雖然這起網(wǎng)絡(luò)攻擊引發(fā)了一系列問題,但卻沒有給出明確的答案:首先,這次網(wǎng)絡(luò)攻擊的真正動(dòng)機(jī)是什么?第二,為什么一個(gè)惡意軟件能夠如此強(qiáng)大,它可以瞬間讓整個(gè)城市進(jìn)入黑暗之中,而一個(gè)小時(shí)后工廠的工人只需要打開斷路器就能修復(fù)?
對(duì)此,來自工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全公司Dragos的研究人員近日發(fā)布了一篇論文,他們?cè)谖闹兄亟?016年烏克蘭斷電的時(shí)間線,希望能為尋找上述問題的答案獲得一些啟發(fā)。在這篇題為《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研究團(tuán)隊(duì)梳理了惡意軟件的代碼并重新訪問了Ukrenergo的網(wǎng)絡(luò)日志。他們得出的結(jié)論是,有證據(jù)表明,黑客的意圖是造成更大強(qiáng)度的物理破壞,如果沒有幾個(gè)月也會(huì)將停電時(shí)間延長到數(shù)周甚至可能危及到現(xiàn)場(chǎng)工廠工人的生命。如果是這樣的話,那么攻擊基輔電力供應(yīng)的惡意軟件將只是另外兩種惡意代碼--Stuxnet和Triton的其中一種,這兩種曾分別攻擊過伊朗和沙特阿拉伯。
然而問題的實(shí)質(zhì)則在于細(xì)節(jié)。文章作者、Dragos分析師Joe Slowik表示:“雖然這最終是一個(gè)直接的破壞性事件,但部署的工具和使用它們的順序強(qiáng)烈表明,攻擊者想要做的不僅僅是把燈關(guān)掉幾個(gè)小時(shí)。他們?cè)噲D創(chuàng)造條件,對(duì)目標(biāo)傳輸站造成物理破壞。”
更具體一點(diǎn)說,Joe和Dragos給出的理論暗示了黑客利用Crash Override發(fā)送自動(dòng)脈沖來觸發(fā)斷路器進(jìn)而利用由西門子生產(chǎn)的Siprotec保護(hù)繼電器的一個(gè)已知漏洞。盡管在2015年發(fā)布了一個(gè)修復(fù)上述漏洞的安全補(bǔ)丁,但烏克蘭的許多電網(wǎng)站并沒有更新它們的系統(tǒng),這就位黑客們打開了一扇門,他們只需要發(fā)出一個(gè)電脈沖就能讓安全繼電器在休眠狀態(tài)下失效。
為了搞明白這點(diǎn),Dragos搜索了Ukrenergo的日志并將它所發(fā)現(xiàn)的信息的原始線程聯(lián)系起來。他們第一次重構(gòu)了黑客的操作方式,具體如下:首先,黑客部署了Crash Override;然后他們用它來處罰基輔北部一個(gè)電網(wǎng)站的每一個(gè)斷路器進(jìn)而導(dǎo)致大規(guī)模停電;一個(gè)小時(shí)后,他們發(fā)射了一個(gè)雨刷組件從而使發(fā)射站的電腦無法工作并阻止了對(duì)發(fā)射站數(shù)字系統(tǒng)的監(jiān)控;死后,黑客破壞了該電站的4個(gè)Siprotec保護(hù)繼電器,從而使電站容易受到危險(xiǎn)高頻率電力的影響。
事實(shí)上,這一事件并沒有持續(xù)到最后。雖然Dragos無法找到黑客計(jì)劃失敗的原因,但它懷疑黑客的某些網(wǎng)絡(luò)配置錯(cuò)誤或現(xiàn)場(chǎng)工作人員在發(fā)現(xiàn)正在休眠的Siprotec繼電器時(shí)做出的快速反應(yīng)可能是挽救局面的原因。