黑客入侵风力发电厂全过程
去年夏天,一个阳光明媚的日子里,美国中部广袤多风的玉米地中间,2名来自塔尔萨大学的研究人员,走进了90多米高风力涡轮机基座里又热又狭小的房间。他们要在1分钟内挑开涡轮机金属门上的梢栓式锁头,打开里面那不设防的服务器机柜。
杰森·斯塔格斯,28岁的高个儿俄克拉荷马州人,快速拔出了一根网络电缆,插入到树莓派迷你计算机上——一副扑克牌大小带WiFi天线的超小计算机。他开启了树莓派电脑,将另一根以太网电缆从该迷你计算机上牵出,连接到可编程自动化控制器上——控制涡轮机的一台微波炉大小的计算机。然后,这两人关门走人,返回到他们开来的白色厢旅车中。
斯塔格斯坐进前座,打开了他的 MacBook Pro。仰望高耸的机器,这台与田野中矗立的其他涡轮机没什么不同,其长过波音747机翼的巨大白色叶片,以令人昏昏欲睡的频率旋转着。斯塔格斯调出命令行窗口键入指令,笔记本上很快显示出一串IP地址,代表着眼前的每一台联网涡轮机。几分钟后,他键入另一条命令,他们面前的这一台涡轮机发出了类似老旧18轮大卡车刹车的暗哑摩擦声,转动变慢,最终停下。
(杰森·斯塔格斯)
我们被震惊了
过去2年,斯塔格斯和塔尔萨大学其他研究人员系统性地黑了美国多个风电场,展示出这一日益流行的美国能源生产形式中不为人知的数字漏洞。获得风力能源公司的授权后,他们对美国中部和西海岸的5家风电场进行了渗透测试,每家被测试风电场采用的硬件都来自不同的风能设备制造商。
允许他们测试的法律协议中规定,这些研究人员不能透露风电场主、进行测试的地点,以及制造涡轮机和他们攻击的其他硬件的公司信息。但在《连线》杂志采访和他们准备在8月份黑帽安全大会上做的演示中,他们将详述所发现的安全漏洞。
通过物理接触到涡轮机内部(往往不设防地矗立在开放的田野上),再花45美元买个商业计算设备,研究人员不仅对他们破门而入的单个风力涡轮机进行了一系列攻击,所有接入同一个风电场网络的其他涡轮机也没能幸免。测试结果包括致瘫涡轮机,突然触发制动以损坏涡轮机,甚至向操作员发送虚假反馈以避免破坏被检测到。
斯塔格斯称:“我们开始四处探测的时候,真的被震惊了。一把简单的杠杆锁,就是我们与风电场控制网络间的全部障碍。只要进入其中一台涡轮机,游戏结束。”
攻击中,塔尔萨大学的研究人员利用了所渗透风电场的一个首要安全问题:虽然涡轮机和控制系统与互联网只有有限的连接或根本没有接入,但它们同样缺乏身份验证或网络分隔机制,无法防止同一网络内计算机发送的有效指令。5家被测试的风电设施中,有2家加密了操作员计算机与风力涡轮机之间的连接,让其间通信更难以被假冒。但无论哪一家,研究人员都能通过将无线控制的树莓派植入仅一台涡轮机服务器机柜中,就能控制整个风电场的涡轮机网络。
“他们根本没考虑过有人可以直接撬锁,再把树莓派放进去。”斯塔格斯说。他们闯进去的涡轮机,仅仅用特容易被撬的标准5针锁,或几秒钟就能被断线钳剪断的挂锁保护。而且,虽然塔尔萨大学研究人员测试的是用WiFi从至多15米外连接他们的迷你计算机,他们指出,可以很轻易地换用另一套无线协议,比如GSM,从成百上千公里外发起攻击。
风电破坏
研究人员开发了3个概念验证攻击,展示黑客如何利用他们渗透风电场所发现的漏洞。一个名为Windshark,只是简单地向网络中其他涡轮机发送命令,禁用它们,或者反复制动急停以造成磨损和破坏。另一款恶意软件名为Windworm,更进一步:利用Telnet和FTP在可编程自动化控制器间扩散,感染整个风电场的计算机。第3款攻击工具名为Windpoison,采用了ARP缓存中毒方法,利用控制系统发现和定位网络组件的漏洞,让攻击者可以伪造涡轮机发回的信号,隐瞒遭攻击破坏的事实。
研究人员在测试中只关停了一台涡轮机,但他们的方法可轻易致瘫整个风电场,切断数百兆瓦的电力生产与输送。
风电占比比火电和核电要小,再加之要依赖气流实时涨落发电,电网运营商并不期待它们有多可靠。这意味着,即便关停一整个风电场,也不会对电网整体供电产生太大影响。
相对停止涡轮机运转,更令人担心的,是对它们的破坏。这些设备必须轻巧高效,因而往往十分脆弱。而且即使是暂时性的掉线,也会带来巨大的成本负担,因此,这些漏洞很有可能会对风电场主造成毁灭性的打击。对电网的伤害反而远没有对风电场运营者的大。
这种对风电场造成巨大损失的可能性,令风电场的拥有者面临被敲诈勒索或其他利益攫取型破坏的风险。比如近期肆虐全球的勒索软件。
逐渐浮现的目标
尽管研究人员小心避免提到被测试风电场所用设备的制造商,《连线》杂志联系了3家主流风电供应商对测试结果发表评论:通用电气(GE)、西门子歌美飒、维斯塔斯。GE和歌美飒没有回应。维斯塔斯发言人安德斯·李斯邮件回复道:“维斯塔斯非常重视网络安全,一直与客户和电网运营商合作打造产品,提升安全水平,响应不断变化的网络安全态势和持续发展的威胁。维斯塔斯的安全措施包括:物理入侵检测与报警;涡轮机、电厂和变电站层级的警报解决方案;将恶意影响隔离限制在电厂层级,防止对电网或其他风力发电厂进一步影响的缓解与控制系统。”
研究人员早已展示过风力涡轮机的漏洞——虽然只是在很小范围内。2015年,美国工业控制系统计算机应急响应小组(ICS-CERT)发布了一份关于数百台风力涡轮机的警告,涡轮机名称为 XZERES 442SR,这些设备竟然可以通过互联网公开访问与控制。但这是一种小得多的涡轮机,供住宅和小企业用户使用,叶片长约3.7米——不是塔尔萨大学研究员测试的那种巨大的百万美元级别的版本。
塔尔萨团队也没有尝试通过互联网黑进测试目标。但斯塔格斯推断,远程入侵也是有可能的——通过感染运营商的网络或涡轮机维护技师的笔记本电脑。但与非常现实的涡轮机自身稀疏散布且不设防的属性相比,其他假设性的漏洞都不值一提。核电厂难以侵入,涡轮机却颇为分散,搞定一个节点再感染整个网络要容易的多。
研究人员建议,最终,风电场运营商需要在其控制系统的内部通信中,加入身份验证措施,而不仅仅是将它们与互联网隔离。同时,更强大的锁头、围墙,以及涡轮机门上的安全摄像头,会让物理攻击艰难得多。
目前来讲,风电场供电占美国能源供应不足5%。但随着风力作为美国发电的一部分逐渐发展壮大,斯塔格斯希望他们的工作能帮助保护该电力来源,在美国人越来越多地依赖风电之前,提升风电场的网络安全意识与防护水平。
如果你是一门心思想控制别人家灯亮不亮的攻击者,风电场就成为了越来越有吸引力的攻击目标。