改進(jìn)。CRASHOVERRIDE攻擊本身可能沒有達(dá)到它的目的，但ELECTRUM組織（和其他攻擊者）將從這次事件中吸取教訓(xùn)，并適應(yīng)未來的行動(dòng)。CRASHOVERRIDE的缺點(diǎn)表明了對(duì)ICS網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)攻擊以產(chǎn)生物理影響的復(fù)雜性，但CRASHOVERRIDE事件的發(fā)生清楚地表明了攻擊者不斷提高攻擊能力的意圖和愿望。ICS資產(chǎn)所有者和運(yùn)營(yíng)商必須認(rèn)真對(duì)待此類嘗試，并在攻擊者部署功能齊全、具有ICS意識(shí)的攻擊之前部署防御措施。  

結(jié)論  

CRASHOVERRIDE攻擊是一次失敗的操作，尤其是從相對(duì)于2015烏克蘭電力事件的實(shí)際影響來看。然而，對(duì)這一事件及其影響的進(jìn)一步分析揭示了比其前身更為復(fù)雜、微妙和令人擔(dān)憂的攻擊。通過嘗試對(duì)傳輸操作、ICS可見性和最終保護(hù)離子系統(tǒng)進(jìn)行多階段操作，ELECTRUM攻擊者試圖為受害者恢復(fù)操作時(shí)可能發(fā)生的物理破壞事件創(chuàng)建先決條件。雖然對(duì)CRASHOVERRIDE成功執(zhí)行時(shí)達(dá)到的危害只是一個(gè)推測(cè)，但在分析了攻擊的所有階段后，對(duì)手的意圖似乎很明顯，這就為制造不安全的環(huán)境創(chuàng)造了條件，在受害者的傳輸設(shè)備內(nèi)造成潛在破壞性的攻擊。  

2016年的受害者逃過了最壞的情況。在未來，電力公司運(yùn)營(yíng)商必須了解對(duì)手是如何實(shí)施這一攻擊的，及其對(duì)運(yùn)營(yíng)的影響。通過采用一整套攻擊方法來審查ELECTRUM嘗試做什么，ICS資產(chǎn)所有者和運(yùn)營(yíng)商可以開始開發(fā)和部署所需的可見性、彈性和響應(yīng)措施，以應(yīng)對(duì)像CRASHOVERRIDE這樣的攻擊。  

致謝  

與許多事情一樣，沒有其他人的努力和幫助，這篇論文是不可能產(chǎn)生的。這主要是歸功于Selena Larson，Reid Wightman和Dragos的Nick Tsamis對(duì)內(nèi)容和技術(shù)的審查；Schweitzer Engineering Laboratories (SEL) 實(shí)驗(yàn)室的Tim Watkins和Will Edwards對(duì)電力系統(tǒng)和保護(hù)繼電器理解方面的具體幫助；以及Oak Ridge National Laboratory (ORNL)的Maggie Morganti和Mike Marshall，他們就電力設(shè)施保護(hù)系統(tǒng)展開了廣泛的討論。  

參考文獻(xiàn)  

【1】 CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations – Dragos; Win32/Industroyer: A New Threat for Industrial Control Systems – Anton Cherepanov, ESET  

【2】 Anatomy of an Attack: Detecting and Defeating CRASHOVERRIDE – Joe Slowik, Dragos (Virus Bulletin 2018). Dragos WorldView subscribers can review a more in-depth version of this report in TR-2018-19: CRASHOVERRIDE Attack in Review