近三年来，2016年12月对乌克兰电网的网络攻击提出了一个威胁性的难题。在那年圣诞节前两天，俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中种植了一个独特的恶意软件样本。就在午夜之前，他们用它来打开基辅以北发射站的每个断路器。结果是俄罗斯长达数年的网络战对其西部邻国的最大规模攻击之一，这是一场前所未有的自动停电，横跨广泛的乌克兰首都。

但一小时后，Ukrenergo的操作员能够简单地重新打开电源。这提出了一个问题：为什么俄罗斯的黑客会建立一个复杂的网络武器并将其植入一个国家电网的核心，只是为了引发一小时的停电?

新理论提供了一个潜在的答案。工业控制系统网络安全公司Dragos的研究人员根据从Ukrenergo系统中提取的恶意软件代码和网络日志的重新审查，重建了2016年停电攻击 [PDF] 的时间表。他们说，黑客不仅打算对乌克兰电网造成短暂的破坏，而且还会造成持续的损害，导致电力中断数周甚至数月。这种区别将使停电恶意软件成为野外发现的三个代码之一，其目的不仅仅是破坏物理设备而是破坏物理设备，正如Stuxnet在2009年和2010年在伊朗所做的那样以及恶意软件Triton在沙特阿拉伯炼油厂在2017年。

在Ukrenergo案件的一个阴险的转折中，俄罗斯的黑客显然是打算在停电时不会触发这种破坏，而是当电网运营商重新打开电源时，利用公用事业公司自己的救援工作来对付他们。

“虽然这最终成为一个直接的破坏性事件，但部署的工具及其使用顺序强烈表明攻击者希望做的不仅仅是关灯几个小时，”Dragos分析师Joe Slowik说。曾在能源部洛斯阿拉莫斯国家实验室领导计算机安全和事件响应小组。“他们试图创造条件，对目标发射站造成物理损害。”

设置陷阱

当斯洛伐克网络安全公司ESET 于2017年6月首次发布时，以乌克兰为目标的停电恶意软件(被称为Industroyer或Crash Override)引起了网络安全社区的注意。它具有与电力设备直接交互的独特能力，包括可以在各种电力设施中使用的四种不同协议发送自动快速命令的功能，以打开断路器并触发大量停电。

但新的Dragos调查结果与2016年恶意软件中经常被遗忘的组件有关，在ESET的原始分析中有所描述[PDF]但当时还没有完全理解。ESET指出，这个模糊不清的恶意软件组件看起来似乎是为了利用西门子设备(称为Siprotec保护继电器)中的已知漏洞。保护继电器用作电网故障保险柜，监控危险电源频率或电气设备中的电流水平，将这些信息传递给操作员并在检测到可能损坏变压器，熔化电源线或罕见的危险情况时自动断开断路器案件甚至电击工人。

2017年，ESET注意到该恶意软件组件的令人不安的影响; 它暗示了Industroyer的创造者可能会受到物理伤害。但目前尚不清楚Siprotec-hacking功能如何实际上造成更持久的伤害。毕竟，黑客只是关闭了Ukrenergo的电源，没有引起一种危险的电源浪涌，导致保护继电器失效可能会加剧。

Dragos分析可能会提供Ukrenergo拼图的缺失部分。该公司表示，它从一个政府实体获得了乌克兰公用事业公司的网络日志 - 它拒绝透露哪一个 - 并且这是第一次能够重建黑客行动的顺序。首先，攻击者打开了传输站中的每个断路器，触发了断电。一小时后，他们推出了一个雨刮器组件，禁用了传输站的计算机，防止公用事业人员监控任何站点的数字系统。只有到那时，攻击者才会使用恶意软件的Siprotec黑客攻击功能对抗四个站点的保护继电器，打算默默地禁用那些故障安全设备，几乎没有任何方法可以使用该实用程序。操作员检测缺失的安全措施。1

Dragos分析师现在认为，目的是让Ukrenergo工程师通过匆忙重新启动该站的设备来应对停电。通过手动操作，在没有保护继电器故障保护的情况下，它们可能触发变压器或电力线中的危险电流过载。潜在的灾难性破坏将导致对工厂能量传输的破坏比单个小时长得多。它也可能伤害公用事业工作者。

该计划最终失败了。由于Dragos无法解释的原因 - 可能是黑客制造的网络配置错误 - 用于Ukrenergo保护中继的恶意数据包被发送到错误的IP地址。Ukrenergo运营商可能比黑客预期更快地恢复供电，超过了保护性继电器的破坏。即使Siprotec攻击达到了他们的标记，车站的备用保护继电器可能已经防止了灾难 - 尽管Dragos的分析师表示，如果没有Ukrenergo安全系统的全貌，他们就无法完全解决潜在的后果。

但Dragos威胁情报总监塞尔吉奥·卡尔塔吉罗内认为，无论如何，事件的顺序代表了当时尚未被认可的令人不安的战术。黑客预测了电力公用事业公司的反应，并试图利用它来扩大网络攻击的破坏。“他们的手指没有超过按钮，”Caltagirone谈到停电黑客。“当你对这一事件作出回应时，他们预先设计了以破坏性和可能危及生命的方式伤害设施的攻击。这种反应最终会对你造成伤害。”

破坏的欲望

自从2007年爱达荷国家实验室证明只需向保护继电器发送数字命令就可以摧毁一台27吨重的柴油发电机以来，对电力设施的物理破坏攻击已经困扰着电网网络安全工程师十多年了。连接到它。领导这些测试的工程师Mike Assante 在2017年告诉WIRED， Ukrenergo恶意软件中存在保护性中继攻击虽然当时尚未完全理解，但暗示这些破坏性攻击可能最终成为现实。“这绝对是一件大事，”今年早些时候去世的阿桑特警告说。“如果你看到变压器起火，它们就会很大。大黑烟会突然变成火球。”

如果2016年停电的新Dragos理论成立，那么当野外恶意软件被设计用于触发破坏性的物理破坏时，它将只会使事件发生三次。第一个是Stuxnet，美国和以色列的恶意软件大约十年前摧毁了一千个伊朗核浓缩离心机。然后一年乌克兰停电后，在2017年后期，另一块恶意软件被称为海卫或Trisis，沙特炼油厂石油拉比格的在网络中发现，被媒体曝光后已经破坏了所谓的安全仪表系统，该设备是监控工业设施的危险情况。最后的网络攻击，因为与之相关莫斯科中央化学与力学科学研究所只关闭了沙特工厂。但它可能导致更糟糕的结果，包括爆炸或气体泄漏等致命事故。

卡尔塔吉龙最担心的是这些事件已经过了多长时间以及这三年来世界工业控制系统黑客可能已经发展了多少。“在此与Trisis之间，我们现在有两个数据点显示出对人类生活的极大忽视，”Caltagirone说。“但这是我们没有看到的，那是最危险的事情。”