政企安全 委内瑞拉大规模停电事件的初步分析与思考启示
1.4 【综合研判】
联合研判组在事件跟进分析中,整合和事件相关的所有信息,并尝试与多方取得联系,但均未获得进
一步更直接的信息。委内瑞拉停电事件很容易被与 ‘‘震网事件”[12] 和 ‘‘乌克兰电网遭遇攻击停电事
件”[13] 对比看待,而后两者都是已经被多方详细分析,并充分论证为网空攻击行动。安天此前对这
两起事件都发布了详细的分析报告,但这些分析工作都是在能够部分获取到攻击载荷的情况下,基于
深入的样本分析支撑攻击过程复盘的结果。‘‘震网’’ 攻击成功后,可能出于掩盖攻击意图或其他考虑,
攻击方一度激活 USB 传播开关,使病毒样本出现一条从中东到东南亚的传播感染带,但也使攻击载
荷相对容易被获取到;乌克兰停电事件则是基于⻓期建立的僵尸网络进行活动,加之使用了易于留下
痕迹的邮件投放等手段,其在最终目标机的自毁也并不彻底,使之较为容易找到可供分析的对象与资
源。在是否存在高级网空攻击活动的分析中,依赖于采集面、环境勘察与提取、人员访谈、及第三方
威胁情报导入作为输入,以驱动分析团队依托分析工具、威胁大数据平台进行基础分析,形成研判。
对高度定向化的攻击,尤其依赖于被攻击目标防御体系的纵深性和能力留下有价值的痕迹,以及深入
的环境提取。而本事件基于目前事件特殊地缘特点限制,难以进行深入场景的提取分析,也无间接的
样本、日志、系统环境镜像和其他数据资源情报,因此该事件尚不具备是否存在网空攻击层面的基础
技术研判条件,目前仍只能从能力、动机等方面,基于相关消息进行研判。
联合研判组分析认为:
1.4.1 (一)基于委内瑞拉不稳定的社会局面,人为攻击破坏的可能性极大
鉴于委内瑞拉当前之局面,及相关国际形势,委内瑞拉基础设施崩溃及连带影响有比较明显的获益方,
客观存在实施攻击获利的动机,因此有较大的人为破坏的可能性。但从目前线索来看,除纵火行为有
更多相关信息外。关于网络攻击和电磁攻击尚无更多信息支撑。
在针对关键基础设施的攻击中,电力系统极易被当作首选目标,除了电力对现代社会运行起到关
键支撑作用,被攻击可能引起连锁反映外。电力系统高度复杂,暴露面多也是一个原因。电站、输变
电设备、线路层面均可能遭到物理、电磁和网空层面的攻击。而电力系统的空间特点则决定了,只有
电厂和关键变电站能获得相对封闭的物理空间保障。大量无人变电站和线路均处在自然开放空间之
中。而从电力系统的机理来看,局部的攻击很容易造成大面积影响。从委内瑞拉相关事件中,可以判
断出发生了多次电网解列,电网解列的可能原因是关键节点注入功率不足,导致电网潮流异常或者过
载,引发保护,局部停电到电网解列,最终就会引发大面积停电事件。
1.4.2 (二)美方有主导或参与的动机与可能性,但尚无技术层面的实证
威胁是能力和意图的乘积。从能力上看,美方具有全球最强的体系化网络攻击能力。在复杂的组织机
构、庞大的人员规模和充沛的预算保障下,美方建设了一系列大型的信号情报获取和作业的工程系统、
研发了制式化装备体系,建立支撑网空情报活动和攻击活动的框架,将情报获取、进攻作业、积极防
御等网空能力整合成整体国家能力。可参⻅安天此前系列的相关分析【14-18】。
图 7 美方 NSA/CSS 网空威胁框架与其部分工程和装备体系的映射
17
我的内容管理
展开
