摘要
本文內容摘錄自《沙蟲:網絡戰的新時代,追剿克裡姆林宮最危險的黑客》一書,介紹了 2007 年在愛達荷國家實驗室開展的一次黑客攻擊發電機的實驗。此次實驗表明了網絡攻擊物理世界的潛在可能性,不僅可以對受害者的工作造成暫時性破壞,還可以損毀一些最關鍵的設備以至於無法修復。
正文
愛達荷州國家實驗室設施的控制室。照片來源:《紐約時報》Jim McAauley
早些時候,美國司法部宣布了對「沙蟲」(Sandworm)黑客團夥的起訴。起訴文件指控六名為俄羅斯 GRU 軍事情報局工作的黑客,涉及過去五年內全球多宗網絡計算機犯罪,從破壞 2018 年韓國冬季奧運會,到釋放烏克蘭歷史上最具破壞性的惡意軟體。在被起訴的網絡攻擊罪行中,包括 2016 年對烏克蘭的電網進行了前所未有的攻擊,此次攻擊不僅想要造成大面積停電,而且還意圖對電氣設備造成物理損壞。網絡安全研究人員 Mike Assante 深入研究了此類攻擊的細節,他意識到電網攻擊手段並非由俄羅斯黑客發明的,而是由美國政府提出並在十年前就進行了測試。
上述內容摘錄自本周出版的平裝書《沙蟲:網絡戰的新時代,追剿克裡姆林宮最危險的黑客》,其中提及的試驗稱為「極光發電機測試」(Aurora Generator Test),是由工業控制系統安全領域的先驅和傳奇人士 Mike Assante 領導的。時至今日,該試驗依然是對通過網絡攻擊物理世界的潛在可能性的嚴重警示,很好地預測了隨後出現的「沙蟲」攻擊。
2007 年 3 月的一個寒風凜冽的早晨,Mike Assante 進入了位於愛達荷瀑布(Idaho Falls)以西 32 英裡處的愛達荷國家實驗室(Idaho National Laboratory)設施。該設施坐落在一片高大的沙漠景觀中間,被積雪和鼠尾草所覆蓋。Assante 步入訪客中心的大廳時,那裡已經聚集了一小群人,其中包括來自美國國土安全部、能源部、北美電力可靠性公司(NERC)的官員、全美各地部分電力公司的高管,以及像 Assante 這樣的研究人員和工程師。此項工作由國家實驗室牽頭開展,為期一天時間,探索可能針對美國關鍵基礎設施的災難性威脅。
房間看上去像是火箭發射的任務控制大廳,一組視頻監視器和數據源面對著體育場般布置的座位。屏幕上顯示著對一臺大型柴油發電機的多角度實時監控視頻。這臺發電機的大小近似於一輛校車,是呈薄荷綠色的巨大鋼鐵物體,重達 27 噸,約為一輛 M3 布萊德利裝甲車的重量。發電機持續轟鳴著,部署在距離大家所在房間有一英裡的變電站,其所產生的電能足以為一所醫院或是一艘海軍艦船供電。發電機表面散發出的熱浪,在視頻監控圖像中形成了波動線。
這臺發電機是 Assante 和他在 INL 的研究同事以 30 萬美元從阿拉斯加的一處油田購買的,並運送到數千英裡之外的愛達荷州測試地點,一塊面積 890 平方英裡的土地。國家實驗室為此次測試準備了一個規模相當大的電網,配有長度達 61 英裡的電力傳輸線和 7 個變電站。
現在,如果 Assante 他們成功地實施了攻擊,那麼將會摧毀這臺發電機。蓄勢待發的研究人員計劃不使用任何物理工具或武器,只通過網絡就徹底破壞這臺非常昂貴且不易損壞的機械設備。他們使用的只是大小約 140 KB 的數據,文件規模甚至小於 Twitter 上分享的 GIF 格式的貓咪照片的平均大小。
三年前,Assante 曾擔任美國電力公司(American Electric Power)的首席安全官,該公司在德克薩斯州至肯塔基州的 11 個州擁有數百萬客戶。Assante 是一名前海軍軍官,後來成為網絡安全工程師,長期以來一直對黑客攻擊電網的潛在能力保持敏銳的意識。但是他很沮喪地看到,對這一仍然是理論上和遙遠的威脅,其電力行業中的大多數同行都持相對簡單的看法。行業中的普遍看法是,如果黑客確實以某種方式深入到公用事業網絡中,並控制斷路器的開合,那麼員工可以輕易地將入侵者踢出電網,並重新合上電源。Assante 記得一些同事曾說,「我們可像風暴一樣迅速掌控攻擊。設想方式是和斷電一樣,恢復供電就行了。對風險模型的最大考量不過如此。」
但對於 Assante 這樣為數不多的具有電網架構和計算機安全兩者間交叉領域知識的人來說,他們擔憂的是另一個更大的風險。如果攻擊者不僅僅劫持了電網運營商的控制系統,通過閉合開關並造成短期停電,而是重新編程了電網的自動化組件,使得這些組件脫離檢查人員的控制,自行決定電網運行狀態,那會是怎樣的後果?
愛達荷州國家實驗室 890 平方英裡龐大測試場中的一個變電站。圖片由愛達荷州國家實驗室提供
值得一提的是,Assante 一直關注的是稱為「保護繼電器」的設備。保護繼電器設計上是一種為防止電氣系統中發生危險物理條件的安全機制。一旦線路過熱或發電機不受控,保護繼電器會檢測到異常,並打開斷路器,斷開故障點,進而保護昂貴的硬體設備,甚至預防發生火災。保護繼電器可視為電網中的救生員。
但如果保護繼電器發生癱瘓,或者更糟的是發生損壞,反而會成為承載攻擊者有效載荷的工具,那該怎麼辦?
這個自在電力公司任職以來就縈繞 Assante 心中的問題,正是他此次帶到愛達荷州國家實驗室的問題之一。現在在實驗室測試場的訪客中心,Assante 和他的工程師們正在將他的這個最惡意的想法付諸實踐。秘密實驗的代號是「極光」,指代數字攻擊可能會造成的物理後果。
作為測試負責人,Assante 讀出了時間,那是上午的 11 時 33 分。他與一名安全工程師一起檢查了柴油發電機周圍的實驗區域,以免有旁觀者逗留。之後,他向位於愛達荷瀑布國家實驗室辦公室中的一位網絡安全研究人員發出了警告信息,攻擊就開始了。與任何現實的數字破壞活動一樣,這項測試是通過網際網路在數英裡之外開展的。測試中,模擬黑客將大約 30 行代碼從本地計算機中推送到保護繼電器,繼電器連接著校車般大小的柴油發電機。
在攻擊破壞開始之前,發電機的內部以不可見的方式,與所連接的電網維持著某種完美協調的舞步。機廂內的柴油被霧化後,以非人工控制的定時方式燃爆,推動發電機內的鋼棒旋轉帶動活塞以每分鐘 600 次的頻率運動(整個組件被稱為「原動力」)。旋轉通過減少振動的橡膠墊圈,傳遞到發電部件。這是一根包裹銅線並置於兩塊大磁鐵之間的臂杆,每輪旋轉都會在線圈中感應出電流。旋轉足夠快的纏繞銅線圈將產生 60 赫茲的交流電,功率饋入與其連接的大規模電網中。
保護繼電器連接到發電機,防止繼電器在尚未率先準確同步至 60 赫茲的情況下,就與電力系統的其餘部分建立連接。但在愛達荷瀑布,Assante 的 Assante 的黑客已經重新編程了這個安全裝置,更改了它的邏輯。
時間到了上午 11 時 33 分 23 秒,保護繼電器觀察到發電機已完全同步。但是隨後它被攻擊破壞的大腦卻做出了與原先意圖相反的決定,它打開了一個斷路器,斷開與發電機的連接。
發電機一旦脫離了愛達荷國家實驗室的大規模電網,無法將能量負載分配給龐大的系統,發電機就立即加速,產生更快的旋轉速度,就像一群從馬車上解套的馬。保護繼電器觀測到發電機的旋轉加速與電網其他部分已經完全不同步,這時被惡意篡改翻轉的邏輯立即將發電機重新連接到電網操作中。
一旦柴油發電機再次連接到較大系統,就承受了電網上所有其他旋轉發電機扭力的衝擊。所有這些設備將柴油發電機重量相對不大的旋轉部件拉回原來較慢的速度,以匹配周邊設備的頻率。
聚集的觀眾們通過遊客中心的屏幕觀看到巨大機器震動著,發出巨大的噪音,像是鞭子的爆裂聲。從觸發惡意代碼到發電機發出顫動,整個過程僅耗時不到一秒鐘。
一些黑塊開始從發電機的檢修面板蹦出。研究人員持續觀察著發電機內部,連接發電機軸兩半的黑色橡膠墊圈自身發生了撕裂。
幾秒鐘後,機器再次發生震顫。這是保護繼電器的代碼重做了一輪破壞,斷開發電機然後再次重新同步。這次一團灰色的煙霧從發電機冒出,可能是其中的橡膠碎片燃燒所造成的。
為親眼目睹這樣的攻擊場面,Assante 的團隊花費了數月的努力,耗費了數百萬美元的聯邦資金。但看到機器內部發生破壞時,同情心還是在某種程度上油然而生。「你會發現自己和這臺小機器一樣,並不想變成這樣。」 Assante 回憶道,「我當時在想,'一定要堅持下去!'」
在遭受第三輪打擊後,機器終於挺不住了,它釋放出一團更大的灰色煙霧雲。一位站在 Assante 旁邊的工程師說:「這臺原動力成了烤麵包了。」 經過第四輪打擊後,機器向空中噴出一團高達 30 英尺的黑煙,在嘎嘎聲中宣告報廢。
最終,測試負責人結束了實驗,將已損毀的發電機從電網上斷開,留下所有殘跡。在隨後的取證分析中,實驗室的研究人員發現發動機軸與發動機內壁相撞,兩者均產生了深深的切痕,金屬屑填滿了機器的內部。在發電機的外側,接線和絕緣層融化,並發生燃燒。機器完全報廢了。
現場展示結束後,遊客中心一片寂靜。Assante 說,「那時氣氛嚴肅」。工程師們已確定無疑地證明,攻擊電力公司的黑客不僅可以對受害者的工作造成暫時性破壞,還可以損毀一些最關鍵的設備以至於無法修復。「現實歷歷在目。想像一下如果發生在現實工廠的某臺機器上,後果十分可怕。」Assante 說。「這意味著只需幾行代碼,攻擊者就能創造出條件,對我們所依賴機器造成物理上嚴重損害。」
但 Assante 還記得,自己在「極光」實驗之後的那一刻心情略感沉重。就像六十年前羅伯特·奧本海默在另一個美國國家實驗室觀看第一次原子彈試驗那樣,感覺到一種歷史性巨大力量的誕生。
「我內心產生了一種奇怪的感覺,仿佛未來的驚鴻一瞥」,Assante 說。
摘自《Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers》一書。版權所有2019 Andy Greenberg,經企鵝蘭登書屋有限責任公司的子公司 Anchor Books 許可轉載。
原文連結
How 30 Lines of Code Blew Up a 27-Ton Generator
https://www.wired.com/story/how-30-lines-of-code-blew-up-27-ton-generator/
關注我並轉發此篇文章,私信我「領取資料」,即可免費獲得InfoQ價值4999元迷你書,點擊文末「了解更多」,即可移步InfoQ官網,獲取最新資訊~