比特币和比特币现金区别
新聞動態
Shanxi Tian Ke Information Security Technology Co., Ltd.
首次針對繼電保護裝置的網絡攻擊——2016年烏克蘭電力事件再分析

摘要

2017年發現并初步分析后,大眾將CRASHOVERRIDE視為針對烏克蘭電力公司運營的顛覆性破壞事件。與2015年發生在該地區的攻擊類似,CRASHOVERRIDE通過操縱工業控制系統(ICS)中斷了電力供應并延遲恢復操作來延長沖擊時間。然而,CRASHOVERRIDE事件只是一個野心勃勃的攻擊計劃的冰山一角,而不是其預期目的。除了電力中斷的范圍顯著擴大外,CRASHOVERRIDE還試圖通過拒絕服務(DoS)攻擊目標操作中涉及的繼電保護裝置,這與2015年的攻擊事件大不相同。雖然此次攻擊行動失敗了,但這一行動背后***可能的意圖及其對電力公司運營和保護的影響卻很少受到關注或分析。即使實際執行失敗,本文將重新分析2016年這一次的CRASHOVERRIDE事件和其可能的攻擊意圖。本文將強調CRASHOVERRIDE是如何嘗試通過中斷電力運營來發起與2015年不同的攻擊的,而這僅僅是針對繼電保護裝置攻擊邁出的第一步,***后一個攻擊階段是禁用防護設備,通過網絡手段引入可能的物理破壞。

引言

2017年年中的公開報告中,一些分析師稱CRASHOVERRIDE(也稱Industroyer)是自Stuxnet以來對工業控制系統*** 大的威脅。然后,從受影響的客戶數量和持續時間來看,此次事件的初步影響比2015年烏克蘭電力事件的影響要小。但是,技術上卻比2015年的烏克蘭斷電更為復雜,原因是工業控制系統(ICS)的惡意操作由程序完成,而不是通過與系統的手動交互進行部署,表面上出現故障或缺乏重大影響使一些人忽視了CRASHOVERRIDE的嚴重性或重要性。就所取得的影響和效果而言,CRASHOVERRIDE事件比2015的斷電程度低。然而,在野心和意圖方面,CRASHOVERRIDE試圖獲得比2015年更大和更嚴重的影響。根據對各種有效載荷的分析,CRASHOVERRIDE試圖造成比2015年更廣泛的停電,并將潛在的破壞性事件作為攻擊序列的***后一步。盡管對CRASHOVERRIDE表面上分析得很透徹,包括在Black Hat等活動上的公開演講,其背后的重大影響,特別是其預期的范圍和潛在的結果,在很大程度上仍然被忽視。在本文中,我們將從不同的角度來探討CRASHOVERRIDE事件。我們不再關注201612CRASHOVERRIDE事件后在Ukrenergo“站發生的事情,而將探討攻擊者ELECTRUM,在給定受害者環境中部署的軟件的設計和配置的情況下,可能尋求實現的目標。攻擊者在設計和部署CRASHOVERRIDE和相關的模塊時犯了許多錯誤。然而,這一攻擊的范圍和含義引起了電力公司經營者的深切關注。通過探索和理解CRASHOVERRIDE試圖但***終未能實現的目標,相關ICS資產所有者和運營商可以準備更好的手段來預防未來的攻擊,并防止潛在的破壞性結果。

回顧CRASHOVERRIDE事件

有幾個報告回顧了CRASHOVERRIDE事件:從以惡意軟件為中心的模塊化ICS操作框架分析[1]到導致CRASHOVERRIDE部署和后續操作的入侵生命周期概述[2]。圖1提供了CRASHOVERRIDE執行的流程。每一份報告及其分析主要集中在Ukrenergo“北部變電站事件后的觀察項目上。雖然這種分析是針對觀察到的事件進行的,但其忽略了攻擊者在這次攻擊中雖然未能成功執行但可能試圖實現的目標。


1CRASHOVERRIDE事件的攻擊流程

CRASHOVERRIDE影響了電力傳輸運營,導致烏克蘭基輔停電約一小時,規模和持續時間都明顯小于2015年的襲擊。2015年的事件是通過人工操作控制系統,通過遠程登錄來操縱工控系統工作站,2016年的事件卻利用CRASHOVERRIDE框架對軟件中的ICS系統操作進行編碼。這個操作代表了攻擊者tradecraft的一個重大改進,在軟件中對ICS攻擊進行編碼,使得攻擊的規模遠遠大于手動交互系統。回顧日志數據和其他與CRASHOVERRIDE事件相關的數據顯示,攻擊的預期規模遠遠大于2015,但***終實現的攻擊規模遠遠沒有達到攻擊者的預期。

將跨多個通信協議IEC-101IEC-104IEC-61850OPC DA的電力傳輸控制系統作為攻擊目標,CRASHOVERRIDE有一個非常簡單而有效的操作目標:將斷路器和相關設備的物理狀態從“閉合”(允許電力流動)改為“打開……”。CRASHOVERRIDE的效果有些變化,其包含直接改變潮流或“strobing”的選項,即在打開和關閉狀態之間連續切換。然而,在受害者的環境中似乎只使用了立即的“打開”和“關閉”效果。

雖然在功能上看起來是一個簡單的“開-關”按鈕,但是為了實現成功的通信和狀態更改,這些標準的實現不僅僅是直接地、一步地從一個邏輯狀態轉換到另一個邏輯狀態。要實現對目標RTU或其他系統的實際物理操作,需要遵循離散的、必需的步驟進行邏輯消息傳遞。準確理解特定協議以及供應商對協議的實際實現需要知道給定協議通信的“狀態性”,以便進行適當的交互。

計算機科學包括編程和通信的有狀態性概念,而協議可以是有狀態的,也可以是無狀態的。有狀態協議用于記錄或考慮通信流中的前一個事件,而無狀態事件可以忽略或不需要考慮這些項。例如,帶有握手和會話管理的TCP協議代表一個有狀態協議,而UDP流本質上是無狀態的。

CRASHOVERRIDE是基于一個半模塊化的結構,不同的effects模塊執行特定的協議通信,通常由一個通用的發射器執行。基于CRASHOVERRIDEeffects模塊的實現,開發人員要么不知道,要么未能在其軟件中為特定的ICS通信協議實現適當的狀態通信。盡管這潛在地表明對目標系統和底層協議的測試或理解不好,但考慮到復雜系統和供應商對更通用協議標準的不同實現,此類錯誤并不罕見或獨特。此錯誤的一種可能是測試環境。軟件中的協議仿真器(如公共可用的IEC服務器項目)不強制執行狀態和相關的通信超時。物理硬件將根據相關通信標準的供應商來使用這些項。由于設備限制、錯誤或完全無知,在CRASHOVERRIDE執行的受害者環境中,實際的接收系統要么由于狀態標準的不正確實現而拒絕無效的通信,要么由于類似的原因而忽略。其影響可與無效TCP握手協議相比較,從而導致實際通信的缺失。

回顧CRASHOVERRIDE事件的意圖是很重要的。當審查受害者環境中的預定目標時,確定用于操縱的控制系統的數量比實際停機的數量大,范圍更廣。根據事件中的可用數據,至少有七個OPC服務器(每個服務器都有多個受管理的OPC實例)以及至少八個IEC-101控制器和400多個IEC-104通信控制點成為目標。此外,所有觀察到的基于IEC-61850攻擊模塊的實例都掃描了適用主機的本地子網,并嘗試對所有子網進行中斷,目標數量基本上等于受影響子網上此類設備的數量。基于這一信息和目標意圖,CRASHOVERRIDE試圖在數百個單獨的控制系統中進行大范圍停電,目的是造成比2015年事件大一個數量級的破壞性影響。

本質上講:ELECTRUM試圖通過CRASHOVERRIDE操縱多個系統,造成廣泛的電力傳輸中斷。然而,在涉及控制操作的所有四個協議和所有相關系統中,實際停電的影響相對較小并且快速恢復,這主要是由于Ukrenergo能夠手動重新閉合受影響的斷路器。基于其視圖攻擊的范圍和目標,CRASHOVERRIDE的實際影響可以判斷為一個失敗。

然而,僅僅是在ELECTRUM未能成功執行廣泛的傳輸中斷時停止進一步分析,就忽略了其嘗試中斷操作后的幾個有趣的元素。與2015年事件類似,CRASHOVERRIDE部署了一個雨刮器模塊,以阻止恢復,并刪除配置和相關文件,以阻止受感染的SCADA系統恢復。這部分攻擊似乎已成功執行,并導致操作員失去對環境中ICS操作的控制和查看。這是一個非常重要的影響,因為它限制了遠程操作和協調的靈活性,同時由于操作中的遠程視圖丟失,可能會掩蓋傳輸環境中的一些微妙的問題。

在上述雨刮器模塊的影響后,緊接著是一個有趣的步驟,其在***初的分析中被忽略了:在操作環境中使用四個西門子SIPROTEC保護繼電器的一個公開的漏洞嘗試拒絕服務攻擊。此時,ELECTRUM的攻擊序列試圖切斷傳輸設備的電源,對控制該設備的SCADA系統造成失去控制和失去視線的影響,然后消除斷電傳輸線上的繼電保護。鑒于Ukrenergo采用手動恢復操作的能力和意愿,在無法完全了解ICS環境狀態的情況下,CRASHOVERRIDE從電力傳輸的即時中斷升級為手動恢復服務時的不穩定或不安全的系統狀態。要分析和理解2016年烏克蘭事件的影響和重要性,必須了解保護繼電器及其在電力運行中的作用。

電力設施運行中的保護繼電器

保護繼電器在電力設施運行中起著至關重要的作用。保護繼電器使用先進的算法保護傳輸或發電設備免受有害條件的影響。***終,“繼電保護的功能是當電力系統的任何元件發生短路時,立即停止運行,或當它開始以任何可能形式導致損壞或以其他方式干擾系統其他部分有效運行時,立即停止運行”。在下圖2, 相對于發電、輸電和配電操作中的位置,繼電器位置被突出顯示。

2:與電力操作相關的保護繼電器位置概述

保護繼電器用于動態監測電力系統,并在檢測到故障時清除或減輕系統故障。現代的數字保護繼電器系統可以執行各種診斷和監測功能。它們識別從電流到電壓到頻率的項目,保護電力系統不受異常、潛在破壞行為的影響,同時向***終用戶提供輸出和反饋。圖3顯示了該流程。數字繼電器的關鍵是能夠在難以置信的小時間增量內精 確地執行正確的動作,以保持受保護系統的完整性。

3:保護繼電器視圖

數字保護繼電器通過不利但定期觀察的波動參數確保電網穩定。在發生直接的、即時的事件或攻擊時,數字中繼通過將設備從整體-現在已被破壞的系統中分離來確保恢復能力。電力傳輸(繼電器保護和規范流向變壓器和相關設備的電流)和發電(繼電器防止包括旋轉頻率在內的多個因素中的電位波動)都有特定的繼電器技術。保護繼電器應用的例子包括發電資產的相距保護;在斷路器故障時啟動保護;變壓器和輸電系統協調以防止過電流條件;保護發電機資產免受頻率異常的影響。

考慮到各個現場的保護行動,受保護資產和電網組件之間的協調是必要的,以確保整個系統的穩定性。當保護繼電器工作以隔離傳輸或發電中的損壞時,在電力系統應力或分布式中斷期間,這種自動響應可產生正反饋回路,導致廣泛的錯位。在這些極端情況下,無論電網保護機制如何,都可能產生廣泛的影響,例如2003年的美加電力事件和2003年的意大利大停電。在這些情況下,壓力系統中的網絡效應會導致大范圍的中斷,盡管這種中斷具有破壞性,但比過載或其他應力設備的物理損壞可能導致的設備和容量的潛在損失更可取。

為了強調繼電器故障時會發生什么,20197月影響紐約市的停電源于一次和二次繼電器未能隔離故障線路,影響變電站的配電故障。系統傳感器和常駐繼電器之間的接線不當導致繼電器無法對故障情況做出響應。在這種情況下,保護系統的故障會造成特定站點的物理損壞,以及造成數千用戶的計劃外停機。如果繼電器正常工作,故障線路將被隔離并斷電,從而保持變電站其余部分的功能。***終,當適當控制和實施時,保護繼電器可以確保電力服務的穩定性,并保護實物資產不受各種自然或非自然波動的影響。

CRASHOVERRIDE效應

在中斷受害者環境中的電流后,CRASHOVERRIDE會導致能見度下降和失控。如圖4所示。

4CRASHOVERRIDE中斷后效果

乍一看,上述序列事件的影響主要體現在服務恢復,操作SCADA/DCS設備以禁止重新啟動和控制,并刪除配置文件以拒絕快速恢復。這一系列事件是非平凡的,具有巨大的破壞性,但正如烏克蘭人對2015事件的反應所表明的,資產所有者可以并表示愿意快速進入受影響的站點的手動系統操作,以便盡快恢復受影響的服務。如果不考慮實際影響,2016事件的意圖是在CRASHOVERRIDE effects模塊中設計的更大范圍的中斷,如先前所描述的,目的是在數百個設備中引起傳輸服務的非常大范圍的中斷。

僅上述廣泛的影響就使得手動恢復服務(在攻擊按設計成功的情況下)變得困難,因為操作的設備數量眾多。然而,這只是整個攻擊邏輯的一半,從操作和攻擊影響評估來看,使SIPROTEC保護繼電器功能失效的序列事件的***后階段***有趣。在攻擊進展方面,攻擊者在打開系統斷路器并通過雨刮器攻擊移除操作員對系統操作的可見性后,對保護繼電器執行拒絕服務(DoS)。一開始從一條未通電的線路上移除保護似乎是荒謬的,因為在這個階段,沒有什么真正需要保護的。但是,真正的影響焦點在于廣泛的輸電中斷,以及根據之前對烏克蘭恢復運營的觀察得出的假設,即資產所有者將通過手動方式盡快恢復服務,盡管無法看到實際系統狀態。

攻擊保護繼電器可以很快引起嚴重的后果,包括與電網自保護動作相關的“孤島”事件,以及由于故障而導致設備損壞的可能性。然而,在CRASHOVERRIDE場景中,ELECTRUM似乎旨在在物理恢復時為重新連接的輸電線路創造不安全、不穩定的條件。在這種情況下,手動關閉斷路器可能會出現無數字保護的過電流情況。DoS可執行文件CVE-2015-5374中針對的漏洞是功能性DoS,而不是網絡可訪問性DoS。基于此,CRASHOVERRIDE從一個即時中斷事件演變為一個延遲的潛在物理破壞攻擊。如圖5所示,通過遠程終端單元(RTU)操作的傳輸中斷是***后一個更嚴重的階段的前兆:抑制保護系統,因此當恢復服務時,目標電路不再安全,并受到損壞。

5CRASHOVERRIDE攻擊意圖

DoS狀態將受害者SIPROTEC設備置于“固件更新”模式。在傳統SIPROTEC設備(尤其是內存)可用資源有限的情況下,觸發的效果在合法固件更新實例中非常實用和有用。然而,當激活時,受影響的SIPROTEC不再執行設計的保護功能,包括在相關傳輸線上的過電流保護,即使仍然存在、通電和網絡可訪問。基本上,接收裝置被放置在不工作的保持模式中以備將來的指示。當在正常或預期操作之外觸發時,從目標SIPROTEC中繼的角度來看,這是一個任務殺傷。SIPROTEC仍然存在于網絡中,但由于利用漏洞,它不再執行預期的功能。其結果是電力傳輸中的一個未受保護的鏈路,正常的保護措施被禁用。

利用此漏洞的情況是由一個精心編制的UDP數據包觸發的,該數據包指向UDP-50000,字節序列如圖6所示。發送此序列將使版本4.25之前的SIPROTECSIPROTEC Compact設備進入上一段中描述的非功能待機模式。公開可用的漏洞攻擊框架已經包含了這一功能,使得不成熟的實體可以廣泛地訪問它,盡管這是針對較舊的系統版本的。

6:西門子SIPROTEC DoS數據包示例

盡管ELECTRUMUkrenergo網絡中以SIPROTEC設備為目標的二進制文件中正確地實現了DoS條件,但對方在整個通信實現中犯了編碼錯誤,影響了可執行文件的功能。受害者網絡中四個SIPROTEC設備的特定IP地址可能是在CRASHOVERRIDE事件中使用的DoS二進制文件中硬編碼的。然而,當執行時,地址在通信socket創建期間被向后讀取。如圖7所示,特定地址被模糊化。雖然所有設備與CRASHOVERRIDE操縱傳輸系統的其他控制系統位于同一子網上,socket創建中缺乏endian意識導致了無意義的通信,并使CRASHOVERRIDESIPROTEC DoS的精 確實現變得惰性。

7:拒絕服務模塊流量的數據包捕獲

繼電保護拒絕服務攻擊的含義

評估SIPROTEC設備本應被禁用時的預期狀態,顯示其意圖令人后怕。這強調了CRASHOVERRIDE是一個非常嚴重的攻擊,盡管它的目標因之前提到的各種錯誤而失敗。由于ELECTRUM未能禁用受害者現場使用的保護繼電器,也未按預期操作過多的RTU,因此對攻擊者試圖實現的目標是推測性的,但是存在充分的信息來對該組織在2016年的***終目標做出明智的判斷。

ELECTRUM通過邏輯方法斷開斷路器后,使保護設備失效。攻擊者隨后部署服務擦除和重新映射等措施以抑制邏輯恢復,同時還使各種SCADA設備無法正常工作,從而消除對傳輸站點的準確理解、診斷和遠程操作。根據對2015年烏克蘭事件的分析,烏克蘭當局擁有并愿意在電力公司運營出現緊急情況時執行手動恢復程序。當處于邏輯失視狀態時,保護繼電器仍通電且名義上處于激活狀態,但確定其狀態的功能受到抑制,如果未完全移除,鑒于公用事業的網絡的總體狀態,其被設計為一個大規模的傳輸和控制中斷事件。因此,運營商處于這樣一種情況:他們試圖在降級的運營環境中盡快將運營恢復到正常狀態,而對該環境的當前狀態沒有準確的了解,包括即將恢復的線路上的保護系統的功能。

當輸電設備在沒有保護繼電器的情況下重新連接到整個電力設施網絡時,潛在后果的范圍是令人擔憂的,并超出了立即輸電中斷的影響范圍。如果ELECTRUM成功地實現了全面的傳輸中斷,***明顯的影響是設備在沒有保護的情況下重新連接時電流會急劇升高。這會在重新連接的線路上產生過電流現象,可能(取決于其他備份和物理保護系統)對傳輸設備造成物理損壞。考慮到CRASHOVERRIDE的設計目的是通過操縱數百個設備造成大規模的傳輸中斷,而手動重接(以比正常SCADA操作可能的速度更慢、更慎重的速度進行)基本上一次只能連接幾條線路,因此在恢復過程中只有少數重新連接的線路上會出現潛在的過電流現象。通常,這種情況會導致故障,并通過繼電保護恢復。但考慮到攻擊的設計,這樣的保護被從操作中移除,允許潛在的破壞性場景發揮出來。通常,這種情況會引起故障但會通過繼電保護恢復。而CRASHOVERRIDE攻擊的設計是把繼電保護從操作中移除,從而讓潛在的破壞性場景爆發出來。

值得注意的是,上述內容很大程度上代表了ELECTRUM執行CRASHOVERRIDE攻擊的意圖,但攻擊者為考慮到這種攻擊在實際操作環境中是否會成功。各種系統冗余和物理保護機制的存在可能會緩解Ukrenergo現場的潛在破壞性狀況。一般來說,特定地點的影響將取決于一系列其他因素,如冗余繼電器和備用保護裝置的存在和功能,這些因素使從CRASHOVERRIDE到任何傳輸地點的推廣難以實現。然而,整個事件序列表明,ELECTRUM方面有非常明確的意圖將目標傳輸站點置于不安全和潛在危險的狀態。考慮到CRASHOVERRIDE對傳輸操作的預期(如果未實現)影響規模,重新連接時的潛在負載將是巨大的,并且有可能在引起傳輸設備物理損壞的情況進行修正,因為要修理和更換齒輪從而導致更長時間的中斷。

斷電傳輸,消除過程視圖和控制,禁用保護系統,以及知道受害者求助于手動恢復操作,這些都標明這是一個復雜的,多階段的攻擊,其遠不止是在有限的時間內中斷電流這么簡單。相反,分析CRASHOVERRIDE攻擊,它的設計目的將此次攻擊事件從一個邏輯性很強、以網絡為中心的攻擊事件轉移到由網絡引發的、迄今為止只有Stuxnet成功實現的物理破壞事件這個獨特領域。如果CRASHOVERRIDE能達到ELECTRUM預期的效果,基于當前目標傳輸設備的數量,潛在的斷電將比2015年更為廣泛。此外,如果在系統恢復之前禁用保護會對傳輸操作造成物理損壞,則電力中斷的持續時間可能會延長到幾個月或更長。雖然考慮到電力傳輸中的無數其他控制和保護措施,即使CRASHOVERRIDE按預期工作,其實際效果仍不清楚,但這次攻擊執行的步驟順序明顯地表明,與過去的電力服務中斷相比,這是一次更復雜和更令人擔憂的攻擊。

CRASHOVERRIDE作為保護攻擊的經驗教訓

多次CRASHOVERRIDE事件分析和各種各樣的與目標相關的文物表明,ELECTRUM攻擊者的意圖是超過2015年事件的影響,但由于對受害者環境中的ICS通信協議的理解或實施不力而失敗。即使部署的所有項目都按預期進行,電力傳輸和變電站設計的基本方面也可能會阻止攻擊按預期進行。然而,關注ELECTRUM的失敗掩蓋了CRASHOVERRIDE背后令人擔憂的意圖。通過對在失去控制和視線攻擊情況下的傳輸中斷進行定時,并禁用受影響電路上的保護繼電器,ELECTRUM意圖產生更為顯著和持久的影響:傳輸設備的物理退化或破壞,從而產生持續數月而不是數小時的影響。

ELECTRUM的攻擊因各種原因失敗,但這一事件仍然給電力公司運營商提供多個教訓,從發電到輸電再到配電。運營商必須認識到,攻擊者的能力已經遠遠超出了關閉電源和采用某些機制來延遲恢復這個范圍,而是瞄準了支撐電力公司運營的基本保護系統。這種以保護為中心的攻擊也出現在***近的事件中,如TRISIS。雖然CRASHOVERRIDETRISIS在執行過程中都失敗了(而且可能都被目標系統內的其他安全措施所阻止),但它們表明了攻擊者將ICS環境中的作戰擴展到潛在的物理破壞性的明確意圖。這類襲擊的影響是重大和嚴重的。在急于恢復CRASHOVERRIDE中的傳輸時,如果攻擊者成功地破壞了保護機制和操作員對保護系統的可見性,操作員可能會無意地啟用物理破壞。

快速準確地診斷ICS影響并有效地響應中斷需要努力提高可見性、監控和根本原因的分析能力。在CRASHOVERRIDE的攻擊下,識別斷路器操作與保護繼電器通信的組合可以提醒資產所有者,對手正試圖為潛在的破壞性事件設置必要的先決條件。這是一個結合多個觀測值的威脅行為分析的例子,可以用于快速檢測、處理和響應ICS環境中的事件序列。以這種方式,受害者可以正確地掌握所檢測到的事件序列的范圍和潛在影響,執行一個更******的響應,而不是簡單地匆忙手動恢復操作,反而產生一個不安全的操作環境。

在更高的層次上,在ICS網絡殺戮事件鏈的范圍內有效地檢測或響應CRASHOVERRIDE,這是真正啟用和執行攻擊所必需的,從而產生更強的防御能力。以IT為中心的信息強調了ELECTRUM對控制系統網絡的滲透,與后續的ICS特定通信可以加速后續中斷事件的根本原因分析。這也為操作人員提供了足夠的可見性和知識(即使沒有禁用的SCADA設備),以便將事件識別為跨多個網格操作層的協調攻擊。因此,公用事業可以采取適當的和慎重的行動去響應事件、恢復操作。此外,受害者將掌握有關入侵和后續攻擊的全部的知識,以確保完成網絡恢復和補救,以防止潛在的環境再危害。

***后,資產所有者和運營商可能會低估CRASHOVERRIDEELECTRUM的意圖,由于在攻擊實施過程中多次失敗,以及對電力公司運營和安全措施的一些錯誤理解。然而,采取這樣的立場不僅是錯誤的,而且是危險的。從2015年烏克蘭手動事件到自動化程度逐步提高的CRASHOVERRIDE事件,攻擊事件發出了一個明確的信號,即對手在每次攻擊中都在不斷學習和改進。CRASHOVERRIDE攻擊本身可能沒有達到它的目的,但ELECTRUM組織(和其他攻擊者)將從這次事件中吸取教訓,并適應未來的行動。CRASHOVERRIDE的缺點表明了對ICS網絡進行網絡攻擊以產生物理影響的復雜性,但CRASHOVERRIDE事件的發生清楚地表明了攻擊者不斷提高攻擊能力的意圖和愿望。ICS資產所有者和運營商必須認真對待此類嘗試,并在攻擊者部署功能齊全、具有ICS意識的攻擊之前部署防御措施。

結論

CRASHOVERRIDE攻擊是一次失敗的操作,尤其是從相對于2015烏克蘭電力事件的實際影響來看。然而,對這一事件及其影響的進一步分析揭示了比其前身更為復雜、微妙和令人擔憂的攻擊。通過嘗試對傳輸操作、ICS可見性和***終保護離子系統進行多階段操作,ELECTRUM攻擊者試圖為受害者恢復操作時可能發生的物理破壞事件創建先決條件。雖然對CRASHOVERRIDE成功執行時達到的危害只是一個推測,但在分析了攻擊的所有階段后,對手的意圖似乎很明顯,這就為制造不安全的環境創造了條件,在受害者的傳輸設備內造成潛在破壞性的攻擊。

2016年的受害者逃過了***壞的情況。在未來,電力公司運營商必須了解對手是如何實施這一攻擊的,及其對運營的影響。通過采用一整套攻擊方法來審查ELECTRUM嘗試做什么,ICS資產所有者和運營商可以開始開發和部署所需的可見性、彈性和響應措施,以應對像CRASHOVERRIDE這樣的攻擊。

致謝

與許多事情一樣,沒有其他人的努力和幫助,這篇論文是不可能產生的。這主要是歸功于Selena LarsonReid WightmanDragosNick Tsamis對內容和技術的審查;Schweitzer Engineering Laboratories (SEL) 實驗室的Tim WatkinsWill Edwards對電力系統和保護繼電器理解方面的具體幫助;以及Oak Ridge National Laboratory (ORNL)Maggie MorgantiMike Marshall,他們就電力設施保護系統展開了廣泛的討論。

參考文獻

1 CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations Dragos; Win32/Industroyer: A New Threat for Industrial Control Systems Anton Cherepanov, ESET

2 Anatomy of an Attack: Detecting and Defeating CRASHOVERRIDE Joe Slowik, Dragos (Virus Bulletin 2018). Dragos WorldView subscribers can review a more in-depth version of this report in TR-2018-19: CRASHOVERRIDE Attack in Review

山西天科信息安全科技有限公司
聯系  Contact
13835183891
地 址:山西綜改示范區太原學府園區開拓巷12號10幢創業大樓B座
郵 編:030006
電話:13835183891  高先生
電話:13903466384  蘇先生
企業郵箱:[email protected]
留言  Message
版權所有:山西天科信息安全科技有限公司 電話:13903466384 備案號:晉ICP備18011408號
top
比特币和比特币现金区别 领航配资 股票配资送免费体验金 排球比分直播球探 东京热无码磁链 两人打麻将怎么作弊 贵州十一选五遗漏数 东方汇赢配资 沙滩排球比分直播网站 河南11选5结果 u8棒球比分 国标单机麻将最新版下载 福建十一选五 德州麻将棋牌厅 福彩30选5开奖结果查 中国足球网北单比分直播 篮球比分500