网络安全动态 ·

工控安全年度悬案:“变压器门”事件

工控安全年度悬案:“变压器门”事件 网络安全动态 第1张

据Motherboard报道,今年5月特朗普政府没收了一台250吨重,价值300万美元的中国产高压变压器,当时这台变压器正被运往科罗拉多州。由于未知原因,这台被“截获”的变压器被带到了新墨西哥州的桑迪亚国家实验室。这中间到底发生了什么至今仍然是一个谜。

250吨中国变压器在美国被“劫持”

5月1日,特朗普政府发布了令人惊讶的行政命令“确保美国大型电力系统安全”。该行政令以供应链安全威胁为由,将外国对手提供的关键设备排除在美国国家电网之外。命令要求能源部长与其他机构合作,识别来自敌对供应商(特别是中国供应商)的相关设备,禁止其进入美国的大功率电力系统。

美国能源部(DOE)被要求在150天内(9月28日前)发布有关此事的相关规则。在行政令发布后不久,发生了令人惊讶的事情——由能源部管理的联邦公用事业西部地区电力管理局(WAPA),竟然劫持了价值近300万美元的中国制造的变压器,该变压器最初打算部署在科罗拉多州的一个变电站。WAPA截获该变压器并将其转移到美国能源部的一个国家实验室,即新墨西哥州的桑迪亚国家实验室。

工控安全年度悬案:“变压器门”事件 网络安全动态 第2张

另一台在上海港口装船的的变压器 图片:Motherboard

这台重达250吨的高压变压器的制造商是中国江苏华鹏变压器有限公司(JSHP),该变压器于2019年8月从上海运往休斯敦港。江苏华鹏的北美代表Jim Cai向Motherboard透露,该公司计划花费数十万美元用一种特殊的有轨电车将变压器运输到位于科罗拉多州的WAPA的Ault变电站,然后由江苏华鹏负责安装。像所有变电站一样,Ault变电站的主要作用是“降低”通常超过1,000伏的高压电力,以更容易管理和更安全的方式将电力分配给家庭和企业。

但在在运送变压器的船只抵达休斯顿港之前,WAPA告诉江苏华鹏取消运输和安装变压器的计划,以及取消购买设备的保修(对于高度专业化,昂贵的电气系统设备来说,厂家保修服务几乎是必须的)。江苏华鹏随后将变压器本体运输到了桑迪亚。从那时起,WAPA和美国能源部对事件诡异的进程始终保持沉默,同时也在公用事业和工业控制系统(ICS)安全专家之间引发了困扰和担忧。工业控制安全专家Dale Peterson称之为“变压器门”(transformergate)事件。

过去两个月中,Motherboard一直在调查WAPA“劫持”自己的变压器的可能原因以及能源部(实际上是所有人)对此事三缄其口的原因。此外Motherboard还调查了能源部是否要求另一家公司为Ault变电站建造替换变压器。

美国能源部是否怀疑江苏华鹏的变压器暗藏破坏性后门武器?

一位工业控制安全专家(编者按:此人名为Joe Weiss)在5月发表了一篇颇具争议的文章,声称在一家中国公司提供的高压变压器中发现一个隐藏的后门,能够引起灾难性事件,并警告说中国已经突破了全球OT工控网络设备的“马其顿防线”。该文章发布后特朗普政府如获至宝,当月就火速发布了前文提到的总统行政令。但是当Weiss的文章中的观点被相关新闻报道引用时,一些著名的ICS安全专家愤怒了,事实上大多数ICS专家都认为该文章缺乏证据,夸大其词,不足为信。在安全专家们看来,这是典型的利用人们的信息不对称制造恐慌和煽动情绪的假消息,这种事经常发生在所谓的电网威胁上。

7月初,顶级ICS安全咨询公司Dragos的创始人兼首席执行官Robert M. Lee和美国能源部的顾问与信息安全培训组织SANS Institute的同事一起发表了长达20页的论文(原文链接在文末),驳斥了Weiss对中国变压器存在后门的说法,认为其可信度为零,因为此人没有提供任何实质性信息来支持其观点,也不具备任何获得第一手信息的条件。

该论文的作者报告说,没有人提供任何证据来支持这种说法(中国变压器存在后门)。“SANS ICS团队的立场是,目前没有足够的信息来验证该说法,对于被抹黑并蒙受损失的江苏华鹏来说,目前也没有任何可采取的措施来响应这个不实说法。”

江苏华鹏的蔡(Cai)否认其公司设备中存在后门,但他说,他相信美国能源部怀疑中国在电网设备中“做手脚”。蔡援引2019年初的新闻报道,当时美国能源部官员谈论了中国设备在电力设施中的风险。

特朗普政府已经采取了一系列行动,禁止中国技术进入美国通信基础设施,包括一项主要针对电信技术巨头华为的行政禁令。5月份,商务部使华为很难购买到美国制造的半导体产品。6月,美国联邦通信委员会(Federal Communications Commission)指责华为和中兴通讯(ZTE)是供应链威胁,并命令大多数农村电信公司尽快换掉上述两家公司的设备。最后,美国政府的最新目标是社交应用TikTok,根据最新的报道,Tiktok可能通过与硅谷巨头甲骨文建立的“可信赖的技术合作伙伴关系“,从而缓解了供应链方面的担忧。

蔡表示,他在2019年初接到行业分析师和顾问的电话,透露美国能源部怀疑安装在Bayonne(NJ)能源中心(该中心现在由苏格兰公司Ethos Energy拥有)的一台江苏华鹏的变压器,与2018年12月下旬在纽约发生的“蓝天”事件有关。之所以被称为“蓝天”事件,是因为这次事件中,ConEd’s Astoria变电站的变压器发生爆炸,明亮的蓝色电弧照亮了整个纽约市的天际线,引发了公众恐慌(下图)。

工控安全年度悬案:“变压器门”事件 网络安全动态 第3张

图片:Independent

尽管“蓝天”事件的事故技术细节很复杂,但是公用事业工程师澄清说,位于供电上游的Bayonne的江苏华鹏的高压变压器,是不可能引发下游(Astoria)变电站变压器爆炸的。

根据ICS咨询公司Archer Security的电气工程师兼高级安全顾问Richard Shiflett的说法,唯一可能发生的情况是让Bayonne的高压变压器向Astoria发送异常电涌,即使这样,引发事故的可能性也极低。他告诉Motherboard:“由于该输出而导致电压升高或降低的可能性不大,不会引起此类相间或者相地间故障。”

Archer Security负责人,能源行业财团EnergySec的创始人帕特里克·米勒(Patrick Miller)直言不讳地指出:“从物理学的角度来看,让变压器引发此类事故难度极大,成功率几乎为零。有太多其他方法可以实施影响范围更大的攻击(没有必要在变压器上做手脚),这与中国的心态不符,中国从不是一个全面进攻的国家。”

从未公开解释蓝天事件的ConEd向Motherboard发出了一份声明,说:“2018年12月27日,Astoria变电站中部分138 kV设备的电气故障导致了传输干扰。故障的设备与变电站内的电压监控相关。我们已经结束了审查,并且不知道对此事有任何进一步调查。”

劫持中国变压器的原因:美国能源部是对变压器进行逆向工程吗?

美国曾经是高压变压器的主要供应商,但如今很少有(如果有的话)由美国公司在美国本土生产的高压变压器。一种理论认为,美国能源部将江苏华鹏的变压器运输到Sandia进行分解并进行反向工程,目的是帮助美国破译可能有助于该国夺回部分变压器市场份额的制造方法。

大多数专家说,这不是美国工业的做事风格,即使中国出于经济间谍目的经常从事逆向工程。Dragos的首席对手猎人Joe Slowik在一篇关于美国能源部为何劫持其变压器的论文中写道:“尽管美国变压器制造业市场被淘汰,但仍可排除这(劫持中国变压器)是经济间谍活动。尽管偶尔会出现有关美国政府从事经济间谍活动的报道,但消息来源多不可靠。通常此类(经济间谍)活动与国家安全项目直接相关,而不是为了私人公司的利益。”

“我们绝对不这样做,”工业安全公司Scythe的首席执行官,黑客会议DEF CON的ICS Village的联合创始人布赖森·博特(Bryson Bort)告诉Motherboard:“这就是使我们与中国不同的原因。美国政府没有进行公司间谍活动,这实际上是指责。”

能源部是否打算将中国设备用于实验变压器计划?

江苏华鹏的Jim Cai提出的一种理论是,美国能源部可能需要该变压器来促进其在Sandia Labs 目前正在进行的混合变压器开发计划。该计划旨在合并变压器技术以提高性能和可靠性。

大多数能源专家说这是不可能的。“关于变压器的事情是,大多数时候它们都是定制的,”阿彻的米勒说。“它们不像乐高积木,拼起来就能用。变压器都是定制项目,否则我们可以直接到Home Depot去买变压器。”

WAPA在哪里找到替换变压器?

江苏华鹏的变压器到达美国后,无论发生什么事,最初的买家WAPA总是需要设备来帮助其科罗拉多州的Ault变电站运行。根据与能源部与江苏华鹏的合同有关的公开文件,WAPA于2017年9月26日(即蓝天事件发生前15个月)订购了这台变压器,远远超出了特朗普针对中国供应链威胁的总统行政令限制。

但根据公开文件,在WAPA将江苏华鹏的变压器运送到桑迪亚国家实验室大约一个月后,又与德克萨斯州圣安东尼奥市的一家名为Taurean General Services的8-A公司签订了610万美元的独家合同。该合同于2019年9月25日签署,要求为Ault变电站交付变压器,并为另外一个名为North Cody的WAPA设施交付变压器,为WAPA的Badwater设施交付称为并联电抗器的设备。该合同履行在公共记录中的位置列为“克罗地亚”。

Taurean首席执行官兼创始人杰夫·杰伊姆(Jeff Jaime)曾是空军的IT安全专家,主要负责军事订单。他告诉Motherboard,他的工作仅仅是为WAPA寻找变压器和并联电抗器。他不知道与江苏华鹏合同有关的任何背景。他说:“从总体上讲,收到了一般性要求后,我们会帮政府寻找符合特定技术规格的产品制造商。”

当被问及是否从克罗地亚的一家制造商那里购买了变压器和并联电抗器时,他说他将必须获得WAPA的许可才能向媒体透露。当得知“克罗地亚”已经写在公开文件上时,他说:“如果是公共记录,则不必问我。” 克罗地亚唯一一家能够生产高压变压器的制造商——KonKar的代表未回应媒体的置评请求。

美国能源部如何保守250吨的秘密?

Motherboard以各种形式向WAPA询问了JSHP变压器的命运及其可能的替代品。WAPA首席执行官马克·加布里埃尔(Mark Gabriel)在一次采访中透露,该信息是“关键电气基础设施信息”(CEII)。CEII自2020年5月30日起生效,是美国能源部的新规则,使能源部免于公开信息,因为这些信息对计划攻击关键基础设施的人员可能有用。

与能源部不同的是,联邦能源监管委员会(FERC)一直是独立的监管机构,但很早以前就制定了与大电网有关的CEII规则,不过法院目前正受到公众利益联盟对能源部的CEII规则的质疑,认为这些规则是非法的,范围也太广。挑战美国能源部规则的联盟包括关注科学家联盟,公民能源计划和地球正义(Earthjustice)。这些批评家说,美国能源部超出了其法定权限,可以将几乎所有提交给能源部的信息都指定为CEII。

DOE的挑战者认为,从保护美国电网的目的来看,CEII有其合法作用。但他们强调说,能源部的工作是遵循FERC的蓝图,而在权衡关键基础设施保护与公众知情权方面,FERC的政治性较小,平衡性更好。环保法非营利组织Earthjustice的助理律师卡桑德拉·麦克雷(Cassandra McCrae)告诉Motherboard说:“能源部应该按照FERC制定的规定行事。”

Earthjustice清洁能源计划的执行律师Kim Smaczniak说:“ FERC意识到,信息有非常重要的公共用途。对于美国能源部,遵循它预先设定的(非法)规则是合理的考虑,无论它是否会采取与FERC相同的方法。”

即使从公共利益的角度来看过于严格,但能源部的CEII规则恰恰与公用事业行业的文化相吻合,该行业长期以来一直对技术信息持压抑态度。许多(如果不是大多数)公用事业工程师需要签署保密协议(NDA)。

最终,美国能源部对“变压器门”事件的沉默以及将变压器转移到桑迪亚实验室的无法解释的举动,使美国电力行业感到困惑,同时为许多阴谋论打开了大门但截止到今天,一切都尚未水落石出。

参考资料

250吨中国变压器神秘失踪:

https://www.vice.com/en_us/article/v7gaqb/the-mysterious-case-of-the-missing-250-ton-chinese-power-transformer

美国电力基础设施供应链攻击调查报告:

https://ics.sans.org/media/SANS_ICS_DUC_7_supply_chain_attacks_on_US_electric_infrastructure.pdf

特朗普总统行政令“保护美国大型电力系统安全”:

https://www.whitehouse.gov/presidential-actions/executive-order-securing-united-states-bulk-power-system/

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论