从钓鱼邮件到远程拉闸:2015年乌克兰电网黑客致停电事件
From Phishing Emails to Remote Breaker Operations: The 2015 Ukraine Power Grid Cyber-Induced Blackout
- 发生时间
2015年12月23日
- 影响范围
乌克兰三家区域配电公司服务区(基辅州、伊万诺-弗兰科夫斯克州、切尔诺夫策州等西部地区)
- 影响人数
约 22.5万用户
- 停电时长
约 6小时(不同地区恢复时间不同)
- 损失容量
超过130MW
- 历史记录
被广泛视为首个被公开承认的通过网络攻击直接导致大规模电力中断的重大事故
事故概述
2015年12月23日,乌克兰电网遭遇有组织的境外黑客攻击,这是全球首例公开证实的、由网络攻击直接引发的电力系统大规模停运事故。根据美国国土安全体系通报和后续行业分析,三家公司在约30分钟内先后遭到入侵与远程操控,约22.5万用户停电,持续约6小时;至少27座变电站离线,受影响企业在恢复送电后仍需在受限工况下运行。这起事件首次把“从网络入侵到现实停电”的完整路径暴露在公众面前,标志着网络攻击已能够直接转化为电力系统的物理中断后果。
事故根源分析
直接原因
- 攻击者通过鱼叉式钓鱼邮件和恶意Office附件进入目标环境,并窃取合法凭证,形成后续入侵基础。
- 攻击者利用VPN连接、既有远程管理工具或ICS客户端软件进入控制环境,入侵SCADA/HMI操作终端,通过控制链路向变电站断路器下发分闸命令,直接导致配电侧停电。
- 攻击末段叠加了KillDisk擦除、串口转以太网设备固件破坏、UPS断连以及电话拒绝服务,干扰调度感知、客户报障与恢复操作,扩大了事件影响。
深层原因
- 配电侧供电能力被人为切除:攻击者通过远程操控变电站断路器,使多个供电点在短时间内被切离,导致局部区域供电能力骤降,大量用户负荷瞬时失供。
- 电力服务供需在空间上突发失衡:此次事故并非典型的发电不足,而是配电侧“有电送不出、负荷接不上”,表现为受攻击区域的供电服务供给突然中断,用户用电需求无法得到满足。
- 恢复阶段供电弹性不足:远程控制功能受损后,企业被迫转入人工操作,恢复速度和转供能力明显下降,使停电持续时间被进一步拉长,暴露出配电系统在异常状态下的恢复冗余不足。
- IT/OT边界防护不足:攻击者从业务网络一路横向进入ICS环境,表明企业网络之间的信任边界和隔离机制存在薄弱环节。
- 远程接入与认证管控薄弱:攻击者利用被窃取凭证,通过VPN或既有远程访问通道进入控制环境,反映出关键远程接入链路在多因素认证、最小权限控制和高风险账户防护方面存在明显不足。
- 二次控制设备与恢复链条韧性不足:攻击者不仅能够通过SCADA/HMI操作链路实施远程分闸,还对现场通信转换设备和控制主机进行破坏,表明二次系统关键节点安全加固能力不足,导致系统在受攻击后难以保持可控、可观与可恢复状态。
- 设备固件无安全校验:变电站串口转以太网等设备的固件未做数字签名验证,攻击者可直接上传恶意固件破坏设备,且厂商无法修复受损设备。
- 长期侦察未被及时发现:多份权威资料均指出,攻击者至少进行了约6个月的侦察与准备,说明异常行为发现、账户监测和威胁狩猎能力不足。
- 人员防护与安全培训不足:反映出员工在可疑邮件识别、凭证保护和日常安全操作方面的防范意识仍然不足,人员侧安全防线较为薄弱。
- 应急预案与恢复演练需要强化:事件处置过程中暴露出远程接入治理、日志留存分析、手动接管能力和恢复流程衔接等方面的问题,说明企业在面对协同式网络攻击时,应急预案、处置机制和演练准备仍不完善。
- 多渠道报修机制空白:仅依赖电话客服接收用户报修,TDoS攻击导致热线瘫痪后,运维人员无法快速定位停电区域。
事故时序
2015年春季—12月23日(渗透与准备阶段)
| 时间节点 | 事件经过 |
|---|---|
| 2015年春季 | 攻击者向6家区域配电公司员工发送伪装成能源部文件的鱼叉式钓鱼邮件,投递恶意Word/Office文档,诱导受害者启用宏,从而植入BlackEnergy3恶意程序。 |
| 随后数月 | 攻击者在受害环境内长期潜伏,窃取账户凭证、提升权限,并侦察业务网到ICS网的访问路径。 |
| 至少6个月 | 攻击者持续收集系统与设备信息,识别VPN、远程管理、RTU/网关等薄弱点,为后续同步攻击做准备。 |
2015年12月23日(停电实施与恢复阶段)
| 时间节点 | 事件经过 |
|---|---|
| 约15:35 | Kyivoblenergo(基辅州区域配电公司)首先报告异常,7座110kV变电站和23座35kV变电站相继离线;此后约30分钟内,三家区域配电公司先后出现断路器异常分闸和供电中断。 |
| 随后 | 控制环境遭受未授权远程访问,SCADA/HMI操作终端被用于执行断路器分闸操作;同时呼叫中心受到电话拒绝服务攻击,导致用户报修、故障确认与外部沟通渠道受阻;部分UPS被远程断开,串口转以太网设备固件遭到破坏。 |
| 攻击末段 | 部分操作站和服务器中的关键文件被擦除,主引导记录(MBR)遭到破坏,导致终端可用性下降,并对后续系统恢复和取证分析造成干扰。 |
| 数小时内 | 停电发生后的数小时内,受影响区域电力服务陆续恢复,但恢复过程主要依赖现场人工操作;由于远程控制和通信功能受损,恢复送电后一段时间内系统仍处于受限工况。 |
影响与后果
受影响规模
| 指标 | 数值 |
|---|---|
| 受影响人口 | 约 22.5万用户 |
| 受影响区域 | 乌克兰 3家区域配电公司服务区(配电层级) |
| 损失发电容量 | 约130MW |
| 关键系统影响 | 至少27座变电站离线;SCADA/HMI被劫持;串口转以太网设备固件受损;部分UPS被断开;呼叫中心遭受电话拒绝服务攻击 |
| 其他关键指标 | 攻击在 30分钟内波及三家配电公司;停电持续约 6小时;恢复送电后仍处于受限工况 |
次生影响
- 恢复被显著拖慢:KillDisk擦除文件和主引导记录、串口转以太网设备固件损坏,直接提高了恢复与取证难度,造成额外的设备损失。
- 客户服务与态势感知受扰:电话拒绝服务使客户无法顺畅报障,只能依靠人工排查定位故障及停电影响范围,大幅拖慢恢复进度。
- 系统运行弹性受损:关键控制与通信链路受破坏后,系统恢复过程对人工操作依赖增加,恢复后的运行方式也受到明显限制。
- 电网形象严重受损:事件引发了公众对电网安全的担忧,短期内乌克兰多地出现应急物资的抢购现象,电网运营商的公众信任度受到冲击。
乌克兰电力系统结构性问题
这不是一次偶发故障,而是电力数字化与网络安全治理失衡后暴露出的系统性风险
这起事件揭示的并不只是单点技术漏洞,而是“配电自动化持续深化”与“网络安全治理、应急恢复韧性、人员训练”之间的长期错配。
- 业务网与控制网耦合过深:攻击者能够从IT环境一路渗透到ICS,说明跨域访问治理与隔离设计不足。
- 远程接入便利性优先于安全性:VPN、既有远程管理工具和特定凭证通道提升了运维效率,但也成为高危入侵路径。
- SCADA集中控制依赖高、人工回退准备不足:一旦远程控制被劫持,企业必须回到人工操作,表明系统在失去自动化后恢复韧性有限。
- 检测、日志与取证体系薄弱:攻击者可长期潜伏并在事后擦除系统痕迹,说明持续监测、集中日志和取证留存能力不足。
- APT(Advanced Persistent Threat)级长期侦察防范不足:至少6个月的侦察准备期未被及时识别,说明组织层面对高级持续性威胁的预警、训练与联防联控能力不足。
事后改革
乌克兰及行业层面的网络安全与关键基础设施保护改革明显提速
- 人员与应急体系升级:开展全员钓鱼攻击识别培训,定期开展网络安全演练;建立针对网络攻击的专项应急预案,配套离线备份与快速恢复机制,引入分层防御的防护理念。
- 国家战略层面建制化:2016年乌克兰通过总统令生效《乌克兰网络安全战略》,推动建立国家网络安全体系,并提出组建国家网络安全协调中心。
- 法律框架明确化:2017年《乌克兰网络安全基本原则法》生效,明确了网络安全的法律与组织基础、主体职责和协同机制。
- 关键基础设施要求具体化:在乌克兰现行网络安全法规框架下,2019年第518号决议对关键基础设施的网络防护提出了通用要求,其中能源基础设施被纳入适用范围。
- 能源行业专门防护要求落地:在通用制度框架之外,乌克兰能源主管部门又于2022年发布《关键基础设施燃料—能源部门网络安全要求》,进一步细化能源关键基础设施行业的网络安全要求。
- OT/ICS防护与实施体系进一步细化:此后,乌克兰又相继建立组织—技术网络防护模型(2021),并发布面向自动化过程控制系统的网络安全方法建议(2023),将防护重点进一步下沉到OT/ICS场景、工控系统防护和事件响应实施层面。
电力系统安全分析视角
| 知识点 | 在本事故中的体现 |
|---|---|
| 安全边界与运行风险辨识 | 本次停电并不只是传统意义上的设备越限或潮流失衡问题,信息系统和控制系统一旦失陷,系统的可控性、可观测性和可操作性同样会成为决定运行安全的关键约束。 |
| 二次系统安全与一次系统运行耦合 | 事件最初发生在SCADA/HMI、远程接入链路和通信设备等二次系统,但最终表现为断路器异常分闸和大范围用户失电,二次系统风险直接传导到了电网物理运行层面。 |
| 调度控制链路安全 | 控制命令链路被异常利用后,断路器可以被远程分闸,调度终端、控制权限和命令执行链路一旦失守,就会直接影响配电系统运行安全。 |
| 事故处置与应急控制 | 停电发生后,恢复过程较大程度依赖人工分合闸和现场处置,自动化控制受损时,人工接管、应急操作和分步恢复能力就成为保障系统安全的重要支撑。 |
| 系统韧性与恢复能力 | KillDisk破坏、通信设备受损以及远程控制能力下降,使恢复送电明显变慢;即使电力逐步恢复,系统仍需在一段时间内以受限方式运行。 |
| 网络攻击下的电力安全新形态 | 这起事故把“网络入侵—控制失效—物理停电”这条链条完整地呈现出来,电力系统安全分析的对象也不再局限于物理系统本身,而是进一步扩展到信息—物理融合系统。 |
AI 辅助分析视频
参考资料
- CISA / ICS-CERT, Cyber-Attack Against Ukrainian Critical Infrastructure(官方通报)
- E-ISAC & SANS, Analysis of the Cyber Attack on the Ukrainian Power Grid(行业联合分析报告)
- Gaoqi Liang, Steven R. Weller, Junhua Zhao, Fengji Luo, Zhao Yang Dong, The 2015 Ukraine Blackout: Implications for False Data Injection Attacks, IEEE Transactions on Power Systems, 2017.
- U.S. Department of Energy & DHS, Assessment of Electricity Disruption Incident Response Capabilities(案例框)
- President of Ukraine, Decree No. 96/2016, On the Cybersecurity Strategy of Ukraine(官方文件)
- Verkhovna Rada of Ukraine, On the Basic Principles of Cybersecurity in Ukraine(官方法律)
- CSIRT of Ukraine, Regulatory and legal framework(官方法规汇编页,列明 2019 年第 518 号决议)
- D. E. Whitehead, K. Owens, D. Gammel and J. Smith, Ukraine cyber-induced power outage: Analysis and practical mitigation strategies, 2017 70th Annual Conference for Protective Relay Engineers (CPRE), College Station, TX, USA, 2017.
本页面由电力系统安全分析课程组(唐郁、倪雨含)编写 · 2026年