乌克兰停电事件 网络安全_黑客攻击乌克兰电网事件

乌克兰危机中看得见的硝烟和看不见的硝烟是什么

从剑拔弩张到兵戎相见，早在飞机、导弹、坦克出动之前，网络战已经先声夺人，成为这场战争中不可忽视的焦点之一。

看不见的炮火 数字硝烟弥漫

1月14日，乌克兰的数十个政府网站遭到了网络攻击。据报道，其中包括外交部、教育部、农业部，甚至国防部，大量重要信息泄露。

2月15日，乌克兰再遭大规模网络攻击，涉及国防部、外交部和两个最大的国有银行。

2月24日，乌克兰国家紧急事务部门称乌克兰已经切断互联网，全国境内无线和有线连接都将受限，此举也因受到网络攻击导致。

微软威胁情报中心(MSTIC)此前确认了伪装成勒索软件的破坏性数据擦除恶意软件攻击活动，目标是在乌克兰的多个组织。这个恶意软件于2022年1月13日首次出现在乌克兰的受害者系统中。

不仅是乌克兰，据今日俄罗斯电视台报道，自莫斯科时间24日17时起，这家媒体的网站一直受到分布式拒绝服务(DDoS)攻击、即短时间内以巨大访问量瘫痪服务器。国际黑客团体“匿名者”24日宣布对俄发起“网络战争”，并承认攻击了今日俄罗斯电视台网站。

网络攻击首次成重要武器

随着乌克兰局势的不断升级，俄罗斯与西方围绕乌克兰问题的博弈还延伸到网络领域。据美国防务新闻网站发布的消息称：欧盟正在启动一个专家小组，以帮助乌克兰抵御俄罗斯可能发动的网络攻击。

2月22日，网络快速反应小组项目的牵头国立陶宛正式宣布了在网络防御领域帮助乌克兰的消息。网络快速反应小组项目是依据欧盟的“永久结构化合作防御和安全倡议”而成立的，该项目旨在为欧盟及其“合作伙伴”提供网络防御能力。目前负责该项目的网络快速响应团队主要由来自所有项目成员国的 8 至 12 名网络安全专家组成，而已知的参与项目国包括克罗地亚、爱沙尼亚、荷兰、波兰、罗马尼亚、立陶宛等。

“我们长期以来一直认为，网络攻击将是任何民族国家的武器库的一部分，我认为我们正在目睹的是，在人类历史上第一次，网络攻击已经成为了一项重要的武器，”总部设在加州圣何塞的网络安全平台Vectra AI首席执行官希特什·谢斯在接受采访时表示，俄罗斯可能会发起报复性网络攻击，以回应早些时候宣布的西方制裁，“鉴于我们所看到的俄罗斯公开用网络攻击乌克兰的情况，我完全预料到，他们会有秘密渠道，以攻击限制他们在金融领域活动的金融机构。”

这场在2022年初牵动了全球目光和股市的战争，再次印证了“没有网络安全就没有国家安全”的深刻性。比起飞机、导弹等现代化武器，网络攻击在战争中所发挥的作用毫不逊色，甚至犹有过之。

试想，如果战争还未开打，国内网络就已濒临崩溃，那交战的结果自然不言而喻。

在这场战争中，双方都使用了哪些网络“武器”？又当如何防范？

DDOS攻击，即分布式拒绝服务攻击，可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用。导致多个乌克兰政府网站、银行网站陷入瘫痪的罪魁祸首，正是大规模的DDOS攻击。

数据擦除恶意软件，HermeticWiper数据擦除器是过去两个月内被披露的第二个用于针对乌克兰网络的数据擦除器。擦除器恶意软件使用 EaseUS 分区管理器驱动程序在重新启动计算机之前损坏受感染设备的文件。数据擦除器还会破坏设备的主引导记录，使所有受感染的设备无法启动。

关基网络安全格外关键

尽管截至目前的网络战已经给双方或多或少造成了不小的麻烦，但代表着真实破坏力的网络攻击方式仍未得到使用。目前针对俄方的网络攻击主要来自民间黑客团体，而针对乌方的攻击，美国网络安全专家则认为应该是俄方个人黑客所为。理由是：关键基础设施如能源公司等没有成为攻击目标。

但对关键基础设施遭受破坏的担心却始终存在。当时时间25日，乌克兰国防部就呼吁黑客协助抵御对乌克兰重要基础设施可能进行的网络攻击。

2021年在美国发生的输油管道运营商遭遇攻击事件，早已证实了针对关键基础设施网络攻击的巨大破坏力和深远影响。网络威胁领域持续发展，攻击形势瞬息万变，面对不确定性，安恒信息建议，无论是国家、企业还是个人都应密切关注网络威胁局势，并随时准备做出针对性响应，以随时保持弹性应对威胁。

没有网络安全就没有国家安全

在全球疫情持续蔓延，世界局势错综复杂，国际格局向多极化加速演变以及俄乌炮火交战的当下，掺杂着国家之间网络安全博弈的“混合战争”，也基于地缘政治因势而变，网络安全形势更加严峻。

时至今日，网络战已经远远不止于侵入对方计算机系统获取信息，万物互联、万物上云让网络战的破坏力无数倍放大，无论是针对关键基础设施的网络攻击，还是摧毁军事指挥系统、武器系统的网络攻击，都将造成更大的破坏。

从连绵数日的战争炮火中，我们看到了物理空间的战争硝烟弥漫，交织着网络攻击这类看不见的数字空间的炮火与硝烟，网络安全将越来越成为国家安全的重要基础，没有网络安全就没有国家安全，需牢记在心，更需要网安人为之努力奋斗。

对电力安全工作的认识

抓好电力安全工作，主要体现在人身安全、电力系统运行安全和电力设备设施安全三个方面。

人的安全是电力安全工作中首要位置，这不仅是对人的尊重，也是对生命的敬畏。生命无价，人的生命只有一次，没有生命就没有一切，因此抓好电力行业广大从业人员的人身安全是电力安全工作的重中之重。

随着经济社会的日益发展和人民群众生活水平的提高，电已经走进全家万户，智能家电和智能终端给人民群众生产生活带来越来越多的便捷，没有电力系统的安全稳定运行就难以实现人民对美好生活的追求，因此做好电力安全生产就是要始终坚持“人民电业为人民”的初心，努力化解各类电网安全风险，克服局部地区电力供需矛盾，全力保障电力系统安全稳定运行。

电力行业的发展离不开基础设施设备的支撑，回顾我国电力行业的发展，总能列举出不断变化的发电装机、输电规模、变电容量等数据，这些数据的背后都是一台台电力设备设施的安全投运，因此要保障电力安全发展，必须确保电力设备设施的安全运行和可靠性，没有电力设备设施的安全可靠运行，电力行业的发展易受到掣肘。

电力安全工作面临新变化

电力安全生产形势发生新变化。进入新时代，随着 《中共中央国务院关于推进安全生产领域改革发展的意见》《地方党政领导干部安全生产责任制规定》和国家发展改革委、国家能源局《关于推进电力安全生产领域改革发展的意见》的相继印发，电力安全生产形势正在发生深刻变化。

一是企业安全生产主体责任将进一步被压实，企业违法违规生产经营，国家法律法规的约束力越来越强，违法违规生产的处罚力度越来越大；二是按照“谁主管、谁负责”“管行业必须管安全、管业务必须管安全、管生产经营必须管安全”和“分级负责、属地为主”的原则，齐心协力齐抓共管的电力安全监管格局将进一步加强；三是社会公众对安全的认知和诉求越来越高，对事故的容忍度越来越低，社会舆论对电力事故的关注度越来越高；四是事故追究责任的力度越来越大，从最近国家公布的几起事故调查报告来看，事故调查更加注重全过程、各环节的责任追究。

电力安全生产任务发生新变化。能源结构性调整和电力工业迅猛发展对电力安全生产提出了新任务：从电网运行来看，随着大容量、高参数发电机组和大容量、长距离输电线路不断投入运行，电网跨省、跨区特高压、交直流混联，运行方式复杂、控制难度增加。从发生安全事故的情况来看，随着电力设备设施运行、维护、检修、试验、技术改造等工作逐渐市场化，电力企业外包项目不断增多，外包工程项目人员，已经成为人身伤亡事故的高发区，电力安全事故的“重灾区”。

网络信息技术给电力安全带来新挑战。随着网络信息技术的飞速发展和在电力系统中的广泛应用，电力系统与网络信息已经深度融合。乌克兰电力公司网络系统遭到黑客攻击事件、“震网病毒”攻击伊朗核设施事件，也给我们安全生产工作敲响了警钟。如何进一步提升自身技术装备水平，堵塞可能出现新的安全漏洞，这些都是电力安全生产工作面临的新挑战。

做好电力安全工作的几点思考

新时代要有新气象，更要有新作为。电力安全生产工作永远在路上，只有起点没有终点。不忘初心，做好电力安全生产工作，笔者有以下几点思考：

一是要狠抓电力企业安全生产主体责任和主要负责人7项职责的落实。企业是安全生产的主体，安全主体责任只有真正落实到企业的生产管理行为中，才能最大限度消除安全生产隐患，如果企业安全责任不落实、安全管理不到位，则安全生产形势不可能持续好转。遏制电力安全生产重特大事故发生，必须紧紧抓住落实企业安全主体责任这个 “牛鼻子”，通过加强安全管理、加大安全投入、严格安全监管、严肃责任追究，切实提高企业的安全生产保障能力。

二是要切实提高电力行业全员安全生产意识。任何一项工作都要靠人去完成，如果决策层、执行者、监督者安全意识淡薄、存在侥幸心态、单纯凭经验盲干及操作不当，就极易引发事故。因此提高电力行业从业人员的安全生产意识，不仅仅只针对具体工作人员，还应该包括各级管理人员，尤其是主要负责人，要按照《国务院安委会办公室关于全面加强企业全员安全生产责任制工作的通知》要求，将安全责任落实到每个人，将教育培训工作覆盖到所有人，形成全员“要我安全”向“我要安全”“我能安全”转变。

三是要从全局角度抓电力安全。从管理主体层面来说，就是要做好区域、行业、属地安全责任落实，改变过去地方在电力安全管理上的长期缺位，按照《地方党政领导干部安全生产责任制规定》切实落实好地方政府属地电力安全管理责任，条块结合、齐抓共管，将电力安全生产的网格织牢织密。

为什么黑客想要毁掉工业4.0

这个世界有这么一群人，也在密切关注工业4.0。只不过，他们的方式和你不太一样。

如果你是普通民众，那么可能你关注的是，工业4.0能给你的生活带来什么；如果你是企业家，你可能想知道，工业4.0能帮你的企业提升多少利润；如果你是政府官员，你可能在考虑，工业4.0到底应该如何规划和发展。

都是积极、有益的一面。

但这群人不一样，他们关注的，是如何毁掉工业4.0！

严格来说，他们和工业4.0并没有什么不共戴天之仇，甚至，他们比你还热爱工业4.0，希望工业4.0时代早点到来。

他们想毁掉工业4.0的原因，只有一个，因为他们是黑客。

是的，实际上不只是工业的4.0时代，当工业和网络刚刚产生交集的时候，这群“地下幽灵”就已经盯上了它。

只不过，最近几年，当工业的智能化、网络化、信息化趋势越来越明显，他们毁掉工业的欲望和决心也越发强烈。

毁掉它，对黑客有什么好处？

天下熙攘，皆为利来，好处自然只有一个，利益。

随便翻翻最近几年的一些经典案例，就能知道，相比普通的消费网络领域，搞定一个工业控制系统或者工业控制网络，能给黑客带来多大的利益。

2015年以前，在网络安全圈流传最广的例子，当属2010年“震网”病毒干掉伊朗核电站事件。

迄今为止，它是谁研制的，怎么潜入伊朗核电站等问题，仍在困扰军事战略家、信息安全专家以及公众。

目前可以肯定的是，它确实在2010年7月，攻击了伊朗的纳坦兹铀浓缩工厂，侵入了控制离心机的主机，改变了离心机转速，导致工厂约1/5的离心机瘫痪报废。

（时任伊朗总统内贾德视察核设施，红圈内的红点表示有两台离心机已经损坏）

他说，以色列迪莫纳核基地和美国能源部下属的国家实验室用了两年时间，联合研制了“震网”病毒，目的是给美国和以色列的敌人“制造点麻烦”。

且不论真假，至少按照大部分军事战略专家和信息安全专家的评估，它让伊朗花了两年时间恢复核计划，作用已经赶上了一次军事打击，而且效果更好，没有人员伤亡，也没有发生战争。

前面说“震网”是2015年以前最经典的案例，2015年以后，最经典的案例，则是去年年底和今年年初刚刚发生的乌克兰电网被黑事件。

2015圣诞前夕一直到2016年1月，乌克兰的变电站控制系统持续遭到网络攻击，至少三个区域的约140万居民失去了电力供应，大规模停电3~6个小时。

与此同时，电力部门报修的电话线路也遭到恶意软件攻击堵塞，停电+通信中断，引起了当地民众的极大恐慌。

和“震网”事件一样，谁干的，为了什么等问题还是个迷，由于没有斯诺登这样的“内部人士”爆料，乌克兰局势又不稳定，各种风言风语满天飞。

有人甚至把它和大国博弈的局势联系到一起。因为这次攻击电力系统的恶意软件“暗黑能源”，某些国家曾用它过用来攻击其他一些东欧国家。

不管是黑客的炫技或者是国家工程，至少，和“震网”一样，它也达到了破坏的目的。

工业系统这么脆弱？还是“敌人”太狡猾

在你的印象中，用来控制电力、制造、能源、水利等工业设施的系统，是不是应该固若金汤。又或者，你应该或多或少听说过，工业控制系统都有个内网隔离的做法。

是的，大部分有操守的国家，都会对关键的工业设施进行隔离，网络和信息化控制系统更是如此，不仅不和外网连接，还会进行严格的物理隔离，修上水泥墙、关入小黑屋什么的保护起来。

但即便如此，为什么核电站离心机被干掉、变电站被撂倒的事情还是会发生，黑客的技术和手法竟如此高明？

很遗憾告诉你，除去病毒编制部分要点网络和计算机技术，黑客搞定工业控制系统的其他手法，其实并没有多高明，你最多只能把它称为“敌人太狡猾”。

因为绝大多数把病毒弄进工业控制系统的手法，都来自社会工程学。

什么是社会工程学？

按照专业点的说法，叫“一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法”。

实际上，通俗一点解释，没那么高大上，就是坑蒙拐骗。

比如，关于“震网”病毒如何传播到与外网隔离的离心机控制系统上的，有一个普遍认同的说法，是控制系统主机被人插了个带病毒的U盘。

等等，带病毒的U盘？核设施管理这么严格，怎么带进去的？

最有意思的一种猜测是，攻击方在核电站工作人员的工作和生活地点，扔了好多精美的U盘，工作人员一时喜欢，捡起来带了进去。当然，U盘里的病毒经过遮掩处理，一般人是觉察不到的。

如果这个猜测有点开玩笑，那么乌克兰电力控制系统事件被挖出来的攻击手法就更能说明问题。

刨根问底之后，众多网络安全公司发现了搞定乌克兰电力系统的源头，竟来自一封电子邮件。

当时，乌克兰电力公司的下属机构和另一家公司不少人都收到一封电子邮件，标题是：“注意！2016-2025 年OEC乌克兰发展计划研讨会变更举行日期”。

邮件内容大意是：根据乌克兰法律“运营乌克兰电力市场的原则”以及“未来十年乌克兰联合能源系统的订单准备系统运营商发展计划”，经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。发展规划具体内容草案在邮件附件中。

发件人是乌克兰某国有电力公司，当然，邮箱肯定是伪造的。

但这样的邮件，对于电力系统的人来说，就和我们收到了来自支付宝或运营商的账单一样。很多人会完全放松警惕。

下载了发展规划草案附件后，是一个“老实巴交”的Excel文件，打开这个文件后，会跳出一个提示：“请注意！本文件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”

此时，大多数人估计会一边吐槽单位的办公软件这么落后，一边点击“同意”下载。

那么，恭喜你，你成功帮黑客下载了病毒。

接下来，这个下载的恶意代码会在暗地里继续下载全套的攻击软件，并帮黑客留一个后门，再往后，你也知道了，控制电力控制系统，搞破坏。

看下整个过程，和我们常见的电信诈骗有什么区别？完全没有，就是坑蒙拐骗，使出各种手段，能让你安上病毒就行。

得承认，很多工业控制系统确实很脆弱

没错，除了“敌人太狡猾”，确实在有些领域，工业控制系统存在不少漏洞，甚至在一些地方和行业“惨不忍睹”。

不说全球，单看看我们自己。

乌克兰电力系统事件后，国内网络安全公司知道创宇对全球工控设备组建进行了侦测分析，整理出了《暴露在 Internet 上的工业控制设备》的报告。

报告中侦测了交通、能源、水利等多个领域，从中发现我国有一些重要工业控制系统正处于严重的安全威胁之中。

这张图是全球及我国(含台湾地区)暴露在网络上的工业控制设备统计，可以看到，我国各种控制协议的工业控制设备中，完全暴露在外，换句话说，就是可以轻易被攻击的，多达935个。

下面还有一些具体城市的数据。

看不懂协议名称的话，看城市就好。可以看到，我国大陆地区长春、合肥、南京等城市，以及我国台湾地区的工控系统面临较大安全风险。

为什么这么惨？

其实原因大部分都是一个，不重视！

一位曾经在某能源系统科技部门担任过总监的人士告诉过《财经国家周刊》，我国的大工业大制造设备基本都在国企手里，由于体制机制等原因，大多数国企并不认为自己会成为攻击目标，给自己的工业控制系统添加安全防护系统也不是工作的首选。

也有些企业，认识到工业控制系统安全的重要性，但由于没有专业知识、人员和部门支撑，所以往往是买个防火墙装上就完事了。

更严重的是，一些企业的生产系统还在用2003年的Windows 2003系统，幸运的话还可以找到1998年发布的Windows 98系统。随便拿台外部电脑或外网设备连接一下，就能轻松搞定它。

试想下，如果这些设备被控制，轨道交通被人控制，电力被人切断，水坝开合被人操纵，那是多么可怕的场景和后果。

工业控制系统这么重要，怎么办？

当然不能坐以待毙。

对于工业企业来说，最要紧的事情自然是提高工业控制系统的安全意识，有漏洞查漏洞，有问题解决问题，赶紧加强针对性的防护措施。

这里需要注意的是，和其他领域的网络安全防护一样，工业控制系统的安全防护也是一个系统性工程，要引入整体和全周期的防护理念和措施，不能再延续过去的旧思维，买个防火墙装上了事。

至于黑客玩社会工程学，坑蒙拐骗渗透传播病毒，没什么别的办法，只能加强关键领域、部门和设施工作人员的安全防护意识，脑子里多根弦，同时制定严格的管理制度和权责要求。

对于国家来说，要做的事情就更多了。

首先机制上就有很多工作可以做，比如建立一个国家在关键基础设施和重要系统遭受大规模高强度攻击时的响应机制及协调机构，同时组建以工业企业、信息网络、公共安全为主的应急联动机制，制定应急响应处理办法。

再比如做好威胁情报研究。各方联动，形成合力，提供更有价值的威胁情报信息，建立更有实用性的威胁情报库，为政府机构、安全厂商、企事业用户提供更好的支持。

除了机制上的事情，技术上也有一些办法。

最要紧的是做好整个防护体系的“供应链”安全。特别是在国家工业领域一些关键基础设施和重要信息系统新建项目上，必须要强化项目规划和设计阶段的信息安全风险评估，引入第三方安全机构或服务商对技术实施方案和产品供应链进行审查。

更靠谱的办法是整体考虑工业控制系统安全体系，从涉及国计民生的关键基础设施入手，加大投资力度，大力发展具有自主知识产权的安全防护技术和产品。

也就是用我国自己的安全工控系统，替换掉进口产品。不过，和芯片、操作系统一样，因为起步太晚，我国的工控系统技术成熟度不够，所以自主研发这条路只能一步步来，急也没用。

闪电真的可以保护电网免造黑客入侵吗？

一项新的研究表明，有一天，来自遥远风暴的信号和闪电可能有助于防止黑客破坏变电站和其他关键基础设施。通过使用独立的监控系统，安全人员可以分析变电站组件发送的电磁信号，以确定黑客是否在利用远程设备篡改开关和变压器。

数千英里外的闪电信号将对这些信号进行身份验证，以防止恶意用户向系统中注入虚假监控信息。研究人员对两家电力公司的变电站进行了测试，并进行了大规模的建模和仿真。他们在2019年圣地亚哥网络和分布式系统安全研讨会上讨论了这项技术，即基于频率的分布式入侵检测系统。佐治亚理工学院电气与计算机工程学院教授、联合创始人拉希姆•拜亚说：“我们应该能够远程检测到任何改变核电站部件周围磁场的攻击。我们正在利用一种物理现象来确定变电站是否发生了什么事情。”

2015年的袭击

打开变电站断路器，导致电网停电是一种潜在的电网攻击。2015年12月，袭击者利用这项技术切断了乌克兰23万人的电力供应。攻击者打开30个变电站的断路器，然后侵入监控系统，使电网运营商认为系统运行正常。更糟糕的是，他们还攻击了呼叫中心，阻止客户告诉运营商发生了什么。

“电网的规模如此之大，很难保证其安全，”由于这些电源连接，黑客在许多地方都有机会。这就是为什么我们需要一种独立的方法来知道网格中发生了什么。”这种独立的方法将使用位于变电站内或附近的天线来检测设备产生的唯一射频，即“侧信道信号”。监测设备将独立于目前使用的监测和控制系统运行。“当电网不可靠时，我们可以使用射频（RF）接收器来确定脉冲是否以‘开’操作的形式出现。该系统的工作频率为60赫兹，几乎没有其他系统在运行，因此我们可以确定我们正在监测什么。”