Як 30 рядків коду підірвали 27-тонний генератор

Останнє оновлення Гру 1, 2022

Секретний експеримент 2007 року довів, що хакери можуть зруйнувати електромережу без можливості відновлення – лише за допомогою файлу, розміром не більше звичайної гіфки.

Раніше цього тижня Міністерство юстиції США оприлюднило звинувачення проти групи хакерів, відомої як Sandworm. У документі шести хакерам, які нібито працюють на російське військове розвідувальне управління ГРУ, було пред’явлено звинувачення у комп’ютерних злочинах, пов’язаних кібератаками по всьому світу, від саботажу зимових Олімпійських ігор 2018 року в Кореї до поширення найруйнівнішого шкідливого програмного забезпечення в історії України.

Атака на енергосистему України у 2016 році, очевидно, була призначена не просто для відключення електрики, а й для заподіяння фізичних збитків електричному устаткуванню. І коли один дослідник кібербезпеки на ім’я Майк Ассанте заглибився в деталі цієї атаки, він зрозумів, що спосіб злому був винайдений не російськими хакерами, а урядом США і вже був протестований десятиліттям раніше.

У видання WIRED вийшла стаття з уривком із книги SANDWORM: Нова ера кібервійни та полювання на найнебезпечніших хакерів Кремля, опублікованої минулого тижня. Ми переклали її і пропонуємо вам прочитати захоплюючу історію про один із найраніших вдалих експериментів із злому мережі. Сьогодні він, як і раніше, є потужним попередженням про потенційні наслідки кібератак для фізичного світу і похмурим передчуттям майбутніх атак Sandworm. ‌

Холодним і вітряним ранком у березні 2007 року Майк Ассанте прибув до Національної лабораторії Айдахо за 32 милі на захід від Айдахо-Фоллс, будинок посеред величезного високопорожнього ландшафту, вкритого снігом і полином. Він увійшов до зали всередині центру для відвідувачів, де збирався невеликий натовп. До групи увійшли посадові особи з Міністерства внутрішньої безпеки, Міністерства енергетики та Північноамериканської корпорації з надійності електропостачання (NERC), керівники кількох електроенергетичних компаній по всій країні, а також інші дослідники та інженери, яким, як і Ассанте, доручили національній лабораторії, щоб проводити свої дні в уяві катастрофічних загроз критично важливій інфраструктурі Америки.

У передній частині кімнати був масив відеомоніторів та каналів передачі даних, налаштованих так, щоб бути зверненими до сидінь стадіону в кімнаті, як центр управління польотом під час запуску ракети. На екранах було показано пряму трансляцію з кількох ракурсів потужного дизельного генератора. Машина була розміром зі шкільний автобус, м’ятно-зелена, гігантська маса стали вагою 27 тонн, це приблизно стільки, скільки важить танк М3 Бредлі. Він знаходився в милі від аудиторії, на електричній підстанції, виробляючи електрику, достатню для харчування госпіталю або військового корабля, і стійкий рев. Хвилі тепла, що походять від його поверхні, похитували горизонт на зображенні відеопотоку.

Ассанте та його колеги-дослідники з INL купили генератор за 300 000 доларів на нафтовому родовищі на Алясці. Вони відправили його за тисячі миль на випробувальний полігон Айдахо, ділянку землі площею 890 квадратних миль, де національна лабораторія обслуговувала значну електричну мережу з метою тестування, в комплекті зі 100 кілометровими лініями електропередачі та сімома електричними підстанціями.

Тепер, коли Ассанте виконав свою роботу належним чином, вони збиралися її знищити. І дослідники планували знищити цей дуже дорогий і стійкий механізм не за допомогою будь-якого фізичного інструменту або зброї, а за допомогою близько 140 кілобайт даних, файлу менше, ніж середньостатистична гіфка з котиком, опублікована сьогодні в Twitter.‌

‌Три роки тому Ассанте був начальником служби безпеки American Electric Power, комунальне підприємство з мільйонами клієнтів в 11 штатах від Техасу до Кентуккі. Колишній офіцер ВМФ, який став інженером з кібербезпеки, Ассанте добре усвідомлював можливість атак хакерів на енергосистему. Але він був стривожений, побачивши, що більшість його колег в електроенергетичній галузі мали відносно спрощене уявлення про цю досі теоретичну та віддалену загрозу. Якщо хакери якимось чином проникли в мережу комунального підприємства і почали відкривати автоматичні вимикачі, тоді в галузі вважалося, що персонал може просто вигнати зловмисників із мережі та знову включити живлення. "Ми могли б впоратися з цим, як шторм", – згадує Ассанте слова своїх колег. «Як це передбачалося, це було б схоже на відключення, і ми оговталися б від збою, і це була межа роздумів про модель ризику».

Але Ассанте, який мав рідкісний рівень знань у сфері перехресного зв’язку між архітектурою електричних мереж і комп’ютерної безпекою, спало на думку хитріша думка. Що, якби зловмисники не просто захопили системи керування операторів мережі, щоб перемикати перемикачі та викликати короткочасні відключення електроенергії, але натомість перепрограмували автоматизовані елементи мережі, компоненти, які приймали свої власні рішення про роботу мережі без перевірки з будь-ким?‌

‌

Зокрема, Ассанте думав про пристрій, званий захисним реле. Захисні реле призначені для роботи як захисний механізм для захисту від небезпечних фізичних умов в електричних системах. Якщо лінії перегріваються або генератор виходить із синхронізації, саме ці захисні реле виявляють аномалію та розмикають автоматичний вимикач, відключаючи місце несправності, заощаджуючи дорогоцінне обладнання і навіть запобігаючи пожежам. Захисне реле виконує роль свого роду рятувальника для мережі.

Але що, якщо це захисне реле може бути паралізоване – чи, що ще гірше, пошкоджено так, що воно стане килимовою доріжкою для навантаження атакуючого?

Це тривожне питання було поставлене Ассанте в Національну лабораторію Айдахо, коли він працював в електроенергетиці. Тепер, у центрі відвідувачів випробувального полігону лабораторії, він та його колеги-інженери збиралися втілити в життя свою найзлішу ідею. Секретному експерименту було надано кодову назву, яка стане синонімом можливості цифрових атак з фізичними наслідками: Аврора .‌

Директор із тестування зачитав час: 11:33. Він перевірив з інженером з техніки безпеки, що довкола дизельного генератора лабораторії немає сторонніх. Потім він дав добро одному з дослідників кібербезпеки в офісі національної лабораторії в Айдахо-Фолс, щоб розпочати атаку. Як і будь-який справжній цифровий саботаж, цей буде здійснюватися за багато миль через Інтернет. У відповідь змодельований хакер відправив приблизно тридцять рядків коду зі своєї машини на захисне реле, підключене до дизельного генератора розміром з автобус.

Внутрішня частина цього генератора до того моменту, коли він був саботажований, виконувала свого роду невидимий ідеально гармонізований танець з електричною мережею, до якої він був підключений. Дизельне паливо в його камерах розпорошувалося і вибухнуло з нелюдською синхронізацією, щоб зрушити поршні, які обертали сталевий стрижень усередині двигуна генератора – повне складання було відоме як «первинний двигун» – приблизно 600 разів на хвилину. Це обертання здійснювалося через гумову втулку, призначену для зменшення будь-якої вібрації, а потім компоненти, що генерують електрику: стрижень з важелями, обмотаний мідною проводкою, укладений між двома масивними магнітами, так що кожне обертання індукувало електричний струм у проводах. Досить швидко закрутіть цю масу намотаної міді,

Захисне реле, прикріплене до цього генератора, було розроблено так, щоб запобігти його підключенню до решти енергосистеми без попередньої синхронізації з точним ритмом: 60 герц. Але хакер Ассанте в Айдахо-Фоллс щойно перепрограмував цей захисний пристрій, перевернувши його логіку з ніг на голову.

О 11:33 та 23 секунди захисне реле виявило, що генератор синхронізований ідеально. Але потім його зіпсований мозок зробив протилежне до того, для чого був створений: він відкрив автоматичний вимикач, щоб відключити машину.

Коли генератор був від’єднаний від більшого ланцюга електричної мережі Національної лабораторії Айдахо і звільнений від тягаря поділу цієї обширної системи, він миттєво почав прискорюватися, обертаючись швидше. Щойно захисне реле виявило, що обертання генератора збільшилося до повної несинхронізації з рештою мережі, його логіка, спеціально перевернута хакером, негайно підключила його до механізму мережі.

У той момент, коли дизель-генератор знову був підключений до більшої системи, він був уражений з фатальною силою будь-якого іншого генератора, що обертається в мережі. Все це обладнання повернуло відносно невелику масу компонентів дизельного генератора, що обертаються, до вихідної, повільнішої швидкості, щоб відповідати частотам його сусідів.

На екранах аудиторія спостерігала, як гігантська машина тремтіла з раптовою жахливою силою, видаючи звук, схожий на удари батога. Весь процес з моменту запуску шкідливого коду до першого тремтіння зайняв лише частку секунди.

Чорні шматки почали вилітати з панелі доступу до генератора, яку дослідники залишили відкритою для спостереження за його начинками. Усередині чорна гумова втулка, що з’єднує дві половинки валу генератора, рвалася на частини.

Через кілька секунд машина знову затремтіла, коли код захисного реле повторив свій цикл саботажу, відключивши машину і знову підключивши її не синхронно. Цього разу хмара сірого диму почала вириватися з генератора, можливо, внаслідок горіння уламків гуми всередині нього.

Ассанте, незважаючи на місяці зусиль та мільйони доларів із федеральних фондів, які він витратив на розробку атаки, свідками якої вони були, якимось чином відчув деяку симпатію до машини, коли її розривали зсередини. «Ви починаєте вболівати за це як за маленький двигун, – згадував Ассанте. «Я думав: «Ти впораєшся!»

Машина не вижила. Після третього влучення вона випустила більшу хмару сірого диму. Після четвертого удару струмінь чорного диму піднявся над машиною на 10 метрів у повітря.

Директор із випробування закінчив експеримент і востаннє відключив зруйнований генератор від мережі, залишивши його смертельно нерухомим. У ході подальшого судово-медичного аналізу дослідники лабораторії виявили, що вал двигуна зіткнувся з внутрішньою стінкою двигуна, залишивши глибокі виїмки по обидва боки та заповнивши внутрішню частину машини металевою стружкою. З іншого боку генератора його проводка та ізоляція розплавилися та згоріла. Машину було знищено.

Після демонстрації у центрі для відвідувачів запанувала тиша. "Це був тверезий момент", – згадує Ассанте. Інженери щойно довели, що хакери, які атакували електричну мережу, можуть вийти за рамки тимчасового порушення роботи жертви: вони можуть пошкодити її найважливіше обладнання, яке не можна буде відновити. «Уявіть собі, як це сталося б з машиною на реальному заводі, це було б жахливо», – каже Ассанте. "За допомогою всього декількох рядків коду ви можете створити умови, які фізично можуть завдати серйозної шкоди машинам, на які ми покладаємося".

Але Ассанте також пам’ятає, як відчув щось серйозніше після експерименту «Аврора». Було відчуття, що, подібно до Роберта Оппенгеймера, який спостерігає за першим випробуванням атомної бомби в іншій національній лабораторії США шість десятиліть раніше, він був свідком народження чогось історичного і надзвичайно потужного."

За матеріалами Wired.