Un esperimento segreto nel 2007 ha dimostrato che gli hacker possono distruggere la rete elettrica in modo irreparabile, con solo un file non più grande di una normale GIF.
All’inizio di questa settimana, il Dipartimento di Giustizia degli Stati Uniti ha rilasciato un atto d’accusa contro un gruppo di hacker noto come Sandworm. Nel documento, sei hacker che presumibilmente lavoravano per l’agenzia di intelligence militare russa GRU sono stati accusati di crimini informatici legati ad attacchi informatici in tutto il mondo, dal sabotaggio delle Olimpiadi invernali del 2018 in Corea alla diffusione del malware più distruttivo nella storia dell’Ucraina.
L’attacco alla rete elettrica ucraina nel 2016 sembra essere stato progettato non solo per interrompere l’alimentazione, ma anche per causare danni fisici alle apparecchiature elettriche. E quando un ricercatore di sicurezza informatica di nome Mike Assante ha approfondito i dettagli di questo attacco, si è reso conto che l’hacking non era stato inventato dagli hacker russi, ma dal governo degli Stati Uniti, ed era già stato testato dieci anni prima.
WIRED ha pubblicato un articolo con un estratto dal libro SANDWORM: A New Era of Cyberwarfare and the Hunt for the Kremlin’s Most Dangerous Hackers, pubblicato la scorsa settimana. L’abbiamo tradotto e vi invitiamo a leggere un’affascinante storia su uno dei primi esperimenti riusciti di hacking in rete. Oggi funge ancora da potente avvertimento dei potenziali effetti degli attacchi informatici sul mondo fisico e da cupa premonizione degli imminenti attacchi di Sandworm.
In una fredda e ventosa mattina di marzo 2007, Mike Assante è arrivato all’Idaho National Laboratory 32 miglia a ovest di Idaho Falls, un edificio nel mezzo di un enorme paesaggio desertico ricoperto di neve e artemisia. Entrò nella sala all’interno del centro visitatori dove si stava radunando una piccola folla. Il team comprendeva funzionari del Department of Homeland Security, del Department of Energy e della North American Electric Reliability Corporation (NERC), dirigenti di diverse società elettriche in tutto il paese e altri ricercatori e ingegneri che, come Assante, avevano il compito di National Laboratory per trascorrere le loro giornate immaginando minacce catastrofiche alle infrastrutture critiche americane.
Nella parte anteriore della sala c’era una serie di monitor video e collegamenti dati predisposti per affrontare i sedili dello stadio nella stanza, come il centro di controllo di volo di un lancio di un razzo. Gli schermi mostravano immagini in diretta da diverse angolazioni dell’enorme generatore diesel. L’auto aveva le dimensioni di uno scuolabus, verde menta, una gigantesca massa d’acciaio del peso di 27 tonnellate, più o meno come un carro armato M3 Bradley. Era a un miglio dall’auditorium, in una sottostazione elettrica, che produceva abbastanza elettricità per alimentare un ospedale o una nave da guerra, e produceva un rombo costante. Le ondate di calore emanate dalla sua superficie hanno scosso l’orizzonte nell’immagine del flusso video.
Assante e i suoi colleghi ricercatori INL hanno acquistato un generatore da $ 300.000 da un giacimento petrolifero in Alaska. Lo hanno inviato per migliaia di miglia all’Idaho Proving Ground, un pezzo di terra di 890 miglia quadrate dove il laboratorio nazionale ha mantenuto una considerevole rete elettrica a scopo di test, completa di 100 chilometri di linee di trasmissione e sette sottostazioni elettriche.
Ora che Assante aveva svolto correttamente il suo lavoro, l’avrebbero distrutta. E i ricercatori riuniti hanno pianificato di distruggere questo meccanismo molto costoso e duraturo, non con alcuno strumento o arma fisica, ma con circa 140 kilobyte di dati, un file più piccolo della media GIF di gatto pubblicata oggi su Twitter.
Tre anni fa, Assante era il capo della sicurezza per American Electric Power ., una società di servizi pubblici con milioni di clienti in 11 stati dal Texas al Kentucky. Ex ufficiale della Marina diventato ingegnere della sicurezza informatica, Assante era ben consapevole della possibilità di attacchi di hacker alla rete elettrica. Ma è rimasto costernato nel vedere che la maggior parte dei suoi colleghi del settore elettrico aveva una visione relativamente semplicistica di questa minaccia ancora teorica e lontana. Se gli hacker in qualche modo fossero entrati nella rete dell’azienda e avessero iniziato ad aprire gli interruttori automatici, l’industria all’epoca pensava che il personale potesse semplicemente cacciare gli intrusi dalla rete e riaccendere l’alimentazione. “Potremmo gestirla come una tempesta", ricorda Assante le parole dei suoi colleghi. "Come doveva essere, sarebbe stato come un arresto e ci saremmo ripresi dal fallimento, e questo era il limite per pensare al modello di rischio".
Ma Assante, che aveva un raro livello di conoscenza della diafonia tra l’architettura della rete elettrica e la sicurezza informatica, ebbe un’idea più complicata. E se gli aggressori non si limitassero a impossessarsi dei sistemi di controllo degli operatori di rete per capovolgere gli interruttori e causare momentanee interruzioni di corrente, ma invece riprogrammassero elementi di rete automatizzati, componenti che prendono le proprie decisioni sul funzionamento della rete senza verificare con nessuno?
Nello specifico, Assante pensava a un dispositivo chiamato relè di protezione. I relè di protezione sono progettati per funzionare come meccanismo di protezione contro condizioni fisiche pericolose nei sistemi elettrici. Se le linee si surriscaldano o il generatore va fuori sincrono, sono questi relè di protezione che rilevano l’anomalia e aprono l’interruttore, spegnendo la posizione del guasto, risparmiando apparecchiature preziose e persino prevenendo gli incendi. Il relè di protezione funge da salvavita per la rete.
Ma cosa succederebbe se quel relè protettivo potesse essere paralizzato o, peggio, danneggiato in modo da diventare un percorso di scorrimento per il carico utile di un attaccante?
Questa inquietante domanda è stata posta ad Assante all’Idaho National Laboratory mentre lavorava nel settore dell’energia elettrica. Ora, nel centro visitatori del sito di test del laboratorio, lui ei suoi colleghi ingegneri stavano per mettere in atto la loro idea più malvagia. All’esperimento segreto fu dato un nome in codice che sarebbe diventato sinonimo della possibilità di attacchi digitali con conseguenze fisiche: Aurora.
Il direttore del test ha letto l’ora: 11:33. Ha verificato con l’ingegnere della sicurezza che non ci fossero estranei intorno al generatore diesel del laboratorio. Ha quindi dato il via libera a uno dei ricercatori di sicurezza informatica presso l’ufficio del National Laboratory a Idaho Falls per lanciare l’attacco. Come ogni vero sabotaggio digitale, anche questo verrà effettuato a chilometri e chilometri di distanza, via Internet. In risposta, l’hacker simulato ha inviato circa trenta righe di codice dalla sua auto a un relè di sicurezza collegato a un generatore diesel delle dimensioni di un autobus.
L’interno di questo generatore, fino al momento in cui veniva sabotato, eseguiva una sorta di danza invisibile, perfettamente armonizzata con la rete elettrica alla quale era collegato. Il carburante diesel nelle sue camere veniva spruzzato ed esplodeva con un tempismo disumano per muovere i pistoni che facevano ruotare un’asta d’acciaio all’interno di un motore generatore – l’intero gruppo era noto come il "motore primo" – circa 600 volte al minuto. Questa rotazione avveniva attraverso una boccola di gomma progettata per smorzare qualsiasi vibrazione, e poi nei componenti generatori di elettricità: un’asta a leva avvolta con filo di rame, racchiusa tra due massicci magneti, in modo che ogni rotazione inducesse una corrente elettrica nei fili. Fai girare questa massa di rame avvolto abbastanza velocemente,
Il relè di sicurezza collegato a questo generatore è stato progettato per evitare che venga collegato al resto della rete elettrica senza essere prima sincronizzato al ritmo esatto: 60 hertz. Ma l’hacker Assante di Idaho Falls ha appena riprogrammato quel dispositivo di sicurezza, capovolgendone la logica.
Alle 11:33 e 23 secondi, il relè di protezione ha rilevato che il generatore era perfettamente sincronizzato. Ma poi il suo cervello contorto ha fatto l’opposto di quello per cui era stato progettato: ha aperto un interruttore automatico per spegnere la macchina.
Quando il generatore è stato disconnesso dalla più ampia rete elettrica dell’Idaho National Laboratory e liberato dall’onere di dividere quel vasto sistema, ha immediatamente iniziato ad accelerare, girando più velocemente. Non appena il relè di sicurezza ha rilevato che la rotazione del generatore era aumentata fino a diventare completamente fuori sincronia con il resto della rete, la sua logica, deliberatamente invertita dall’hacker, l’ha immediatamente collegata al meccanismo di rete.
Nel momento in cui il generatore diesel è stato ricollegato al sistema più grande, è stato colpito dalla forza fatale di qualsiasi altro generatore rotante sulla rete. Tutta questa apparecchiatura ha riportato la massa relativamente piccola dei componenti rotanti del generatore diesel alla loro velocità originale e più lenta per adattarsi alle frequenze dei suoi vicini.
Sugli schermi, il pubblico riunito osservava la gigantesca macchina tremare con una forza improvvisa e terribile, emettendo un suono simile a colpi di frusta. L’intero processo dal momento in cui il codice dannoso è stato lanciato alla prima scossa è durato solo una frazione di secondo.
Pezzi neri iniziarono a volare fuori dal pannello di accesso del generatore, che i ricercatori avevano lasciato aperto per osservarne l’interno. All’interno, la boccola di gomma nera che collegava le due metà dell’albero del generatore era lacerata.
Pochi secondi dopo, la macchina tremò di nuovo mentre il codice del relè di sicurezza ripeteva il suo ciclo di sabotaggio, spegnendo e riaccendendo la macchina fuori sincrono. Questa volta, una nuvola di fumo grigio iniziò a uscire dal generatore, forse a causa dei pezzi di gomma che bruciavano al suo interno.
Assante, nonostante mesi di sforzi e milioni di dollari in fondi federali che ha speso per sviluppare l’attacco a cui hanno assistito, in qualche modo ha provato una certa simpatia per la macchina mentre veniva fatta a pezzi dall’interno. "Inizi a fare il tifo per questo come un piccolo motore", ha ricordato Assante. "Ho pensato, ‘Puoi farcela!’"
L’auto non è sopravvissuta. Dopo il terzo colpo, ha rilasciato una nuvola più grande di fumo grigio. Dopo il quarto impatto, un getto di fumo nero si è alzato in aria a 10 metri sopra l’auto.
Il direttore del test ha concluso l’esperimento e ha disconnesso il generatore distrutto dalla rete per l’ultima volta, lasciandolo mortalmente immobile. In una successiva analisi forense, i ricercatori di laboratorio hanno scoperto che l’albero del motore era entrato in collisione con la parete interna del motore, lasciando profondi solchi su entrambi i lati e riempiendo l’interno della macchina con trucioli di metallo. Dall’altra parte del generatore, il cablaggio e l’isolamento si sono sciolti e bruciati. L’auto è stata distrutta.
Il silenzio ha regnato nel centro visitatori dopo la manifestazione. "È stato un momento sobrio", ricorda Assante. Gli ingegneri hanno appena dimostrato oltre ogni dubbio che gli hacker che attaccano una rete elettrica possono andare oltre l’interruzione temporanea del lavoro della vittima: possono danneggiare irreparabilmente le loro apparecchiature più critiche. “Immagina cosa succederebbe a una macchina in una fabbrica vera, sarebbe terribile”, dice Assante. "Con poche righe di codice, puoi creare condizioni che possono causare fisicamente gravi danni alle macchine su cui facciamo affidamento".
Ma Assante ricorda anche di aver provato qualcosa di più serio nei momenti successivi all’esperimento Aurora. C’era la sensazione che, come Robert Oppenheimer guardando il primo test della bomba atomica in un altro laboratorio nazionale degli Stati Uniti sei decenni prima, stesse assistendo alla nascita di qualcosa di storico ed estremamente potente.
Secondo Wired.