委内瑞拉大规模停电事件的初步分析与思考启示

安天研究院、广东省电力系统网络安全企业重点实验室联合分析发布。

说明：2019年3月7日，委内瑞拉发生大规模停电事件。安天科技集团组织研究院、安天CERT等内部力量进行跟踪研判，并于3月9日、3月10日，向国家相关主管、职能部门报送了两期研判简报；广东省电力系统网络安全企业重点实验室积极跟进分析研判，于第一时间向主管部门报送了《委内瑞拉停电事件分析》，并于3月12日通过“南方电网技术情报中心”公众号发布《“3·7”委内瑞拉大停电事件快报》。为进一步加强分析研判力量，双方决定成立联合分析研判组，继续推动该事件的持续跟进分析。基于双方已调研了解的情况和初步判断整合形成此份初步分析。

（来源：安天 ID:Antiylab）

事件概述

01

事件发生及进展

2019年3月7日傍晚（当地时间）开始，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时[1]，在委内瑞拉23个州中，一度有20个州全面停电，停电导致加拉加斯地铁无法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严重影响，手机和网络也无法正常使用。8日凌晨，加拉加斯部分地区开始恢复供电，随后其他地区电力供应也逐步恢复，但是9日中午、10日的再次停电，给人们带来巨大恐慌。长时间大范围的电力故障给委内瑞拉造成严重损失，包括连续多日停工停学，部分网站无法访问，甚至部分地区出现严重的哄抢商场超市情况[2]。此次停电是委内瑞拉自2012年以来时间最长、影响地区最广的停电。

据媒体报道，初次停电是因为南部玻利瓦尔州的一座主要水电站发生故障，这个水电站属于古里（Embalse de Guri）水电站[3]。古里水电站位于奥里诺科河卡罗尼河口上游约100公里的Necuima峡谷处，一期建设于1963年，二期建设于1976年。水电站大坝高约162米，长度为7426米，总蓄水容量达1350亿立方米。水电站共计装设21台水轮机组共计10235MW，分别为：10×730MW，4×180MW，3×400MW，3×225MW，年发电量约为47,000GWh,约占委内瑞拉用电量的近四成。古里水电站外观及地理位置如图1所示。

02

委内瑞拉政府反应

事件发生后，委内瑞拉政府立刻组织人力调拨资源全力恢复，与此同时，总统马杜罗指出，大规模停电 “是美国方面的攻击行为造成的”。3月11日晚，马杜罗表示，对该国电力系统发起的攻击分为三个阶段，包括网络攻击、电磁攻击、燃烧爆炸。3月12日，马杜罗在一次电视直播的活动中再次透露[4]，攻击是在五角大楼的命令下由美军南方司令部直接执行的。同时，马杜罗请求俄罗斯、中国、伊朗和古巴协助调查。

较早前，委内瑞拉新闻通讯部长罗德里格斯曾表示，马杜罗政府计划将证据提交给联合国人权事务高级专员。委国防部长称，军方已在该国的电力线上引入了空中监视系统。委军方还计划进行旨在保护电力系统的军事演习[5]。

01

委内瑞拉电力系统现状

委内瑞拉全国发电量约为117,000GWh，其中水电占64％，天然气发电占19％，石油发电占17％[6]。水力发电集中在瓜亚纳地区的卡罗尼河上，位于该国东部，共有4座水电站，其余分别是古里（Embalse de Guri）水电站、卡鲁阿奇（Caruachi）水电站、马卡瓜（Macagua）水电站、卡罗尼（Caroní）水电站。其中，最大的古里水电站位列世界第四大水电站[7]。因水力发电厂所发出的电力电压较低，要输送给距离较远的用户，就必须将电压经过变压器增高，再由空架输电线路输送到用户集中区的变电所，最后降低为适合家庭用户、工厂用电设备的电压，并由配电线输送到各个工厂及家庭。EDELCA公司是委内瑞拉国内最大的一家电力公司，公司目前拥有两个已投产水电厂，即古里电厂和马卡瓜电厂，EDELCA公司两厂各机组电力外送示意图如图3所示。

委内瑞拉自主工业体系相对薄弱，在发电机组、高压输变电等设备上基本依赖进口，在较长一段历史时期，其供应商和承包商均为欧美电器巨头。如委内瑞拉中央电厂共有6个机组，1、2号机组建成于上世纪70年代，均为40万千瓦，是引进意大利与德国的设备；3、4、5号机组建于上世纪80年代初，是德国与日本的设备,彼时单体40万千瓦的装机容量均属世界领先技术。但随着设备的老化，目前这5个发电机组均已退役。近几年，中国公司开始参与到委内瑞拉重要电力基础设施的建设工作中，包括发电厂的升级改造、新建大型水利和火力发电厂，承担输变电工程建设等。委内瑞拉中央电厂6号机组发电项目，由中国机械设备工程股份有限公司（CMEC）于2016年完成，装机容量60万千瓦，能为委内瑞拉全国电网提供约3%的发电量[9]。

由于主力发电能力分布在东部地区，委内瑞拉主网电力流呈现“东电西送”格局。从图4委内瑞拉主网架结构可以看出，委内瑞拉输电网由765kV、400kV、230kV三个电压等级构成，其中古里水电站输送给负荷中心的电力是通过765kV和400kV输送的。

02

委内瑞拉的电力安全运维能力

关于委内瑞拉在电力系统安全运维能力上缺少足够的资料分析。从目前了解的有限信息来看，其运维能力和人员水平和我国相比，相对偏弱。但从少量公开资料来看，委内瑞拉电力相关产品选型和工程实施的标准起点，基本向欧美标准靠拢，其起点并不低，部分要求甚至高于我国。表1是委内瑞拉变电站系统相关建设要求与我国的对比。不过需要指出的是，绝大多数国家电力安全运维的措施，都是从应对事故的角度所建立，而这些措施对于应对物理攻击和破坏是远远不够的。

01

委内瑞拉政府方面宣布遭遇三个阶段攻击

3月11日晚，马杜罗表示电力系统遭遇了三阶段攻击。第一阶段是发动网络攻击，主要针对西蒙·玻利瓦尔水电站，即国家电力公司（CORPOELEC）位于玻利瓦尔州（南部）古里水电站的计算机系统中枢，以及连接到加拉加斯（首都）控制中枢发动网络攻击。第二阶段是发动电磁攻击，“通过移动设备中断和逆转恢复过程”。第三阶段是“通过燃烧和爆炸”对Alto Prado变电站（米兰达州）进行破坏，进一步瘫痪了加拉加斯的所有电力。随后，马杜罗3月12日在一次电视直播的活动中再次透露，攻击来自休斯顿和芝加哥，是在五角大楼的命令下由美军南方司令部直接执行。马杜罗没有公布上述指控的证据，称已下令设立了一个总统特别调查委员会对网络攻击事件展开调查，并请求俄罗斯、中国、伊朗和古巴协助调查。较早前委内瑞拉新闻通讯部长罗德里格斯曾表示，马杜罗政府计划将“美国参与停电”的证据提交给12日到访的联合国人权事务高级专员米歇尔·巴切莱特。

同时在3月11日，委内瑞拉方面宣布，已经逮捕两名纵火破坏电力系统嫌疑人。

02

反对派声称火灾导致停电

委内瑞拉反对派领导人胡安·瓜伊多表示，根据委内瑞拉Corpoelec输电公司内部人员透露，当地时间7日16:42分左右，古里水电站送出线路路径发生火灾，导致联络Guri~Malena~SanGerónimoB变电站三回765kV线路跳闸。值得注意的是，委内瑞拉765kV的线路是国家输电主干线，负责该国85%的电力传输。由于三回765kV跳闸，SanGerónimoB国家中心失去电源，该站全站失电导致送入国家负荷中心的主干线也全部失电。该中心站系统接线图如图6所示[11]。

03

技术人员分析恢复系统困难重重

本次大停电事故发展演化过程暂不明确。但是，据后续媒体报道，由于送出线路跳闸，送端古里水电站15、17、19三台机组被切除，水电站12号机组因系统频率超过62Hz被切除。随后，周边卡鲁阿奇水电站1号、4号机组，以及马卡瓜水电站全部机组也受到影响，陆续被切机。

委内瑞拉工程师MiguelLara解释长时间停电原因时称，恢复古里电力系统的操作很复杂，为了投入使用Guri~ Malena~SanGerónimo三回765kV线路，要求三座变电站具备合格的操作人员，但是该国电力系统发展滞后十年，并未有过预案处理经验，缺乏合格的操作人员，使得很难在48小时内解决复电问题。据报道，该国试图通过400kV网架重新构建电力系统，但是也失败了，导致3月9日第二次全国范围内大停电。该国输电专家米格尔拉拉说：大停电最大的问题是电力传输，即使他们在古里水电站发出电力，如果没有765kV系统，他们也无法把它送出，该国负荷中心85%的电力依靠这条输电线路。

综合研判

联合研判组在事件跟进分析中，整合和事件相关的所有信息，并尝试与多方取得联系，但均未获得进一步更直接的信息。

委内瑞拉停电事件很容易被与“震网事件”[12]和“乌克兰电网遭遇攻击停电事件”[13]对比看待，而后两者都是已经被多方详细分析，并充分论证为网空攻击行动。安天此前对这两起事件都发布了详细的分析报告，但这些分析工作都是在能够部分获取到攻击载荷的情况下，基于深入的样本分析支撑攻击过程复盘的结果。“震网”攻击成功后，可能出于掩盖攻击意图或其他考虑，攻击方一度激活USB传播开关，使病毒样本出现一条从中东到东南亚的传播感染带，但也使攻击载荷相对容易被获取到；乌克兰停电事件则是基于长期建立的僵尸网络进行活动，加之使用了易于留下痕迹的邮件投放等手段，其在最终目标机的自毁也并不彻底，使之较为容易找到可供分析的对象与资源。

在是否存在高级网空攻击活动的分析中，依赖于采集面、环境勘察与提取、人员访谈、及第三方威胁情报导入作为输入，以驱动分析团队依托分析工具、威胁大数据平台进行基础分析，形成研判。对高度定向化的攻击，尤其依赖于被攻击目标防御体系的纵深性和能力留下有价值的痕迹，以及深入的环境提取。

而本事件基于目前事件特殊地缘特点限制，难以进行深入场景的提取分析，也无间接的样本、日志、系统环境镜像和其他数据资源情报，因此该事件尚不具备是否存在网空攻击层面的基础技术研判条件，目前仍只能从能力、动机等方面，基于相关消息进行研判。

联合研判组分析认为：

01

基于委内瑞拉不稳定的社会局面，人为攻击破坏的可能性极大

鉴于委内瑞拉当前之局面，及相关国际形势，委内瑞拉基础设施崩溃及连带影响有比较明显的获益方，客观存在实施攻击获利的动机，因此有较大的人为破坏的可能性。但从目前线索来看，除纵火行为有更多相关信息外。关于网络攻击和电磁攻击尚无更多信息支撑。