回溯攻击:Aurora漏洞的教训

我们可以从之前的网络安全工作中吸取教训，甚至是更老的工作，正如2007年的演示所显示的那样。你知道缓解极光漏洞的八种方法吗?

2007年，国土安全部(Department of Homeland Security)与爱达荷国家实验室(Idaho National Laboratory)合作，致力于证明网络攻击实际上可以造成现实世界的物理损害。人们已经知道，网络攻击可以通过在硬盘驱动器中产生异常行为和对微处理器进行超频来破坏计算机设备;该测试的目的是确定各种控制组件的操作是否会损坏或摧毁大型基础设施，在这种情况下，一台2.25兆瓦，27吨柴油发电机。测试是成功的，因为它证明了这是可以做到的。然而，它也确定，它揭示的漏洞可能难以缓解。该测试代号为“极光”，被称为“极光漏洞”。

发电的网络安全影响101

发电是一项复杂而常规的操作。一个典型的发电机使强大的磁铁通过沉重的铜线圈来感应电流;转动电枢或磁场的旋转力(视情况而定)可以是内燃机、蒸汽轮机或水轮。然后，电力通过电网输送到家庭和企业。配电系统的两端是断路器。这些断路器的作用是保护与电网相连的线路和设备，保护电网。

大型装置的发电机使用由保护继电器系统控制的断路器。保护继电器本身就是一门科学;它们监测连接到发电机的线路上发生的事情，并保护它免受电网或发电机异常条件的损坏。

这些情况包括过流、欠流、欠压、相位不平衡、失同步和接地故障。每个继电器都有美国国家标准协会(ANSI)指定的设备编号，必须定期检查和校准，以避免损坏发电机或配电系统。当保护继电器检测到它被设计用来监测的情况时，继电器跳闸断路器并断开发电机或连接的设备与线路的连接。

这些保护系统的重点是通过将故障设备从系统中分离出来，使配电系统尽可能多地运行，从而保持电网的稳定和运行。在美国和北美其他地区，电网以60赫兹的频率运行。任何电网要正常运行，所有与之相连的发电厂必须在电压、相位和频率方面保持同步。

如果任何一台发电机不同步，系统就会出现不平衡，可能会损坏发电机、配电系统或其他连接的设备。如果发电机不同步，相位不平衡保护(同步)继电器将跳闸并断开发电机与线路的连接。如果这没有发生，那么系统的巨大力量将试图重新同步机器。

发电机的电气和物理特性自然会抵制这种情况，大扭矩将施加在传动轴上，发电机绕组中产生大电流。这些电流尖峰会损坏其他设备，如变压器和电机。

网络安全回溯:Aurora生成器测试描述

将不同步的发电机连接到工作电网是危险的，如果没有损坏发电机，也会导致损坏。如果一个了解生成系统工作原理的威胁行为者获得了物理或虚拟的保护系统的访问权限，该怎么办?这是由能源部管理的爱达荷国家实验室进行的概念验证测试的基础。

该实验室拥有自己的大型电网和发电能力，用于测试用于潜艇、船舶和航天器的小型核动力系统。从盈余中获得了一台大型柴油发电机，并建造了一个设施来容纳它。一个新的变电站被建立，复制那些常见的做法，并包括在这种类型的安装中经常使用的保护继电器系统。

为了方便测试的主要目标，振动监测，超速和同步行程被禁用。其目标是在发电机运行并与电网相连时，通过打开和关闭发电机的断路器来产生所谓的失相同步(OOPS)。保护系统被设计用来隔离发生故障的发电机。为了测试，同步和相位不平衡保护继电器被重新编程，随机打开和关闭发电机断路器。

在启动测试之前，发电机已同步到电网并按预期运行。在测试开始时，首先检查保护系统是否同步;然后他们断开了发电机与电网的连接。在卸载后，发电机自然加速。然后，断路器再次关闭，将发电机重新连接到电网中。发电机被电网的强大力量猛烈地抛回同步状态;其他连接的发电机和设备的力将测试发电机的小质量拉回与60赫兹的电网频率同步。

破坏保护系统功能的恶意代码不到130kb，大约是30行代码。发电机断路器的开启和关闭只持续了几微秒，也就是大约15个循环。代码又被执行了三次。每一次，发电机都被观察到剧烈摇晃;第二次撞击后，机器的碎片开始飞走。连接发电机和发动机的巨大橡胶连接器由于机器上施加的极端扭矩而迅速恶化。发电机开始冒烟。它的线圈已经开始从伴随OOPs的高电流尖峰中熔合和融化。

在代码的第三次和第四次执行时，引擎和生成器基本上分开了。验尸报告显示发电机线圈被熔化并烧毁了。发动机轴扭曲了，撞到了曲轴箱内侧——发电机成了废铁。测试持续了三分钟，发电机在一分钟内被摧毁。

测试视频在这里:https://www.youtube.com/watch?v=bAWU5aMyAAo

网络攻击的方法

将发电机连接到电网需要频率、电压和相位旋转相匹配，才能正确和安全地连接到电网。保护继电器监控这些参数，以确保成功连接;如果这些参数中的任何一个超出公差，则断开机器连接，以防止损坏机器或电网。

为了破坏这些系统，攻击者必须突破几层安全，并对系统有很好的工作知识，以瞄准正确的破坏者。攻击者还需要物理访问变电站，或者已经破坏了连接保护继电器与监控和数据采集(SCADA)系统的通信系统。各种警报也需要被禁用，以免提醒操作员注意这个问题。理想情况下，需要攻破的几层安全系统在每一层都有密码保护。密码保护是一个常见的疏忽和漏洞。

极光漏洞的根本原因是物理安全性和网络安全性差。设计人员和运营商必须在一开始就考虑网络安全问题，并为所有可能的攻击模式做好计划，包括对设施的物理攻击。极光的脆弱性，如果不加以缓解，可能会大面积损坏大部分连接到电网的设备，并可能导致长时间的停电。攻击不一定要发生在发电机或变电站;它可以从任何地方启动。

随着更高价值的选择正在加强他们的防御，关键基础设施和工业控制系统(ics)正成为主要目标。大多数攻击都是远程进行的。然而，安全保障不佳的设施也可能为地面物理攻击提供机会。

直接入侵是一种攻击方式，物理上访问保护继电器系统并重新编程设备以影响异常-直接入侵保护继电器。这需要物理访问以及电力系统和黑客知识。这种攻击意味着它可能是由内部人员或已经破坏了设施物理安全的人执行的。

任何能接触到变电站的人都可以手动打开和关闭断路器，达到同样的结果——手动开关绕过了任何自动控制或保护系统。这种攻击属于“心怀不满的员工”或恶意破坏的类别。

被破坏的通信通道是远程攻击各种控制系统的常用访问方法。事实上，它是最常见的攻击载体，因为大多数威胁行为者的物理位置都在海上。与任何其他攻击一样，导致黑客成功入侵的罪魁祸首是糟糕的网络卫生、糟糕的密码策略、糟糕的网络架构和保护。人的因素在减轻这一风险方面也起着重要作用，不应忽视。

第三个，也是越来越常见的攻击载体，是渗透供应链。如果攻击者可以在制造期间或安装之前的任何时间访问保护系统，则可以将嵌入的代码注入设备，并在特定日期或事件触发。这种攻击在最近的事件中已经出现，在供应商和最终用户之间的供应链中，软件完整性受到了损害(例如SolarWinds)。

缓解奥罗拉漏洞的八种方法

这听起来像是一个常见的说法，但减轻这个漏洞与保护任何其他ICS类似，如果不是完全相同的话。这些措施需要投入时间和金钱。如果执行得当，它们可以让设施变得几乎坚不可摧。防御措施的级别，被称为纵深防御，通过物理阻塞，或混淆，误导和阻止他们的努力来挫败坚定的攻击者。最终，这些坏人会放弃，转向更容易的目标。

通过采取适当的安全措施，可以缓解Aurora漏洞。这八项措施是一个很好的基线。

1. 审核通信系统。重要的是要知道控制网络是如何建立的，以及任何可能的破坏可能发生在哪里。像黑客一样思考——他们像窃贼一样走在街上，检查门把手——关闭任何未使用的端口或多余的通信通道。审计的重点是确定哪些系统和哪些工作人员可以访问关键系统通信网络，包括SCADA。了解哪些沟通渠道实际上在使用，哪些可以被取消。
2. 制定监控和监督保护继电器和断路器操作的算法。继电器或断路器的异常开启和关闭可能遵循一种可识别的模式，并在攻击执行之前被检测和缓解。
3. 加密和保护通信通道。对于任何外部访问需求，使用具有虚拟专用网络(VPN)功能的防火墙。建立一个安全且加密(且未发布)的备份通信通道，以便在主通道被破坏时使用。
4. 消除任何与办公室或公司网络的交叉连接．SCADA或能源管理系统网络与设施的办公网络之间不应存在连接，办公网络可能连接到互联网。这是一个严重的漏洞，因为攻击始于“网络钓鱼”电子邮件;85%的攻击都是从钓鱼邮件开始的。此外，攻击可能是恶意或心怀不满的员工的“内部工作”。
5. 应该建立并执行密码策略。请修改保护继电器的默认密码。使用长而强的密码和分级访问控制。要求定期修改密码。对关键系统访问使用多因素身份验证(MFA)。将每个系统视为唯一的安全域，不要对所有系统使用相同的密码。
6. 为所有员工制定最低特权政策，以限制对关键系统的访问。将原理图、产品手册、图表、流程图和任何其他详细的系统信息视为机密，并在需要了解的基础上限制这些人员的访问。划分用于保护每个域的系统知识和安全方法。
7. 根据供应商的规格检查入厂设备。这有助于用户确定是否发生了供应链攻击。与供应商合作，制定可以确定工厂和客户之间的设备或软件是否被篡改的方法。
8. 审计和加强物理安全。能够渗透到设施并物理访问设备的威胁行为者可以造成巨大的破坏。

任何网络安全方案中最薄弱的环节都是人为因素。尽可能多的过程自动化，包括发电设备的启动、同步和连接可以很容易地自动化，这些过程的启动也可以基本自动化。现代保护系统的功能表现良好，可靠性水平超过人类——它们不会分心，不会烦恼，也不会委屈，它们全天候工作，毫无怨言。

网络安全漏洞的警示故事

2009年，首个专用数字武器被用于摧毁伊朗纳坦兹(Natanz)气隙实验室三分之一的铀浓缩离心机。由美国国家安全局和以色列网络战士开发的Stuxnet蠕虫病毒，是通过一名承包商的笔记本电脑偷偷进入该设施的。蠕虫通过专门针对控制离心机控制系统的可编程逻辑控制器(plc)来感染离心机控制系统。这是已知的第一次使用数字武器摧毁现实世界中的物理设备。

2016年，俄罗斯军事情报机构格鲁乌(GRU)对乌克兰电网发动了攻击。那次攻击始于一封网络钓鱼电子邮件，它释放了一个脚本，主要通过不安全或安全不佳的通信渠道迅速破坏了电网。这次袭击造成了大范围的停电和附带损失。一个经常被忽视的项目是攻击造成的破坏:蠕虫针对的是用于过程控制和发电的plc和个人电脑等关键设备。使用极光类型的攻击损坏或摧毁了几个发电机;变压器和变电站也被类似的技术破坏。

从网络安全错误中学习

2009年，根据《信息自由法》(FOIA)的要求，关于一个恰巧被称为“极光计划”(Project Aurora)的不同项目，“极光”漏洞首次在不经意间被披露，在整个网络安全和电力行业引发了冲击波。

自2007年以来，在关键系统的保护方面已经取得了很大进展。然而，许多遗留系统仍然存在，运营商屈服于这是一种寻找问题的解决方案。问题是存在的，预防的手段和方法也是存在的。由于长期大规模停电将造成混乱，这一问题需要清醒地审视事实，需要有关方面采取行动。

丹尼尔·e·卡帕诺是高级项目经理，Gannett Fleming工程与建筑公司他是CFE媒体的内容合作伙伴控制工程编辑顾问委员会．由网页内容经理克里斯·瓦夫拉编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。