您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
脆弱的油氣管道安全:泄露情報表明俄黑客早已鎖定加拿大油氣管道可隨時引爆
在眾多報道美國五角大樓最近情報泄露事件的中,有一份報告深入探討了加拿大某油氣管道的潛在安全漏洞。該報告詳細介紹了俄羅斯民族國家贊助的黑客組織Zarya(俄語中的“黎明”)與俄羅斯聯(lián)邦安全局之間的電子郵件往來。
Zarya聲稱已成功滲透到加拿大某管道運營商的網絡,并擁有操縱閥門壓力、禁用警報和啟動設施緊急關閉的能力。
一名FSB官員指示Zarya維持他們的網絡訪問權并保持待命狀態(tài)以等待進一步指示,預計成功的操作可能會導致配氣站發(fā)生爆炸。
根據泄露的文件,據稱FSB正在監(jiān)視加拿大新聞報道,以尋找任何跡象表明 Zarya的隱蔽入侵可能導致爆炸。泄露文件還表明,Zarya聲稱已經對管道運營商造成了足夠的損失,導致利潤損失,但堅稱他們的意圖不是對人的生命造成傷害,而是對加拿大人造成經濟損失。
負責監(jiān)督加拿大外國情報收集和網絡安全的通信安全機構 (CSE) 在一份聲明中表示,它不會對具體事件發(fā)表評論。但它補充說,它“擔心支撐工業(yè)流程的互聯(lián)網連接技術的關鍵基礎設施中斷的機會”。
據專門研究影響石油和天然氣行業(yè)的數字問題的不列顛哥倫比亞省作家兼演講者杰弗里·坎恩 (Geoffrey Cann) 稱,加拿大的能源部門經常成為網絡犯罪分子謀取經濟利益以及希望制造混亂的國家支持黑客的目標。
工業(yè)網絡安全公司Dragos北美事件響應主管Lesley Carhart表示,黑客過去曾破壞過加拿大的石油和天然氣設施,包括影響運營的勒索軟件攻擊。但他懷疑查莉婭是否有能力引發(fā)爆炸。
《環(huán)球郵報》援引加拿大天然氣協(xié)會首席執(zhí)行官的話說,他不知道這里有任何受損的天然氣配送基礎設施。
對于泄露的五角大樓文件,眾說紛紜。據引述一些專家的話說,許多看起來是真實的,但懷疑某些細節(jié)已被更改。
以下援引國際知名自動化專家Sinclair的詳細分析。
由于沒有一家加拿大管道運營商證實這些說法,并且鑒于一些泄露的文件已被俄羅斯FSB篡改,因此不確定這些說法是否屬實。因此,就目前而言,這些報告應當被視為未經證實且可能是錯誤的。
然而,這一事件是網絡物理風險可能造成的后果的一個重要例證??赡馨l(fā)生爆炸的建議尤其令人擔憂,因為過去曾提出過類似的說法,包括2008年(土耳其)、2014年(烏克蘭)和最近的2022年(烏克蘭威脅行為者)。
盡管缺乏具體證據,但網絡物理攻擊的可能性是非常真實的,特別是如果攻擊者設法滲透到控制系統(tǒng)。除了考慮攻擊的潛在后果外,針對此類提出的聲明,即使沒有實際攻擊,討論一下如何回應對也很重要。
首先,梳理一下管道自動化的一些基礎知識。這包括對油氣管道系統(tǒng)的一般架構的概述、使用的自動化功能的類型以及可以攻擊以觸發(fā)爆炸的特定目標。
圖 1-簡化的管道系統(tǒng)架構
一條管道有幾個不同的位置,一個控制整體操作的主控制中心和各種分站,截止閥站等。
■ 壓縮機站是管道系統(tǒng)的關鍵組成部分,壓縮天然氣以通過管道運輸。該站通常由一系列壓縮機組成,這些壓縮機可以增加氣體的壓力以維持其通過管道的流量。壓縮機站沿管道間隔設置,以確保氣體壓力在整個管道中保持一致,而不受地形差異(例如高度)和管道長度的影響。壓縮機站由分布式控制系統(tǒng) (DCS) 控制,并由安全儀表系統(tǒng) (SIS) 提供保護。大多數情況下,還有一個壓縮機控制系統(tǒng) (CCS),但有時DCS會獲得此功能。還有其他各種與這個故事無關的自動化功能。
■ 計量站具有測量和監(jiān)測管道中氣體流量和數量的功能??膳c壓縮機站組合使用。這種站通常由各種儀表組成,用于測量和記錄氣體流速、壓力、溫度和其他參數。從計量站收集的數據對于天然氣交易的計費和核算以及確保管道在安全高效的參數范圍內運行至關重要。有時它也用于給氣體加味,這是檢測氣體泄漏所必需的。
■ 分輸站,有時也稱為輸出站,是位于天然氣管道沿線的一個站點,天然氣在這里被分離出來,輸送到不同運營商的另一條天然氣管道,或輸送到當地的配送系統(tǒng),例如住宅或商業(yè)樓宇。輸出站通常包括計量和調節(jié)設備,以及將氣體分配到本地配送系統(tǒng)的管道。此外,這些站可能包括加味設備,以向氣體中添加加味劑。
■ 截止閥站通常是沿天然氣管道安裝截斷閥以控制管道中流量的小型站。截止閥是非常大的閥門,可以遠程控制以在緊急情況下停止或限制氣體流量。例如,如果管道發(fā)生氣體泄漏或破裂。截止閥站是天然氣管道系統(tǒng)的重要組成部分,因為它可以在緊急情況下快速關閉管道。
由于位置偏遠,管道控制系統(tǒng)通常使用集中式SCADA(監(jiān)督控制和數據采集)系統(tǒng)來監(jiān)督所有管道位置。除了SCADA系統(tǒng)之外,壓縮的本地控制是通過結合DCS(分布式控制系統(tǒng))和SIS(安全儀表系統(tǒng))功能實現的,并根據需要使用CCS(壓縮機控制系統(tǒng))進行擴展。
雖然管道控制系統(tǒng)還有許多其他關鍵系統(tǒng),例如通信系統(tǒng)、泄漏檢測系統(tǒng)、閉路電視、調度系統(tǒng)、歷史系統(tǒng)和網絡管理系統(tǒng),但本文的重點是潛在攻擊背景下的壓縮功能可能導致爆炸的情景。因此,我將目光投向了管道沿線的壓縮機站。如果FSB或Zarya想要引起爆炸,就會在這里做手腳,即這是爆炸發(fā)生的地方。
在針對壓縮機的網絡物理攻擊領域,壓力水平的變化是需要考慮的關鍵因素。壓力過高以及壓力突然下降都會導致設備嚴重損壞。在任何一種情況下,都存在對氣體失去控制的風險,最終可能導致爆炸。
為了更好地了解潛在的危險,讓我們首先分別檢查這兩種情況——高壓和突然降壓。然后我們可以結合這些場景來了解網絡物理攻擊如何可能導致爆炸。此外,重要的是要考慮天然氣管道運營商在收到即將發(fā)生的網絡攻擊通知時應如何應對。
喘振是壓縮機中發(fā)生的一種現象,當排放管路中的壓力超過壓縮機可以維持的壓力時會出現,導致通過壓縮機的流動突然逆轉。這會對壓縮機造成嚴重損壞。壓縮機的排放管線是壓縮機的一側,管道連接在下游方向從壓縮機輸送壓縮氣體。
發(fā)生喘振時,會導致壓縮機負載突然顯著增加。壓縮機將難以維持所需的壓力,并可能最終停轉,導致管道突然失去流量并增加壓力。這會嚴重損壞壓縮機和周圍設備,例如軸承、密封件和管道。此外,通過壓縮機的氣流突然反轉會導致劇烈振動,從而損壞壓縮機的內部組件。
為防止喘振,壓縮機控制通常采用喘振控制裝置,例如再循環(huán)閥(也稱為旁通閥或防喘振閥)。循環(huán)閥是閉環(huán)控制功能的一部分,持續(xù)監(jiān)控管道中氣體的壓力和流量,并根據需要調整壓縮機速度和循環(huán)閥的位置,以保持穩(wěn)定和安全的運行。這通常由壓縮機控制系統(tǒng) (CCS) 完成,但在某些情況下也可以在DCS中實現。
因此,一種可能的攻擊場景是將再循環(huán)閥保持在關閉位置,同時在壓縮機的吸入側造成壓降。如果攻擊者可以訪問控制系統(tǒng),就像Zarya聲稱的那樣,就可以通過突然關閉吸入側的截止閥來造成這種下降。截止閥的關閉速度通常受行程速率設置的限制,威脅行為者可以修改此設置以增加行程速率以更快地關閉閥門,這將增加壓降的速度。這可能足以損壞壓縮機,從而導致相當長的維修時間。
上述情況可能會引起爆炸,但每種設計都有一定的安全余量。但是這里同時發(fā)生了三種故障情況:
● 關閉中的截止閥;
● 行程速率過高的截止閥;
● 無法打開的循環(huán)閥。
過程安全隱患很可能不會分析(因此不會減輕)這種情況,因為它不太可能同時作為隨機故障發(fā)生。但在網絡物理攻擊場景中,即人為故意故障場景中,對于能夠以Zarya聲稱的級別訪問控制環(huán)境的人來說,這一切都是觸手可及的。
為了進一步增強網絡物理攻擊對壓縮機的潛在影響,可以突然增加壓力,同時關閉增壓側的截止閥,增加行程速度。由于閥門關閉,氣體壓縮時,這會導致壓力突然升高,并且在某一點,它會反向減壓。
這種加劇的情況會顯著增加損壞和失去控制的風險,最終可能導致爆炸。
因此,如果加拿大管道威脅的故事是真的,那么至少可以認定FSB官員是對的。Zarya建立的控制級別可能會導致爆炸。這并不奇怪,因為俄羅斯有許多天然氣管道和許多壓縮站,他們肯定進行了網絡物理風險分析并認識到了危險。即便如此,他們仍使用許多與“西方”國家相同的系統(tǒng)。
那么,如果您接到當地情報部門的電話,警告您即將發(fā)生網絡攻擊,該怎么辦?
在大多數情況下,第一要務是斷開與外部系統(tǒng)和網絡的連接。然而,這對于管道系統(tǒng)來說并不那么容易,因為天然氣訂單(“調度”)通過調度系統(tǒng)進入系統(tǒng),該系統(tǒng)通常依賴于電子郵件。此外,所有網絡通常都是冗余的,主控制中心 (MCC) 也是如此。很可能有一個備份控制中心 (BCC),網絡可能會使用替代網絡作為備份,例如衛(wèi)星連接甚至4G連接。此外,隔離可能意味著斷開您的安全運營中心,盡管您可能需要他們的專業(yè)知識。
第二個可能是在手動模式下部分操作,例如分站。如果分站多而人員少,這就沒那么容易了。長管道很容易有10多個分站和數百個截斷閥站。他們通常只在白天有人值守。這可能會在幾天內有所幫助,但隨后需要解決該問題。
第三是在系統(tǒng)中搜索危害指標 (IOC)。威脅行為者如何進入以及他/她如何保持訪問權限?這是一項非常復雜的任務,因為需要審查所有可能的TTP的每個網絡威脅場景。如果資產所有者在過去進行過網絡物理風險評估,將會有所幫助,因為這樣的評估將映射威脅參與者使用的各種戰(zhàn)術、技術和程序 (TTP),以應對上面討論的各種過程危害。正常情況下會有一個可用的風險登記冊,引導我們對所有TTP進行調查。專業(yè)的OT安全組織可以幫助將網絡攻擊中使用的策略、技術和程序(TTP)與與這些TTP關聯(lián)的妥協(xié)指標(IOC)聯(lián)系起來。但是,如果管道運營商沒有為此類攻擊做好充分準備,將TTP鏈接到IOC的過程可能需要相當長的時間。此外,存在IOC可能被忽視的重大風險,這可能導致進一步的損害或危害。
雖然許多管道組織已經進行了風險評估,但他們往往沒有深入研究以分析與網絡物理系統(tǒng)相關的特定風險。因此,可能無法獲得基本信息。這是需要對系統(tǒng)配置、相關參數、網絡威脅、過程危害和網絡攻擊技術有深入了解的專家。這樣的專家可以提供深入的網絡物理風險評估,這對于確保管道運營的安全和保障至關重要。
不幸的是,這樣的專家很少見。因此,如果您的管道運營商尚未進行網絡物理風險評估,則必須開始準備。過程危害和網絡危害與其TTP之間的聯(lián)系是必不可少的信息。這樣做將使您能夠更好地識別和監(jiān)控潛在的危害指標,并確定在網絡物理事件發(fā)生之前降低風險的步驟。
參考資源
1、https://industrialcyber.co/analysis/pro-russian-group-zarya-claims-hacking-a-canadian-pipeline/
2、https://www.cbc.ca/news/politics/energy-sector-target-cyberattacks-experts-1.6806300
來源:網空閑話