【編者按】針對電力行業的網絡入侵和攻擊數量正在增加，2020年Dragos確定了三個針對電力行業的新活動組織（AG）：TALONITE、KAMACITE和STIBNITE。此外，供應鏈風險和勒索軟件攻擊繼續對電力公用事業運營造成入侵和破壞性影響。通過分析Dragos的《全球電力網絡威脅視角》報告，可以深入了解更多關于電力威脅的情況，以及防護這些威脅挑戰的建議。

　　網絡攻擊造成的電力中斷事件可能發生在電力系統運行的各個地點，如控制中心、調度中心，或整個組織服務區域內的發電、輸電或配電環境中。對電力系統的攻擊，就像對其他關鍵基礎設施部門的攻擊一樣，可以進一步實現攻擊者的政治、經濟和國家安全目標。隨著攻擊者及其運營者投入更多的精力和資金來獲得破壞性能力，電力行業遭受破壞性或破壞性攻擊的風險顯著增加。

　　在世界許多地區，電力部門在安全投資方面領先于其他工業部門。雖然安全投資歷來集中在企業信息技術（IT）網絡上，但運營技術（OT）安全方面正在取得重大進展。例如，在北美，電力部門十多年來一直致力于通過董事會級決策、GridEx、北美電力可靠性公司（NERC）關鍵基礎設施保護（CIP）標準等準備工作來應對網絡威脅。以及近期白宮與能源部合作制定的100天行動計劃，這項行動計劃的重點是提高OT在ICS網絡中的可視性、檢測和響應能力。

　　隨著電力行業開始比以往任何時候都更加引人注目，企業必須在此之前做好準備。本報告提供了截至2021年6月的威脅概況。

　　一、電力行業概述

　　電力系統包括發電、輸電及配電，電力系統是復雜的、有彈性的、相互連接的。例如在北美，電力系統由四個互連部分組成：東部、西部、德克薩斯電力可靠性委員會（ERCOT）和魁北克。在歐洲，輸電系統網絡由歐洲輸電系統運營商網絡（ENTSO-E）運營。在澳大利亞，輸電網絡系統由澳大利亞能源市場運營商（AEMO）運營，運營西澳大利亞的批發電力市場（WEM）和覆蓋全國其他地區的國家能源市場（NEM）。這些系統依次由許多地方電網互聯而成。

　　這種互連模式使互連內部的電力流動安全可靠，并允許通過直接連接（DC）在互連之間進行一些直流連接線。這種設計允許在互連中通過多個路徑發生功率流，并在互連中包含頻率干擾。工程方法提供冗余，防止完全崩潰，并在緊急操作期間提供了許多好處。然而，盡管該系統具有相當的彈性，但其復雜性一直在顯著增加，因此這種相互聯系和依賴可能實際上會降低其彈性，而在面對確定的網絡威脅時，這種彈性在很大程度上仍有待檢驗。

　　電力公司有相應的流程，可以在其他實體遭遇風暴、火災或網絡攻擊等影響其服務領域的事件時向其提供互助。區域互助組織和行業伙伴關系可以共享資源，并在破壞性或破壞性事件發生后實現穩定和可靠性。為了響應實時事件，電力公司制定了明確的緊急操作程序，以在運行條件惡化時控制和定位電力系統，包括降低負荷、服務中斷、甩負荷和電力系統恢復行動的公共呼吁。

　　在美國、加拿大和墨西哥部分地區注冊執行特定可靠性任務的電力實體，必須遵守由NERC-CIP標準制定的網絡安全法規。墨西哥的電網系統由能源監管委員會（CRE）監管。該委員會在可靠性方面與NERC合作，并為墨西哥的電力實體定義網絡安全規則。在全球范圍內，網絡安全法規或指南有所不同，但許多國家依賴國際電工委員會（IEC）和國際標準化組織（ISO）制定的標準。ISO和IEC聯合技術委員會（JTC1）為包括核電和電力設施在內的操作技術（OT）設備制定網絡安全標準。歐洲和澳大利亞也制定了類似的框架，分別是網絡和信息系統安全指令（NIS-D）和澳大利亞能源部門網絡安全框架（AESCSF）。盡管還沒有被強制執行，但對于關鍵基礎設施而言，它們的級別更高，而不是完全與電力有關。遵守網絡安全法規和最佳實踐，確保維持最低水平的網絡安全，從而使電力設施在ICS行業中獨樹一幟。

　　二、電力運營部門威脅

　　圖片

　　圖1 電力分配

　　在電力到達客戶之前，它要經過多個步驟，包括發電、輸電和配電。電力由化石燃料、核能或可再生能源等能源在發電設施（通常稱為發電廠）中產生。輸電系統將電力從發電廠遠距離輸送到配電變電站，從那里分發給客戶。輸電和配電系統包括變電站，其中變壓器用于提高或降低電壓水平，以便向工業、商業和住宅客戶提供適當的服務。

　　1、發電

　　Dragos評估，至少有五個威脅組織（AGs）證明有滲透或破壞發電的意圖或能力。XENOTIME已經展示了在工業環境中訪問、操作和實施攻擊的能力。Dragos評估，該組織將有能力對其破壞性工作進行重組，并將其重點放在電力設施上，因為它已經瞄準了安全儀表系統，如Triconex，它是發電行業的支柱。DYMALLOY展示了在發電設施中訪問OT網絡的能力，并獲得敏感ICS數據的屏幕截圖，包括人機界面（HMI）的屏幕截圖。ALLANITE也是對發電的威脅，因為它與DYMALLOY在目標定位和能力方面有一些相似之處。到目前為止，這兩個組織都沒有展示出干擾或破壞ICS的能力，只是專注于一般偵察。

　　WASSONITE積極瞄準亞洲的關鍵基礎設施，包括核能發電，并在至少一個核電廠的管理系統中成功部署惡意軟件。盡管沒有證據表明它成功地滲透了運營網絡。雖然威脅組織尚未顯示出任何特定于ICS的能力或破壞性意圖，但迄今為止的行動表明，對這些資源的興趣持續不斷。最后，觀察到STIBNITE專門針對阿塞拜疆發電的風力渦輪機公司。根據目前的收集工作，該活動似乎僅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT遠程訪問惡意軟件在受害者系統上收集信息、截圖、傳輸文件和執行命令。該活動反映了Dragos在許多AGs中觀察到的結果，這些威脅組織攻擊ICS的意圖存在，即使針對ICS的特定能力尚未顯現。

　　以ICS為攻擊目標的威脅者并沒有成功地擾亂電力生產。Dragos觀察到的針對這部分的活動，包括獲取敏感行動網絡的文件，可能被用于間諜目的或促進破壞性攻擊。

　　2、輸電

　　至少有兩個AGs對傳輸操作構成威脅。ELECTRUM是一種資源豐富的AG，具有中斷電力傳輸的能力。Dragos評估KAMACITE作為ELECTRUM的初始訪問和促進小組。

　　ELECTRUM對2016年12月在烏克蘭基輔發生的CRASHOVERRIDE惡意軟件攻擊負責。攻擊者定制了惡意軟件，通過打開和關閉電力系統中用于輸送電力的多個斷路器來切斷傳輸級變電站的電源，并確保操作員、電源線和設備的安全。這次攻擊顯示了對傳輸環境和使用的工業協議的深刻理解，使攻擊者能夠針對特定目標定制惡意軟件。

　　雖然此次攻擊發生在歐洲，但類似的網絡攻擊也有可能發生在世界其他地區，并對目標環境中的不同工業協議、設備和網絡拓撲進行修改。例如，攻擊目標斷路器操作由遵守IEC 6185029標準的ABB設備控制，并使用制造信息規范（MMS）協議進行通信。攻擊還可以被用于符合這些標準的其他設備。

　　3、配電

　　2015年12月23日，KAMACITE在烏克蘭發動了首次網絡攻擊造成的大范圍停電。攻擊者利用惡意軟件獲得了對三家電力配電公司的遠程訪問，利用目標環境的配電管理系統執行系統操作，并擾亂了大約23萬人的電力供應。經過人工操作，幾小時后電力才完全恢復。

　　與ELECTRUM相反，KAMACITE在2015年烏克蘭事件中沒有使用ICS特定的惡意軟件，它通過操作環境中的現有工具遠程控制操作。AGs展示的行為和工具使用，包括KAMACITE和ELECTRUM，可以根據威脅行為者的重點部署在全球分銷業務中。

　　在整個發電、輸電和配電過程中的任何一點電力中斷，都需要攻擊者對企業和運營環境、使用的設備以及如何操作專門設備有基本的了解。攻擊者必須在目標環境中花費很長一段時間學習控制系統的細節，以成功地實施破壞電力服務的攻擊，而防御者在潛在的攻擊鏈上有多個機會檢測并消除攻擊者的訪問。

　　三、當前面臨的威脅現狀

　　1、勒索軟件

　　Dragos觀察到，影響ICS環境和操作的非公開和公開勒索軟件事件數量顯著增加。根據Dragos和IBM Security X-Force跟蹤的數據，2018年至2020年，發生在工業和相關實體上的勒索軟件攻擊中有10%是以電力設施為攻擊目標。這是僅次于制造業的第二大目標產業。盡管大多數影響ICS和相關實體的勒索軟件都是以IT為中心的，但如果勒索軟件能夠由于不適當的安全操作而彌合IT/OT差距，則勒索軟件可能會對運營產生破壞性影響。Dragos發現多個勒索軟件采用ICS感知功能，包括在環境中發現時可以殺死以工業為中心的計算機進程的能力，活動可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含這類代碼的幾個勒索軟件變種。EKANS和其他ICS勒索軟件代表了一種獨特的和特定的風險，工業操作以前沒有觀察到的勒索軟件操作。

　　勒索軟件運營商越來越多地將數據盜竊技術納入其活動，以進一步索要贖金。攻擊者可能會在加密受感染的機器之前竊取目標公司的數據，并威脅在如果不支付贖金，就會在威脅者運營的網站或黑客論壇上公布這些數據。黑客竊取或泄露的數據可能包含目標公司的敏感信息及其客戶信息。盡管勒索軟件攻擊者可能只對利用數據用于財務目的感興趣，但對專門針對電力行業感興趣的黑客可以使用泄漏的數據來幫助開發攻擊。例如，黑客可以使用客戶數據來確定第三方或供應鏈的潛在風險，或者使用示意圖、網絡圖或其他內部文檔等數據來確定運營收益目標。

　　勒索軟件不僅僅適用于有經濟動機的運營商。國家支持的攻擊者也可能在網絡行動中利用勒索軟件。2020年5月，中國臺灣政府將針對石油、天然氣和半導體公司的勒索事件歸咎于Winnti組織。

　　ICS環境中破壞性惡意軟件的潛在風險之一由historian技術表示，因為historian部署的架構通常是連接IT網段中的只讀historian和OT網絡中的plant historian之間的通信。此外，除非記錄在歷史記錄中，否則傳感器數據是短暫的，對其數據的破壞性攻擊如果得不到很好的保護，可能會導致無法挽回的損失。

　　2、互聯網資產風險

　　暴露于互聯網的工業和網絡資產是電力公司的重大網絡風險。各種以ICS為攻擊目標的組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄準或目前試圖利用遠程訪問技術或登錄基礎設施。

　　《2020 Dragos年度回顧報告》詳細介紹了從事件響應和服務團隊吸取的經驗教訓，根據該報告，100%的事件響應案例涉及黑客直接從互聯網訪問ICS網絡，有33%的組織有可路由網絡連接到他們的運營環境。

　　2020年7月，美國國土安全部網絡安全和基礎設施安全局（CISA）和國家安全局（NSA）發布了一份警告，鼓勵資產所有者和運營商立即采取行動，限制OT資產暴露于互聯網。根據警報，最近在發布前觀察到的行為包括：

　　先發制人，在轉向OT之前獲得信息技術（IT）的初步訪問；

　　部署商用勒索軟件以影響IT和OT環境；

　　連接到無需認證的互聯網可訪問可編程邏輯控制器（PLC）；

　　使用公共端口和標準應用層協議與控制器通信，并下載修改后的控制邏輯；

　　使用供應商工程軟件和程序下載；

　　修改PLC上的控制邏輯和參數。

　　攻擊者迅速武器化并利用面向互聯網的服務中的漏洞，包括遠程桌面協議（RDP）和VPN服務。2020年夏季發現的影響關鍵網絡基礎設施服務中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper網絡設備，很可能會被ICS目標黑客利用。這些漏洞可使黑客獲得對企業運營的初始訪問權限，并可能轉移到工業運營。

　　3、供應鏈威脅

　　攻擊者可以濫用現有的信任關系和互連來訪問敏感資源，并在某些情況下包括系統，而且幾乎不可能被檢測到。

　　2020年12月，火眼公布了一項大規模供應鏈威脅行動的首批細節，該行動影響了全球的公司和政府，包括電力公司。黑客利用名為SolarWinds的IT管理軟件，獲得了數千個使用該軟件的組織的權限。

　　值得關注的是，許多集成商和原始設備制造商（OEM）在OT網絡和維護鏈路中使用SolarWinds。至少有兩家全球原始設備制造商（OEM）使用了被泄露的SolarWinds軟件，通過維護鏈接直接進入ICS網絡，包括渦輪機控制軟件。攻擊者可以很容易地利用這種訪問來造成重大破壞。

　　該活動是有史以來公開確定的最大的供應鏈危害事件之一，并強調了通過運營環境中的軟件、固件或第三方集成引入環境的潛在風險。

　　但軟件更新并不是供應鏈入侵中唯一可能被濫用的潛在進入載體。2021年4月，Dragos發現了一家與歐洲電力行業客戶有重大聯系的南亞集成電路供應商遭到入侵。原始設備制造商（OEM）、供應商和第三方承包商對企業和ICS運營至關重要。發電、輸電和配電中的眾多供應商或承包商接觸點，可以通過受損或安全性較差的直接網絡連接，提供進入電力公用事業環境入口。

　　DYMALLOY、ALLANITE和XENOTIME已使用供應鏈破壞方法獲得受害者網絡的訪問權。DYMALLOY和ALLANITE在針對電力行業的后續網絡釣魚活動中損害了供應商和承包商的利益。XENOTIME在2018年損害了多家ICS供應商和制造商，提供了潛在的供應鏈威脅機會，并提供了可供供應商訪問的目標ICS網絡。

　　四、系統性威脅

　　電力行業以各種形式支持所有關鍵基礎設施垂直行業，電力中斷可能會對制造業、采礦作業或海水淡化等其他行業產生連鎖和破壞性影響。

　　此外，大型制造企業也正在成為可再生能源供應商，這些發電廠向所有制造廠供電。其中一個設施的中斷可能會導致整個公司的生產運營中斷。

　　全球許多國家（尤其是中東）依靠部分水的淡化操作。設施可以通過能源密集型工藝將鹽水轉化為飲用水。據國際能源署稱，膜式脫鹽需要大量電力，是世界上最常見的脫鹽技術。支持海水淡化工作的電力運行中斷可能會限制飲用水的生產。

　　采礦作業也需要消耗大量能源。在美國，大約32%的采礦業能源是電力。在澳大利亞，電力系統為該國采礦業提供了21%的能源。電能支持鉆井和材料搬運作業，如果發電、輸電或配電受到網絡攻擊，這些作業可能會中斷，特別是在支持采礦作業的現場發電設施。

　　五、防范建議

　　資產所有者和運營商可以實施以下基于主機和網絡的建議，以改進對ICS目標群體的檢測和防御。

　　訪問限制和賬戶管理

　　限制域內的管理訪問，限制域管理員的數量，并將網絡管理員、服務器管理員、工作站管理員和數據庫管理員分離到單獨的組織單元（OU）中。身份是防御的關鍵。

　　確保所有設備和服務不使用默認憑據。如果可能，請不要使用硬編碼憑據。監視任何無法刪除或禁用的硬編碼方法。僅限必要人員使用設備。在所有應用程序、服務和設備中實現最小特權原則，以確保個人只能訪問履行職責所需的資源。這包括確保應用層服務，如文件共享和云存儲服務被正確劃分。按照普渡模式，網絡連接在繼續進行不同層次之前應該被終止。

　　可訪問性

　　識別控制系統網絡中的入口和出口路由并對其進行分類。這包括工程師和管理員遠程訪問門戶，也包括需要訪問IT資源或更廣泛的互聯網的商業智能和許可服務器鏈接等項目。通過防火墻規則或其他方法限制這些類型的連接，以確保最大限度地減少攻擊面。

　　響應計劃

　　制定、審查和實踐網絡攻擊響應計劃，并將網絡調查整合到所有事件的根本原因分析中。

　　分段

　　在可能的情況下，對網絡進行分段和隔離，以限制橫向移動。這可以通過防火墻或訪問控制列表（ACL）輕松實現，組織可以通過虛擬劃分網絡并減少攻擊面，同時限制攻擊者移動。

　　第三方

　　確保第三方連接和ICS交互以“信任但驗證”的心態進行監控和記錄。在可能的情況下，隔離或創建用于此類訪問的隔離區（DMZ），以確保第三方無法完全、不受限制或不受監控地訪問整個ICS網絡。盡可能實施跳轉主機、堡壘主機和安全遠程身份驗證方案等功能。建議使用威脅信息和由此產生的復雜分析來應對供應鏈網絡風險。

　　可見性

　　對ICS/OT環境采取全面的可見性方法，以確保在監控方面沒有差距。資產所有者、運營商和安全人員應共同努力，從最關鍵的基礎設施開始收集基于網絡和主機的日志。識別和關聯可疑網絡、主機和進程事件的能力可以極大地幫助在入侵發生時識別入侵，或促進破壞性事件發生后的根本原因分析。確保通過以ICS為重點的技術對運營網絡進行網絡監控。

　　六、結論

　　由于此類事件可能造成的政治和經濟影響，電力行業仍然面臨破壞性網絡攻擊的風險。由于電力系統的互連性，在風暴或地震等破壞性事件期間，電力系統具有強大的恢復力和冗余性，因此大多數發達地區的電力系統可能會從破壞性網絡事件中快速恢復。管理機構實施的法規有助于確保該部門的最低安全水平，但這通常不適用于其他ICS垂直領域。

　　正如CRASHOVERRIDE所證明的那樣，破壞性攻擊需要付出巨大的努力才能實現。威脅者在目標環境中的必要停留時間為防御者提供了許多識別和刪除惡意活動的機會。Dragos觀察到的企業目標定位活動可實現初始入侵和數據收集，并為威脅者轉向潛在破壞性事件奠定基礎。供應鏈攻擊和供應商妥協的威脅日益增長，這也為AGs破壞IT和OT環境提供了新的途徑。