Wie 30 Codezeilen einen 27-Tonnen-Generator in die Luft jagten
Ein geheimes Experiment im Jahr 2007 bewies, dass Hacker das Stromnetz irreparabel zerstören konnten – mit nur einer Datei, die nicht größer als ein normales GIF war.
Anfang dieser Woche veröffentlichte das US-Justizministerium eine Anklage gegen eine Gruppe von Hackern namens Sandworm. In dem Dokument werden sechs Hacker, die angeblich für den russischen Militärgeheimdienst GRU arbeiten, wegen Computerkriminalität im Zusammenhang mit Cyberangriffen auf der ganzen Welt angeklagt, von der Sabotage der Olympischen Winterspiele 2018 in Korea bis zur Verbreitung der zerstörerischsten Malware in der ukrainischen Geschichte.
Der Angriff auf das Stromnetz der Ukraine im Jahr 2016 zielte offenbar nicht nur darauf ab, den Strom abzuschalten, sondern auch um physische Schäden an elektrischen Geräten zu verursachen. Und als ein Cybersicherheitsforscher namens Mike Assante sich mit den Details dieses Angriffs befasste, stellte er fest, dass der Hack nicht von russischen Hackern, sondern von der US-Regierung erfunden und bereits ein Jahrzehnt zuvor getestet worden war.
WIRED hat einen Artikel mit einem Auszug aus dem letzte Woche erschienenen Buch SANDWORM: A New Era of Cyberwarfare and the Hunt for the Kremlin’s Most Dangerous Hackers veröffentlicht. Wir haben es übersetzt und laden Sie ein, eine faszinierende Geschichte über eines der frühesten erfolgreichen Experimente im Netzwerk-Hacking zu lesen. Heute dient es immer noch als eindringliche Warnung vor den möglichen Auswirkungen von Cyberangriffen auf die physische Welt und als düstere Vorahnung der kommenden Sandworm -Angriffe.
An einem kalten und windigen Morgen im März 2007 erreichte Mike Assante das Idaho National Laboratory 32 Meilen westlich von Idaho Falls, einem Gebäude inmitten einer riesigen hohen Wüstenlandschaft, die mit Schnee und Beifuß bedeckt ist. Er betrat die Halle im Besucherzentrum, wo sich eine kleine Menschenmenge versammelte. Das Team bestand aus Beamten des Heimatschutzministeriums, des Energieministeriums und der North American Electric Reliability Corporation (NERC), Führungskräften mehrerer Stromversorger im ganzen Land und anderen Forschern und Ingenieuren, die wie Assante mit dem beauftragt waren National Laboratory, um ihre Tage in der Vorstellung katastrophaler Bedrohungen für Amerikas kritische Infrastruktur zu verbringen.
An der Vorderseite des Raums befand sich eine Reihe von Videomonitoren und Datenverbindungen, die auf die Stadionsitze im Raum ausgerichtet waren, wie das Flugkontrollzentrum eines Raketenstarts. Die Bildschirme zeigten Live-Feeds aus verschiedenen Blickwinkeln des massiven Dieselgenerators. Das Auto war so groß wie ein Schulbus, mintgrün, eine gigantische Stahlmasse mit einem Gewicht von 27 Tonnen, etwa so viel wie ein M3-Bradley-Panzer. Es war eine Meile vom Auditorium entfernt, in einer Umspannstation, die genug Strom produzierte, um ein Krankenhaus oder ein Kriegsschiff anzutreiben, und ein stetiges Dröhnen von sich gab. Von seiner Oberfläche ausgehende Hitzewellen erschütterten den Horizont im Bild des Videostreams.
Assante und seine INL -Forscherkollegen kauften einen 300.000 -Dollar-Generator von einem Ölfeld in Alaska. Sie schickten es Tausende von Kilometern zum Idaho Proving Ground, einem 890 Quadratmeilen großen Stück Land, auf dem das nationale Labor zu Testzwecken ein beträchtliches Stromnetz mit 100 Kilometern Übertragungsleitungen und sieben Umspannwerken unterhielt.
Jetzt, da Assante seine Arbeit gut gemacht hatte, würden sie sie vernichten. Und die versammelten Forscher planten, diesen sehr teuren und dauerhaften Mechanismus zu zerstören, nicht mit einem physischen Werkzeug oder einer Waffe, sondern mit etwa 140 Kilobyte Daten, einer Datei, die kleiner ist als das durchschnittliche Katzen-GIF, das heute auf Twitter gepostet wird.
„Vor drei Jahren war Assante Sicherheitschef von American Electric Power ., ein Versorgungsunternehmen mit Millionen von Kunden in 11 Bundesstaaten von Texas bis Kentucky. Als ehemaliger Marineoffizier, der zum Cybersicherheitsingenieur wurde, war sich Assante der Möglichkeit von Hackerangriffen auf das Stromnetz bewusst. Er war jedoch bestürzt, als er feststellte, dass die meisten seiner Kollegen in der Elektrizitätsbranche diese immer noch theoretische und weit entfernte Bedrohung relativ simpel betrachteten. Wenn Hacker irgendwie in das Netzwerk des Versorgungsunternehmens eindrangen und anfingen, Leistungsschalter zu öffnen, dachte die Industrie damals, dass die Mitarbeiter die Eindringlinge einfach vom Netz werfen und den Strom wieder einschalten könnten. „Wir könnten damit umgehen wie mit einem Sturm”, erinnert sich Assante an die Worte seiner Kollegen. „So wie es sein sollte, wäre es wie ein Shutdown und wir würden uns von dem Ausfall erholen, und das war die Grenze des Nachdenkens über das Risikomodell.”
Aber Assante, der ein seltenes Maß an Wissen über die Wechselwirkungen zwischen elektrischer Netzwerkarchitektur und Computersicherheit hatte, hatte eine kniffligere Idee. Was wäre, wenn Angreifer nicht einfach die Kontrollsysteme der Netzwerkbetreiber übernehmen würden, um Schalter umzulegen und kurzzeitige Stromausfälle zu verursachen, sondern stattdessen automatisierte Netzwerkelemente umprogrammierten, Komponenten, die ihre eigenen Entscheidungen über den Netzwerkbetrieb treffen, ohne sich mit jemandem zu verständigen?
Konkret dachte Assante an ein Gerät namens Schutzrelais. Schutzrelais dienen als Schutzmechanismus zum Schutz vor gefährlichen physikalischen Bedingungen in elektrischen Systemen. Wenn die Leitungen überhitzen oder der Generator aus dem Takt gerät, sind es diese Schutzrelais, die die Anomalie erkennen und den Leistungsschalter öffnen, die Fehlerstelle abschalten, wertvolle Geräte retten und sogar Brände verhindern. Das Schutzrelais ist eine Art Lebensretter für das Netzwerk.
Aber was wäre, wenn dieses Schutzrelais gelähmt oder, schlimmer noch, beschädigt werden könnte, sodass es zu einem Gleitpfad für die Nutzlast eines Angreifers würde?
Diese beunruhigende Frage wurde Assante am Idaho National Laboratory gestellt, als er in der Elektrizitätsindustrie arbeitete. Jetzt, im Besucherzentrum des Testgeländes des Labors, waren er und seine Ingenieurskollegen dabei, ihre übelste Idee in die Tat umzusetzen. Das geheime Experiment erhielt einen Codenamen, der zum Synonym für die Möglichkeit digitaler Angriffe mit physischen Folgen werden sollte: Aurora.
Der Testleiter las die Uhrzeit vor: 11:33. Er vergewisserte sich beim Sicherheitsingenieur, dass sich keine Fremden in der Nähe des Dieselgenerators des Labors aufhielten. Dann gab er einem der Cybersicherheitsforscher im Büro des National Laboratory in Idaho Falls grünes Licht, um den Angriff zu starten. Wie jede echte digitale Sabotage wird diese meilenweit entfernt über das Internet durchgeführt. Als Antwort schickte der simulierte Hacker ungefähr dreißig Codezeilen von seinem Auto an ein Sicherheitsrelais, das mit einem busgroßen Dieselgenerator verbunden war.
Das Innere dieses Generators führte bis zu seiner Sabotage eine Art unsichtbaren, perfekt harmonisierten Tanz mit dem Stromnetz auf, an das er angeschlossen war. Der Dieselkraftstoff in seinen Kammern wurde mit unmenschlichem Timing versprüht und explodierte, um Kolben zu bewegen, die eine Stahlstange in einem Generatormotor drehten – die gesamte Baugruppe wurde als „Prime Mover” bezeichnet – etwa 600 Mal pro Minute. Diese Drehung erfolgte durch eine Gummibuchse, die jede Vibration dämpfen sollte, und dann in die stromerzeugenden Komponenten: eine mit Kupferdraht umwickelte Hebelstange, die zwischen zwei massiven Magneten eingeschlossen war, sodass jede Drehung einen elektrischen Strom in den Drähten induziert. Drehe diese Masse aus gewickeltem Kupfer schnell genug,
Das an diesem Generator angebrachte Sicherheitsrelais sollte verhindern, dass er mit dem restlichen Stromnetz verbunden wird, ohne vorher auf den genauen Rhythmus synchronisiert zu werden: 60 Hertz. Aber der Hacker Assante in Idaho Falls hat dieses Sicherheitsgerät gerade neu programmiert und seine Logik auf den Kopf gestellt.
Um 11:33 und 23 Sekunden erkannte das Schutzrelais, dass der Generator perfekt synchronisiert war. Aber dann tat sein verdrehtes Gehirn das Gegenteil von dem, wofür es entwickelt wurde: Es öffnete einen Leistungsschalter, um die Maschine auszuschalten.
Als der Generator vom größeren Stromnetz des Idaho National Laboratory getrennt und von der Last befreit wurde, dieses riesige System zu teilen, begann er sofort zu beschleunigen und sich schneller zu drehen. Sobald das Sicherheitsrelais feststellte, dass die Rotation des Generators völlig außer Synchronisation mit dem Rest des Netzwerks angestiegen war, verband ihn seine vom Hacker absichtlich umgekehrte Logik sofort mit dem Netzwerkmechanismus.
In dem Moment, in dem der Dieselgenerator wieder an das größere System angeschlossen wurde, wurde er von der tödlichen Wucht jedes anderen rotierenden Generators im Netzwerk getroffen. All diese Geräte brachten die relativ geringe Masse der rotierenden Komponenten des Dieselgenerators auf ihre ursprüngliche, langsamere Geschwindigkeit zurück, um sich an die Frequenzen seiner Nachbarn anzupassen.
Auf den Bildschirmen beobachtete das versammelte Publikum, wie die gigantische Maschine mit plötzlicher, schrecklicher Wucht erzitterte und ein Geräusch wie ein Schleudertrauma erzeugte. Der gesamte Prozess vom Start des Schadcodes bis zum ersten Beben dauerte nur den Bruchteil einer Sekunde.
Schwarze Brocken begannen aus der Zugangsklappe des Generators zu fliegen, die die Forscher offen gelassen hatten, um sein Inneres zu beobachten. Im Inneren war die schwarze Gummibuchse, die die beiden Hälften der Generatorwelle verband, auseinandergerissen.
Sekunden später zitterte die Maschine erneut, als der Sicherheitsrelaiscode seinen Sabotagezyklus wiederholte und die Maschine asynchron aus- und wieder einschaltete. Diesmal begann eine graue Rauchwolke aus dem Generator aufzusteigen, möglicherweise das Ergebnis der darin brennenden Gummistücke.
Assante empfand trotz monatelanger Bemühungen und Millionen von Dollar an Bundesgeldern, die er für die Entwicklung des Angriffs, den sie miterlebten, ausgegeben hatte, irgendwie Sympathie für die Maschine, als sie von innen auseinandergerissen wurde. „Du fängst an, es wie einen kleinen Motor anzufeuern”, erinnerte sich Assante. "Ich dachte: ‘Du schaffst das!’"
Das Auto hat es nicht überlebt. Nach dem dritten Treffer setzte sie eine größere graue Rauchwolke frei. Nach dem vierten Aufprall stieg ein schwarzer Rauchstrahl 10 Meter über dem Auto in die Luft.
Der Versuchsleiter beendete das Experiment und trennte den zerstörten Generator ein letztes Mal vom Netz und ließ ihn tödlich bewegungsunfähig zurück. In einer anschließenden forensischen Analyse stellten Laborforscher fest, dass die Motorwelle mit der Innenwand des Motors kollidierte, tiefe Kerben auf beiden Seiten hinterließ und das Innere der Maschine mit Metallspänen füllte. Auf der anderen Seite des Generators schmolzen und brannten seine Verkabelung und Isolierung. Das Auto wurde zerstört.
Im Besucherzentrum herrschte nach der Demonstration Stille. „Es war ein nüchterner Moment”, erinnert sich Assante. Ingenieure haben gerade zweifelsfrei bewiesen, dass Hacker, die ein elektrisches Netzwerk angreifen, über die vorübergehende Unterbrechung der Arbeit des Opfers hinausgehen können: Sie können ihre wichtigsten Geräte irreparabel beschädigen. „Stellen Sie sich vor, was mit einer Maschine in einer echten Fabrik passieren würde, es wäre schrecklich”, sagt Assante. "Mit nur wenigen Codezeilen können Sie Bedingungen schaffen, die den Maschinen, auf die wir uns verlassen, ernsthaften Schaden zufügen können."
Aber Assante erinnert sich auch daran, in den Momenten nach dem Aurora-Experiment etwas Ernsteres gefühlt zu haben. Es gab das Gefühl, dass er, wie Robert Oppenheimer, der sechs Jahrzehnte zuvor den ersten Atombombentest in einem anderen US-amerikanischen Nationallabor beobachtete, Zeuge der Geburt von etwas Historischem und äußerst Mächtigem wurde.
Laut Wired.