当电网遭遇APT：我们用"智能数字沙盘"推演了一场没有硝烟的战争（上）

2022年4月8日，乌克兰战场硝烟未散。

在导弹和无人机对电力设施发起物理打击的同时，一个名为Sandworm的APT组织悄然部署了Industroyer2恶意软件——它精确瞄准了乌克兰一座为200万人供电的高压变电站。恶意代码试图操纵IEC 60870-5-104（IEC 104）协议通信报文，直接向变电站保护装置发送跳闸指令。

这是有记录以来，网络武器第一次在热战中与导弹协同使用。

乌克兰CERT和ESET的研究员在攻击执行前数小时发现了异常，阻止了这场灾难。但所有人都清楚——这只是一次侥幸。

一、不再是理论威胁——2022年以来的四场“实战”

蛇矛实验室长期跟踪全球关键基础设施安全事件，持续收集和分析公开的APT技术报告、漏洞情报和事件响应通报。跟踪过去三年，我们在开源情报中捕捉到一个明确的趋势转向：网络攻击对关键基础设施的影响，正在从“信息窃取”全面转向“物理破坏”。

以下四起事件，是我们在日常情报研判中重点追踪和建模复盘的典型案例。

Industroyer2：网络武器与导弹的协同打击（2022）

2022年4月，俄罗斯GRU的沙虫在导弹袭击的掩体防护下，部署了Industroyer2恶意软件。与2016年的前代版本不同，Industroyer2大幅缩减——攻击者只保留了IEC 104协议模块，将所有参数硬编码为针对目标组织的精确打击指令。

这意味着攻击者在部署前，已经对目标电网完成了长达数月的全面情报探测——拓扑结构、保护装置模型、通信协议参数，全部掌握。更致命的是，Industroyer2配置了CaddyWiper数据布局工具。计划分两步走：第一步，通过工控协议切断供电；第二步，抹掉所有SCADA和工程师的网络，让电力公司无法远程——时间可能从数小时级延长到数周。

丹麦能源部门：22家公司同时沦陷（2023）

2023年5月，丹麦关键基础设施安全中心SektorCERT披露：22家丹麦能源公司在同一时间窗口内遭到入侵。攻击者利用Zyxel防火墙的多个零日漏洞穿透边界防护。

SektorCERT在其详尽的事件分析报告中指出，这是丹麦关键基础设施遭受的最大规模网络攻击。攻击者表现出对丹麦能源部门网络架构的详细了解——准确选择了攻击时机、目标和路径。

部分公司完全失去了对本地网络的控制权，被迫切断互联网进入“孤岛模式”运行。

FrostyGoop：Modbus指令冻结一座城市（2024）

2024年1月，乌克兰西部城市利沃夫（Lviv），室外温度降至零下。一个区域供暖公司的工控系统遭到网络攻击——攻击者使用了一种被安全厂商Dragos命名为“FrostyGoop”的新型ICS恶意软件。

FrostyGoop的攻击手段精准：它直接通过Modbus TCP协议（502端口）与供暖系统的ENCO控制器通信，发送恶意指令篡改控制参数。攻击导致约600栋居民楼的集中供暖中断近48小时——在零下的严寒中，这不仅仅是一次网络攻击，更是一次对居民生命安全的直接威胁。

Dragos在2024年7月发布的分析报告中指出，FrostyGoop是首个已知的直接利用Modbus协议实施破坏的ICS恶意软件。这意味着，全球范围内数以万计使用Modbus协议且缺乏认证机制的工控设备，都可能面临类似的攻击威胁。

Predatory Sparrow：网络攻击引发工厂火灾（2022）

2022年6月，Predatory Sparrow组织对伊朗三家钢铁厂发起网络攻击，并上传了工厂内部监控视频：一台钢包在线浇铸系统在网络操纵下失控，喷洒出的钢水引发火灾。工人们在警报声中逃离。

后续分析揭示，攻击者的复杂程度表明攻击者进行了长期的情报准备——完整绘制工控拓扑，深入研究PLC控制逻辑，精确掌握了物理设备的操作流程和安全边界。这不再是IT层面的入侵——攻击者的手已经伸进了物理世界。

蛇矛实验室在追踪这些事件的过程中，不止于“了解发生了什么”——我们的核心工作是将公开情报中的攻击手法拆解为可量化的技战术模型。Industroyer2的IEC 104协议操纵、丹麦事件中的Zyxel零日利用链、FrostyGoop的Modbus协议攻击、Predatory Sparrow的PLC控制逻辑篡改——每一个攻击案例都被我们转化为可在推演平台上复现和验证的结构化模型。

从开源情报分析到攻击建模，从战术拆解到推演验证——这条完整的研究链路，正是蛇矛实验室过去两年持续投入的方向。

这些事件指向一个共同的事实：网络攻击对关键基础设施的威胁，已从”理论风险”变为”已验证的武器能力”。从网络空间到物理世界的完整杀伤链，在实战中多次启动。

二、所有安全决策者都在追问的问题

每一次海外关键基础设施遭受攻击的新闻传出，国内的安全主管和决策者都在追问同样的问题：

“如果这种攻击指向我们的电网，我们能扛住吗？扛不住的话，在哪个阶段会被突破？”

这个问题之所以难以回答，是因为我们缺少合适的工具定量验证。

网络靶场擅长的是操作技能训练和单点漏洞验证——让安全人员在虚拟环境中练习攻防技术，验证特定漏洞是否可利用。这是它不可替代的价值。

但当我们需要回答的问题变成“在一个覆盖8个安全域、近100个节点的省级电网拓扑中，APT组织通过5条不同路径发起跨域攻击，每条路径的综合成功概率是多少、在哪个环节被检测的概率最高、加固哪个节点的安全投资回报比最大”——这就超出了操作训练的范畴，进入了战略推演和量化决策的领域。

这两种能力的赋能场景完全不同：

一个是让战士练好枪法的训练场，一个是让指挥官运筹帷幄的决策沙盘。两者不是替代关系，而是“沙盘规划方案→靶场训练技能→沙盘量化评估”的闭环互补。

但在国内，前者已经相当成熟，后者——面向战略决策的量化推演平台——一直是空白。

2024年，我们构建了CSSIM（Cyber Space Simulation）——网络空间攻防推演平台。据我们所知，这是国内首个基于离散事件仿真引擎、面向战略决策的网络空间攻防推演平台。

它的核心理念：计算即推演。借助AI可几分钟内推演上千种路径，输出概率分布和量化结论。

光说不练假把式。下面，让我们进入一个蛇矛实验室基于真实APT案例构建的推演场景——看看一场完整的网络战争，在“数字沙盘”上是怎么打的。

三、一场完整推演：从互联网到PLC，穿越8个安全域

以下场景由蛇矛实验室基于对Industroyer系列、BlackEnergy、Havex、FrostyGoop等电力行业APT攻击的长期跟踪研究设计。拓扑结构遵循电力行业”安全分区、网络专用、横向隔离、纵向认证”防护体系构建，覆盖生产控制大区（安全I/II区）和管理信息大区（安全III/IV区）共8个安全域、近100个网络节点、5条独立攻击路径。

场景设定

红队 — APT-ICS 攻击组织：

2名高级渗透专家 + 1名社会工程师，配备Nmap、Metasploit、Cobalt Strike及PLC专用工具集（支持S7Comm/Modbus协议交互）。初步情报只知道目标供电公司的3个互联网接入面（门户官网、缴费系统、客户服务系统）。

终极目标：穿透IT-OT边界，控制SCADA调度终端或西门子S7-400 PLC，通过工控协议发送跳闸指令实现区域断电。

蓝队 — Power-SOC 防御中心：

3名安全分析师+多名分布在各业务岗位的NPC员工（客服专员、运维工程师、涉密研究人员等），配备工控IDS/IPS、安全审计与日志分析系统、漏洞扫描器。蓝队可视范围覆盖管理信息区、生产管理区、供电区、电厂调度区、发电区共5个核心安全域。

核心目标：检测外部入侵、阻断横向移动、监控工控协议异常、保护生产控制大区完整性。

战场 — 8个安全域的完整电网拓扑：

根据电力行业“安全分区、网络专用、横向隔离、纵向认证”防护体系构建：

管理信息大区（安全III/IV区）：

• 互联网用户区：用户外部接入区
• 互联网业务区（DMZ）：门户官网、客户服务系统（Linux/Nginx）、在线缴费系统，通过DMZ区防火墙与内网隔离
• 管理信息区：OA办公自动化系统、数据库服务器（MySQL）、运维终端、域控制器、涉密研发终端

生产控制大区（安全I/II区）：

• 生产管理区（安全III区 → II区过渡）：生产管理系统（PMS）、计量自动化系统（用电信息采集）、运维通道终端
• 供电区：营销管理系统、配网自动化系统（DA）、能量管理系统（EMS）、供电区域控制与办公终端
• 电厂调度区：SCADA调度控制终端集群、实时纵向加密认证装置
• 发电区：西门子S7-400 PLC、DCS控制系统、工程师站（Step 7工程环境）、操作员站（HMI）
• 综合数据网区：跨区域数据交换路由，承载生产管理区与调度/发电区之间的纵向通信

安全域之间通过生产管理区防火墙（带深度包检测）、正反向隔离装置（管理信息大区与生产控制大区边界）、实时纵向加密认证装置（调度区与发电区纵向通道）以及多层ACL策略实现纵深隔离。

推演过程：一场关于“选择”的战术博弈

第1回合 — 战术抉择：情报优先还是火力优先？

推演开始。红队面临第一个战术决策：投入多少资源在侦察上？

红队手里只有3个已知目标——门户官网、缴费系统、客户服务系统。是对三个目标全面侦察（收集更多情报但耗费时间，且扫描流量可能暴露行踪），还是集中火力直接攻击看起来最薄弱的目标（节省回合但可能遗漏更优路径）？

红队选择了折中方案：对三个目标同时发起端口扫描和服务探测。引擎裁决——客户服务系统暴露了一个存在已知CVE漏洞的Web框架。但这次侦察行动也触发了一次关键的暗骰：蓝队的IDS是否探测到了本次扫描？

引擎独立裁决——本次推演中，IDS未能识别。红队暂时隐于迷雾之中。但换一次推演，结果可能完全不同。在CSSIM中，每一个动作都不是确定性的“通或不通”，而是概率事件——这正是推演与脚本回放的本质区别。

蓝队视角：此刻，蓝队对威胁一无所知。他们的3名安全分析师正在监控5个安全域的日常告警。战争迷雾是双向的——攻击者不知道防御者的布防细节，防御者也不知道攻击已经开始。

第2-3回合 — 立足与扩张：情报就是武器

红队利用Web漏洞突破客户服务系统后，面临第二个关键决策：立即向内网推进，还是先在这个据点上深度挖掘情报？

急于求成的攻击者会立即横移。但有经验的APT组织知道——情报决定后续所有行动的成败。红队选择先执行“数据收集”，在系统配置文件中发现了数据库连接凭据。

这个选择看似浪费了一个回合，却带来了战略级收益：凭借数据库凭据，红队不仅拿下了内网数据库，还从中提取了员工信息、内部IP段和组织架构——战争迷雾被大面积揭开。原本漆黑一片的内网拓扑，开始在红队的态势图上逐渐显现。

这正是CSSIM情报系统的设计哲学：每个数据资产都预先配置了它包含的情报类型，攻击者必须通过具体动作来”解锁”信息，而不是攻陷一台机器就自动获得全部内容。投入情报收集的回合不是浪费——它是对后续行动成功率的战略投资。

第4回合 — 隐蔽与暴露：攻防双方的同步博弈

从数据库中获取的凭据成为横向移动的钥匙。但红队再次面临战术权衡：走快速但高风险的路径，还是走缓慢但隐蔽的路径？

直接横穿生产管理区防火墙——速度快，但RDP连接可能在蓝队的安全审计日志中留下痕迹。绕道综合数据网区——更隐蔽，但路径更长，多消耗1-2个回合。

红队决定赌一把：利用运维终端的白名单权限直穿防火墙。引擎裁决——横移成功。但代价也随之而来：这次RDP连接触发了蓝队的日志关联分析。

这是整个推演的转折点。从此刻起，蓝队的”威胁狩猎”裁决被激活——蓝队的分析师开始排查异常。攻防双方进入对时间的赛跑：红队必须在蓝队完成溯源之前到达最终目标，蓝队必须在红队发起致命打击之前定位并阻断入侵。

引擎同步推演着双方的行动——红队在前进，蓝队在追踪。谁更快，谁就赢。

第5回合 — 战略迂回：正面强攻不如侧翼包抄

整个推演最关键的时刻。红队需要穿越正反向隔离装置——管理信息大区与生产控制大区之间的硬隔离边界。

CSSIM对正反向隔离装置的建模毫不留情：正向隔离只允许生产控制区向管理信息区的单向数据传输，反向隔离仅允许特定格式的报文通过。直接穿透？概率接近于零。

正面强攻是送死。红队被迫转入战略迂回——寻找这道防线的薄弱环节。通过前几个回合积累的情报，他们发现了一个关键事实：运维终端与计量自动化系统之间存在一条合法的运维连接，这条连接通过综合数据网区绕过了隔离装置的直接管控。

计量自动化系统——这个在电力企业中因业务需要同时连接管理信息网和生产控制网的”桥梁节点”，成为了红队的突破口。在其配置文件和维护日志中，红队发现了三组SCADA调度终端的登录凭据。

这是整个推演最有价值的战术发现：精心设计的纵深防御体系，被一个”方便运维”的跨域连接彻底瓦解。正反向隔离装置的技术参数再强，也挡不住一条管理疏漏造成的绕行通道。技术防线的瓦解，往往不在技术本身——而在管理和流程。

第6回合 — 终极打击：与蓝队的生死竞速

时间在流逝。蓝队已经检测到第4回合的异常RDP连接，分析师正在逐跳溯源。红队必须抢在蓝队封锁通道之前发起最终打击。

凭借SCADA凭据登录调度控制终端，红队从工程配置备份中获取了发电区PLC的完整通信参数——IP地址、S7Comm协议端口、下挂子设备拓扑。最后一步：通过综合数据网和纵向加密通道，向西门子S7-400 PLC发送跳闸指令。

此刻，蓝队的威胁狩猎也逼近了真相。引擎同时裁决两个事件：红队的PLC指令注入是否成功？蓝队的应急响应是否来得及？

红队裁决：合法SCADA凭据、S7Comm协议适配、S7-300/400默认未启用通信认证——成功概率占优。蓝队裁决：日志关联已定位到异常连接链，但从告警到确认入侵、再到执行网络隔离——响应链条需要时间。

红队快了一步。断路器跳闸。区域断电。

但如果蓝队在第4回合选择了更激进的响应策略——不是先溯源再封堵，而是在首次检测到异常时立即隔离可疑网段——结局可能完全不同。这正是推演的价值：它不只告诉你”攻击者赢了”，更告诉你”防御者在哪个决策点上失去了机会”。

但这只是N条路径中的一条

同一个场景中，我们还推演了另外4条完全不同的攻击路径：

路径B — 社会工程：向安全意识薄弱的客服人员发送钓鱼邮件。CSSIM对社工攻击的建模精确到个人属性——客服专员张丽，安全意识评分0.3、好奇心0.6，一封伪装成”电费账单异常通知”的钓鱼邮件足以诱导她点击恶意附件。这条路径的综合成功率反而最高，因为它绕开了技术防线，直接攻击了”人”这个最脆弱的环节。

路径C — 供应链+0day攻击：通过平台内置的”黑市”机制购买针对工控协议栈的0day，直接对暴露在综合数据网上的工控协议端口发起攻击，绕过基于已知签名的IDS检测。

路径D — USB摆渡攻击：伪装运维人员将恶意USB设备插入生产控制大区内的工程师站——直接绕过正反向隔离装置和所有网络层防护。Stuxnet式的攻击手法——物理介质跨越网络隔离。

路径E — 蠕虫扩散：获取初始立足点后释放蠕虫程序，引擎自动计算每一跳的传播概率和传播时延。蠕虫的高流量特征使其极易被IDS检测，但一旦传播速度超过蓝队响应速度，仍可能造成大面积瘫痪。

一千次推演才是真正的答案

一次推演给出一个故事。一千次推演给出一个概率分布。

在CSSIM中对同一场景执行蒙特卡洛模拟，得到每条路径的统计结果：

这张表才是决策者需要的东西。它清楚地告诉你：

• 最大威胁不是技术漏洞，而是社会工程（路径B成功率最高、检测率最低）
• 加固优先级：员工安全意识培训 > 运维通道权限管控 > Web应用加固
• 如果在计量自动化系统上清除存储的跨域凭据，路径A和B的最终阶段成功率下降约40%
• 如果在生产管理区加装一台工控IDS，路径A的成功率从23%降至11%

这些定量数据，驱动的是真正有投资回报率的安全投资决策。

写在最后：故事还没有结束

这篇文章讲述了一个问题（威胁已成现实）和一个故事（6回合的战术博弈）。

但你可能还想知道：

CSSIM的概率判决引擎到底是怎么“算”的？六个维度的修改因子具体长什么样？AI在推演中扮演什么角色？200+种设备模型和120+种攻防指令是怎么构建出来的？蛇矛实验室的工作方法和靶场校验流程是怎样的？

这些问题，我们在下篇中详细解答。

敬请关注蛇矛实验室公众号，下篇即将发布。

CSSIM | 网络空间攻防推演平台

国内首个基于离散事件仿真引擎的网络空间攻防推演平台

用算法替代硬件，用推演替代猜测，用数据驱动决策

关于蛇矛实验室

蛇矛实验室是一支专注于攻击建模、战术验证与攻防推演技术的安全研究团队。实验室的核心工作围绕”从开源情报到量化推演“的完整链路展开：持续跟踪全球APT活动和关键基础设施安全事件，将公开的技术分析报告拆解为可量化的攻击战术模型，并通过自主研发的CSSIM推演平台进行场景复现和防御有效性验证。

如果您从事关键基础设施安全保护、网络空间作战推演、安全策略评估，或对攻防推演技术和开源情报分析感兴趣，欢迎与我们交流。

声明：文中涉及的攻防推演场景仅用于安全研究和防御能力评估，不针对任何真实系统。文中引用的安全事件和技术细节均来自ESET、Dragos、SektorCERT、CISA等机构公开发布的安全研究报告和官方通报。