【编者按】针对电力行业的网络入侵和攻击数量正在增加，2020年Dragos确定了三个针对电力行业的新活动组织（AG）：TALONITE、KAMACITE和STIBNITE。此外，供应链风险和勒索软件攻击继续对电力公用事业运营造成入侵和破坏性影响。通过分析Dragos的《全球电力网络威胁视角》报告，可以深入了解更多关于电力威胁的情况，以及防护这些威胁挑战的建议。

　　网络攻击造成的电力中断事件可能发生在电力系统运行的各个地点，如控制中心、调度中心，或整个组织服务区域内的发电、输电或配电环境中。对电力系统的攻击，就像对其他关键基础设施部门的攻击一样，可以进一步实现攻击者的政治、经济和国家安全目标。随着攻击者及其运营者投入更多的精力和资金来获得破坏性能力，电力行业遭受破坏性或破坏性攻击的风险显著增加。

　　在世界许多地区，电力部门在安全投资方面领先于其他工业部门。虽然安全投资历来集中在企业信息技术（IT）网络上，但运营技术（OT）安全方面正在取得重大进展。例如，在北美，电力部门十多年来一直致力于通过董事会级决策、GridEx、北美电力可靠性公司（NERC）关键基础设施保护（CIP）标准等准备工作来应对网络威胁。以及近期白宫与能源部合作制定的100天行动计划，这项行动计划的重点是提高OT在ICS网络中的可视性、检测和响应能力。

　　随着电力行业开始比以往任何时候都更加引人注目，企业必须在此之前做好准备。本报告提供了截至2021年6月的威胁概况。

　　一、电力行业概述

　　电力系统包括发电、输电及配电，电力系统是复杂的、有弹性的、相互连接的。例如在北美，电力系统由四个互连部分组成：东部、西部、德克萨斯电力可靠性委员会（ERCOT）和魁北克。在欧洲，输电系统网络由欧洲输电系统运营商网络（ENTSO-E）运营。在澳大利亚，输电网络系统由澳大利亚能源市场运营商（AEMO）运营，运营西澳大利亚的批发电力市场（WEM）和覆盖全国其他地区的国家能源市场（NEM）。这些系统依次由许多地方电网互联而成。

　　这种互连模式使互连内部的电力流动安全可靠，并允许通过直接连接（DC）在互连之间进行一些直流连接线。这种设计允许在互连中通过多个路径发生功率流，并在互连中包含频率干扰。工程方法提供冗余，防止完全崩溃，并在紧急操作期间提供了许多好处。然而，尽管该系统具有相当的弹性，但其复杂性一直在显著增加，因此这种相互联系和依赖可能实际上会降低其弹性，而在面对确定的网络威胁时，这种弹性在很大程度上仍有待检验。

　　电力公司有相应的流程，可以在其他实体遭遇风暴、火灾或网络攻击等影响其服务领域的事件时向其提供互助。区域互助组织和行业伙伴关系可以共享资源，并在破坏性或破坏性事件发生后实现稳定和可靠性。为了响应实时事件，电力公司制定了明确的紧急操作程序，以在运行条件恶化时控制和定位电力系统，包括降低负荷、服务中断、甩负荷和电力系统恢复行动的公共呼吁。

　　在美国、加拿大和墨西哥部分地区注册执行特定可靠性任务的电力实体，必须遵守由NERC-CIP标准制定的网络安全法规。墨西哥的电网系统由能源监管委员会（CRE）监管。该委员会在可靠性方面与NERC合作，并为墨西哥的电力实体定义网络安全规则。在全球范围内，网络安全法规或指南有所不同，但许多国家依赖国际电工委员会（IEC）和国际标准化组织（ISO）制定的标准。ISO和IEC联合技术委员会（JTC1）为包括核电和电力设施在内的操作技术（OT）设备制定网络安全标准。欧洲和澳大利亚也制定了类似的框架，分别是网络和信息系统安全指令（NIS-D）和澳大利亚能源部门网络安全框架（AESCSF）。尽管还没有被强制执行，但对于关键基础设施而言，它们的级别更高，而不是完全与电力有关。遵守网络安全法规和最佳实践，确保维持最低水平的网络安全，从而使电力设施在ICS行业中独树一帜。

　　二、电力运营部门威胁

　　图片

　　图1 电力分配

　　在电力到达客户之前，它要经过多个步骤，包括发电、输电和配电。电力由化石燃料、核能或可再生能源等能源在发电设施（通常称为发电厂）中产生。输电系统将电力从发电厂远距离输送到配电变电站，从那里分发给客户。输电和配电系统包括变电站，其中变压器用于提高或降低电压水平，以便向工业、商业和住宅客户提供适当的服务。

　　1、发电

　　Dragos评估，至少有五个威胁组织（AGs）证明有渗透或破坏发电的意图或能力。XENOTIME已经展示了在工业环境中访问、操作和实施攻击的能力。Dragos评估，该组织将有能力对其破坏性工作进行重组，并将其重点放在电力设施上，因为它已经瞄准了安全仪表系统，如Triconex，它是发电行业的支柱。DYMALLOY展示了在发电设施中访问OT网络的能力，并获得敏感ICS数据的屏幕截图，包括人机界面（HMI）的屏幕截图。ALLANITE也是对发电的威胁，因为它与DYMALLOY在目标定位和能力方面有一些相似之处。到目前为止，这两个组织都没有展示出干扰或破坏ICS的能力，只是专注于一般侦察。

　　WASSONITE积极瞄准亚洲的关键基础设施，包括核能发电，并在至少一个核电厂的管理系统中成功部署恶意软件。尽管没有证据表明它成功地渗透了运营网络。虽然威胁组织尚未显示出任何特定于ICS的能力或破坏性意图，但迄今为止的行动表明，对这些资源的兴趣持续不断。最后，观察到STIBNITE专门针对阿塞拜疆发电的风力涡轮机公司。根据目前的收集工作，该活动似乎仅限于阿塞拜疆。STIBNITE在其入侵操作中使用PoetRAT远程访问恶意软件在受害者系统上收集信息、截图、传输文件和执行命令。该活动反映了Dragos在许多AGs中观察到的结果，这些威胁组织攻击ICS的意图存在，即使针对ICS的特定能力尚未显现。

　　以ICS为攻击目标的威胁者并没有成功地扰乱电力生产。Dragos观察到的针对这部分的活动，包括获取敏感行动网络的文件，可能被用于间谍目的或促进破坏性攻击。

　　2、输电

　　至少有两个AGs对传输操作构成威胁。ELECTRUM是一种资源丰富的AG，具有中断电力传输的能力。Dragos评估KAMACITE作为ELECTRUM的初始访问和促进小组。

　　ELECTRUM对2016年12月在乌克兰基辅发生的CRASHOVERRIDE恶意软件攻击负责。攻击者定制了恶意软件，通过打开和关闭电力系统中用于输送电力的多个断路器来切断传输级变电站的电源，并确保操作员、电源线和设备的安全。这次攻击显示了对传输环境和使用的工业协议的深刻理解，使攻击者能够针对特定目标定制恶意软件。

　　虽然此次攻击发生在欧洲，但类似的网络攻击也有可能发生在世界其他地区，并对目标环境中的不同工业协议、设备和网络拓扑进行修改。例如，攻击目标断路器操作由遵守IEC 6185029标准的ABB设备控制，并使用制造信息规范（MMS）协议进行通信。攻击还可以被用于符合这些标准的其他设备。

　　3、配电

　　2015年12月23日，KAMACITE在乌克兰发动了首次网络攻击造成的大范围停电。攻击者利用恶意软件获得了对三家电力配电公司的远程访问，利用目标环境的配电管理系统执行系统操作，并扰乱了大约23万人的电力供应。经过人工操作，几小时后电力才完全恢复。

　　与ELECTRUM相反，KAMACITE在2015年乌克兰事件中没有使用ICS特定的恶意软件，它通过操作环境中的现有工具远程控制操作。AGs展示的行为和工具使用，包括KAMACITE和ELECTRUM，可以根据威胁行为者的重点部署在全球分销业务中。

　　在整个发电、输电和配电过程中的任何一点电力中断，都需要攻击者对企业和运营环境、使用的设备以及如何操作专门设备有基本的了解。攻击者必须在目标环境中花费很长一段时间学习控制系统的细节，以成功地实施破坏电力服务的攻击，而防御者在潜在的攻击链上有多个机会检测并消除攻击者的访问。

　　三、当前面临的威胁现状

　　1、勒索软件

　　Dragos观察到，影响ICS环境和操作的非公开和公开勒索软件事件数量显著增加。根据Dragos和IBM Security X-Force跟踪的数据，2018年至2020年，发生在工业和相关实体上的勒索软件攻击中有10%是以电力设施为攻击目标。这是仅次于制造业的第二大目标产业。尽管大多数影响ICS和相关实体的勒索软件都是以IT为中心的，但如果勒索软件能够由于不适当的安全操作而弥合IT/OT差距，则勒索软件可能会对运营产生破坏性影响。Dragos发现多个勒索软件采用ICS感知功能，包括在环境中发现时可以杀死以工业为中心的计算机进程的能力，活动可追溯到2019年。EKANS、MEGACORTEX和CL0P只是包含这类代码的几个勒索软件变种。EKANS和其他ICS勒索软件代表了一种独特的和特定的风险，工业操作以前没有观察到的勒索软件操作。

　　勒索软件运营商越来越多地将数据盗窃技术纳入其活动，以进一步索要赎金。攻击者可能会在加密受感染的机器之前窃取目标公司的数据，并威胁在如果不支付赎金，就会在威胁者运营的网站或黑客论坛上公布这些数据。黑客窃取或泄露的数据可能包含目标公司的敏感信息及其客户信息。尽管勒索软件攻击者可能只对利用数据用于财务目的感兴趣，但对专门针对电力行业感兴趣的黑客可以使用泄漏的数据来帮助开发攻击。例如，黑客可以使用客户数据来确定第三方或供应链的潜在风险，或者使用示意图、网络图或其他内部文档等数据来确定运营收益目标。

　　勒索软件不仅仅适用于有经济动机的运营商。国家支持的攻击者也可能在网络行动中利用勒索软件。2020年5月，中国台湾政府将针对石油、天然气和半导体公司的勒索事件归咎于Winnti组织。

　　ICS环境中破坏性恶意软件的潜在风险之一由historian技术表示，因为historian部署的架构通常是连接IT网段中的只读historian和OT网络中的plant historian之间的通信。此外，除非记录在历史记录中，否则传感器数据是短暂的，对其数据的破坏性攻击如果得不到很好的保护，可能会导致无法挽回的损失。

　　2、互联网资产风险

　　暴露于互联网的工业和网络资产是电力公司的重大网络风险。各种以ICS为攻击目标的组织，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前都曾瞄准或目前试图利用远程访问技术或登录基础设施。

　　《2020 Dragos年度回顾报告》详细介绍了从事件响应和服务团队吸取的经验教训，根据该报告，100%的事件响应案例涉及黑客直接从互联网访问ICS网络，有33%的组织有可路由网络连接到他们的运营环境。

　　2020年7月，美国国土安全部网络安全和基础设施安全局（CISA）和国家安全局（NSA）发布了一份警告，鼓励资产所有者和运营商立即采取行动，限制OT资产暴露于互联网。根据警报，最近在发布前观察到的行为包括：

　　先发制人，在转向OT之前获得信息技术（IT）的初步访问；

　　部署商用勒索软件以影响IT和OT环境；

　　连接到无需认证的互联网可访问可编程逻辑控制器（PLC）；

　　使用公共端口和标准应用层协议与控制器通信，并下载修改后的控制逻辑；

　　使用供应商工程软件和程序下载；

　　修改PLC上的控制逻辑和参数。

　　攻击者迅速武器化并利用面向互联网的服务中的漏洞，包括远程桌面协议（RDP）和VPN服务。2020年夏季发现的影响关键网络基础设施服务中的新漏洞，包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper网络设备，很可能会被ICS目标黑客利用。这些漏洞可使黑客获得对企业运营的初始访问权限，并可能转移到工业运营。

　　3、供应链威胁

　　攻击者可以滥用现有的信任关系和互连来访问敏感资源，并在某些情况下包括系统，而且几乎不可能被检测到。

　　2020年12月，火眼公布了一项大规模供应链威胁行动的首批细节，该行动影响了全球的公司和政府，包括电力公司。黑客利用名为SolarWinds的IT管理软件，获得了数千个使用该软件的组织的权限。

　　值得关注的是，许多集成商和原始设备制造商（OEM）在OT网络和维护链路中使用SolarWinds。至少有两家全球原始设备制造商（OEM）使用了被泄露的SolarWinds软件，通过维护链接直接进入ICS网络，包括涡轮机控制软件。攻击者可以很容易地利用这种访问来造成重大破坏。

　　该活动是有史以来公开确定的最大的供应链危害事件之一，并强调了通过运营环境中的软件、固件或第三方集成引入环境的潜在风险。

　　但软件更新并不是供应链入侵中唯一可能被滥用的潜在进入载体。2021年4月，Dragos发现了一家与欧洲电力行业客户有重大联系的南亚集成电路供应商遭到入侵。原始设备制造商（OEM）、供应商和第三方承包商对企业和ICS运营至关重要。发电、输电和配电中的众多供应商或承包商接触点，可以通过受损或安全性较差的直接网络连接，提供进入电力公用事业环境入口。

　　DYMALLOY、ALLANITE和XENOTIME已使用供应链破坏方法获得受害者网络的访问权。DYMALLOY和ALLANITE在针对电力行业的后续网络钓鱼活动中损害了供应商和承包商的利益。XENOTIME在2018年损害了多家ICS供应商和制造商，提供了潜在的供应链威胁机会，并提供了可供供应商访问的目标ICS网络。

　　四、系统性威胁

　　电力行业以各种形式支持所有关键基础设施垂直行业，电力中断可能会对制造业、采矿作业或海水淡化等其他行业产生连锁和破坏性影响。

　　此外，大型制造企业也正在成为可再生能源供应商，这些发电厂向所有制造厂供电。其中一个设施的中断可能会导致整个公司的生产运营中断。

　　全球许多国家（尤其是中东）依靠部分水的淡化操作。设施可以通过能源密集型工艺将盐水转化为饮用水。据国际能源署称，膜式脱盐需要大量电力，是世界上最常见的脱盐技术。支持海水淡化工作的电力运行中断可能会限制饮用水的生产。

　　采矿作业也需要消耗大量能源。在美国，大约32%的采矿业能源是电力。在澳大利亚，电力系统为该国采矿业提供了21%的能源。电能支持钻井和材料搬运作业，如果发电、输电或配电受到网络攻击，这些作业可能会中断，特别是在支持采矿作业的现场发电设施。

　　五、防范建议

　　资产所有者和运营商可以实施以下基于主机和网络的建议，以改进对ICS目标群体的检测和防御。

　　访问限制和账户管理

　　限制域内的管理访问，限制域管理员的数量，并将网络管理员、服务器管理员、工作站管理员和数据库管理员分离到单独的组织单元（OU）中。身份是防御的关键。

　　确保所有设备和服务不使用默认凭据。如果可能，请不要使用硬编码凭据。监视任何无法删除或禁用的硬编码方法。仅限必要人员使用设备。在所有应用程序、服务和设备中实现最小特权原则，以确保个人只能访问履行职责所需的资源。这包括确保应用层服务，如文件共享和云存储服务被正确划分。按照普渡模式，网络连接在继续进行不同层次之前应该被终止。

　　可访问性

　　识别控制系统网络中的入口和出口路由并对其进行分类。这包括工程师和管理员远程访问门户，也包括需要访问IT资源或更广泛的互联网的商业智能和许可服务器链接等项目。通过防火墙规则或其他方法限制这些类型的连接，以确保最大限度地减少攻击面。

　　响应计划

　　制定、审查和实践网络攻击响应计划，并将网络调查整合到所有事件的根本原因分析中。

　　分段

　　在可能的情况下，对网络进行分段和隔离，以限制横向移动。这可以通过防火墙或访问控制列表（ACL）轻松实现，组织可以通过虚拟划分网络并减少攻击面，同时限制攻击者移动。

　　第三方

　　确保第三方连接和ICS交互以“信任但验证”的心态进行监控和记录。在可能的情况下，隔离或创建用于此类访问的隔离区（DMZ），以确保第三方无法完全、不受限制或不受监控地访问整个ICS网络。尽可能实施跳转主机、堡垒主机和安全远程身份验证方案等功能。建议使用威胁信息和由此产生的复杂分析来应对供应链网络风险。

　　可见性

　　对ICS/OT环境采取全面的可见性方法，以确保在监控方面没有差距。资产所有者、运营商和安全人员应共同努力，从最关键的基础设施开始收集基于网络和主机的日志。识别和关联可疑网络、主机和进程事件的能力可以极大地帮助在入侵发生时识别入侵，或促进破坏性事件发生后的根本原因分析。确保通过以ICS为重点的技术对运营网络进行网络监控。

　　六、结论

　　由于此类事件可能造成的政治和经济影响，电力行业仍然面临破坏性网络攻击的风险。由于电力系统的互连性，在风暴或地震等破坏性事件期间，电力系统具有强大的恢复力和冗余性，因此大多数发达地区的电力系统可能会从破坏性网络事件中快速恢复。管理机构实施的法规有助于确保该部门的最低安全水平，但这通常不适用于其他ICS垂直领域。

　　正如CRASHOVERRIDE所证明的那样，破坏性攻击需要付出巨大的努力才能实现。威胁者在目标环境中的必要停留时间为防御者提供了许多识别和删除恶意活动的机会。Dragos观察到的企业目标定位活动可实现初始入侵和数据收集，并为威胁者转向潜在破坏性事件奠定基础。供应链攻击和供应商妥协的威胁日益增长，这也为AGs破坏IT和OT环境提供了新的途径。