2015年乌克兰电网黑客攻击事件
The 2015 Ukraine Power Grid Cyber-Induced Blackout
第一幕:黑暗降临
2015年12月23日,圣诞前夜
乌克兰西部,家家户户正在准备过节。窗外是寒冬的夜色,屋内是温暖的灯光。
下午3:35,灯灭了。
不是一户,不是一栋楼——是整个地区。
22.5万用户,在一个寒冷的冬夜,瞬间陷入黑暗。
这不是设备老化,不是线路故障,不是自然灾害。
这是人类历史上第一次被公开证实的、由网络攻击直接导致的大规模停电事件。一场精心策划了半年的数字入侵,在30分钟内,同时击溃了三家独立的配电公司。
- 发生时间
2015年12月23日
- 影响范围
乌克兰三家区域配电公司服务区(基辅州、伊万诺-弗兰科夫斯克州、切尔诺夫策州等西部地区)
- 影响人数
约 22.5万用户
- 停电时长
约 6小时(不同地区恢复时间不同)
- 损失容量
超过130MW,至少 27座变电站离线
- 历史地位
全球首例公开证实的网络攻击致大规模停电事故
第二幕:一封邮件的代价
"这么一场惊天动地的攻击,它的起点竟然是一个我们每个人都可能遇到的东西——一封电子邮件。"
故事的开端,平淡得不可思议。
2015年春天,乌克兰6家区域配电公司的员工收到了一封看起来很普通的邮件。发件人伪装成能源部,附件是一份Word文档。文档打开后提示"请启用宏以查看完整内容"。
就这么一次点击——咔哒——入侵的大门就此敞开。
一个名为 BlackEnergy3 的恶意软件被悄无声息地植入。攻击者获得了一把"万能钥匙",在电力公司的网络里拥有了一个远程操控的立足点。
六个月的潜伏
但攻击者并没有马上动手。恰恰相反,他们展现出了令人不寒而栗的耐心。
整整六个月,他们像幽灵一样在电力公司的网络内部活动:
| 阶段 | 攻击者的行动 |
|---|---|
| 入侵初期 | 通过钓鱼邮件植入 BlackEnergy3,获取初始立足点 |
| 横向渗透 | 窃取员工账户凭证,提升权限,绘制内部网络地图 |
| 纵深推进 | 从办公网络(IT)一路渗透到工业控制网络(OT/ICS) |
| 攻击准备 | 识别 VPN 通道、远程管理工具、RTU 网关等关键节点,制定同步攻击计划 |
从最外面的办公网,一层一层地绕过安保系统,最终渗透到了可以直接操作电网断路器的核心控制层。
而在这六个月里,没有人发现他们。
第三幕:幽灵鼠标
这一幕,是整个事件中最令人后背发凉的时刻
经过半年的准备,攻击者选定了他们的时刻。
想象你就是那个电网的操作员——坐在控制台前,屏幕上显示着正常运行的电网数据。
然后,你发现鼠标自己动了。
它不受你控制,像有一只看不见的手在操作。那个"幽灵鼠标"开始精准地点击屏幕上的按钮——一个接一个地拉开断路器。
你拼命地想夺回控制权,但什么都做不了。只能眼睁睁地看着。
30分钟的噩梦
| 时间 | 发生了什么 |
|---|---|
| 约15:35 | Kyivoblenergo(基辅州区域配电公司)首先报告异常,7座110kV变电站和23座35kV变电站相继离线 |
| 30分钟内 | 三家配电公司先后遭到同步攻击,断路器被远程逐一拉开 |
| 同一时间 | 呼叫中心遭受电话轰炸(TDoS),成千上万个骚扰电话涌入,真正停电的用户打不进电话 |
| 攻击末段 | KillDisk 恶意软件擦除硬盘数据和操作系统,串口转以太网设备固件被恶意覆写,部分 UPS 被远程断开 |
| 数小时后 | 电力陆续恢复,但只能依靠工人手动逐站合闸,远程控制能力已被彻底摧毁 |
这不是病毒自动搞的破坏。是攻击者像真正的操作员一样,亲手在系统上拉开了断路器。
而在拉闸的同时,他们还执行了"焦土战术":
- 摧毁设备固件——让通信设备变砖,阻止远程恢复
- 擦除硬盘数据——掩盖行踪,同时瘫痪管理系统
- 电话轰炸——在物理世界一片黑暗的同时,信息世界也陷入混乱
一场多维度、高度同步的教科书级网络攻击。
次生影响
- 恢复被显著拖慢:设备固件损坏、数据被擦除,恢复与取证难度大幅提高
- 态势感知瘫痪:电话拒绝服务使故障定位只能依靠人工排查
- 系统长期受限:即使恢复送电,系统仍需在受限工况下运行
- 公众信任崩塌:乌克兰多地出现应急物资抢购,电网运营商信誉严重受损
第四幕:为什么会发生
"攻击之所以能成功,是因为它一步步利用了一连串本可以堵上的漏洞。"
这不是一次偶发事故。这是电力数字化与网络安全治理长期失衡后的必然结果。
直接原因
- 钓鱼邮件突破人员防线:鱼叉式钓鱼 + 恶意 Office 附件,窃取合法凭证
- 远程通道被反向利用:VPN、远程管理工具成为攻击者进入 ICS 的高速公路
- 多手段叠加放大破坏:拉闸 + KillDisk + 固件破坏 + UPS 断连 + 电话轰炸
深层原因
- 供电能力被人为切除:攻击者远程操控断路器,多个供电点同时被切离,局部区域供电能力骤降
- 供需在空间上突发失衡:这不是发电不足,而是"有电送不出、负荷接不上"
- 恢复阶段弹性不足:远程控制功能受损后被迫转入人工操作,恢复速度严重下降
- IT/OT 边界防护不足:攻击者从业务网一路横向进入 ICS 环境
- 远程接入认证薄弱:缺乏多因素认证、最小权限控制
- 二次系统韧性不足:控制主机和通信设备被破坏后无法保持可控、可观、可恢复
- 固件无安全校验:设备固件未做数字签名,攻击者可直接上传恶意固件
- 6个月潜伏未被发现:异常行为发现和威胁狩猎能力严重不足
- 安全培训缺失:员工对钓鱼邮件识别和凭证保护意识薄弱
- 应急演练不完善:面对协同式网络攻击,手动接管和恢复流程准备不足
- 报修渠道单一:仅依赖电话客服,TDoS 即可瘫痪整个报障体系
结构性问题
这起事件揭示的不只是单点漏洞,而是系统性风险:
- 业务网与控制网耦合过深——攻击者能从 IT 一路走到 ICS
- 远程接入便利性优先于安全性——效率工具变成了入侵通道
- SCADA 集中控制依赖高、人工回退准备不足——失去自动化即失去恢复能力
- 检测与取证体系薄弱——攻击者可长期潜伏并擦除痕迹
- APT 级威胁防范不足——组织层面缺乏对高级持续性威胁的预警能力
电力系统安全分析视角
| 知识点 | 在本事故中的体现 |
|---|---|
| 安全边界与运行风险辨识 | 信息系统和控制系统一旦失陷,系统的可控性、可观测性和可操作性同样会成为决定运行安全的关键约束 |
| 二次系统与一次系统耦合 | 事件从二次系统(SCADA/HMI)发起,最终表现为一次系统(断路器)异常动作和大范围失电 |
| 调度控制链路安全 | 控制命令链路被劫持后,断路器可被远程分闸,调度终端一旦失守即直接影响运行安全 |
| 事故处置与应急控制 | 自动化控制受损时,人工接管、应急操作和分步恢复能力成为最后的安全支撑 |
| 系统韧性与恢复能力 | 多重破坏叠加使恢复显著变慢,即使送电恢复,系统仍长期处于受限运行 |
| 网络攻击下的电力安全新形态 | "网络入侵→控制失效→物理停电"完整链条首次被公开呈现 |
第五幕:从黑暗中觉醒
"这不仅仅是一次攻击,更像是一份公开的教科书。问题是——我们学到了吗?"
防御不是靠一个工具,而是一个体系
从这次事件中,安全界提炼出了四层防御框架:
- 架构隔离:办公网络与工业控制网络必须严格隔离
- 被动防御:所有远程访问强制双因素认证,最小权限原则
- 主动防御:7×24小时网络行为监测,识别异常(如非维护时间的固件更新)
- 应急预案:反复演练,确保系统被攻陷后能立即切换到手动操作恢复供电
关键启示
攻击链条上的每一个环节,防御者都有机会发现并切断它。攻击之所以成功,是因为一连串本可以堵上的漏洞被逐一利用。BlackEnergy 和 KillDisk 只是工具——核心在于攻击者获得了对系统的直接控制权。
乌克兰的改革
这次攻击之后,乌克兰及国际社会的网络安全治理明显提速:
| 时间 | 改革举措 |
|---|---|
| 2016 | 乌克兰通过《网络安全战略》总统令,推动建立国家网络安全体系 |
| 2017 | 《网络安全基本原则法》生效,明确法律框架和主体职责 |
| 2019 | 第518号决议对关键基础设施网络防护提出通用要求 |
| 2021 | 建立组织—技术网络防护模型 |
| 2022 | 发布能源行业关键基础设施专门网络安全要求 |
| 2023 | 发布面向工控系统的网络安全方法建议,防护重心下沉到 OT/ICS 层 |
同时,电力企业在人员培训、应急演练、离线备份、分层防御等方面进行了全面升级。
尾声
"2015年的这次攻击给全世界敲响了警钟。时至今日,我们是否已经建立了足够强大的防御体系,来确保我们每天都离不开的电力系统,能够抵御下一次类似的攻击?"
"这个问题,值得我们每一个人深思。"
AI 辅助分析视频
参考资料
- CISA / ICS-CERT, Cyber-Attack Against Ukrainian Critical Infrastructure(官方通报)
- E-ISAC & SANS, Analysis of the Cyber Attack on the Ukrainian Power Grid(行业联合分析报告)
- Gaoqi Liang, Steven R. Weller, Junhua Zhao, Fengji Luo, Zhao Yang Dong, The 2015 Ukraine Blackout: Implications for False Data Injection Attacks, IEEE Transactions on Power Systems, 2017.
- U.S. Department of Energy & DHS, Assessment of Electricity Disruption Incident Response Capabilities(案例框)
- President of Ukraine, Decree No. 96/2016, On the Cybersecurity Strategy of Ukraine(官方文件)
- Verkhovna Rada of Ukraine, On the Basic Principles of Cybersecurity in Ukraine(官方法律)
- CSIRT of Ukraine, Regulatory and legal framework(官方法规汇编页,列明 2019 年第 518 号决议)
- D. E. Whitehead, K. Owens, D. Gammel and J. Smith, Ukraine cyber-induced power outage: Analysis and practical mitigation strategies, 2017 70th Annual Conference for Protective Relay Engineers (CPRE), College Station, TX, USA, 2017.
本页面由电力系统安全分析课程组(唐郁、倪雨含)编写 · 2026年