针对电力行业的网络入侵和攻击数量不断增加。2020年,Dragos确定了三个针对电力行业的新活动组(AG):TALONITE、KAMACITE和STIBNITE。此外,供应链风险和勒索软件攻击继续对电力公司运营产生侵入性和破坏性影响。通过分析Dragos的《全球电力网络威胁视角》报告,我们可以了解更多关于电力威胁的信息以及防范这些威胁的建议。网络攻击导致的停电事件可能发生在电力系统运行的各个点,例如控制中心、调度中心,或者整个组织服务区域的发电、输电或配电环境。与攻击其他关键基础设施部门一样,对电力系统的攻击可以进一步推进攻击者的政治、经济和国家安全目标。随着攻击者及其运营者投入更多的精力和金钱来获取破坏性能力,电力行业遭受破坏性或破坏性攻击的风险显着增加。在世界许多地方,电力部门在安全投资方面领先于其他工业部门。虽然安全投资在历史上一直集中在企业信息技术(IT)网络上,但在运营技术(OT)安全方面正在取得重大进展。例如,在北美,电力部门十多年来一直致力于通过董事会级决策、GridEx、北美电力可靠性公司(NERC)关键基础设施保护(CIP)标准和准备工作来应对网络威胁.而最近白宫与能源部合作制定的100天行动计划,这个行动计划的重点是提高OT在ICS网络中的可见性、检测和响应能力。随着电力行业开始比以往任何时候都更加突出,企业必须事先做好准备。本报告提供了截至2021年6月的威胁概述。1.电力行业概述电力系统包括发电、输电和配电。电力系统复杂、灵活且相互关联。例如,在北美,电力系统由四个相互关联的部分组成:东部、西部、德克萨斯电力可靠性委员会(ERCOT)和魁北克。在欧洲,输电系统网络由欧洲输电系统运营商网络(ENTSO-E)运营。在澳大利亚,输电网络系统由澳大利亚能源市场运营商(AEMO)运营,该运营商运营西澳大利亚的批发电力市场(WEM)和覆盖该国其他地区的国家能源市场(NEM)。这些系统又通过许多本地电网相互连接。这种互连方式使互连内部的功率流动安全可靠,并允许互连之间通过直接连接(DC)进行一些直流连接。这种设计允许功率流通过互连中的多条路径发生,并且包括互连中的频率干扰。工程方法提供冗余,防止完全故障,并在紧急操作期间提供许多好处。然而,尽管系统具有相当大的弹性,但其复杂性一直在显着增加,因此这种相互关联性和依赖性实际上可能会降低其弹性,这在面对已识别的网络威胁时的高度可变程度仍有待检验。公用事业公司制定了流程,以便在发生影响其服务区域的风暴、火灾或网络攻击等事件时向其他实体提供互助。区域互助组织和行业合作伙伴可以共享资源,并在破坏性或破坏性事件发生后实现稳定性和可靠性。为响应实时事件,公用事业公司定义了应急操作程序,以在运行条件恶化时控制和定位电力系统,包括公开呼吁减载、服务中断、减载和电力系统恢复行动。在美国、加拿大和墨西哥部分地区注册执行特定可靠性任务的电力公司必须遵守NERC-CIP标准制定的网络安全法规。墨西哥的电网系统由能源监管委员会(CRE)监管。该委员会在可靠性方面与NERC合作,并为墨西哥的电力实体制定网络安全规则。在全球范围内,网络安全法规或指南各不相同,但许多国家都依赖国际电工委员会(IEC)和国际标准化组织(ISO)制定的标准。ISO和IEC联合技术委员会(JTC1)为运营技术(OT)设备(包括核电和电力设施)制定网络安全标准。欧洲和澳大利亚也制定了类似的框架,分别是网络和信息系统安全指令(NIS-D)和澳大利亚能源部门网络安全框架(AESCSF)。尽管尚未强制执行,但它们是关键基础设施的更高层级,而不仅仅与电力有关。遵守网络安全法规和最佳实践可确保维持最低水平的网络安全,从而使电力公司在ICS行业中独树一帜。二、电力运营威胁电力到达用户之前,要经过发电、输电、配电等多个环节。发电设施(通常称为发电厂)通过化石燃料、核能或可再生能源等来源产生电力。传输系统将电力从发电厂长距离传输到配电变电站,再从那里传输到客户。输电和配电系统包括变电站,在变电站中使用变压器升高或降低电压水平,以便为工业、商业和住宅客户提供适当的服务。图1.配电1.发电Dragos评估认为,至少有五个威胁组织(AG)表现出渗透或破坏发电的意图或能力。XENOTIME已经展示了在工业环境中访问、操作和执行攻击的能力。Dragos评估该集团将能够重组其颠覆性努力并将其重新聚焦于电力公用事业,因为它已瞄准安全仪表系统,例如发电行业的支柱Triconex。DYMALLOY展示了访问发电设施OT网络并获取敏感ICS数据(包括人机界面(HMI)数据)屏幕截图的能力。铝沸石也是对发电的威胁,因为它在目标和能力方面与DYMALLOY有一些相似之处。到目前为止,这两个组织都没有表现出干扰或破坏ICS的能力,只专注于一般侦察。WASSONITE积极瞄准亚洲的关键基础设施,包括核电,并成功地在至少一座核电站的管理系统中部署了恶意软件。尽管没有证据表明它成功渗透了运营网络。虽然威胁组织尚未展示任何特定于ICS的能力或破坏性意图,但迄今为止的行动表明对这些资源的持续兴趣。最后,观察到STIBNITE专门针对在阿塞拜疆发电的风力涡轮机公司。根据当前的收集工作,此活动似乎仅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT远程访问恶意软件在受害系统上收集信息、截取屏幕截图、传输文件和执行命令。此活动反映了Dragos在许多AG中观察到的情况,这些威胁组织存在攻击ICS的意图,即使针对ICS的特定能力尚未显现。以ICS为目标的威胁行为者未能成功破坏电力生产。Dragos观察到的针对该细分市场的活动(包括从敏感的运营网络获取文件)可用于间谍目的或促进破坏性攻击。2.Transmission至少有两个AG对transmission操作构成威胁。ELECTRUM是一个资源丰富的AG,具有中断电力传输的能力。Dragos将KAMACITE评估为ELECTRUM的初始访问和促进组。ELECTRUM负责2016年12月在乌克兰基辅发生的CRASHOVERRIDE恶意软件攻击。攻击者定制了恶意软件以切断输电级变电站的电力,并通过打开和关闭使用的多个断路器来确保操作员、电力线和设备的安全在电力系统中输送电力。这次攻击展示了对传输环境和所用工业协议的深刻理解,使攻击者能够针对特定目标定制恶意软件。虽然这次攻击发生在欧洲,但类似的网络攻击可能会发生在世界其他地区,并涉及对目标环境中不同工业协议、设备和网络拓扑的修改。例如,攻击目标断路器操作由符合IEC6185029标准并使用制造消息规范(MMS)协议进行通信的ABB设备控制。该攻击还可以用于满足这些条件的其他设备。3.配电2015年12月23日,KAMACITE在乌克兰发起首次网络攻击,造成大规模停电。攻击者使用恶意软件远程访问三个配电公司,利用目标环境的配电管理系统执行系统操作,并中断了约230,000人的电力供应。人工操作后,需要几个小时才能完全恢复供电。与ELECTRUM不同,KAMACITE在2015年的乌克兰事件中没有使用ICS特有的恶意软件,它通过运行环境中的现有工具远程控制操作。AG(包括KAMACITE和ELECTRUM)展示的行为和工具使用可以根据威胁参与者的重点部署在全球分布操作中。在整个发电、输电和配电过程中的任何时候发生电力中断需要攻击者对企业和运营环境、所使用的设备以及如何操作专用设备有基本的了解。攻击者必须在目标环境中花费更长的时间来了解控制系统的详细信息,才能成功实施中断电力服务的攻击,而防御者在潜在的攻击链上有多种机会来检测和消除攻击者的访问。3.当前威胁状况1.勒索软件Dragos观察到影响ICS环境和运营的非公开和公开勒索软件事件数量显着增加。根据Dragos和IBMSecurityX-Force跟踪的数据,2018年至2020年间针对工业和相关实体的所有勒索软件攻击中有10%的目标是电力设施。这是仅次于制造业的第二大目标行业。虽然大多数影响ICS和相关实体的勒索软件都是以IT为中心的,但如果勒索软件能够弥合IT/OT因不适当的安全做法而造成的差距,则可能会对运营产生破坏性影响。Dragos发现了多种采用ICS感知功能的勒索软件,包括在环境中发现时能够杀死以工业为中心的计算机进程的能力,其活动可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含此类代码。EKANS和其他ICS勒索软件为工业运营带来了一种独特且特定的风险,之前没有观察到勒索软件操作。勒索软件运营商越来越多地将数据盗窃技术纳入其活动中,以进一步索取赎金。攻击者可能会在加密受感染的机器之前窃取目标公司的数据,并威胁如果不支付赎金,就会将其发布在威胁操作的网站或黑客论坛上。黑客窃取或泄露的数据可能包含有关目标公司及其客户的敏感信息。虽然勒索软件攻击者可能只对出于财务目的利用数据感兴趣,但对专门针对电力行业感兴趣的黑客可能会使用泄露的数据来帮助发起攻击。例如,黑客可以使用客户数据来识别对第三方或供应链的潜在风险,或者使用示意图、网络图或其他内部文件等数据来获取运营收益。勒索软件不仅仅针对有经济动机的运营商。国家支持的攻击者也可能在其网络操作中利用勒索软件。2020年5月,台湾政府指责Winnti集团对石油、天然气和半导体公司进行勒索。Historian技术代表了ICS环境中破坏性恶意软件的潜在风险之一,因为Historian部署的架构通常是连接IT网段中的只读Historian和OT中的工厂Historian之间的通信网络。此外,传感器数据是短暂的,除非被记录在历史中,如果没有得到很好的保护,对其数据的破坏性攻击可能会造成无法弥补的损害。2.互联网资产风险暴露在互联网中的工业和网络资产是电力公司面临的重大网络风险。以ICS为目标的各种团体,包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME,之前已经瞄准或正在尝试利用远程访问技术或登录基础设施。《2020 Dragos年度回顾报告》详细介绍了事件响应和服务团队的经验教训,根据报告,100%的事件响应案例涉及黑客直接从互联网访问ICS网络,其中33%的组织具有与其运营环境的可路由网络连接。2020年7月,美国国土安全部网络安全和基础设施安全局(CISA)和国家安全局(NSA)发布警报,鼓励资产所有者和运营商立即采取行动,限制OT资产暴露在互联网上。根据该警报,在发布之前最近观察到的行为包括:部署商用勒索软件以影响IT和OT环境;连接到互联网可访问的可编程逻辑控制器(PLC);使用公共端口和标准应用层协议与控制器通信,下载修改后的控制逻辑;使用供应商工程软件和程序下载;修改PLC上的控制逻辑和参数。攻击者正在迅速武器化并利用面向互联网的服务中的漏洞,包括远程桌面协议(RDP)和VPN服务。2020年夏季发现的影响关键网络基础设施服务(包括F5、PaloAltoNetworks、Fortinet、Citrix和Juniper网络设备)的新漏洞很可能被以ICS为目标的黑客利用。这些漏洞可能允许黑客获得对公司运营的初始访问权限,并可能转移到工业运营中。3.供应链威胁攻击者可以滥用现有的信任关系和互连来访问敏感资源,在某些情况下还可以访问几乎无法检测到的系统。2020年12月,FireEye发布了大规模供应链威胁行动的第一批细节,该行动影响了世界各地的公司和政府,包括电力公司。黑客利用名为SolarWinds的IT管理软件,获得了对使用该软件的数千家组织的访问权限。有趣的是,许多集成商和原始设备制造商(OEM)在OT网络和维护链路中使用SolarWinds。至少有两家全球原始设备制造商(OEM)使用泄露的SolarWinds软件维护直接与ICS网络的链接,包括涡轮机控制软件。攻击者可以轻松利用此访问权限造成严重破坏。该事件是迄今为止公开发现的最大的供应链妥协之一,并突出了通过软件、固件或操作环境中的第三方集成引入环境的潜在风险。但软件更新并不是供应链入侵中唯一可能被滥用的潜在进入媒介。2021年4月,Dragos发现一家与欧洲电力行业客户有重要联系的南亚集成电路供应商遭到入侵。原始设备制造商(OEM)、供应商和第三方承包商对企业和ICS运营至关重要。发电、输电和配电中的众多供应商或承包商接触点可以通过受损或安全性差的直接网络连接进入电力公用事业环境。DYMALLOY、ALLANITE和XENOTIME已使用供应链破坏方法来访问受害网络。DYMALLOY和ALLANITE在随后针对电力行业的网络钓鱼活动中损害了供应商和承包商。XENOTIME在2018年入侵了多家ICS供应商和制造商,带来了潜在的供应链威胁机会,并为供应商提供了对目标ICS网络的访问权限。4.系统性威胁电力行业以一种或另一种形式支持所有关键的垂直基础设施,停电可能对制造业、采矿业或海水淡化等其他行业产生级联和破坏性影响。此外,大型制造企业也正在成为可再生能源的供应商,这些发电厂为所有制造厂提供电力。其中一个设施的中断可能会扰乱整个公司的生产运营。世界上许多国家(尤其是中东)的部分水都依赖于海水淡化作业。设施可以通过能源密集型过程将盐水转化为饮用水。据国际能源署称,膜法海水淡化需要大量电力,是世界上最普遍的海水淡化技术。支持海水淡化工作的电力中断可能会限制饮用水生产。采矿作业也消耗大量能源。在美国,大约32%的采矿能源是电力。在澳大利亚,电力系统提供了该国21%的采矿业能源。电能支持钻井和物料搬运作业,如果发电、输电或配电受到网络攻击,这些作业可能会中断,尤其是在支持采矿作业的现场发电设施中。五、预防建议资产所有者和运营商可以实施以下基于主机和网络的建议,以改进对ICS目标群体的检测和防御。(1)访问限制和账户管理限制域内的管理访问,限制域管理员的数量,将网络管理员、服务器管理员、工作站管理员和数据库管理员划分到单独的组织单元(OU)中。身份是防御的关键。确保所有设备和服务不使用默认凭据。如果可能,不要使用硬编码凭据。注意任何无法删除或禁用的硬编码方法。仅限必要人员使用设备。在所有应用程序、服务和设备中实施最小权限原则,以确保个人只能访问履行职责所需的资源。这包括确保文件共享和云存储服务等应用层服务得到适当分区。根据Purdue模型,网络连接应该在进入不同层之前终止。(2)可达性识别和分类控制系统网络中的入口和出口路由。这包括供工程师和管理员使用的远程访问门户,还包括需要访问IT资源或更广泛的Internet的商业智能和许可服务器链接等项目。通过防火墙规则或其他方法限制这些类型的连接,以确保攻击面最小化。(3)响应计划制定、审查和实施网络攻击响应计划,并将网络调查纳入所有事件的根本原因分析。(4)分段在可能的情况下,分段和隔离网络以限制横向移动。这可以通过防火墙或访问控制列表(ACL)轻松实现,它们允许组织虚拟地分割网络并减少攻击面,同时限制攻击者的移动。(5)第三方确保以“信任但验证”的心态监控和记录第三方连接和ICS交互。在可能的情况下,为此类访问隔离或创建非军事区(DMZ),以确保第三方无法完全、不受限制或不受监控地访问整个ICS网络。尽可能实现跳转主机、堡垒主机和安全远程身份验证方案等功能。建议使用威胁信息和由此产生的复杂分析来解决供应链网络风险。(6)可见性对ICS/OT环境采取全面的可见性方法,以确保监控没有漏洞。资产所有者、运营商和安全人员应合作收集网络和基于主机的日志,从最关键的基础设施开始。识别和关联可疑网络、主机和进程事件的能力可以极大地帮助识别发生的入侵,或在破坏性事件发生后促进根本原因分析。通过以ICS为中心的技术确保对运营网络的网络监控。6.结论由于此类事件可能产生的政治和经济影响,电力行业仍然面临破坏性网络攻击的风险。由于风暴或地震等破坏性事件期间的互连性、高弹性和冗余性,大多数发达地区的电力系统可能会从破坏性网络事件中迅速恢复。管理机构执行的法规有助于确保该行业的最低安全级别,但其他ICS垂直行业通常并非如此。正如CRASHOVERRIDE所展示的那样,破坏性攻击需要付出巨大的努力才能实现。威胁行为者在目标环境中花费的必要时间为防御者提供了许多识别和删除恶意活动的机会。Dragos观察到的企业目标活动启用了初始入侵和数据收集,并为威胁参与者转向潜在的破坏性事件奠定了基础。供应链攻击和供应商妥协的威胁不断增加,也为AG破坏IT和OT环境提供了新途径。
