2020年,电力行业的网络入侵和攻击数量正在增加,Dragos为电力行业确定了三项新活动(AG):TALONITE、KAMACITE和STIBNITE。此外,供应链风险和勒索软件攻击继续侵犯和破坏电力公用事业的运行。通过分析Dragos全球电力网络威胁视角报告可以对电力威胁和保护这些威胁挑战有更深入的了解。
网络攻击引起的电力中断可能发生在控制中心、调度中心或整个组织服务区的发电、输电或配电环境中。对电力系统的攻击,就像对其他关键基础设施部门的攻击一样,可以进一步实现攻击者的政治、经济和国家安全目标。随着攻击者及其运营商投入更多的精力和资金来获得破坏性能力,电力行业遭受破坏性或破坏性攻击的风险显著增加。
在世界许多地区,电力部门在安全投资方面领先于其他工业部门。虽然安全投资一直集中在企业信息技术上(IT)但是网络上的操作技术(OT)安全正在取得重大进展。例如,在北美,电力部门已经致力于通过董事会级决策十多年。GridEx、北美电力可靠性公司(NERC)保护重点基础设施(CIP)标准和其他准备工作来应对网络威胁。以及白宫和能源部最近制定的100天行动计划,重点是改进OT在ICS网络中的可视性、检测和响应性。
随着电力行业开始比以往任何时候都更加引人注目,企业必须在此之前做好准备。本报告提供了截至2021年6月的威胁概况。
一、电力行业概述
电力系统包括发电、输电和配电。电力系统复杂、灵活、相互连接。例如,在北美,电力系统由东部、西部和德克萨斯电力可靠性委员会四个连接部分组成(ERCOT)魁北克。在欧洲,输电系统网络由欧洲输电系统运营商网络(ENTSO-E)操作。在澳大利亚,由澳大利亚能源市场运营商运营的输电网络系统(AEMO)经营西澳大利亚批发电力市场(WEM)覆盖全国其他地区的国家能源市场(NEM)。许多地方电网依次形成了这些系统。
这种连接模式使连接内的电流安全可靠,并允许直接连接(DC)在连接之间进行一些直流连接线。该设计允许在连接中通过多个路径发生功率流,并包含频率干扰。工程方法提供冗余,防止完全崩溃,并在紧急操作中提供许多好处。然而,尽管该系统具有相当大的弹性,但其复杂性显著增加,因此这种连接和依赖实际上可能会降低其弹性,在面对确定的网络威胁时仍有待测试。
电力公司有相应的流程,可以在风暴、火灾或网络攻击等影响其服务领域的事件中提供互助。区域互助组织和行业伙伴关系可以共享资源,在破坏性或破坏性事件发生后实现稳定和可靠性。为响应实时事件,电力公司制定了明确的应急操作程序,以控制和定位电力系统,包括减少负荷、服务中断、减少负荷和电力系统恢复行动。
在美国、加拿大和墨西哥部分地区注册执行特定可靠性任务的电力实体必须遵守NERC-CIP网络安全法规的标准制定。墨西哥的电网系统由能源监督委员会制定(CRE)监督NERC合作,并为墨西哥的电力实体定义网络安全规则。
在全球范围内,网络安全法规或指南有所不同,但许多国家依赖国际电工委员会(IEC)国际标准化组织(ISO)制定的标准。ISO和IEC联合技术委员会(JTC1)操作技术包括核电和电力设施(OT)设备制定网络安全标准。欧洲和澳大利亚也制定了类似的框架,即网络和信息系统安全指令(NIS-D)澳大利亚能源部网络安全框架(AESCSF)。
虽然它们还没有被强制执行,但它们的水平更高,而不是完全与电力有关。遵守网络安全法规和最佳实践,确保网络安全保持在最低水平,使电力设施处于ICS这个行业是独一无二的。
二、电力运营部门威胁
在电力到达客户之前,它需要经过多个步骤,包括发电、输电和配电。电力由发电设施(通常称为发电厂)中的化石燃料、核能或可再生能源等能源产生。输电系统将电力从发电厂输送到配电变电站,并从那里分发给客户。输电和配电系统包括变电站,用于提高或降低电压水平,为工业、商业和住宅客户提供适当的服务。
图1 电力分配
1. 发电
Dragos至少有五个威胁组织被评估(AGs)证明有意图或能力渗透或破坏发电。XENOTIME它展示了在工业环境中访问、操作和攻击的能力。Dragos根据评估,该组织将能够重组其破坏性工作,并专注于电力设施,因为它已经瞄准了安全仪表系统,如Triconex,它是发电行业的支柱。DYMALLOY参观发电设施展示OT获得网络敏感性的能力ICS数据的屏幕截图包括人机界面(HMI)屏幕截图。ALLANITE也是对发电的威胁,因为它与发电有关DYMALLOY在目标定位和能力一些相似之处。到目前为止,这两个组织都没有表现出干扰或破坏ICS专注于一般侦察的能力。
WASSONITE积极针对包括核能发电在内的亚洲关键基础设施,并在至少一个核电厂的管理系统中成功部署恶意软件。虽然没有证据表明它已经成功地渗透到运营网络中。尽管威胁组织尚未显示任何特定信息ICS能力或破坏性意图,但到目前为止的行动表明,对这些资源的兴趣继续存在。最后,观察STIBNITE风力涡轮机公司专门为阿塞拜疆发电。根据目前的收集工作,该活动似乎仅限于阿塞拜疆。STIBNITE用于其入侵操作PoetRAT远程访问恶意软件在受害者系统上收集信息、截图、传输文件和执行命令。Dragos在许多AGs这些威胁组织攻击的结果ICS意图存在,即使是针对ICS具体能力尚未显现。
以ICS对攻击目标的威胁并没有成功地扰乱电力生产。Dragos观察到的活动,包括获取敏感行动网络的文件,可用于间谍目的或促进破坏性攻击。
2. 输电
至少有两个AGs威胁传输操作。ELECTRUM资源丰富AG,具有中断电力传输的能力。Dragos评估KAMACITE作为ELECTRUM初步访问和促进小组。
ELECTRUM乌克兰基辅发生于2016年12月CRASHOVERRIDE恶意软件攻击负责。攻击者通过打开和关闭电力系统中用于输送电力的多个断路器,定制恶意软件,切断传输级变电站的电源,确保操作员、电源线和设备的安全。攻击显示了对传输环境和使用的工业协议的深刻理解,使攻击者能够为特定目标定制恶意软件。
虽然攻击发生在欧洲,但类似的网络攻击也可能发生在世界其他地区,并修改目标环境中的不同工业协议、设备和网络拓扑。例如,攻击目标断路器的操作遵守IEC 6185029标准的ABB设备控制,并使用制造信息规范(MMS)协议通信。其他符合这些标准的设备也可用于攻击。
3. 配电
2015年12月23日,KAMACITE乌克兰首次网络攻击引起的大规模停电。攻击者使用恶意软件远程访问三家电力配电公司,使用目标环境的配电管理系统进行系统操作,扰乱约23万人的供电。手动操作后,几个小时后电力完全恢复。
与ELECTRUM相反,KAMACITE在2015年乌克兰事件中没有使用ICS通过现有工具在操作环境中远程控制操作的特定恶意软件。AGs使用展示的行为和工具,包括KAMACITE和ELECTRUM,全球分销业务可根据威胁行为者的重点部署。
在整个发电、输电和配电过程中,攻击者需要对企业和运营环境、使用设备以及如何操作特殊设备有一个基本的了解。攻击者必须了解。攻击者必须花很长时间在目标环境中学习控制系统的细节,以成功地实施破坏电力服务的攻击,而防御者有很多机会在潜在的攻击链和消除攻击者的访问。
三、当前威胁现状
1. 勒索软件
Dragos观察,影响ICS非公开和公开勒索软件事件的数量显著增加。Dragos和IBM Security X-Force根据跟踪数据,2018年至2020年,工业及相关实体勒索软件攻击10%以电力设施为攻击目标。这是仅次于制造业的第二大目标产业。尽管大多数影响ICS所有与相关实体相关的勒索软件都是基于IT以中心为中心,但如果勒索软件能够弥合不当的安全操作IT/OT勒索软件可能对操作产生破坏性影响。Dragos多个勒索软件被发现使用ICS感知功能,包括在环境中发现时杀死以工业为中心的计算机进程的能力,可追溯到2019年。EKANS、MEGACORTEX和CL0P只有几个勒索软件变种包含这些代码。EKANS和其他ICS勒索软件代表了工业操作前没有观察到的勒索软件操作的独特和特定风险。
勒索软件运营商越来越多地将数据盗窃技术纳入其活动,以进一步要求赎金。攻击者可能会窃取目标公司的数据,并威胁要在不支付赎金的情况下在威胁运营的网站或黑客论坛上发布数据。黑客窃取或泄露的数据可能包的数据可能包括目标公司的敏感信息和客户信息。虽然勒索软件攻击者可能只对使用数据的财务目的感兴趣,但对电力行业感兴趣的黑客可以使用泄漏的数据来帮助发展攻击。例如,黑客可以使用客户数据来确定第三方或供应链的潜在风险,或者使用示意图、网络图或其他内部文档来确定运营收入目标。
勒索软件不仅适用于有经济动机的运营商。国家支持的攻击者也可能在网络行动中使用勒索软件。2020年5月,中国台湾省政府将对石油、天然气和半导体公司的勒索归咎于Winnti组织。
ICS破坏性恶意软件在环境中的潜在风险之一historian因为historian部署的架构通常是连接的IT网段中的只读historian和OT网络中的plant historian两者之间的通信。此外,传感器数据是短暂的,除非记录在历史记录中。如果不能很好地保护其数据的破坏性攻击,可能会导致不可弥补的损失。
2. 互联网资产风险
暴露在互联网上的工业和网络资产是电力公司的主要网络风险。ICS包括攻击目标的组织PARISITE、MAGNALLIUM、ALLANITE和XENOTIME,使用远程访问技术或登录基础设施录基础设施。
《2020 Dragos年度审查报告详细介绍了从事件响应和服务团队中吸取的经验教训。根据报告,100%的事件响应案例涉及黑客直接访问互联网ICS有33%的组织可以通过网络连接到他们的运营环境。
2020今年7月,国土安全部网络安全和基础设施安全局(CISA)国家安全局(NSA)鼓励资产所有者和经营者立即采取行动发出警告OT资产暴露在互联网上。根据警报,最近发布了布前观察到的行为包括:
- 先发制人,转向OT以前获得信息技术(IT)初步访问;
- 部署商用勒索软件以影响IT和OT环境;
- 可访问可编程逻辑控制器连接到无需认证的互联网上(PLC);
- 使用公共端口和标准应用层协议与控制器通信,并下载修改后的控制逻辑;
- 下载供应商工程软件和程序;
- 修改PLC控制逻辑和参数。
攻击者迅速武器化,利用互联网服务中的漏洞,包括远程桌面协议(RDP)和VPN服务。2020年夏季发现的影响关键网络基础设施服务的新漏洞,包括F5、Palo Alto Networks、Fortinet、Citrix和Juniper网络设备很可能被使用ICS使用目标黑客。这些漏洞使黑客获得对企业经营的初步访问权,并可能转移到工业经营中。
3. 供应链威胁
在某些情况下,攻击者可以滥用现有的信任关系,互相访问敏感资源,包括系统,几乎不可能被检测到。
20202012月,火眼公布了影响全球公司和政府的第一批大规模供应链威胁行动的细节,包括电力公司。黑客使用它的名字SolarWinds的IT管理软件获得了数千个组织使用软件的权限。
值得注意的是,许多集成商和原始设备制造商(OEM)在OT使用网络和维护链路SolarWinds。至少有两家全球原始设备制造商(OEM)使用泄漏SolarWinds通过维护链接直接进入软件ICS包括涡轮控制软件在内的网络。攻击者可以很容易地利用这种访问造成重大损害。
该活动是历史上公开确定的最大的供应链危害事件之一,强调了通过软件、固件或第三方集成引入环境的潜在风险。
但软件更新并不是供应链入侵中唯一可能被滥用的潜在进入载体。2021年4月,Dragos南亚集成电路供应商被发现与欧洲电力行业客户有重大联系,原设备制造商(OEM)、供应商和第三方承包商对企业和ICS操作非常重要。许多供应商或承包商在发电、输电和配电中的接触点可以通过损坏或安全性差的直接网络连接到电力公用事业环境的入口。
DYMALLOY、ALLANITE和XENOTIME采用供应链破坏法获得受害者网络的访问权。DYMALLOY和ALLANITE供应商和承包商的利益受到电力行业后续网络钓鱼活动的损害。XENOTIME2018年损害了许多人ICS供应商和制造商提供了潜在的供应链威胁机会和供应商访问的目标ICS网络。
四、系统威胁
电力行业以各种形式支持所有关键基础设施的垂直行业,电力中断可能对制造业、采矿或海水淡化等行业产生连锁和破坏性影响。
此外,大型制造企业也成为可再生能源供应商,这些电厂向所有制造商供电。其中一个设施的中断可能会导致整个公司的生产经营中断。
世界上许多国家(尤其是中东)依靠部分水的稀释。该设施可以通过能源密集型工艺将盐水转化为饮用水。据国际能源署称,膜脱盐需要大量的电力,是世界上最常见的脱盐技术。支持海水稀释的电力运行中断可能会限制饮用水的生产。
采矿也需要大量的能源。在美国,大约32%的采矿能源是电力。在澳大利亚,电力系统为采矿业提供了21%的能源。电力支持钻井和材料搬运。如果发电、输电或配电受到网络攻击,这些操作可能会中断,特别是在支持采矿操作的现场发电设施。
五、预防建议
资产所有和网络,资产所有者和运营商可以实施以下建议,以改进ICS检测和防御目标群体。
(1) 访问限制和账户管理
限制域内管理访问,限制域内管理员数量,将网络管理员、服务器管理员、工作站管理员和数据库管理员分离到单独的组织单位(OU)身份是防御的关键。
确保所有设备和服务不使用默认凭证。如有可能,请不要使用硬编码凭证。监控任何不能删除或禁止的硬编码方法。只有必要的人员才能使用设备。在所有应用程序、服务和设备中实现最小特权原则,以确保个人只能访问履行职责所需的资源。这包括确保文件共享和云存储服务等应用层服务被正确划分。根据普渡模式,网络连接应在继续不同层次之前终止。
(2) 可访问性
识别控制系统网络中的入口和出口路由并对其进行分类。它包括工程师和管理员远程访问门户网站和需要访问IT资源或更广泛的互联网商业智能和许可服务器链接等项目。通过防火墙规则或其他方法限制这些类型的连接,以确保攻击面最小化。
(3) 响应计划
制定、审查和实践网络攻击响应计划,并将网络调查整合到所有事件的根本原因分析中。
(4) 分段
在可能的情况下,对网络进行分段和隔离,以限制横向运动。这可以通过防火墙或访问控制列表(ACL)轻松实现,组织可以通过虚拟划分网络并减少攻击面,同时限制攻击者移动。
(5) 第三方
确保第三方连接和ICS交互以“信任但验证”监控和记录心态。如有可能,隔离或创建用于此类访问的隔离区(DMZ),确保第三方访问整个过程不完整、不受限制或不受监控ICS网络。尽可能转主机、堡垒主机和安全远程身份验证方案。建议使用威胁信息和由此产生的复杂分析来应对供应链网络的风险。
(6) 可见性
对ICS/OT环境采用全面的可见性方法,确保监控无差距。资产所有者、运营商和安全人员应共同努力,从最关键的基础设施中收集基于网络和主机的日志。识别和关联可疑网络、主机和过程事件的能力可以极大地帮助识别入侵,或促进破坏性事件后的根本原因分析。ICS网络监控操作网络的关键技术。
六、结论
由于此类事件可能造成的政治和经济影响,电力行业仍面临破坏性网络攻击的风险。由于电力系统的连接,电力系统在风暴或地震等破坏性事件中具有很强的恢复和冗余性,大多数发达地区的电力系统可能会从破坏性网络事件中迅速恢复。管理机构实施的法律法规有助于确保该部门的最低安全水平,但通常不适用于其他部门ICS垂直领域。
正如CRASHOVERRIDE破坏性攻击需要付出巨大的努力才能实现。威胁者在目标环境中必要的停留时间为防御者识别和删除恶意活动提供了许多机会。Dragos观察到的企业目标定位活动可以实现初始入侵和数据收集,为威胁者转向潜在破坏性事件奠定基础。供应链攻击和供应商妥协的威胁也在增加AGs破坏IT和OT环境提供了新的途径。