在众多报道美国五角大楼最近情报泄露事件的中，有一份报告深入探讨了加拿大某油气管道的潜在安全漏洞。该报告详细介绍了俄罗斯民族国家赞助的黑客组织Zarya(俄语中的“黎明”)与俄罗斯联邦安全局之间的电子邮件往来。

Zarya声称已成功渗透到加拿大某管道运营商的网络，并拥有操纵阀门压力、禁用警报和启动设施紧急关闭的能力。

一名FSB官员指示Zarya维持他们的网络访问权并保持待命状态以等待进一步指示，预计成功的操作可能会导致配气站发生爆炸。

根据泄露的文件，据称FSB正在监视加拿大新闻报道，以寻找任何迹象表明 Zarya的隐蔽入侵可能导致爆炸。泄露文件还表明，Zarya声称已经对管道运营商造成了足够的损失，导致利润损失，但坚称他们的意图不是对人的生命造成伤害，而是对加拿大人造成经济损失。

负责监督加拿大外国情报收集和网络安全的通信安全机构 (CSE) 在一份声明中表示，它不会对具体事件发表评论。但它补充说，它“担心支撑工业流程的互联网连接技术的关键基础设施中断的机会”。

据专门研究影响石油和天然气行业的数字问题的不列颠哥伦比亚省作家兼演讲者杰弗里·坎恩 (Geoffrey Cann) 称，加拿大的能源部门经常成为网络犯罪分子谋取经济利益以及希望制造混乱的国家支持黑客的目标。

工业网络安全公司Dragos北美事件响应主管Lesley Carhart表示，黑客过去曾破坏过加拿大的石油和天然气设施，包括影响运营的勒索软件攻击。但他怀疑查莉娅是否有能力引发爆炸。

《环球邮报》援引加拿大天然气协会首席执行官的话说，他不知道这里有任何受损的天然气配送基础设施。

对于泄露的五角大楼文件，众说纷纭。据引述一些专家的话说，许多看起来是真实的，但怀疑某些细节已被更改。

以下援引国际知名自动化专家Sinclair的详细分析。

由于没有一家加拿大管道运营商证实这些说法，并且鉴于一些泄露的文件已被俄罗斯FSB篡改，因此不确定这些说法是否属实。因此，就目前而言，这些报告应当被视为未经证实且可能是错误的。

然而，这一事件是网络物理风险可能造成的后果的一个重要例证。可能发生爆炸的建议尤其令人担忧，因为过去曾提出过类似的说法，包括2008年(土耳其)、2014年(乌克兰)和最近的2022年(乌克兰威胁行为者)。

尽管缺乏具体证据，但网络物理攻击的可能性是非常真实的，特别是如果攻击者设法渗透到控制系统。除了考虑攻击的潜在后果外，针对此类提出的声明，即使没有实际攻击，讨论一下如何回应对也很重要。

首先，梳理一下管道自动化的一些基础知识。这包括对油气管道系统的一般架构的概述、使用的自动化功能的类型以及可以攻击以触发爆炸的特定目标。

图 1-简化的管道系统架构

一条管道有几个不同的位置，一个控制整体操作的主控制中心和各种分站，截止阀站等。

■ 压缩机站是管道系统的关键组成部分，压缩天然气以通过管道运输。该站通常由一系列压缩机组成，这些压缩机可以增加气体的压力以维持其通过管道的流量。压缩机站沿管道间隔设置，以确保气体压力在整个管道中保持一致，而不受地形差异(例如高度)和管道长度的影响。压缩机站由分布式控制系统 (DCS) 控制，并由安全仪表系统 (SIS) 提供保护。大多数情况下，还有一个压缩机控制系统 (CCS)，但有时DCS会获得此功能。还有其他各种与这个故事无关的自动化功能。

■ 计量站具有测量和监测管道中气体流量和数量的功能。可与压缩机站组合使用。这种站通常由各种仪表组成，用于测量和记录气体流速、压力、温度和其他参数。从计量站收集的数据对于天然气交易的计费和核算以及确保管道在安全高效的参数范围内运行至关重要。有时它也用于给气体加味，这是检测气体泄漏所必需的。

■ 分输站，有时也称为输出站，是位于天然气管道沿线的一个站点，天然气在这里被分离出来，输送到不同运营商的另一条天然气管道，或输送到当地的配送系统，例如住宅或商业楼宇。输出站通常包括计量和调节设备，以及将气体分配到本地配送系统的管道。此外，这些站可能包括加味设备，以向气体中添加加味剂。

■ 截止阀站通常是沿天然气管道安装截断阀以控制管道中流量的小型站。截止阀是非常大的阀门，可以远程控制以在紧急情况下停止或限制气体流量。例如，如果管道发生气体泄漏或破裂。截止阀站是天然气管道系统的重要组成部分，因为它可以在紧急情况下快速关闭管道。

由于位置偏远，管道控制系统通常使用集中式SCADA(监督控制和数据采集)系统来监督所有管道位置。除了SCADA系统之外，压缩的本地控制是通过结合DCS(分布式控制系统)和SIS(安全仪表系统)功能实现的，并根据需要使用CCS(压缩机控制系统)进行扩展。

虽然管道控制系统还有许多其他关键系统，例如通信系统、泄漏检测系统、闭路电视、调度系统、历史系统和网络管理系统，但本文的重点是潜在攻击背景下的压缩功能可能导致爆炸的情景。因此，我将目光投向了管道沿线的压缩机站。如果FSB或Zarya想要引起爆炸，就会在这里做手脚，即这是爆炸发生的地方。

在针对压缩机的网络物理攻击领域，压力水平的变化是需要考虑的关键因素。压力过高以及压力突然下降都会导致设备严重损坏。在任何一种情况下，都存在对气体失去控制的风险，最终可能导致爆炸。

为了更好地了解潜在的危险，让我们首先分别检查这两种情况——高压和突然降压。然后我们可以结合这些场景来了解网络物理攻击如何可能导致爆炸。此外，重要的是要考虑天然气管道运营商在收到即将发生的网络攻击通知时应如何应对。

喘振是压缩机中发生的一种现象，当排放管路中的压力超过压缩机可以维持的压力时会出现，导致通过压缩机的流动突然逆转。这会对压缩机造成严重损坏。压缩机的排放管线是压缩机的一侧，管道连接在下游方向从压缩机输送压缩气体。

发生喘振时，会导致压缩机负载突然显着增加。压缩机将难以维持所需的压力，并可能最终停转，导致管道突然失去流量并增加压力。这会严重损坏压缩机和周围设备，例如轴承、密封件和管道。此外，通过压缩机的气流突然反转会导致剧烈振动，从而损坏压缩机的内部组件。

为防止喘振，压缩机控制通常采用喘振控制装置，例如再循环阀(也称为旁通阀或防喘振阀)。循环阀是闭环控制功能的一部分，持续监控管道中气体的压力和流量，并根据需要调整压缩机速度和循环阀的位置，以保持稳定和安全的运行。这通常由压缩机控制系统 (CCS) 完成，但在某些情况下也可以在DCS中实现。

因此，一种可能的攻击场景是将再循环阀保持在关闭位置，同时在压缩机的吸入侧造成压降。如果攻击者可以访问控制系统，就像Zarya声称的那样，就可以通过突然关闭吸入侧的截止阀来造成这种下降。截止阀的关闭速度通常受行程速率设置的限制，威胁行为者可以修改此设置以增加行程速率以更快地关闭阀门，这将增加压降的速度。这可能足以损坏压缩机，从而导致相当长的维修时间。

上述情况可能会引起爆炸，但每种设计都有一定的安全余量。但是这里同时发生了三种故障情况：

● 关闭中的截止阀;

● 行程速率过高的截止阀;

● 无法打开的循环阀。

过程安全隐患很可能不会分析(因此不会减轻)这种情况，因为它不太可能同时作为随机故障发生。但在网络物理攻击场景中，即人为故意故障场景中，对于能够以Zarya声称的级别访问控制环境的人来说，这一切都是触手可及的。

为了进一步增强网络物理攻击对压缩机的潜在影响，可以突然增加压力，同时关闭增压侧的截止阀，增加行程速度。由于阀门关闭，气体压缩时，这会导致压力突然升高，并且在某一点，它会反向减压。

这种加剧的情况会显着增加损坏和失去控制的风险，最终可能导致爆炸。

因此，如果加拿大管道威胁的故事是真的，那么至少可以认定FSB官员是对的。Zarya建立的控制级别可能会导致爆炸。这并不奇怪，因为俄罗斯有许多天然气管道和许多压缩站，他们肯定进行了网络物理风险分析并认识到了危险。即便如此，他们仍使用许多与“西方”国家相同的系统。

那么，如果您接到当地情报部门的电话，警告您即将发生网络攻击，该怎么办?

在大多数情况下，第一要务是断开与外部系统和网络的连接。然而，这对于管道系统来说并不那么容易，因为天然气订单(“调度”)通过调度系统进入系统，该系统通常依赖于电子邮件。此外，所有网络通常都是冗余的，主控制中心 (MCC) 也是如此。很可能有一个备份控制中心 (BCC)，网络可能会使用替代网络作为备份，例如卫星连接甚至4G连接。此外，隔离可能意味着断开您的安全运营中心，尽管您可能需要他们的专业知识。

第二个可能是在手动模式下部分操作，例如分站。如果分站多而人员少，这就没那么容易了。长管道很容易有10多个分站和数百个截断阀站。他们通常只在白天有人值守。这可能会在几天内有所帮助，但随后需要解决该问题。

第三是在系统中搜索危害指标 (IOC)。威胁行为者如何进入以及他/她如何保持访问权限?这是一项非常复杂的任务，因为需要审查所有可能的TTP的每个网络威胁场景。如果资产所有者在过去进行过网络物理风险评估，将会有所帮助，因为这样的评估将映射威胁参与者使用的各种战术、技术和程序 (TTP)，以应对上面讨论的各种过程危害。正常情况下会有一个可用的风险登记册，引导我们对所有TTP进行调查。专业的OT安全组织可以帮助将网络攻击中使用的策略、技术和程序(TTP)与与这些TTP关联的妥协指标(IOC)联系起来。但是，如果管道运营商没有为此类攻击做好充分准备，将TTP链接到IOC的过程可能需要相当长的时间。此外，存在IOC可能被忽视的重大风险，这可能导致进一步的损害或危害。

虽然许多管道组织已经进行了风险评估，但他们往往没有深入研究以分析与网络物理系统相关的特定风险。因此，可能无法获得基本信息。这是需要对系统配置、相关参数、网络威胁、过程危害和网络攻击技术有深入了解的专家。这样的专家可以提供深入的网络物理风险评估，这对于确保管道运营的安全和保障至关重要。

不幸的是，这样的专家很少见。因此，如果您的管道运营商尚未进行网络物理风险评估，则必须开始准备。过程危害和网络危害与其TTP之间的联系是必不可少的信息。这样做将使您能够更好地识别和监控潜在的危害指标，并确定在网络物理事件发生之前降低风险的步骤。

参考资源

1、https://industrialcyber.co/analysis/pro-russian-group-zarya-claims-hacking-a-canadian-pipeline/

2、https://www.cbc.ca/news/politics/energy-sector-target-cyberattacks-experts-1.6806300

来源：网空闲话