【編者按】針對電力行業(yè)的網(wǎng)絡入侵和攻擊數(shù)量正在增加，2020年Dragos確定了三個針對電力行業(yè)的新活動組織（AG）：TALONITE、KAMACITE和STIBNITE。此外，供應鏈風險和勒索軟件攻擊繼續(xù)對電力公用事業(yè)運營造成入侵和破壞性影響。通過分析Dragos的《全球電力網(wǎng)絡威脅視角》報告，可以深入了解更多關(guān)于電力威脅的情況，以及防護這些威脅挑戰(zhàn)的建議。

　　網(wǎng)絡攻擊造成的電力中斷事件可能發(fā)生在電力系統(tǒng)運行的各個地點，如控制中心、調(diào)度中心，或整個組織服務區(qū)域內(nèi)的發(fā)電、輸電或配電環(huán)境中。對電力系統(tǒng)的攻擊，就像對其他關(guān)鍵基礎設施部門的攻擊一樣，可以進一步實現(xiàn)攻擊者的政治、經(jīng)濟和國家安全目標。隨著攻擊者及其運營者投入更多的精力和資金來獲得破壞性能力，電力行業(yè)遭受破壞性或破壞性攻擊的風險顯著增加。

　　在世界許多地區(qū)，電力部門在安全投資方面領(lǐng)先于其他工業(yè)部門。雖然安全投資歷來集中在企業(yè)信息技術(shù)（IT）網(wǎng)絡上，但運營技術(shù)（OT）安全方面正在取得重大進展。例如，在北美，電力部門十多年來一直致力于通過董事會級決策、GridEx、北美電力可靠性公司（NERC）關(guān)鍵基礎設施保護（CIP）標準等準備工作來應對網(wǎng)絡威脅。以及近期白宮與能源部合作制定的100天行動計劃，這項行動計劃的重點是提高OT在ICS網(wǎng)絡中的可視性、檢測和響應能力。

　　隨著電力行業(yè)開始比以往任何時候都更加引人注目，企業(yè)必須在此之前做好準備。本報告提供了截至2021年6月的威脅概況。

　　一、電力行業(yè)概述

　　電力系統(tǒng)包括發(fā)電、輸電及配電，電力系統(tǒng)是復雜的、有彈性的、相互連接的。例如在北美，電力系統(tǒng)由四個互連部分組成：東部、西部、德克薩斯電力可靠性委員會（ERCOT）和魁北克。在歐洲，輸電系統(tǒng)網(wǎng)絡由歐洲輸電系統(tǒng)運營商網(wǎng)絡（ENTSO-E）運營。在澳大利亞，輸電網(wǎng)絡系統(tǒng)由澳大利亞能源市場運營商（AEMO）運營，運營西澳大利亞的批發(fā)電力市場（WEM）和覆蓋全國其他地區(qū)的國家能源市場（NEM）。這些系統(tǒng)依次由許多地方電網(wǎng)互聯(lián)而成。

　　這種互連模式使互連內(nèi)部的電力流動安全可靠，并允許通過直接連接（DC）在互連之間進行一些直流連接線。這種設計允許在互連中通過多個路徑發(fā)生功率流，并在互連中包含頻率干擾。工程方法提供冗余，防止完全崩潰，并在緊急操作期間提供了許多好處。然而，盡管該系統(tǒng)具有相當?shù)膹椥?，但其復雜性一直在顯著增加，因此這種相互聯(lián)系和依賴可能實際上會降低其彈性，而在面對確定的網(wǎng)絡威脅時，這種彈性在很大程度上仍有待檢驗。

　　電力公司有相應的流程，可以在其他實體遭遇風暴、火災或網(wǎng)絡攻擊等影響其服務領(lǐng)域的事件時向其提供互助。區(qū)域互助組織和行業(yè)伙伴關(guān)系可以共享資源，并在破壞性或破壞性事件發(fā)生后實現(xiàn)穩(wěn)定和可靠性。為了響應實時事件，電力公司制定了明確的緊急操作程序，以在運行條件惡化時控制和定位電力系統(tǒng)，包括降低負荷、服務中斷、甩負荷和電力系統(tǒng)恢復行動的公共呼吁。

　　在美國、加拿大和墨西哥部分地區(qū)注冊執(zhí)行特定可靠性任務的電力實體，必須遵守由NERC-CIP標準制定的網(wǎng)絡安全法規(guī)。墨西哥的電網(wǎng)系統(tǒng)由能源監(jiān)管委員會（CRE）監(jiān)管。該委員會在可靠性方面與NERC合作，并為墨西哥的電力實體定義網(wǎng)絡安全規(guī)則。在全球范圍內(nèi)，網(wǎng)絡安全法規(guī)或指南有所不同，但許多國家依賴國際電工委員會（IEC）和國際標準化組織（ISO）制定的標準。ISO和IEC聯(lián)合技術(shù)委員會（JTC1）為包括核電和電力設施在內(nèi)的操作技術(shù)（OT）設備制定網(wǎng)絡安全標準。歐洲和澳大利亞也制定了類似的框架，分別是網(wǎng)絡和信息系統(tǒng)安全指令（NIS-D）和澳大利亞能源部門網(wǎng)絡安全框架（AESCSF）。盡管還沒有被強制執(zhí)行，但對于關(guān)鍵基礎設施而言，它們的級別更高，而不是完全與電力有關(guān)。遵守網(wǎng)絡安全法規(guī)和最佳實踐，確保維持最低水平的網(wǎng)絡安全，從而使電力設施在ICS行業(yè)中獨樹一幟。

　　二、電力運營部門威脅

　　圖片

　　圖1 電力分配

　　在電力到達客戶之前，它要經(jīng)過多個步驟，包括發(fā)電、輸電和配電。電力由化石燃料、核能或可再生能源等能源在發(fā)電設施（通常稱為發(fā)電廠）中產(chǎn)生。輸電系統(tǒng)將電力從發(fā)電廠遠距離輸送到配電變電站，從那里分發(fā)給客戶。輸電和配電系統(tǒng)包括變電站，其中變壓器用于提高或降低電壓水平，以便向工業(yè)、商業(yè)和住宅客戶提供適當?shù)姆铡?/p>

　　1、發(fā)電

　　Dragos評估，至少有五個威脅組織（AGs）證明有滲透或破壞發(fā)電的意圖或能力。XENOTIME已經(jīng)展示了在工業(yè)環(huán)境中訪問、操作和實施攻擊的能力。Dragos評估，該組織將有能力對其破壞性工作進行重組，并將其重點放在電力設施上，因為它已經(jīng)瞄準了安全儀表系統(tǒng)，如Triconex，它是發(fā)電行業(yè)的支柱。DYMALLOY展示了在發(fā)電設施中訪問OT網(wǎng)絡的能力，并獲得敏感ICS數(shù)據(jù)的屏幕截圖，包括人機界面（HMI）的屏幕截圖。ALLANITE也是對發(fā)電的威脅，因為它與DYMALLOY在目標定位和能力方面有一些相似之處。到目前為止，這兩個組織都沒有展示出干擾或破壞ICS的能力，只是專注于一般偵察。

　　WASSONITE積極瞄準亞洲的關(guān)鍵基礎設施，包括核能發(fā)電，并在至少一個核電廠的管理系統(tǒng)中成功部署惡意軟件。盡管沒有證據(jù)表明它成功地滲透了運營網(wǎng)絡。雖然威脅組織尚未顯示出任何特定于ICS的能力或破壞性意圖，但迄今為止的行動表明，對這些資源的興趣持續(xù)不斷。最后，觀察到STIBNITE專門針對阿塞拜疆發(fā)電的風力渦輪機公司。根據(jù)目前的收集工作，該活動似乎僅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT遠程訪問惡意軟件在受害者系統(tǒng)上收集信息、截圖、傳輸文件和執(zhí)行命令。該活動反映了Dragos在許多AGs中觀察到的結(jié)果，這些威脅組織攻擊ICS的意圖存在，即使針對ICS的特定能力尚未顯現(xiàn)。

　　以ICS為攻擊目標的威脅者并沒有成功地擾亂電力生產(chǎn)。Dragos觀察到的針對這部分的活動，包括獲取敏感行動網(wǎng)絡的文件，可能被用于間諜目的或促進破壞性攻擊。

　　2、輸電

　　至少有兩個AGs對傳輸操作構(gòu)成威脅。ELECTRUM是一種資源豐富的AG，具有中斷電力傳輸?shù)哪芰Αragos評估KAMACITE作為ELECTRUM的初始訪問和促進小組。

　　ELECTRUM對2016年12月在烏克蘭基輔發(fā)生的CRASHOVERRIDE惡意軟件攻擊負責。攻擊者定制了惡意軟件，通過打開和關(guān)閉電力系統(tǒng)中用于輸送電力的多個斷路器來切斷傳輸級變電站的電源，并確保操作員、電源線和設備的安全。這次攻擊顯示了對傳輸環(huán)境和使用的工業(yè)協(xié)議的深刻理解，使攻擊者能夠針對特定目標定制惡意軟件。

　　雖然此次攻擊發(fā)生在歐洲，但類似的網(wǎng)絡攻擊也有可能發(fā)生在世界其他地區(qū)，并對目標環(huán)境中的不同工業(yè)協(xié)議、設備和網(wǎng)絡拓撲進行修改。例如，攻擊目標斷路器操作由遵守IEC 6185029標準的ABB設備控制，并使用制造信息規(guī)范（MMS）協(xié)議進行通信。攻擊還可以被用于符合這些標準的其他設備。

　　3、配電

　　2015年12月23日，KAMACITE在烏克蘭發(fā)動了首次網(wǎng)絡攻擊造成的大范圍停電。攻擊者利用惡意軟件獲得了對三家電力配電公司的遠程訪問，利用目標環(huán)境的配電管理系統(tǒng)執(zhí)行系統(tǒng)操作，并擾亂了大約23萬人的電力供應。經(jīng)過人工操作，幾小時后電力才完全恢復。

　　與ELECTRUM相反，KAMACITE在2015年烏克蘭事件中沒有使用ICS特定的惡意軟件，它通過操作環(huán)境中的現(xiàn)有工具遠程控制操作。AGs展示的行為和工具使用，包括KAMACITE和ELECTRUM，可以根據(jù)威脅行為者的重點部署在全球分銷業(yè)務中。

　　在整個發(fā)電、輸電和配電過程中的任何一點電力中斷，都需要攻擊者對企業(yè)和運營環(huán)境、使用的設備以及如何操作專門設備有基本的了解。攻擊者必須在目標環(huán)境中花費很長一段時間學習控制系統(tǒng)的細節(jié)，以成功地實施破壞電力服務的攻擊，而防御者在潛在的攻擊鏈上有多個機會檢測并消除攻擊者的訪問。

　　三、當前面臨的威脅現(xiàn)狀

　　1、勒索軟件

　　Dragos觀察到，影響ICS環(huán)境和操作的非公開和公開勒索軟件事件數(shù)量顯著增加。根據(jù)Dragos和IBM Security X-Force跟蹤的數(shù)據(jù)，2018年至2020年，發(fā)生在工業(yè)和相關(guān)實體上的勒索軟件攻擊中有10%是以電力設施為攻擊目標。這是僅次于制造業(yè)的第二大目標產(chǎn)業(yè)。盡管大多數(shù)影響ICS和相關(guān)實體的勒索軟件都是以IT為中心的，但如果勒索軟件能夠由于不適當?shù)陌踩僮鞫鴱浐螴T/OT差距，則勒索軟件可能會對運營產(chǎn)生破壞性影響。Dragos發(fā)現(xiàn)多個勒索軟件采用ICS感知功能，包括在環(huán)境中發(fā)現(xiàn)時可以殺死以工業(yè)為中心的計算機進程的能力，活動可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含這類代碼的幾個勒索軟件變種。EKANS和其他ICS勒索軟件代表了一種獨特的和特定的風險，工業(yè)操作以前沒有觀察到的勒索軟件操作。

　　勒索軟件運營商越來越多地將數(shù)據(jù)盜竊技術(shù)納入其活動，以進一步索要贖金。攻擊者可能會在加密受感染的機器之前竊取目標公司的數(shù)據(jù)，并威脅在如果不支付贖金，就會在威脅者運營的網(wǎng)站或黑客論壇上公布這些數(shù)據(jù)。黑客竊取或泄露的數(shù)據(jù)可能包含目標公司的敏感信息及其客戶信息。盡管勒索軟件攻擊者可能只對利用數(shù)據(jù)用于財務目的感興趣，但對專門針對電力行業(yè)感興趣的黑客可以使用泄漏的數(shù)據(jù)來幫助開發(fā)攻擊。例如，黑客可以使用客戶數(shù)據(jù)來確定第三方或供應鏈的潛在風險，或者使用示意圖、網(wǎng)絡圖或其他內(nèi)部文檔等數(shù)據(jù)來確定運營收益目標。

　　勒索軟件不僅僅適用于有經(jīng)濟動機的運營商。國家支持的攻擊者也可能在網(wǎng)絡行動中利用勒索軟件。2020年5月，中國臺灣政府將針對石油、天然氣和半導體公司的勒索事件歸咎于Winnti組織。

　　ICS環(huán)境中破壞性惡意軟件的潛在風險之一由historian技術(shù)表示，因為historian部署的架構(gòu)通常是連接IT網(wǎng)段中的只讀historian和OT網(wǎng)絡中的plant historian之間的通信。此外，除非記錄在歷史記錄中，否則傳感器數(shù)據(jù)是短暫的，對其數(shù)據(jù)的破壞性攻擊如果得不到很好的保護，可能會導致無法挽回的損失。

　　2、互聯(lián)網(wǎng)資產(chǎn)風險

　　暴露于互聯(lián)網(wǎng)的工業(yè)和網(wǎng)絡資產(chǎn)是電力公司的重大網(wǎng)絡風險。各種以ICS為攻擊目標的組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄準或目前試圖利用遠程訪問技術(shù)或登錄基礎設施。

　　《2020 Dragos年度回顧報告》詳細介紹了從事件響應和服務團隊吸取的經(jīng)驗教訓，根據(jù)該報告，100%的事件響應案例涉及黑客直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡，有33%的組織有可路由網(wǎng)絡連接到他們的運營環(huán)境。

　　2020年7月，美國國土安全部網(wǎng)絡安全和基礎設施安全局（CISA）和國家安全局（NSA）發(fā)布了一份警告，鼓勵資產(chǎn)所有者和運營商立即采取行動，限制OT資產(chǎn)暴露于互聯(lián)網(wǎng)。根據(jù)警報，最近在發(fā)布前觀察到的行為包括：

　　先發(fā)制人，在轉(zhuǎn)向OT之前獲得信息技術(shù)（IT）的初步訪問；

　　部署商用勒索軟件以影響IT和OT環(huán)境；

　　連接到無需認證的互聯(lián)網(wǎng)可訪問可編程邏輯控制器（PLC）；

　　使用公共端口和標準應用層協(xié)議與控制器通信，并下載修改后的控制邏輯；

　　使用供應商工程軟件和程序下載；

　　修改PLC上的控制邏輯和參數(shù)。

　　攻擊者迅速武器化并利用面向互聯(lián)網(wǎng)的服務中的漏洞，包括遠程桌面協(xié)議（RDP）和VPN服務。2020年夏季發(fā)現(xiàn)的影響關(guān)鍵網(wǎng)絡基礎設施服務中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper網(wǎng)絡設備，很可能會被ICS目標黑客利用。這些漏洞可使黑客獲得對企業(yè)運營的初始訪問權(quán)限，并可能轉(zhuǎn)移到工業(yè)運營。

　　3、供應鏈威脅

　　攻擊者可以濫用現(xiàn)有的信任關(guān)系和互連來訪問敏感資源，并在某些情況下包括系統(tǒng)，而且?guī)缀醪豢赡鼙粰z測到。

　　2020年12月，火眼公布了一項大規(guī)模供應鏈威脅行動的首批細節(jié)，該行動影響了全球的公司和政府，包括電力公司。黑客利用名為SolarWinds的IT管理軟件，獲得了數(shù)千個使用該軟件的組織的權(quán)限。

　　值得關(guān)注的是，許多集成商和原始設備制造商（OEM）在OT網(wǎng)絡和維護鏈路中使用SolarWinds。至少有兩家全球原始設備制造商（OEM）使用了被泄露的SolarWinds軟件，通過維護鏈接直接進入ICS網(wǎng)絡，包括渦輪機控制軟件。攻擊者可以很容易地利用這種訪問來造成重大破壞。

　　該活動是有史以來公開確定的最大的供應鏈危害事件之一，并強調(diào)了通過運營環(huán)境中的軟件、固件或第三方集成引入環(huán)境的潛在風險。

　　但軟件更新并不是供應鏈入侵中唯一可能被濫用的潛在進入載體。2021年4月，Dragos發(fā)現(xiàn)了一家與歐洲電力行業(yè)客戶有重大聯(lián)系的南亞集成電路供應商遭到入侵。原始設備制造商（OEM）、供應商和第三方承包商對企業(yè)和ICS運營至關(guān)重要。發(fā)電、輸電和配電中的眾多供應商或承包商接觸點，可以通過受損或安全性較差的直接網(wǎng)絡連接，提供進入電力公用事業(yè)環(huán)境入口。

　　DYMALLOY、ALLANITE和XENOTIME已使用供應鏈破壞方法獲得受害者網(wǎng)絡的訪問權(quán)。DYMALLOY和ALLANITE在針對電力行業(yè)的后續(xù)網(wǎng)絡釣魚活動中損害了供應商和承包商的利益。XENOTIME在2018年損害了多家ICS供應商和制造商，提供了潛在的供應鏈威脅機會，并提供了可供供應商訪問的目標ICS網(wǎng)絡。

　　四、系統(tǒng)性威脅

　　電力行業(yè)以各種形式支持所有關(guān)鍵基礎設施垂直行業(yè)，電力中斷可能會對制造業(yè)、采礦作業(yè)或海水淡化等其他行業(yè)產(chǎn)生連鎖和破壞性影響。

　　此外，大型制造企業(yè)也正在成為可再生能源供應商，這些發(fā)電廠向所有制造廠供電。其中一個設施的中斷可能會導致整個公司的生產(chǎn)運營中斷。

　　全球許多國家（尤其是中東）依靠部分水的淡化操作。設施可以通過能源密集型工藝將鹽水轉(zhuǎn)化為飲用水。據(jù)國際能源署稱，膜式脫鹽需要大量電力，是世界上最常見的脫鹽技術(shù)。支持海水淡化工作的電力運行中斷可能會限制飲用水的生產(chǎn)。

　　采礦作業(yè)也需要消耗大量能源。在美國，大約32%的采礦業(yè)能源是電力。在澳大利亞，電力系統(tǒng)為該國采礦業(yè)提供了21%的能源。電能支持鉆井和材料搬運作業(yè)，如果發(fā)電、輸電或配電受到網(wǎng)絡攻擊，這些作業(yè)可能會中斷，特別是在支持采礦作業(yè)的現(xiàn)場發(fā)電設施。

　　五、防范建議

　　資產(chǎn)所有者和運營商可以實施以下基于主機和網(wǎng)絡的建議，以改進對ICS目標群體的檢測和防御。

　　訪問限制和賬戶管理

　　限制域內(nèi)的管理訪問，限制域管理員的數(shù)量，并將網(wǎng)絡管理員、服務器管理員、工作站管理員和數(shù)據(jù)庫管理員分離到單獨的組織單元（OU）中。身份是防御的關(guān)鍵。

　　確保所有設備和服務不使用默認憑據(jù)。如果可能，請不要使用硬編碼憑據(jù)。監(jiān)視任何無法刪除或禁用的硬編碼方法。僅限必要人員使用設備。在所有應用程序、服務和設備中實現(xiàn)最小特權(quán)原則，以確保個人只能訪問履行職責所需的資源。這包括確保應用層服務，如文件共享和云存儲服務被正確劃分。按照普渡模式，網(wǎng)絡連接在繼續(xù)進行不同層次之前應該被終止。

　　可訪問性

　　識別控制系統(tǒng)網(wǎng)絡中的入口和出口路由并對其進行分類。這包括工程師和管理員遠程訪問門戶，也包括需要訪問IT資源或更廣泛的互聯(lián)網(wǎng)的商業(yè)智能和許可服務器鏈接等項目。通過防火墻規(guī)則或其他方法限制這些類型的連接，以確保最大限度地減少攻擊面。

　　響應計劃

　　制定、審查和實踐網(wǎng)絡攻擊響應計劃，并將網(wǎng)絡調(diào)查整合到所有事件的根本原因分析中。

　　分段

　　在可能的情況下，對網(wǎng)絡進行分段和隔離，以限制橫向移動。這可以通過防火墻或訪問控制列表（ACL）輕松實現(xiàn)，組織可以通過虛擬劃分網(wǎng)絡并減少攻擊面，同時限制攻擊者移動。

　　第三方

　　確保第三方連接和ICS交互以“信任但驗證”的心態(tài)進行監(jiān)控和記錄。在可能的情況下，隔離或創(chuàng)建用于此類訪問的隔離區(qū)（DMZ），以確保第三方無法完全、不受限制或不受監(jiān)控地訪問整個ICS網(wǎng)絡。盡可能實施跳轉(zhuǎn)主機、堡壘主機和安全遠程身份驗證方案等功能。建議使用威脅信息和由此產(chǎn)生的復雜分析來應對供應鏈網(wǎng)絡風險。

　　可見性

　　對ICS/OT環(huán)境采取全面的可見性方法，以確保在監(jiān)控方面沒有差距。資產(chǎn)所有者、運營商和安全人員應共同努力，從最關(guān)鍵的基礎設施開始收集基于網(wǎng)絡和主機的日志。識別和關(guān)聯(lián)可疑網(wǎng)絡、主機和進程事件的能力可以極大地幫助在入侵發(fā)生時識別入侵，或促進破壞性事件發(fā)生后的根本原因分析。確保通過以ICS為重點的技術(shù)對運營網(wǎng)絡進行網(wǎng)絡監(jiān)控。

　　六、結(jié)論

　　由于此類事件可能造成的政治和經(jīng)濟影響，電力行業(yè)仍然面臨破壞性網(wǎng)絡攻擊的風險。由于電力系統(tǒng)的互連性，在風暴或地震等破壞性事件期間，電力系統(tǒng)具有強大的恢復力和冗余性，因此大多數(shù)發(fā)達地區(qū)的電力系統(tǒng)可能會從破壞性網(wǎng)絡事件中快速恢復。管理機構(gòu)實施的法規(guī)有助于確保該部門的最低安全水平，但這通常不適用于其他ICS垂直領(lǐng)域。

　　正如CRASHOVERRIDE所證明的那樣，破壞性攻擊需要付出巨大的努力才能實現(xiàn)。威脅者在目標環(huán)境中的必要停留時間為防御者提供了許多識別和刪除惡意活動的機會。Dragos觀察到的企業(yè)目標定位活動可實現(xiàn)初始入侵和數(shù)據(jù)收集，并為威脅者轉(zhuǎn)向潛在破壞性事件奠定基礎。供應鏈攻擊和供應商妥協(xié)的威脅日益增長，這也為AGs破壞IT和OT環(huán)境提供了新的途徑。