上月底,美国司法部宣布对一个名为“沙虫”(Sandworm)的黑客组织发起起诉,指控六名黑客实施了与近五年全球网络攻击有关的计算机犯罪,包括试图破坏2018年平昌冬奥会,干扰法国2017年总统选举,以及散布乌克兰历史上最具破坏性的恶意软件等。经确认,该组织由俄罗斯主要情报局(GRU)74455部队的成员组成,GRU是俄罗斯军队的一个军事情报机构。
上述攻击事件或许已经足够骇人听闻。但请相信,黑客们的本事比你想象的大得多——一项发生于2007年的秘密实验证明,黑客可以仅凭一个不超过GIF大小的文件,就破坏一个国家的电网设备,并使其无法修复。
2016年,“沙虫”组织试图利用BlackEnergy和Industroyer恶意软件破坏乌克兰的电网,这次攻击造成了有史以来最严重的后果,不仅致使大范围停电,还对电力设备造成了物理损害。
然而,当一位名为Mike Assante的网络安全研究人员对该攻击的细节进行深入研究时,他惊讶地发现,这种攻击并非源于俄罗斯黑客,而是一种由美国政府发明的电网入侵计划,而且早在十年前,美国就对这一计划进行了测试。
好巧不巧,Assante正是十年前该计划的测试人员之一,也是一位具有传奇色彩的工业控制系统安全先驱。十多年前,Assante是一名前海军军官,后来担任网络安全工程师,长期以来一直敏锐地意识到黑客攻击电网的问题。
2007年,Assante及其同事进行了一个代号为“Aurora”的秘密实验,以研究美国电网系统的安全性能。这场实验在爱达荷国家实验室(Idaho National Laboratory)中进行。为了实现测试目的,爱达荷国家实验室提前建立起一个相当大的电网系统,并配有总长61英里的电线和7个变电站。
此外,美国政府还召集了包括来自美国国土安全部、能源部和北美电力可靠性公司(NERC)的官员,以及来自全国各地电力公司的高管,还有像Assante这样的研究人员和工程师进行旁观。所有人身处一个摆满了监视器的房间中,监视器则从几个不同角度,显示着大型柴油发电机的实时录像。
这台发电机和一辆校车一般大,外表是巨大的薄荷绿钢材,重达27吨,相当于一辆M3 Bradley坦克的重量。它被放置在变电站中,发出持续的轰鸣声,与房间里的“观众们”相距一英里。其产生的电能足够为一家医院或一艘海军舰船供电。
研究人员计划彻底摧毁这种非常昂贵且坚固的机械设备,但不是使用任何物理工具或武器,而是使用约30行代码,大约140 KB的数据,其大小甚至比今天网络上非常流行的GIF表情包还要小。
在遭到攻击之前,发电机的内部一直在与连接的电网顺利进行着工作。机器内部的柴油发生着雾化,以推动使发动机内部旋转的活塞,每分钟大约移动600次。而后一根带有包裹在铜线中的、缠绕在两个大块磁铁之间的杆随之转动,每次旋转都会在电线中产生感应电流,为60赫兹的交流电,最后将其功率馈入与其连接的更大的电网中。
此时,发电机的保护继电器的作用是,防止其在未首先同步至准确的节奏(60赫兹)的情况下就连接至电力系统的其余部分。但是,Assante带领的黑客们刚刚对该安全装置进行了重新编程,从而改变了原本的逻辑——保护继电器观察到发电机已完全同步,但是由于已被“翻转”的逻辑,它打开了一个断路器以断开机器的连接。
而后,发电机由于负担减小旋转得越来越快,一旦保护继电器发现发电机的旋转加速到与电网的其余部分完全不同步,它又立即将其重新连接到电网中。于是,当发电机再次连接到较大的系统时,就受到电网上所有其他旋转发电机的扭转冲击。巨大的机器随即发出剧烈震动,最终,连接发电机轴两端的橡胶垫圈被撕裂,机器内部燃烧产生巨大烟雾。这表明,黑客们攻击成功,27吨的发电机彻底报废。
而从恶意代码被触发,到机器开始剧烈震动的整个过程,仅花费了不到一秒钟的时间。伴随着监视器上清晰显示着的机器残骸,工程师们毫无疑问地证明了,攻击电力公司的黑客不仅可以暂时破坏目标的工作进程,还可以破坏其最关键的物理设备,而且无法修复。
上周,一本名为SANDWORM: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers的书出版,该书详细讲述了关于Assante此次的测试实验的故事。时至今日,它仍是一种网络攻击对现实世界潜在影响的有力警告,同时也预示着即将出现的“沙虫”攻击。
正如在Aurora实验结束的那一刻,Assante说道:“那是一个清醒的时刻,你可以想象它发生在实际工厂的一台机器上,这将是非常的可怕。这意味着,只需几行代码,你就可以创建入侵条件,并严重损害我们所依赖的物理机器系统。”