上月底,美国司法部宣布对一个名为 “沙虫”(Sandworm)的黑客组织发起起诉,指控六名黑客实施了与近五年全球网络攻击有关的计算机犯罪,包括试图破坏 2018 年平昌冬奥会,干扰法国 2017 年总统选举,以及散布乌克兰历史上最具破坏性的恶意软件等。经确认,该组织由俄罗斯主要情报局(GRU)74455 部队的成员组成,GRU 是俄罗斯军队的一个军事情报机构。

上述攻击事件或许已经足够骇人听闻。但请相信,黑客们的本事比你想象的大得多——一项发生于 2007 年的秘密实验证明,黑客可以仅凭一个不超过 GIF 大小的文件,就破坏一个国家的电网设备,并使其无法修复。

调查引出的意外发现

2016 年,“沙虫”组织试图利用 BlackEnergy 和 Industroyer 恶意软件破坏乌克兰的电网,这次攻击造成了有史以来最严重的后果,不仅致使大范围停电,还对电力设备造成了物理损害。

然而,当一位名为 Mike Assante 的网络安全研究人员对该攻击的细节进行深入研究时,他惊讶地发现,这种攻击并非源于俄罗斯黑客,而是一种由美国政府发明的电网入侵计划,而且早在十年前,美国就对这一计划进行了测试。

好巧不巧,Assante 正是十年前该计划的测试人员之一,也是一位具有传奇色彩的工业控制系统安全先驱。十多年前,Assante 是一名前海军军官,后来担任网络安全工程师,长期以来一直敏锐地意识到黑客攻击电网的问题。

然而,多数网络安全工程师却并未将这类攻击放在眼里。因为当黑客黑进公用事业网络,并打开断路器致使网络瘫痪时,当时业界的普遍应对方法是,将入侵者踢出网络并重启电源,这是非常简单的操作。

但 Assante 却被一个更狡猾的想法所困扰:如果攻击者不只是破坏电网运营商的控制系统,关掉开关并造成短期停电,而是直接重新编程系统自动化程序,以及控制住能够自行决定电网运行而无需任何人检查的组件,工程师们又该如何应对?

另一个对电网安全至关重要的设备则是保护继电器(protective relay)。保护继电器常常被视为电网救生员,以防止电气系统中出现危险物理条件。例如当线路过热或发电机内部运转频率不同步时,保护继电器就会检测到异常并打开断路器,从而断开故障点,以免损伤昂贵的硬件,甚至防止火灾的发生。

但是,如果保护继电器瘫痪(或直接损坏),从而成为攻击者有效载荷的工具,又该怎么办?

Aurora 测试实验

于是,2007 年,Assante 及其同事进行了一个代号为 “Aurora” 的秘密实验,以研究美国电网系统的安全性能。

这场实验在爱达荷国家实验室(Idaho National Laboratory)中进行。为了实现测试目的,爱达荷国家实验室提前建立起一个相当大的电网系统,并配有总长 61 英里的电线和 7 个变电站。

此外,美国政府还召集了包括来自美国国土安全部、能源部和北美电力可靠性公司(NERC)的官员,以及来自全国各地电力公司的高管,还有像 Assante 这样的研究人员和工程师进行旁观。所有人身处一个摆满了监视器的房间中,监视器则从几个不同角度,显示着大型柴油发电机的实时录像。

这台发电机和一辆校车一般大,外表是巨大的薄荷绿钢材,重达 27 吨,相当于一辆 M3 Bradley 坦克的重量。它被放置在变电站中,发出持续的轰鸣声,与房间里的 “观众们” 相距一英里。其产生的电能足够为一家医院或一艘海军舰船供电。

研究人员计划彻底摧毁这种非常昂贵且坚固的机械设备,但不是使用任何物理工具或武器,而是使用约 30 行代码,大约 140 KB 的数据,其大小甚至比今天网络上非常流行的 GIF 表情包还要小。

在遭到攻击之前,发电机的内部一直在与连接的电网顺利进行着工作。机器内部的柴油发生着雾化,以推动使发动机内部旋转的活塞,每分钟大约移动 600 次。而后一根带有包裹在铜线中的、缠绕在两个大块磁铁之间的杆随之转动,每次旋转都会在电线中产生感应电流,为 60 赫兹的交流电,最后将其功率馈入与其连接的更大的电网中。

此时,发电机的保护继电器的作用是,防止其在未首先同步至准确的节奏(60 赫兹)的情况下就连接至电力系统的其余部分。

但是,Assante 带领的黑客们刚刚对该安全装置进行了重新编程,从而改变了原本的逻辑——保护继电器观察到发电机已完全同步,但是由于已被 “翻转” 的逻辑,它打开了一个断路器以断开机器的连接。

而后,发电机由于负担减小旋转得越来越快,一旦保护继电器发现发电机的旋转加速到与电网的其余部分完全不同步,它又立即将其重新连接到电网中。

于是,当发电机再次连接到较大的系统时,就受到电网上所有其他旋转发电机的扭转冲击。巨大的机器随即发出剧烈震动,最终,连接发电机轴两端的橡胶垫圈被撕裂,机器内部燃烧产生巨大烟雾。这表明,黑客们攻击成功,27 吨的发电机彻底报废。

而从恶意代码被触发,到机器开始剧烈震动的整个过程,仅花费了不到一秒钟的时间。

伴随着监视器上清晰显示着的机器残骸,工程师们毫无疑问地证明了,攻击电力公司的黑客不仅可以暂时破坏目标的工作进程,还可以破坏其最关键的物理设备,而且无法修复。

一本有关电网黑客实验的书

上周,一本名为 SANDWORM: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers 的书出版,该书详细讲述了关于 Assante 此次的测试实验的故事。时至今日,它仍是一种网络攻击对现实世界潜在影响的有力警告,同时也预示着即将出现的 “沙虫” 攻击。

正如在 Aurora 实验结束的那一刻,Assante 说道:“那是一个清醒的时刻,你可以想象它发生在实际工厂的一台机器上,这将是非常可怕的。这意味着,只需几行代码,你就可以创建入侵条件,并严重损害我们所依赖的物理机器系统。”