Tajny eksperyment przeprowadzony w 2007 roku dowiódł, że hakerzy mogą zniszczyć sieć energetyczną nie do naprawienia – wystarczy plik nie większy niż zwykły GIF.
Na początku tego tygodnia Departament Sprawiedliwości USA wydał akt oskarżenia przeciwko grupie hakerów znanej jako Sandworm. W dokumencie sześciu hakerów rzekomo pracujących dla rosyjskiej agencji wywiadu wojskowego GRU zostało oskarżonych o przestępstwa komputerowe związane z cyberatakami na całym świecie, od sabotowania Zimowych Igrzysk Olimpijskich 2018 w Korei po rozpowszechnianie najbardziej destrukcyjnego złośliwego oprogramowania w historii Ukrainy.
Wydaje się, że atak na ukraińską sieć energetyczną w 2016 roku miał na celu nie tylko odcięcie zasilania, ale także fizyczne uszkodzenie sprzętu elektrycznego. A kiedy jeden z badaczy cyberbezpieczeństwa, Mike Assante, zagłębił się w szczegóły tego ataku, zdał sobie sprawę, że hack nie został wymyślony przez rosyjskich hakerów, ale przez rząd USA i został już przetestowany dekadę wcześniej.
WIRED opublikował artykuł z fragmentem książki SANDWORM: A New Era of Cyberwarfare and the Hunt for the Kremlin’s Most Dangerous Hackers, opublikowanej w zeszłym tygodniu. Przetłumaczyliśmy go i zapraszamy do przeczytania fascynującej historii o jednym z najwcześniejszych udanych eksperymentów hakerskich w sieci. Dziś nadal służy jako potężne ostrzeżenie przed potencjalnymi skutkami cyberataków na świat fizyczny i ponure przeczucie nadchodzących ataków piaskowych robaków.
W zimny i wietrzny poranek w marcu 2007 roku Mike Assante przybył do Idaho National Laboratory, 32 mile na zachód od Idaho Falls, budynku pośrodku ogromnego, wysokogórskiego krajobrazu pokrytego śniegiem i krzewami szałwii. Wszedł do sali w centrum dla zwiedzających, gdzie zbierał się mały tłum. W skład zespołu weszli urzędnicy z Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Energii i North American Electric Reliability Corporation (NERC), dyrektorzy kilku przedsiębiorstw energetycznych w całym kraju oraz inni badacze i inżynierowie, którzy, podobnie jak Assante, mieli za zadanie Laboratorium Narodowe do prowadzenia swoich dni w wyobraźni katastrofalnych zagrożeń dla infrastruktury krytycznej Ameryki.
Z przodu sali znajdowała się tablica monitorów wideo i łączy danych ustawionych tak, aby były skierowane w stronę krzeseł stadionowych w sali, jak centrum kontroli lotu rakiety startowej. Ekrany pokazywały transmisję na żywo z kilku kątów ogromnego generatora diesla. Samochód był wielkości autobusu szkolnego, miętowozielony, gigantyczna masa stali ważąca 27 ton, mniej więcej tyle samo, co czołg M3 Bradley. Znajdowało się o milę od audytorium, w podstacji elektrycznej, wytwarzającej wystarczającą ilość energii elektrycznej do zasilania szpitala lub okrętu wojennego i wydającej ciągły ryk. Fale upałów emanujące z jego powierzchni wstrząsnęły horyzontem na obrazie strumienia wideo.
Assante i jego koledzy z INL kupili generator za 300 000 dolarów z pola naftowego na Alasce. Wysłali go tysiące mil do Idaho Proving Ground, obszaru o powierzchni 890 mil kwadratowych, gdzie krajowe laboratorium utrzymywało do celów testowych dużą sieć elektryczną, wraz ze 100 kilometrami linii przesyłowych i siedmioma podstacjami elektrycznymi.
Teraz, kiedy Assante dobrze wykonał swoją robotę, zamierzali ją zniszczyć. Zebrani badacze planowali zniszczyć ten bardzo kosztowny i trwały mechanizm, nie za pomocą żadnego fizycznego narzędzia ani broni, ale za pomocą około 140 kilobajtów danych, pliku mniejszego niż przeciętny koci GIF opublikowany dzisiaj na Twitterze.
„Trzy lata temu Assante był szefem ochrony w American Electric Power ., przedsiębiorstwo użyteczności publicznej z milionami klientów w 11 stanach, od Teksasu po Kentucky. Assante, były oficer Marynarki Wojennej, który został inżynierem ds. bezpieczeństwa cybernetycznego, doskonale zdawał sobie sprawę z możliwości ataków hakerskich na sieć energetyczną. Był jednak przerażony, widząc, że większość jego kolegów z branży elektrycznej ma stosunkowo uproszczony pogląd na to wciąż teoretyczne i odległe zagrożenie. Gdyby hakerzy w jakiś sposób dostali się do sieci przedsiębiorstwa i zaczęli otwierać wyłączniki automatyczne, branża uważała wówczas, że personel mógłby po prostu wyrzucić intruzów z sieci i ponownie włączyć zasilanie. „Moglibyśmy sobie z tym poradzić jak z burzą" – wspomina Assante słowa swoich kolegów. „Tak jak miało być, to byłoby jak przestój i podnieślibyśmy się z porażki, i to była granica myślenia o modelu ryzyka”.
Ale Assante, który miał rzadki poziom wiedzy na temat przesłuchów między architekturą sieci elektrycznej a bezpieczeństwem komputera, wpadł na bardziej podstępny pomysł. Co by było, gdyby napastnicy nie tylko przejęli systemy kontrolne operatorów sieci w celu przełączenia przełączników i spowodowania chwilowych przerw w dostawie prądu, ale zamiast tego przeprogramowali zautomatyzowane elementy sieci, komponenty, które samodzielnie podejmowały decyzje dotyczące działania sieci bez sprawdzania z kimkolwiek?
W szczególności Assante myślał o urządzeniu zwanym przekaźnikiem ochronnym. Przekaźniki ochronne są przeznaczone do działania jako mechanizm ochronny chroniący przed niebezpiecznymi warunkami fizycznymi w systemach elektrycznych. Jeśli linie przegrzewają się lub generator traci synchronizację, to właśnie te przekaźniki zabezpieczające wykrywają anomalię i otwierają wyłącznik automatyczny, zamykając miejsce zwarcia, oszczędzając cenny sprzęt, a nawet zapobiegając pożarom. Przekaźnik ochronny działa jak swego rodzaju ratownik dla sieci.
Ale co by było, gdyby ten przekaźnik ochronny mógł zostać sparaliżowany lub, co gorsza, uszkodzony, tak że stałby się ścieżką schodzenia dla ładunku atakującego?
To niepokojące pytanie zostało zadane Assante w Idaho National Laboratory, gdy pracował w przemyśle elektroenergetycznym. Teraz, w centrum dla zwiedzających w laboratorium, on i jego koledzy inżynierowie zamierzali wprowadzić w życie swój najgorszy pomysł. Tajnemu eksperymentowi nadano kryptonim, który stał się synonimem możliwości ataków cyfrowych z fizycznymi konsekwencjami: Aurora.
Kierownik testów odczytał czas: 11:33. Sprawdził z inżynierem ds. bezpieczeństwa, czy w pobliżu laboratoryjnego generatora diesla nie ma obcych osób. Następnie dał zielone światło jednemu z badaczy cyberbezpieczeństwa w biurze National Laboratory w Idaho Falls, aby rozpocząć atak. Jak każdy prawdziwy cyfrowy sabotaż, ten zostanie przeprowadzony wiele mil stąd, za pośrednictwem Internetu. W odpowiedzi symulowany haker wysłał około trzydziestu linii kodu ze swojego samochodu do przekaźnika bezpieczeństwa podłączonego do generatora diesla wielkości autobusu.
Wnętrze tego generatora, aż do momentu jego sabotażu, wykonywało rodzaj niewidzialnego, doskonale zharmonizowanego tańca z siecią elektryczną do której zostało podłączone. Olej napędowy w jego komorach został rozpylony i eksplodował z nieludzkim wyczuciem czasu, aby poruszyć tłoki, które obracały stalowy pręt wewnątrz silnika generatora – cały zespół był znany jako „główny napęd” – około 600 razy na minutę. Ten obrót odbywał się przez gumową tuleję zaprojektowaną do tłumienia wszelkich wibracji, a następnie do elementów generujących elektryczność: dźwigniowego pręta owiniętego miedzianym drutem, zamkniętego między dwoma masywnymi magnesami, tak że każdy obrót indukował prąd elektryczny w przewodach. Zakręć wystarczająco szybko tą masą nawiniętej miedzi,
Przekaźnik bezpieczeństwa podłączony do tego generatora został zaprojektowany tak, aby uniemożliwić podłączenie go do reszty sieci energetycznej bez uprzedniej synchronizacji z dokładnym rytmem: 60 herców. Ale haker Assante z Idaho Falls właśnie przeprogramował to urządzenie zabezpieczające, wywracając jego logikę do góry nogami.
O 11:33 i 23 sekundach przekaźnik zabezpieczający wykrył, że generator jest idealnie zsynchronizowany. Ale potem jego pokręcony mózg zrobił coś przeciwnego do tego, do czego został zaprojektowany: otworzył wyłącznik automatyczny, aby wyłączyć maszynę.
Kiedy generator został odłączony od większej sieci energetycznej Idaho National Laboratory i uwolniony od ciężaru dzielenia tego ogromnego systemu, natychmiast zaczął przyspieszać, obracając się szybciej. Gdy tylko przekaźnik bezpieczeństwa wykrył, że obroty generatora wzrosły do całkowitego braku synchronizacji z resztą sieci, jego logika, celowo odwrócona przez hakera, natychmiast połączyła go z mechanizmem sieciowym.
W momencie, gdy generator diesla został ponownie podłączony do większego systemu, został uderzony ze śmiertelną siłą każdego innego wirującego generatora w sieci. Cały ten sprzęt przywrócił stosunkowo niewielką masę obracających się elementów generatora diesla do ich pierwotnej, mniejszej prędkości, aby dopasować się do częstotliwości jego sąsiadów.
Na ekranach zgromadzona publiczność obserwowała, jak gigantyczna maszyna trzęsła się z nagłą, straszliwą siłą, wydając dźwięk podobny do uderzenia biczem. Cały proces od momentu uruchomienia szkodliwego kodu do pierwszego wstrząsu trwał zaledwie ułamek sekundy.
Czarne kawałki zaczęły wylatywać z panelu dostępowego generatora, który naukowcy zostawili otwarty, aby obserwować jego wnętrze. Wewnątrz czarna gumowa tuleja łącząca dwie połówki wału generatora została rozerwana.
Kilka sekund później maszyna ponownie się zatrzęsła, gdy kod przekaźnika bezpieczeństwa powtórzył swój cykl sabotażu, wyłączając i ponownie włączając maszynę bez synchronizacji. Tym razem z generatora zaczęła wydobywać się chmura szarego dymu, prawdopodobnie w wyniku palenia się w nim kawałków gumy.
Assante, pomimo miesięcy wysiłków i milionów dolarów z funduszy federalnych, które wydał na rozwój ataku, którego byli świadkami, w jakiś sposób poczuł współczucie dla maszyny, która była rozdzierana od środka. „Zaczynasz kibicować temu jak małemu silnikowi” – wspomina Assante. „Pomyślałem:„ Możesz to zrobić! “
Samochód nie przetrwał. Po trzecim trafieniu wypuściła większą chmurę szarego dymu. Po czwartym uderzeniu strumień czarnego dymu uniósł się 10 metrów nad samochodem w powietrze.
Kierownik testów zakończył eksperyment i po raz ostatni odłączył zniszczony generator od sieci, pozostawiając go śmiertelnie nieruchomym. W późniejszej analizie kryminalistycznej naukowcy odkryli, że wał silnika zderzył się z wewnętrzną ścianą silnika, pozostawiając głębokie wyżłobienia po obu stronach i wypełniając wnętrze maszyny metalowymi wiórami. Po drugiej stronie generatora jego okablowanie i izolacja stopiły się i spaliły. Samochód został zniszczony.
Po demonstracji w centrum dla zwiedzających panowała cisza. „To był trzeźwy moment” — wspomina Assante. Inżynierowie właśnie udowodnili ponad wszelką wątpliwość, że hakerzy atakujący sieć elektryczną mogą wykraczać poza tymczasowe zakłócanie pracy ofiary: mogą uszkodzić ich najbardziej krytyczny sprzęt nie do naprawienia. „Wyobraź sobie, co stałoby się z maszyną w prawdziwej fabryce, to byłoby straszne” — mówi Assante. „Wystarczy kilka wierszy kodu, aby stworzyć warunki, które mogą fizycznie spowodować poważne uszkodzenia maszyn, na których polegamy”.
Ale Assante pamięta też, że chwilę po eksperymencie z Aurorą poczuł coś poważniejszego. Było poczucie, że podobnie jak Robert Oppenheimer oglądający pierwszy test bomby atomowej w innym narodowym laboratorium USA sześć dekad wcześniej, był świadkiem narodzin czegoś historycznego i niezwykle potężnego.
Według Wired.