您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
脆弱的油氣管道安全:泄露情報(bào)表明俄黑客早已鎖定加拿大油氣管道可隨時(shí)引爆
在眾多報(bào)道美國五角大樓最近情報(bào)泄露事件的中,有一份報(bào)告深入探討了加拿大某油氣管道的潛在安全漏洞。該報(bào)告詳細(xì)介紹了俄羅斯民族國家贊助的黑客組織Zarya(俄語中的“黎明”)與俄羅斯聯(lián)邦安全局之間的電子郵件往來。
Zarya聲稱已成功滲透到加拿大某管道運(yùn)營商的網(wǎng)絡(luò),并擁有操縱閥門壓力、禁用警報(bào)和啟動設(shè)施緊急關(guān)閉的能力。
一名FSB官員指示Zarya維持他們的網(wǎng)絡(luò)訪問權(quán)并保持待命狀態(tài)以等待進(jìn)一步指示,預(yù)計(jì)成功的操作可能會導(dǎo)致配氣站發(fā)生爆炸。
根據(jù)泄露的文件,據(jù)稱FSB正在監(jiān)視加拿大新聞報(bào)道,以尋找任何跡象表明 Zarya的隱蔽入侵可能導(dǎo)致爆炸。泄露文件還表明,Zarya聲稱已經(jīng)對管道運(yùn)營商造成了足夠的損失,導(dǎo)致利潤損失,但堅(jiān)稱他們的意圖不是對人的生命造成傷害,而是對加拿大人造成經(jīng)濟(jì)損失。
負(fù)責(zé)監(jiān)督加拿大外國情報(bào)收集和網(wǎng)絡(luò)安全的通信安全機(jī)構(gòu) (CSE) 在一份聲明中表示,它不會對具體事件發(fā)表評論。但它補(bǔ)充說,它“擔(dān)心支撐工業(yè)流程的互聯(lián)網(wǎng)連接技術(shù)的關(guān)鍵基礎(chǔ)設(shè)施中斷的機(jī)會”。
據(jù)專門研究影響石油和天然氣行業(yè)的數(shù)字問題的不列顛哥倫比亞省作家兼演講者杰弗里·坎恩 (Geoffrey Cann) 稱,加拿大的能源部門經(jīng)常成為網(wǎng)絡(luò)犯罪分子謀取經(jīng)濟(jì)利益以及希望制造混亂的國家支持黑客的目標(biāo)。
工業(yè)網(wǎng)絡(luò)安全公司Dragos北美事件響應(yīng)主管Lesley Carhart表示,黑客過去曾破壞過加拿大的石油和天然氣設(shè)施,包括影響運(yùn)營的勒索軟件攻擊。但他懷疑查莉婭是否有能力引發(fā)爆炸。
《環(huán)球郵報(bào)》援引加拿大天然氣協(xié)會首席執(zhí)行官的話說,他不知道這里有任何受損的天然氣配送基礎(chǔ)設(shè)施。
對于泄露的五角大樓文件,眾說紛紜。據(jù)引述一些專家的話說,許多看起來是真實(shí)的,但懷疑某些細(xì)節(jié)已被更改。
以下援引國際知名自動化專家Sinclair的詳細(xì)分析。
由于沒有一家加拿大管道運(yùn)營商證實(shí)這些說法,并且鑒于一些泄露的文件已被俄羅斯FSB篡改,因此不確定這些說法是否屬實(shí)。因此,就目前而言,這些報(bào)告應(yīng)當(dāng)被視為未經(jīng)證實(shí)且可能是錯(cuò)誤的。
然而,這一事件是網(wǎng)絡(luò)物理風(fēng)險(xiǎn)可能造成的后果的一個(gè)重要例證。可能發(fā)生爆炸的建議尤其令人擔(dān)憂,因?yàn)檫^去曾提出過類似的說法,包括2008年(土耳其)、2014年(烏克蘭)和最近的2022年(烏克蘭威脅行為者)。
盡管缺乏具體證據(jù),但網(wǎng)絡(luò)物理攻擊的可能性是非常真實(shí)的,特別是如果攻擊者設(shè)法滲透到控制系統(tǒng)。除了考慮攻擊的潛在后果外,針對此類提出的聲明,即使沒有實(shí)際攻擊,討論一下如何回應(yīng)對也很重要。
首先,梳理一下管道自動化的一些基礎(chǔ)知識。這包括對油氣管道系統(tǒng)的一般架構(gòu)的概述、使用的自動化功能的類型以及可以攻擊以觸發(fā)爆炸的特定目標(biāo)。
圖 1-簡化的管道系統(tǒng)架構(gòu)
一條管道有幾個(gè)不同的位置,一個(gè)控制整體操作的主控制中心和各種分站,截止閥站等。
■ 壓縮機(jī)站是管道系統(tǒng)的關(guān)鍵組成部分,壓縮天然氣以通過管道運(yùn)輸。該站通常由一系列壓縮機(jī)組成,這些壓縮機(jī)可以增加氣體的壓力以維持其通過管道的流量。壓縮機(jī)站沿管道間隔設(shè)置,以確保氣體壓力在整個(gè)管道中保持一致,而不受地形差異(例如高度)和管道長度的影響。壓縮機(jī)站由分布式控制系統(tǒng) (DCS) 控制,并由安全儀表系統(tǒng) (SIS) 提供保護(hù)。大多數(shù)情況下,還有一個(gè)壓縮機(jī)控制系統(tǒng) (CCS),但有時(shí)DCS會獲得此功能。還有其他各種與這個(gè)故事無關(guān)的自動化功能。
■ 計(jì)量站具有測量和監(jiān)測管道中氣體流量和數(shù)量的功能。可與壓縮機(jī)站組合使用。這種站通常由各種儀表組成,用于測量和記錄氣體流速、壓力、溫度和其他參數(shù)。從計(jì)量站收集的數(shù)據(jù)對于天然氣交易的計(jì)費(fèi)和核算以及確保管道在安全高效的參數(shù)范圍內(nèi)運(yùn)行至關(guān)重要。有時(shí)它也用于給氣體加味,這是檢測氣體泄漏所必需的。
■ 分輸站,有時(shí)也稱為輸出站,是位于天然氣管道沿線的一個(gè)站點(diǎn),天然氣在這里被分離出來,輸送到不同運(yùn)營商的另一條天然氣管道,或輸送到當(dāng)?shù)氐呐渌拖到y(tǒng),例如住宅或商業(yè)樓宇。輸出站通常包括計(jì)量和調(diào)節(jié)設(shè)備,以及將氣體分配到本地配送系統(tǒng)的管道。此外,這些站可能包括加味設(shè)備,以向氣體中添加加味劑。
■ 截止閥站通常是沿天然氣管道安裝截?cái)嚅y以控制管道中流量的小型站。截止閥是非常大的閥門,可以遠(yuǎn)程控制以在緊急情況下停止或限制氣體流量。例如,如果管道發(fā)生氣體泄漏或破裂。截止閥站是天然氣管道系統(tǒng)的重要組成部分,因?yàn)樗梢栽诰o急情況下快速關(guān)閉管道。
由于位置偏遠(yuǎn),管道控制系統(tǒng)通常使用集中式SCADA(監(jiān)督控制和數(shù)據(jù)采集)系統(tǒng)來監(jiān)督所有管道位置。除了SCADA系統(tǒng)之外,壓縮的本地控制是通過結(jié)合DCS(分布式控制系統(tǒng))和SIS(安全儀表系統(tǒng))功能實(shí)現(xiàn)的,并根據(jù)需要使用CCS(壓縮機(jī)控制系統(tǒng))進(jìn)行擴(kuò)展。
雖然管道控制系統(tǒng)還有許多其他關(guān)鍵系統(tǒng),例如通信系統(tǒng)、泄漏檢測系統(tǒng)、閉路電視、調(diào)度系統(tǒng)、歷史系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng),但本文的重點(diǎn)是潛在攻擊背景下的壓縮功能可能導(dǎo)致爆炸的情景。因此,我將目光投向了管道沿線的壓縮機(jī)站。如果FSB或Zarya想要引起爆炸,就會在這里做手腳,即這是爆炸發(fā)生的地方。
在針對壓縮機(jī)的網(wǎng)絡(luò)物理攻擊領(lǐng)域,壓力水平的變化是需要考慮的關(guān)鍵因素。壓力過高以及壓力突然下降都會導(dǎo)致設(shè)備嚴(yán)重?fù)p壞。在任何一種情況下,都存在對氣體失去控制的風(fēng)險(xiǎn),最終可能導(dǎo)致爆炸。
為了更好地了解潛在的危險(xiǎn),讓我們首先分別檢查這兩種情況——高壓和突然降壓。然后我們可以結(jié)合這些場景來了解網(wǎng)絡(luò)物理攻擊如何可能導(dǎo)致爆炸。此外,重要的是要考慮天然氣管道運(yùn)營商在收到即將發(fā)生的網(wǎng)絡(luò)攻擊通知時(shí)應(yīng)如何應(yīng)對。
喘振是壓縮機(jī)中發(fā)生的一種現(xiàn)象,當(dāng)排放管路中的壓力超過壓縮機(jī)可以維持的壓力時(shí)會出現(xiàn),導(dǎo)致通過壓縮機(jī)的流動突然逆轉(zhuǎn)。這會對壓縮機(jī)造成嚴(yán)重?fù)p壞。壓縮機(jī)的排放管線是壓縮機(jī)的一側(cè),管道連接在下游方向從壓縮機(jī)輸送壓縮氣體。
發(fā)生喘振時(shí),會導(dǎo)致壓縮機(jī)負(fù)載突然顯著增加。壓縮機(jī)將難以維持所需的壓力,并可能最終停轉(zhuǎn),導(dǎo)致管道突然失去流量并增加壓力。這會嚴(yán)重?fù)p壞壓縮機(jī)和周圍設(shè)備,例如軸承、密封件和管道。此外,通過壓縮機(jī)的氣流突然反轉(zhuǎn)會導(dǎo)致劇烈振動,從而損壞壓縮機(jī)的內(nèi)部組件。
為防止喘振,壓縮機(jī)控制通常采用喘振控制裝置,例如再循環(huán)閥(也稱為旁通閥或防喘振閥)。循環(huán)閥是閉環(huán)控制功能的一部分,持續(xù)監(jiān)控管道中氣體的壓力和流量,并根據(jù)需要調(diào)整壓縮機(jī)速度和循環(huán)閥的位置,以保持穩(wěn)定和安全的運(yùn)行。這通常由壓縮機(jī)控制系統(tǒng) (CCS) 完成,但在某些情況下也可以在DCS中實(shí)現(xiàn)。
因此,一種可能的攻擊場景是將再循環(huán)閥保持在關(guān)閉位置,同時(shí)在壓縮機(jī)的吸入側(cè)造成壓降。如果攻擊者可以訪問控制系統(tǒng),就像Zarya聲稱的那樣,就可以通過突然關(guān)閉吸入側(cè)的截止閥來造成這種下降。截止閥的關(guān)閉速度通常受行程速率設(shè)置的限制,威脅行為者可以修改此設(shè)置以增加行程速率以更快地關(guān)閉閥門,這將增加壓降的速度。這可能足以損壞壓縮機(jī),從而導(dǎo)致相當(dāng)長的維修時(shí)間。
上述情況可能會引起爆炸,但每種設(shè)計(jì)都有一定的安全余量。但是這里同時(shí)發(fā)生了三種故障情況:
● 關(guān)閉中的截止閥;
● 行程速率過高的截止閥;
● 無法打開的循環(huán)閥。
過程安全隱患很可能不會分析(因此不會減輕)這種情況,因?yàn)樗惶赡芡瑫r(shí)作為隨機(jī)故障發(fā)生。但在網(wǎng)絡(luò)物理攻擊場景中,即人為故意故障場景中,對于能夠以Zarya聲稱的級別訪問控制環(huán)境的人來說,這一切都是觸手可及的。
為了進(jìn)一步增強(qiáng)網(wǎng)絡(luò)物理攻擊對壓縮機(jī)的潛在影響,可以突然增加壓力,同時(shí)關(guān)閉增壓側(cè)的截止閥,增加行程速度。由于閥門關(guān)閉,氣體壓縮時(shí),這會導(dǎo)致壓力突然升高,并且在某一點(diǎn),它會反向減壓。
這種加劇的情況會顯著增加損壞和失去控制的風(fēng)險(xiǎn),最終可能導(dǎo)致爆炸。
因此,如果加拿大管道威脅的故事是真的,那么至少可以認(rèn)定FSB官員是對的。Zarya建立的控制級別可能會導(dǎo)致爆炸。這并不奇怪,因?yàn)槎砹_斯有許多天然氣管道和許多壓縮站,他們肯定進(jìn)行了網(wǎng)絡(luò)物理風(fēng)險(xiǎn)分析并認(rèn)識到了危險(xiǎn)。即便如此,他們?nèi)允褂迷S多與“西方”國家相同的系統(tǒng)。
那么,如果您接到當(dāng)?shù)厍閳?bào)部門的電話,警告您即將發(fā)生網(wǎng)絡(luò)攻擊,該怎么辦?
在大多數(shù)情況下,第一要務(wù)是斷開與外部系統(tǒng)和網(wǎng)絡(luò)的連接。然而,這對于管道系統(tǒng)來說并不那么容易,因?yàn)樘烊粴庥唵?“調(diào)度”)通過調(diào)度系統(tǒng)進(jìn)入系統(tǒng),該系統(tǒng)通常依賴于電子郵件。此外,所有網(wǎng)絡(luò)通常都是冗余的,主控制中心 (MCC) 也是如此。很可能有一個(gè)備份控制中心 (BCC),網(wǎng)絡(luò)可能會使用替代網(wǎng)絡(luò)作為備份,例如衛(wèi)星連接甚至4G連接。此外,隔離可能意味著斷開您的安全運(yùn)營中心,盡管您可能需要他們的專業(yè)知識。
第二個(gè)可能是在手動模式下部分操作,例如分站。如果分站多而人員少,這就沒那么容易了。長管道很容易有10多個(gè)分站和數(shù)百個(gè)截?cái)嚅y站。他們通常只在白天有人值守。這可能會在幾天內(nèi)有所幫助,但隨后需要解決該問題。
第三是在系統(tǒng)中搜索危害指標(biāo) (IOC)。威脅行為者如何進(jìn)入以及他/她如何保持訪問權(quán)限?這是一項(xiàng)非常復(fù)雜的任務(wù),因?yàn)樾枰獙彶樗锌赡艿腡TP的每個(gè)網(wǎng)絡(luò)威脅場景。如果資產(chǎn)所有者在過去進(jìn)行過網(wǎng)絡(luò)物理風(fēng)險(xiǎn)評估,將會有所幫助,因?yàn)檫@樣的評估將映射威脅參與者使用的各種戰(zhàn)術(shù)、技術(shù)和程序 (TTP),以應(yīng)對上面討論的各種過程危害。正常情況下會有一個(gè)可用的風(fēng)險(xiǎn)登記冊,引導(dǎo)我們對所有TTP進(jìn)行調(diào)查。專業(yè)的OT安全組織可以幫助將網(wǎng)絡(luò)攻擊中使用的策略、技術(shù)和程序(TTP)與與這些TTP關(guān)聯(lián)的妥協(xié)指標(biāo)(IOC)聯(lián)系起來。但是,如果管道運(yùn)營商沒有為此類攻擊做好充分準(zhǔn)備,將TTP鏈接到IOC的過程可能需要相當(dāng)長的時(shí)間。此外,存在IOC可能被忽視的重大風(fēng)險(xiǎn),這可能導(dǎo)致進(jìn)一步的損害或危害。
雖然許多管道組織已經(jīng)進(jìn)行了風(fēng)險(xiǎn)評估,但他們往往沒有深入研究以分析與網(wǎng)絡(luò)物理系統(tǒng)相關(guān)的特定風(fēng)險(xiǎn)。因此,可能無法獲得基本信息。這是需要對系統(tǒng)配置、相關(guān)參數(shù)、網(wǎng)絡(luò)威脅、過程危害和網(wǎng)絡(luò)攻擊技術(shù)有深入了解的專家。這樣的專家可以提供深入的網(wǎng)絡(luò)物理風(fēng)險(xiǎn)評估,這對于確保管道運(yùn)營的安全和保障至關(guān)重要。
不幸的是,這樣的專家很少見。因此,如果您的管道運(yùn)營商尚未進(jìn)行網(wǎng)絡(luò)物理風(fēng)險(xiǎn)評估,則必須開始準(zhǔn)備。過程危害和網(wǎng)絡(luò)危害與其TTP之間的聯(lián)系是必不可少的信息。這樣做將使您能夠更好地識別和監(jiān)控潛在的危害指標(biāo),并確定在網(wǎng)絡(luò)物理事件發(fā)生之前降低風(fēng)險(xiǎn)的步驟。
參考資源
1、https://industrialcyber.co/analysis/pro-russian-group-zarya-claims-hacking-a-canadian-pipeline/
2、https://www.cbc.ca/news/politics/energy-sector-target-cyberattacks-experts-1.6806300
來源:網(wǎng)空閑話