雖然這起網(wǎng)絡(luò)攻擊引發(fā)了一系列問題，但卻沒有給出明確的答案：首先，這次網(wǎng)絡(luò)攻擊的真正動(dòng)機(jī)是什么?第二，為什么一個(gè)惡意軟件能夠如此強(qiáng)大，它可以瞬間讓整個(gè)城市進(jìn)入黑暗之中，而一個(gè)小時(shí)后工廠的工人只需要打開斷路器就能修復(fù)?

對(duì)此，來(lái)自工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全公司Dragos的研究人員近日發(fā)布了一篇論文，他們?cè)谖闹兄亟?016年烏克蘭斷電的時(shí)間線，希望能為尋找上述問題的答案獲得一些啟發(fā)。在這篇題為《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中，研究團(tuán)隊(duì)梳理了惡意軟件的代碼并重新訪問了Ukrenergo的網(wǎng)絡(luò)日志。他們得出的結(jié)論是，有證據(jù)表明，黑客的意圖是造成更大強(qiáng)度的物理破壞，如果沒有幾個(gè)月也會(huì)將停電時(shí)間延長(zhǎng)到數(shù)周甚至可能危及到現(xiàn)場(chǎng)工廠工人的生命。如果是這樣的話，那么攻擊基輔電力供應(yīng)的惡意軟件將只是另外兩種惡意代碼--Stuxnet和Triton的其中一種，這兩種曾分別攻擊過(guò)伊朗和沙特阿拉伯。

然而問題的實(shí)質(zhì)則在于細(xì)節(jié)。文章作者、Dragos分析師Joe Slowik表示：“雖然這最終是一個(gè)直接的破壞性事件，但部署的工具和使用它們的順序強(qiáng)烈表明，攻擊者想要做的不僅僅是把燈關(guān)掉幾個(gè)小時(shí)。他們?cè)噲D創(chuàng)造條件，對(duì)目標(biāo)傳輸站造成物理破壞。”

更具體一點(diǎn)說(shuō)，Joe和Dragos給出的理論暗示了黑客利用Crash Override發(fā)送自動(dòng)脈沖來(lái)觸發(fā)斷路器進(jìn)而利用由西門子生產(chǎn)的Siprotec保護(hù)繼電器的一個(gè)已知漏洞。盡管在2015年發(fā)布了一個(gè)修復(fù)上述漏洞的安全補(bǔ)丁，但烏克蘭的許多電網(wǎng)站并沒有更新它們的系統(tǒng)，這就位黑客們打開了一扇門，他們只需要發(fā)出一個(gè)電脈沖就能讓安全繼電器在休眠狀態(tài)下失效。

為了搞明白這點(diǎn)，Dragos搜索了Ukrenergo的日志并將它所發(fā)現(xiàn)的信息的原始線程聯(lián)系起來(lái)。他們第一次重構(gòu)了黑客的操作方式，具體如下：首先，黑客部署了Crash Override;然后他們用它來(lái)處罰基輔北部一個(gè)電網(wǎng)站的每一個(gè)斷路器進(jìn)而導(dǎo)致大規(guī)模停電;一個(gè)小時(shí)后，他們發(fā)射了一個(gè)雨刷組件從而使發(fā)射站的電腦無(wú)法工作并阻止了對(duì)發(fā)射站數(shù)字系統(tǒng)的監(jiān)控;死后，黑客破壞了該電站的4個(gè)Siprotec保護(hù)繼電器，從而使電站容易受到危險(xiǎn)高頻率電力的影響。

事實(shí)上，這一事件并沒有持續(xù)到最后。雖然Dragos無(wú)法找到黑客計(jì)劃失敗的原因，但它懷疑黑客的某些網(wǎng)絡(luò)配置錯(cuò)誤或現(xiàn)場(chǎng)工作人員在發(fā)現(xiàn)正在休眠的Siprotec繼電器時(shí)做出的快速反應(yīng)可能是挽救局面的原因。