烏克蘭電力系統遭駭原因是網路釣魚,如何加強資安防護引討論

烏克蘭電力系統遭駭原因是網路釣魚,如何加強資安防護引討論

2015 年 12 月 23 日,烏克蘭電力網路受到駭客攻擊,導致伊萬諾-弗蘭科夫斯克州大停電,1 個月後安全專家證實這起停電是駭客惡意攻擊所造成,成為全世界第一起駭客攻擊造成電網大規模停電事件,美國對此極為重視,2016 年 1 月派出調查團前往烏克蘭,發現這起攻擊事件是以釣魚攻擊得手。

當西烏克蘭還處於冰天凍地的寒冬之中,2015 年 12 月 23 日下午 2 點半,駭客遠端登入伊萬諾-弗蘭科夫斯克州的電網控制中心,幾秒鐘後所屬區域大斷電,交通號誌熄滅,電視也關閉,停電持續到夜間,入夜後 22.5 萬居民陷入沒有燈光、沒有暖氣的窘境,幸好事發後 6 小時,電力公司人員總算恢復系統重新供電,總體來說造成的損害並不大,但這是全球第一起駭客攻擊電網造成大停電事件,引起相當大關注。

過 去電力網路遭入侵時,因為各系統的軟硬體規格不同,系統環境破碎之下,駭客很難發揮太大影響,大多數攻擊都被視為根本不值一提,連向上回報的必要都沒有, 但資安專家一直警告駭客入侵破壞電力系統的可能性,烏克蘭事件如今證實了這點。當電力系統受到駭客破壞,大停電不僅可能會造成鉅額經濟損失,還可能造成後 續影響,如因抽水機停止運作而停水、污水處理系統停擺,更會影響醫療、金融、交通。

美國聯邦調查局(FBI)、國土安全局 (Department Of Homeland Security,DHS)、能源部對此極為重視,2016 年 1 月時,3 個單位派出聯合團隊前往烏克蘭,調查事發原因,由於在烏克蘭衝突中,俄羅斯曾用木馬軟體 BlackEnergy 攻擊烏克蘭政府相關機構,烏克蘭相關單位一度懷疑大停電可能是俄羅斯國安當局使用 BlackEnergy 對烏克蘭進行的攻擊,不過調查顯示與 BlackEnergy 並無關係,事實上此次攻擊主要不是經由安裝駭客程式癱瘓電網,而是透過人因方式攻擊。

6 個月前,駭客先針對電廠員工進行魚叉式網路釣魚(Spear phishing),所謂魚叉式網路釣魚,顧名思義,就是只針對特定目標進行的網路釣魚攻擊,駭客以網路釣魚成功取得該員工的登入權限,之後並未在電網系 統中植入惡意程式,而是利用普通的遠端登入軟體,登入電廠系統後,一個接一個的啟動斷路器截斷電力,然後改掉密碼,讓電廠員工無法登入重啟電力。同時駭客 還關閉了電話網路,讓電廠員工難以互相溝通,因而不易了解狀況,找出對策重啟電力。

 

精簡人力遇攻擊恐難處理

無 線通訊公司全頻譜(Full Spectrum)共同創辦人暨執行長史都華‧坎托(Stewart Kantor)表示,烏克蘭電廠把內部通信電話網路架設於公用 Wi-Fi 是本起事件中最大的安全漏洞,坎托認為,一旦重要系統上有資安缺口,擁有非架於公用 Wi-Fi 之上的受保護通訊,是系統基本需求,尤其是對電力公司而言。只要是依賴公共通訊網路的電力公司都易受此類攻擊,也有其他的可靠性問題。

美 國相關當局近幾年來已經相當警覺電力網路有可能受到物理上的攻擊,電網是地球上最大規模的相互聯結機器,包括 20 萬英里長的高壓傳輸纜線,各環節都可能受到物理破壞,2013 年,就有一組槍手對北卡羅萊納州的變電所發動槍擊,破壞了 17 個變電器,幸好電廠員工反應得當很快繞過受損變電器,沒有引起斷電或電力不穩。

然而,隨著越來越多電力公司進行自動化控制,並且採用雲端 管理,以提升系統效率以及降低人事成本,電力網路受到駭客攻擊的可能性也越來越高。美國國土安全局表示,近年來能源相關單位是 40% 駭客攻擊的目標。過去我們習慣駭客攻擊造成網路服務延遲,或是駭客攻擊造成資料毀壞流失,但是人類尚未經歷駭客攻擊造成大規模破壞,即使烏克蘭事件中駭客 成功造成斷電,但實質傷害不大,不過,隨著電網自動化程度提升,未來若有駭客成功掌握電網,有可能造成相當大損害。

電網自動化控制也減少了所需的員工,比起 25 年前電力系統值班員工已經大為減少,以往每個控制室都有 1 人值班,如今過去由 6 個人執勤的控制室整合成一個中央控制中心由 1 個人執勤,若是受到攻擊,一切得恢復手動時,根本沒有那麼多人員可以操作系統。

因 應烏克蘭事件,美國聯邦調查局與國土安全局共同組織巡迴美國全國的講座,名為「烏克蘭駭客攻擊:對美國機構管理人的啟示」(Ukraine Cyber Attack: Implications for US Stakeholders),以教育各地的安全人員、能源主管與地方政府官員如何衡量資安風險,並改善機構的資安狀況。

2016 年 4 月,該講座將舉辦 8 場實體簡報會議以及 4 場線上會議。提供資安人員基本的安全防護觀念,包括遠端操控必需有多重認證安全機制,以及設定詳細計畫,一旦發生遭駭事件時,確保內部電話通信有備援系 統,以防駭客同時攻擊內部電話系統,確保事件發生時能聯繫電網員工。美國政府也建議時時更新由美國電腦緊急事件應變小組(United States Computer Emergency Readiness Team,US-CERT)所發布的最新惡意軟體公報。

然而這樣是否就足夠 了呢?電網系統的資安問題,有部分來自於成本,若要設立全面性的資安防護,對電力公司來說成本太高,而若將資安增加的成本轉嫁到電費上,又會受到政治上的 壓力,唯有政府主導,要求電力公司需改善資安,並允許相對應的資費調漲時,電力公司才會積極進行,在此之前,恐怕只能期待駭客不要太快找到攻破電網系統的 辦法了。

 

烏克蘭電力系統遭駭原因是網路釣魚,如何加強資安防護引討論

TechNews科技新報
使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則