Аврора (експеримент)

У Вікіпедії є статті про інші значення цього терміна: Аврора.
Дизельний генератор, який використовувався в експерименті «Аврора», починає диміти.

Аврора — експеримент, проведений Національною лабораторією Айдахо(інші мови) 2007 року з метою продемонструвати, як кібератака може знищити фізичні компоненти електричної мережі.[1][2] Експеримент використовував комп'ютерну програму для швидкого розмикання та замикання автоматичних вимикачів дизельної електростанції не у фазі з рештою мережі, через що двигун був підданий ненормальним крутним моментам і що зрештою викликало його вибух. Цю вразливість називають уразливістю Аврора.

Ця вразливість викликає особливе занепокоєння, оскільки більшість мережевого обладнання підтримує використання Modbus та інших застарілих протоколів зв'язку, які були розроблені без урахування безпеки. Таким чином, вони не підтримують автентифікацію, конфіденційність або захист від повтору. Це означає, що будь-який зловмисник, який може комунікувати з пристроєм, може контролювати його та використовувати вразливість Аврора, щоб знищити його.

Експеримент

Щоб підготуватися до експерименту, дослідники придбали та встановили дизельну електростанцію потужністю 2,25 МВт (3000 кінських сил) і підключили її до підстанції. Їм також потрібен був доступ до програмованого цифрового реле або іншого пристрою, здатного керувати вимикачем. Хоча такий доступ може бути як через механічний, так і через цифровий інтерфейс, у цьому випадку використано останній.[3][4]

Дизельна електростанція складається з дизельного двигуна, механічно з'єднаного з генератором. У багатьох комерційно-промислових умовах кілька електростанцій повинні працювати разом у тандемі, щоб забезпечити енергією необхідне навантаження. Генератор, який працює нормально, синхронізується або з електромережею, або з одним або декількома додатковими генераторами (наприклад, в «острівній» незалежній електромережі, яка може використовуватися у віддаленому місці або для аварійного резервного живлення). Коли дизельні електростанції працюють синхронно, їхні генератори змінного струму з'єднані разом магнітно.[4]

В експерименті «Аврора» дослідники використовували кібератаку, щоб замкнути та розімкнути вимикачі несинхронізовано, щоб навмисно максимізувати стрес. Кожного разу, коли вимикачі замикалися, крутний момент, створений у генераторі змінного струму (внаслідок розсинхронізації з'єднання), змушував всю дизельну електростанцію підстрибувати та тремтіти. Дизельна електростанція, яка використовувалась в експерименті, була оснащена пружною гумовою обертовою муфтою між дизельним двигуном і генератором змінного струму, що таким чином опосередковано з'єднувала сталевий колінчастий вал двигуна зі сталевим валом генератора.[4][5]

Під час початкових етапів атаки були викинуті чорні шматки гуми, оскільки обертова муфта поступово руйнувалася в результаті надзвичайно ненормальних крутних моментів, викликаних розсинхронізованим генератором змінного струму на колінчастому валу дизельного двигуна.[5] Обертова гумова муфта незабаром була повністю зруйнована, після чого сам дизельний двигун швидко розірвало на частини, а деталі повилітали.[6] Деякі частини генератора приземлилися на відстані 80 футів від генератора.[7] Крім масивних і явних механічних пошкоджень самого дизельного двигуна, пізніше (при подальшому розбиранні агрегату) були виявлені ознаки перегріву генератора.[4]

Під час цієї атаки дизельну електростанцію було знищено приблизно за три хвилини. Однак цей процес зайняв три хвилини лише тому, що дослідники оцінювали шкоду від кожної ітерації атаки. Справжня атака могла б знищити електростанцію набагато швидше.[6] Наприклад, генератор, побудований без обертової гумової муфти між дизельним двигуном і генератором змінного струму, негайно відчуватиме аномальні сили, що руйнують колінчастий вал у своєму дизельному двигуні, враховуючи відсутність амортизаційного матеріалу між цими двома обертовими компонентами. Дизельна електростанція, зібрана таким чином, могла зіпсувати свій дизельний двигун одним несинхронізованим підключенням генератора.[5]

Експеримент «Аврора» був позначений як несекретний, лише для офіційного використання.[8] 27 вересня 2007 року CNN опублікувало статтю, засновану на інформації та відео, наданих їм Міністерством національної безпеки США,[1] а 3 липня 2014 року Міністерство національної безпеки США опублікувало багато документів, пов'язаних з експериментом, як частину непов'язану, із запитом за Закон про свободу інформації 1966 року.[5]

Вразливість

Уразливість Aurora спричинена несинхронізованим замиканням захисних реле(інші мови).[6]

«Наближеною, але недосконалою аналогією було б уявити ефект перемикання автомобіля на задній хід, коли він їде по шосе, або ефект збільшення обертів двигуна, коли автомобіль знаходиться на нейтральній передачі, а потім його перемикання в режим Drive.»[6]

«Атака „Аврора“ призначена для розмикання автоматичного вимикача, очікування, поки система та генератор розсинхронізуються, і повторного вмикання вимикача, і все це до того, як система захисту розпізнає та відреагує на атаку… Традиційні елементи захисту генератора зазвичай спрацьовують, і блок повторного замикання приблизно за 15 циклів впливає на цей час, і кожну систему потрібно проаналізувати, щоб визначити її конкретну вразливість до атаки „Аврора“… Хоча основна увага атаки „Аврора“ — це потенційне 15-циклове вікно можливостей відразу після того, як вимикач цілі буде роз'єднано, головне питання полягає в тому, як швидко генератор відходить від синхронізму з системою».[9]

Потенційний вплив

Експонат Міжнародного музею шпигунства(інші мови) про вразливість Аврора

Відмова навіть одного генератора може призвести до масових відключень і, можливо, каскадного виходу з ладу(інші мови) всієї електромережі, як це сталося під час відключення електроенергії на північному сході 2003 року(інші мови). Крім того, навіть якщо немає збоїв у результаті видалення одного компонента (стійкість N-1), існує велике вікно для повторної атаки або аварії через те, що заміна зруйнованого генератора може зайняти більше року, оскільки багато генераторів і трансформаторів виготовлені на замовлення.

Пом'якшення

Уразливість Aurora можна пом'якшити шляхом запобігання розмиканню та замиканню вимикачів. Деякі запропоновані методи включають додавання функцій у захисні реле для забезпечення синхронізму та додавання затримки часу для замикання вимикачів.[10]

Одним із методів пом'якшення є додавання функції перевірки синхронізму до всіх захисних реле, які потенційно з'єднують дві системи. Щоб реалізувати це, функція повинна запобігати замиканню реле, якщо напруга та частота не знаходяться в попередньо встановленому діапазоні. Такі пристрої, як реле IEEE 25 Sync-Check і IEEE 50, можна використовувати для запобігання розмиканню та замиканню автоматичних вимикачів.[11]

Дизельні двигуни також можуть бути оснащені незалежними датчиками, які виявляють аномальні сигнатури вібрації. Можна розробити такий датчик, щоб негайно ініціювати повне відключення генератора після виявлення єдиного значного відхилення від сигнатури вібрації нормально працюючого двигуна.[12]

Критика

Існувала дискусія щодо того, чи можуть апаратні пристрої захисту від вразливості Аврора викликати інші збої. У травні 2011 року Quanta Technology опублікувала статтю, в якій використано тестування на RDTS (Real Time Digital Simulator)(інші мови) перевірити «продуктивність кількох доступних комерційних релейних пристроїв» захисту від вразливості Аврора. Цитата: «Реле піддавалися різним категоріям випробувань, щоб з'ясувати, чи є їх робота надійною, коли їм потрібно працювати, і безпечною у відповідь на типові перехідні процеси в системі живлення, такі як несправності, коливання потужності та перемикання навантаження… Загалом, були виявлені технічні недоліки в конструкції схеми захисту, які були виявлені та задокументовані за допомогою результатів тестування в RDTS. Тестування RTDS показало, що поки що немає єдиного рішення, яке можна було б широко застосувати в будь-якому випадку, і яке може надати необхідний рівень надійності».[13] У презентації своєї оцінці надійності Quanta Technology та Dominion коротко заявили: «апаратні пристрої захисту від вразливості Аврора не є ні надійними, ні безпечними».[14]

Джо Вайс, фахівець з кібербезпеки та систем керування, заперечив висновки цього звіту та заявив, що він ввів в оману надавачів послуг. Він написав: «Цей звіт завдав великої шкоди, натякаючи, що пристрої пом'якшення Аврора спричинятимуть проблеми з мережею. Кілька надавачів послуг використали звіт Quanta як підставу для відмови від встановлення пристроїв пом'якшення Аврора. На жаль, у звіті є кілька дуже сумнівних припущень. Вони включають застосування початкових умов, що апаратне пом'якшення не було розроблено для усунення несправностей, що розвиваються повільніше, або несправностей, що не відповідають номінальній мережі. Існуючий захист буде вирішувати „повільніші“ несправності, що розвиваються, і відхилення від номінальних частот мережі (<59). Гц або >61 Гц). Апаратні пристрої пом'якшення Аврора призначені для дуже швидких збоїв у фазі, які наразі є прогалинами в захисті (тобто не захищеними жодним іншим пристроєм) мережі.»[15]

Хронологія

4 березня 2007 року Національна лабораторія Айдахо продемонструвала вразливість Аврора.[16]

21 червня 2007 року NERC[en] повідомила промисловість про вразливість Аврора.[17]

27 вересня 2007 року CNN опублікувала на своїй домашній сторінці демонстраційне відео експерименту «Аврора», яке раніше було обмежене в доступі.[1]

13 жовтня 2010 року NERC випустила рекомендацію для промисловості щодо вразливості Aurora.[17]

3 липня 2014 року Міністерство внутрішньої безпеки США оприлюднило 840 сторінок документів, пов'язаних із «Авророю».[5]

Див. також

Примітки

  1. а б в Mouse click could plunge city into darkness, experts say. CNN. 27 вересня 2007. Процитовано 30 січня 2020.
  2. Video Shows Hacker Attack On Power Grid - CBS News. www.cbsnews.com (амер.). 27 вересня 2007. Процитовано 18 січня 2025.
  3. FOIA Request - Operation Aurora (PDF). Muckrock. с. 91. Процитовано 30 січня 2020.
  4. а б в г Greenberg, Andy (23 жовтня 2020). How 30 Lines of Code Blew Up a 27-Ton Generator. Wired. Процитовано 11 грудня 2021.
  5. а б в г д FOIA Request - Operation Aurora. Muckrock. 17 травня 2014. Процитовано 30 січня 2020.
  6. а б в г FOIA Request - Operation Aurora (PDF). Muckrock. с. 59. Процитовано 30 січня 2020.
  7. Master Script (PDF). INTERNATIONAL SPY MUSEUM. с. 217. Процитовано 30 січня 2020.
  8. FOIA Request - Operation Aurora (PDF). Muckrock. с. 134. Процитовано 30 січня 2020.
  9. Zeller, Mark. Common Questions and Answers Addressing the Aurora Vulnerability. Schweitzer Engineering Laboratories, Inc. Процитовано 30 січня 2020.
  10. Zeller, Mark. Myth or Reality – Does the Aurora Vulnerability Pose a Risk to My Generator?. Schweitzer Engineering Laboratories, Inc. Процитовано 30 січня 2020.
  11. Avoiding unwanted reclosing on rotating apparatus (Aurora) (PDF). Power System Relaying and Control Committee. Процитовано 30 січня 2020.
  12. S R W Mills (2010). Vibration Monitoring & Analysis Handbook. British Institute of Non-Destructive Testing.
  13. QT e-News (PDF). Quanta Technology. с. 3. Процитовано 30 січня 2020.
  14. Aurora Vulnerability Issues & Solutions Hardware Mitigation Devices (HMDs) (PDF). Quanta Technology. 24 липня 2011. Процитовано 30 січня 2020.[недоступне посилання з 01.05.2024]
  15. Latest Aurora information – this affects ANY electric utility customer with 3-phase rotating electric equipment!. Unfettered Blog. 4 вересня 2013. Процитовано 30 січня 2020.
  16. U.S. video shows hacker hit on power grid. USA Today. 27 вересня 2007. Процитовано 30 січня 2020.
  17. а б NERC Issues AURORA Alert to Industry (PDF). NERC. 14 жовтня 2010. Архів оригіналу (PDF) за 12 серпня 2011. Процитовано 30 січня 2020.

Посилання