工控安全年度懸案:“變壓器門”事件
責編:gltian |2020-09-27 10:29:11據Motherboard報道,今年5月特朗普政府沒收了一臺250噸重,價值300萬美元的中國產高壓變壓器,當時這臺變壓器正被運往科羅拉多州。由于未知原因,這臺被“截獲”的變壓器被帶到了新墨西哥州的桑迪亞國家實驗室。這中間到底發生了什么至今仍然是一個謎。
250噸中國變壓器在美國被“劫持”
5月1日,特朗普政府發布了令人驚訝的行政命令“確保美國大型電力系統安全”。該行政令以供應鏈安全威脅為由,將外國對手提供的關鍵設備排除在美國國家電網之外。命令要求能源部長與其他機構合作,識別來自敵對供應商(特別是中國供應商)的相關設備,禁止其進入美國的大功率電力系統。
美國能源部(DOE)被要求在150天內(9月28日前)發布有關此事的相關規則。在行政令發布后不久,發生了令人驚訝的事情——由能源部管理的聯邦公用事業西部地區電力管理局(WAPA),竟然劫持了價值近300萬美元的中國制造的變壓器,該變壓器最初打算部署在科羅拉多州的一個變電站。WAPA截獲該變壓器并將其轉移到美國能源部的一個國家實驗室,即新墨西哥州的桑迪亞國家實驗室。
另一臺在上海港口裝船的的變壓器?圖片:Motherboard
這臺重達250噸的高壓變壓器的制造商是中國江蘇華鵬變壓器有限公司(JSHP),該變壓器于2019年8月從上海運往休斯敦港。江蘇華鵬的北美代表Jim Cai向Motherboard透露,該公司計劃花費數十萬美元用一種特殊的有軌電車將變壓器運輸到位于科羅拉多州的WAPA的Ault變電站,然后由江蘇華鵬負責安裝。像所有變電站一樣,Ault變電站的主要作用是“降低”通常超過1,000伏的高壓電力,以更容易管理和更安全的方式將電力分配給家庭和企業。
但在在運送變壓器的船只抵達休斯頓港之前,WAPA告訴江蘇華鵬取消運輸和安裝變壓器的計劃,以及取消購買設備的保修(對于高度專業化,昂貴的電氣系統設備來說,廠家保修服務幾乎是必須的)。江蘇華鵬隨后將變壓器本體運輸到了桑迪亞。從那時起,WAPA和美國能源部對事件詭異的進程始終保持沉默,同時也在公用事業和工業控制系統(ICS)安全專家之間引發了困擾和擔憂。工業控制安全專家Dale Peterson稱之為“變壓器門”(transformergate)事件。
過去兩個月中,Motherboard一直在調查WAPA“劫持”自己的變壓器的可能原因以及能源部(實際上是所有人)對此事三緘其口的原因。此外Motherboard還調查了能源部是否要求另一家公司為Ault變電站建造替換變壓器。
美國能源部是否懷疑江蘇華鵬的變壓器暗藏破壞性后門武器?
一位工業控制安全專家(編者按:此人名為Joe Weiss)在5月發表了一篇頗具爭議的文章,聲稱在一家中國公司提供的高壓變壓器中發現一個隱藏的后門,能夠引起災難性事件,并警告說中國已經突破了全球OT工控網絡設備的“馬其頓防線”。該文章發布后特朗普政府如獲至寶,當月就火速發布了前文提到的總統行政令。但是當Weiss的文章中的觀點被相關新聞報道引用時,一些著名的ICS安全專家憤怒了,事實上大多數ICS專家都認為該文章缺乏證據,夸大其詞,不足為信。在安全專家們看來,這是典型的利用人們的信息不對稱制造恐慌和煽動情緒的假消息,這種事經常發生在所謂的電網威脅上。
7月初,頂級ICS安全咨詢公司Dragos的創始人兼首席執行官Robert M. Lee和美國能源部的顧問與信息安全培訓組織SANS Institute的同事一起發表了長達20頁的論文(原文鏈接在文末),駁斥了Weiss對中國變壓器存在后門的說法,認為其可信度為零,因為此人沒有提供任何實質性信息來支持其觀點,也不具備任何獲得第一手信息的條件。
該論文的作者報告說,沒有人提供任何證據來支持這種說法(中國變壓器存在后門)。“SANS ICS團隊的立場是,目前沒有足夠的信息來驗證該說法,對于被抹黑并蒙受損失的江蘇華鵬來說,目前也沒有任何可采取的措施來響應這個不實說法。”
江蘇華鵬的蔡(Cai)否認其公司設備中存在后門,但他說,他相信美國能源部懷疑中國在電網設備中“做手腳”。蔡援引2019年初的新聞報道,當時美國能源部官員談論了中國設備在電力設施中的風險。
特朗普政府已經采取了一系列行動,禁止中國技術進入美國通信基礎設施,包括一項主要針對電信技術巨頭華為的行政禁令。5月份,商務部使華為很難購買到美國制造的半導體產品。6月,美國聯邦通信委員會(Federal Communications Commission)指責華為和中興通訊(ZTE)是供應鏈威脅,并命令大多數農村電信公司盡快換掉上述兩家公司的設備。最后,美國政府的最新目標是社交應用TikTok,根據最新的報道,Tiktok可能通過與硅谷巨頭甲骨文建立的“可信賴的技術合作伙伴關系“,從而緩解了供應鏈方面的擔憂。
蔡表示,他在2019年初接到行業分析師和顧問的電話,透露美國能源部懷疑安裝在Bayonne(NJ)能源中心(該中心現在由蘇格蘭公司Ethos Energy擁有)的一臺江蘇華鵬的變壓器,與2018年12月下旬在紐約發生的“藍天”事件有關。之所以被稱為“藍天”事件,是因為這次事件中,ConEd’s Astoria變電站的變壓器發生爆炸,明亮的藍色電弧照亮了整個紐約市的天際線,引發了公眾恐慌(下圖)。
圖片:Independent
盡管“藍天”事件的事故技術細節很復雜,但是公用事業工程師澄清說,位于供電上游的Bayonne的江蘇華鵬的高壓變壓器,是不可能引發下游(Astoria)變電站變壓器爆炸的。
根據ICS咨詢公司Archer Security的電氣工程師兼高級安全顧問Richard Shiflett的說法,唯一可能發生的情況是讓Bayonne的高壓變壓器向Astoria發送異常電涌,即使這樣,引發事故的可能性也極低。他告訴Motherboard:“由于該輸出而導致電壓升高或降低的可能性不大,不會引起此類相間或者相地間故障。”
Archer Security負責人,能源行業財團EnergySec的創始人帕特里克·米勒(Patrick Miller)直言不諱地指出:“從物理學的角度來看,讓變壓器引發此類事故難度極大,成功率幾乎為零。有太多其他方法可以實施影響范圍更大的攻擊(沒有必要在變壓器上做手腳),這與中國的心態不符,中國從不是一個全面進攻的國家。”
從未公開解釋藍天事件的ConEd向Motherboard發出了一份聲明,說:“2018年12月27日,Astoria變電站中部分138 kV設備的電氣故障導致了傳輸干擾。故障的設備與變電站內的電壓監控相關。我們已經結束了審查,并且不知道對此事有任何進一步調查。”
劫持中國變壓器的原因:美國能源部是對變壓器進行逆向工程嗎?
美國曾經是高壓變壓器的主要供應商,但如今很少有(如果有的話)由美國公司在美國本土生產的高壓變壓器。一種理論認為,美國能源部將江蘇華鵬的變壓器運輸到Sandia進行分解并進行反向工程,目的是幫助美國破譯可能有助于該國奪回部分變壓器市場份額的制造方法。
大多數專家說,這不是美國工業的做事風格,即使中國出于經濟間諜目的經常從事逆向工程。Dragos的首席對手獵人Joe Slowik在一篇關于美國能源部為何劫持其變壓器的論文中寫道:“盡管美國變壓器制造業市場被淘汰,但仍可排除這(劫持中國變壓器)是經濟間諜活動。盡管偶爾會出現有關美國政府從事經濟間諜活動的報道,但消息來源多不可靠。通常此類(經濟間諜)活動與國家安全項目直接相關,而不是為了私人公司的利益。”
“我們絕對不這樣做,”工業安全公司Scythe的首席執行官,黑客會議DEF CON的ICS Village的聯合創始人布賴森·博特(Bryson Bort)告訴Motherboard:“這就是使我們與中國不同的原因。美國政府沒有進行公司間諜活動,這實際上是指責。”
能源部是否打算將中國設備用于實驗變壓器計劃?
江蘇華鵬的Jim Cai提出的一種理論是,美國能源部可能需要該變壓器來促進其在Sandia Labs 目前正在進行的混合變壓器開發計劃。該計劃旨在合并變壓器技術以提高性能和可靠性。
大多數能源專家說這是不可能的。“關于變壓器的事情是,大多數時候它們都是定制的,”阿徹的米勒說。“它們不像樂高積木,拼起來就能用。變壓器都是定制項目,否則我們可以直接到Home Depot去買變壓器。”
WAPA在哪里找到替換變壓器?
江蘇華鵬的變壓器到達美國后,無論發生什么事,最初的買家WAPA總是需要設備來幫助其科羅拉多州的Ault變電站運行。根據與能源部與江蘇華鵬的合同有關的公開文件,WAPA于2017年9月26日(即藍天事件發生前15個月)訂購了這臺變壓器,遠遠超出了特朗普針對中國供應鏈威脅的總統行政令限制。
根據公開文件,在WAPA將江蘇華鵬的變壓器運送到桑迪亞國家實驗室大約一個月后,又與德克薩斯州圣安東尼奧市的一家名為Taurean General Services的8-A公司簽訂了610萬美元的獨家合同。該合同于2019年9月25日簽署,要求為Ault變電站交付變壓器,并為另外一個名為North Cody的WAPA設施交付變壓器,為WAPA的Badwater設施交付稱為并聯電抗器的設備。該合同履行在公共記錄中的位置列為“克羅地亞”。
Taurean首席執行官兼創始人杰夫·杰伊姆(Jeff Jaime)曾是空軍的IT安全專家,主要負責軍事訂單。他告訴Motherboard,他的工作僅僅是為WAPA尋找變壓器和并聯電抗器。他不知道與江蘇華鵬合同有關的任何背景。他說:“從總體上講,收到了一般性要求后,我們會幫政府尋找符合特定技術規格的產品制造商。”
當被問及是否從克羅地亞的一家制造商那里購買了變壓器和并聯電抗器時,他說他將必須獲得WAPA的許可才能向媒體透露。當得知“克羅地亞”已經寫在公開文件上時,他說:“如果是公共記錄,則不必問我。” 克羅地亞唯一一家能夠生產高壓變壓器的制造商——KonKar的代表未回應媒體的置評請求。
美國能源部如何保守250噸的秘密?
Motherboard以各種形式向WAPA詢問了JSHP變壓器的命運及其可能的替代品。WAPA首席執行官馬克·加布里埃爾(Mark Gabriel)在一次采訪中透露,該信息是“關鍵電氣基礎設施信息”(CEII)。CEII自2020年5月30日起生效,是美國能源部的新規則,使能源部免于公開信息,因為這些信息對計劃攻擊關鍵基礎設施的人員可能有用。
與能源部不同的是,聯邦能源監管委員會(FERC)一直是獨立的監管機構,但很早以前就制定了與大電網有關的CEII規則,不過法院目前正受到公眾利益聯盟對能源部的CEII規則的質疑,認為這些規則是非法的,范圍也太廣。挑戰美國能源部規則的聯盟包括關注科學家聯盟,公民能源計劃和地球正義(Earthjustice)。這些批評家說,美國能源部超出了其法定權限,可以將幾乎所有提交給能源部的信息都指定為CEII。
DOE的挑戰者認為,從保護美國電網的目的來看,CEII有其合法作用。但他們強調說,能源部的工作是遵循FERC的藍圖,而在權衡關鍵基礎設施保護與公眾知情權方面,FERC的政治性較小,平衡性更好。環保法非營利組織Earthjustice的助理律師卡桑德拉·麥克雷(Cassandra McCrae)告訴Motherboard說:“能源部應該按照FERC制定的規定行事。”
Earthjustice清潔能源計劃的執行律師Kim Smaczniak說:“ FERC意識到,信息有非常重要的公共用途。對于美國能源部,遵循它預先設定的(非法)規則是合理的考慮,無論它是否會采取與FERC相同的方法。”
即使從公共利益的角度來看過于嚴格,但能源部的CEII規則恰恰與公用事業行業的文化相吻合,該行業長期以來一直對技術信息持壓抑態度。許多(如果不是大多數)公用事業工程師需要簽署保密協議(NDA)。
最終,美國能源部對“變壓器門”事件的沉默以及將變壓器轉移到桑迪亞實驗室的無法解釋的舉動,使美國電力行業感到困惑,同時為許多陰謀論打開了大門。但截止到今天,一切都尚未水落石出。
參考資料
250噸中國變壓器神秘失蹤:
https://www.vice.com/en_us/article/v7gaqb/the-mysterious-case-of-the-missing-250-ton-chinese-power-transformer
美國電力基礎設施供應鏈攻擊調查報告:
https://ics.sans.org/media/SANS_ICS_DUC_7_supply_chain_attacks_on_US_electric_infrastructure.pdf
特朗普總統行政令“保護美國大型電力系統安全”:
https://www.whitehouse.gov/presidential-actions/executive-order-securing-united-states-bulk-power-system/