Тест генератора рассвета

Национальная лаборатория Айдахо провела испытание генератора «Аврора» в 2007 году, чтобы продемонстрировать, как кибератака может разрушить физические компоненты электросети. ^[1] В эксперименте использовалась компьютерная программа для быстрого размыкания и замыкания автоматических выключателей дизель-генератора в противофазе с остальной частью сети, тем самым подвергая двигатель воздействию аномальных крутящих моментов и в конечном итоге вызывая его взрыв. Эта уязвимость называется уязвимостью Aurora .

Эта уязвимость вызывает особую озабоченность, поскольку большая часть сетевого оборудования поддерживает использование Modbus и других устаревших протоколов связи , которые были разработаны без учета безопасности. По существу, они не поддерживают аутентификацию , конфиденциальность или защиту от повторного воспроизведения . Это означает, что любой злоумышленник, который может связаться с устройством, может контролировать его и использовать уязвимость Aurora для его уничтожения.

Эксперимент

Чтобы подготовиться к эксперименту, исследователи приобрели и установили генератор мощностью 2,25 МВт (3000 лошадиных сил) и подключили его к подстанции. Им также требовался доступ к программируемому цифровому реле или другому устройству, способному управлять выключателем. Хотя такой доступ может осуществляться через механический или цифровой интерфейс, в данном случае использовался последний. ^[2]^[3]

Генераторная установка состоит из дизельного двигателя, механически связанного с генератором переменного тока. Во многих коммерческих и промышленных условиях несколько генераторов должны работать вместе в тандеме, чтобы обеспечить электроэнергией желаемую нагрузку. Генератор, который работает нормально, синхронизируется либо с электросетью, либо с одним или несколькими дополнительными генераторами (например, в «изолированной» независимой энергосети, которая может использоваться в удаленном месте или для аварийного резервного питания). Когда генераторы работают синхронно, их генераторы эффективно магнитно блокируются. ^[4]

В эксперименте «Аврора» исследователи использовали кибератаку, чтобы открывать и закрывать выключатели несинхронно, чтобы намеренно максимизировать стресс. Каждый раз, когда прерыватели замыкались, крутящий момент, возникающий в генераторе (в результате несинхронного соединения), заставлял весь генератор подпрыгивать и трястись. Генератор, использованный в эксперименте, был оснащен упругой резиновой вращающейся муфтой (расположенной между дизельным двигателем и генератором, таким образом косвенно соединяющей стальной коленчатый вал двигателя со стальным валом генератора). ^[3]^[5]

На первых этапах атаки куски черной резины были выброшены, поскольку вращающаяся муфта постепенно разрушалась (в результате чрезвычайно аномальных крутящих моментов, создаваемых рассинхронизированным генератором переменного тока на коленчатом валу дизельного двигателя). ^[5] Вращающаяся резиновая муфта вскоре полностью разрушилась, после чего сам дизельный двигатель был быстро разорван на части, а детали разлетелись. ^[6] Некоторые части генератора приземлились на расстоянии 80 футов от генератора. ^[7] Помимо массивных и очевидных механических повреждений самого дизеля, позднее (при последующей разборке агрегата) наблюдались признаки перегрева генератора. ^[3]

В результате этой атаки генераторная установка была уничтожена примерно за три минуты. Однако этот процесс занял три минуты только потому, что исследователи оценивали ущерб от каждой итерации атаки. Реальная атака могла бы уничтожить подразделение гораздо быстрее. ^[6] Например, генератор, построенный без вращающейся резиновой муфты между дизельным двигателем и генератором переменного тока, сразу же испытает аномальные силы, разрушающие коленчатый вал в дизельном двигателе, учитывая отсутствие амортизирующего материала между этими двумя вращающимися компонентами. Генераторная установка, собранная таким образом, могла вывести из строя дизельный двигатель из-за одного несинхронного подключения генератора. ^[5]

Эксперимент «Аврора» был обозначен как несекретный и предназначен только для официального использования . ^[8] 27 сентября 2007 года канал CNN опубликовал статью, основанную на информации и видео, предоставленных им DHS: ^[1] а 3 июля 2014 г. DHS опубликовало многие документы, связанные с экспериментом, в рамках несвязанного с ним запроса по закону о свободе информации. ^[5]

Уязвимость

Уязвимость Aurora вызвана несинхронным замыканием защитных реле . ^[6]

«Близкой, но несовершенной аналогией было бы представить себе эффект переключения автомобиля на задний ход во время движения по шоссе или эффект увеличения оборотов двигателя, когда автомобиль находится в нейтральном положении, а затем переключения его в режим Drive. " ^[6]

«Атака Aurora предназначена для отключения автоматического выключателя, ожидания выхода системы или генератора из синхронизма и повторного включения выключателя, и все это до того, как система защиты распознает атаку и отреагирует на нее... Традиционные элементы защиты генератора обычно срабатывают и повторное включение блока примерно за 15 циклов. На это время влияет множество переменных, и каждую систему необходимо проанализировать, чтобы определить ее конкретную уязвимость к атаке Aurora... Хотя основной целью атаки Aurora является немедленное потенциальное окно возможностей в 15 циклов. после того, как целевой выключатель разомкнут, первоочередной проблемой является то, насколько быстро генератор выходит из системного синхронизма». ^[9]

Потенциальное воздействие

Выход из строя даже одного генератора может вызвать массовые отключения электроэнергии и, возможно, каскадный отказ всей энергосистемы, как это произошло во время отключения электроэнергии на северо-востоке страны в 2003 году . Кроме того, даже если нет сбоев в результате удаления одного компонента (устойчивость N-1), существует большой риск для второй атаки или отказа, поскольку замена разрушенного генератора может занять больше года, поскольку многие генераторы Трансформаторы изготавливаются по индивидуальному заказу.

Смягчения

Уязвимость Aurora можно смягчить, предотвратив несинфазное открытие и закрытие выключателей. Некоторые предлагаемые методы включают добавление функций защитных реле для обеспечения синхронности и добавление задержки включения выключателей. ^[10]

Одним из методов смягчения является добавление функции проверки синхронизма ко всем защитным реле, которые потенциально соединяют две системы вместе. Для реализации этой функции функция должна предотвращать замыкание реле, если напряжение и частота не находятся в заданном диапазоне.

Такие устройства, как реле проверки синхронизации IEEE 25 и IEEE 50, можно использовать для предотвращения несинфазного открытия и закрытия выключателей. ^[11]

Дизельные двигатели также могут быть оснащены независимыми датчиками, которые обнаруживают аномальные признаки вибрации. Можно спроектировать такой датчик, чтобы немедленно инициировать полное отключение генератора при обнаружении одного значительного отклонения от вибрации нормально работающего двигателя. ^[12] Однако ущерб от этого единственного отклонения уже может быть существенным, особенно если отсутствует упругая резиновая муфта между двигателем и генератором.

Критика

Была некоторая дискуссия о том, могут ли аппаратные устройства смягчения последствий Aurora (HMD) вызывать другие сбои. В мае 2011 года Quanta Technology опубликовала статью, в которой использовалось тестирование RTDS (цифровой симулятор реального времени) для изучения «производительности нескольких доступных коммерческих релейных устройств» шлемов Aurora HMD. Цитируем: «Реле подвергались различным категориям испытаний, чтобы выяснить, надежны ли их рабочие характеристики, когда они должны работать, и безопасны ли они в ответ на типичные переходные процессы в энергосистеме, такие как неисправности, колебания мощности и переключение нагрузки... В целом, в конструкции схемы защиты были обнаружены и задокументированы технические недостатки, полученные с использованием результатов тестирования RTDS в реальном времени. Тестирование RTDS показало, что до сих пор не существует единого решения, которое можно было бы широко применить в любом случае и которое могло бы обеспечить требуемую надежность. уровень." ^[13] В презентации Quanta Technology и Dominion в своей оценке надежности кратко говорится: «HMD не являются ни надежными, ни безопасными». ^[14]

Джо Вайс, специалист по системам кибербезопасности и контроля, оспорил выводы этого отчета и заявил, что он ввел в заблуждение коммунальные предприятия. Он написал: «Этот отчет нанес большой вред, подразумевая, что устройства подавления Aurora вызовут проблемы с энергосистемой. Несколько коммунальных предприятий использовали отчет Quanta в качестве основания для отказа от установки каких-либо устройств смягчения Aurora. К сожалению, в отчете есть несколько очень сомнительные предположения включают в себя применение начальных условий, для решения которых аппаратное обеспечение не предназначено, например, медленно развивающиеся неисправности или отклонения от номинальных частот сети. Существующая защита будет направлена на «медленно развивающиеся» неисправности и отклонения от номинальных частот сети (<59 Гц или >61). Гц). Аппаратные устройства Aurora предназначены для устранения очень быстрых сбоев в фазе, которые в настоящее время являются пробелами в защите (т. е. не защищены каким-либо другим устройством) сети». ^[15]

Хронология

4 марта 2007 года Национальная лаборатория Айдахо продемонстрировала уязвимость Авроры. ^[16]

21 июня 2007 г. NERC уведомила отрасль об уязвимости Aurora. ^[17]

27 сентября 2007 г. телеканал CNN опубликовал на своей домашней странице ранее засекреченное демонстрационное видео атаки на Аврору. ^[1] Это видео можно скачать отсюда .

13 октября 2010 г. NERC опубликовала рекомендации для промышленности относительно уязвимости Aurora. ^[17]

3 июля 2014 года Министерство внутренней безопасности США опубликовало 840 страниц документов, связанных с Авророй. ^[5]

См. также

Ссылки

^ Jump up to: ^а ^б ^с «Щелчок мышью может погрузить город во тьму, говорят эксперты» . CNN . 27 сентября 2007 года . Проверено 30 января 2020 г.
^ «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 91 . Проверено 30 января 2020 г.
^ Jump up to: ^а ^б ^с Гринберг, Энди (23 октября 2020 г.). «Как 30 строк кода взорвали 27-тонный генератор» . Проводной . Проверено 11 декабря 2021 г.
^ Гринберг, Энди (23 октября 2020 г.). «Как 30 строк кода взорвали 27-тонный генератор» . Проводной . Проверено 11 декабря 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и «Запрос FOIA — Операция Аврора» . Макрок . 17 мая 2014 года . Проверено 30 января 2020 г.
^ Jump up to: ^а ^б ^с ^д «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 59 . Проверено 30 января 2020 г.
^ «Главный сценарий» (PDF) . МЕЖДУНАРОДНЫЙ МУЗЕЙ ШПИОНА . п. 217 . Проверено 30 января 2020 г.
^ «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 134 . Проверено 30 января 2020 г.
^ Зеллер, Марк. «Распространенные вопросы и ответы, касающиеся уязвимости Aurora» . Швейцер Инжиниринг Лабораториз, Инк . Проверено 30 января 2020 г.
^ Зеллер, Марк. «Миф или реальность: представляет ли уязвимость «Авроры» риск для моего генератора?» . Швейцер Инжиниринг Лабораториз, Инк . Проверено 30 января 2020 г.
^ «Предотвращение нежелательного повторного включения вращающегося аппарата (Аврора)» (PDF) . Комитет по реле и управлению энергосистемами . Проверено 30 января 2020 г.
^ SRW Mills (2010). Справочник по мониторингу и анализу вибрации . Британский институт неразрушающего контроля.
^ «Электронные новости QT» (PDF) . Квантовые технологии . п. 3 . Проверено 30 января 2020 г.
^ «Аппаратные устройства для устранения уязвимостей Aurora (HMD)» (PDF) . Квантовые технологии . 24 июля 2011 года . Проверено 30 января 2020 г. ^{[ постоянная мертвая ссылка ]}
^ «Последняя информация Aurora – это касается ЛЮБОГО потребителя электроэнергии, имеющего трехфазное вращающееся электрооборудование!» . Беспрепятственный блог . 4 сентября 2013 года . Проверено 30 января 2020 г.
^ «Видео из США показывает, как хакер проник в энергосистему» . США сегодня . 27 сентября 2007 года . Проверено 30 января 2020 г.
^ Jump up to: ^а ^б «NERC выпускает предупреждение AURORA для промышленности» (PDF) . НКРЭ . 14 октября 2010 г. Архивировано из оригинала (PDF) 12 августа 2011 г. Проверено 30 января 2020 г.

Внешние ссылки

[CNN_article_2007/09/27-1] Jump up to: ^а ^б ^с «Щелчок мышью может погрузить город во тьму, говорят эксперты» . CNN . 27 сентября 2007 года . Проверено 30 января 2020 г.

[MuckRock_FOIA_response_documents,_page_91-2] «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 91 . Проверено 30 января 2020 г.

[Greenberg-3] Jump up to: ^а ^б ^с Гринберг, Энди (23 октября 2020 г.). «Как 30 строк кода взорвали 27-тонный генератор» . Проводной . Проверено 11 декабря 2021 г.

[4] Гринберг, Энди (23 октября 2020 г.). «Как 30 строк кода взорвали 27-тонный генератор» . Проводной . Проверено 11 декабря 2021 г.

[MuckRock_FOIA_request-5] Jump up to: ^а ^б ^с ^д ^и «Запрос FOIA — Операция Аврора» . Макрок . 17 мая 2014 года . Проверено 30 января 2020 г.

[MuckRock_FOIA_response_documents,_page_59-6] Jump up to: ^а ^б ^с ^д «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 59 . Проверено 30 января 2020 г.

[International_Spy_Museum,_Master_Script-7] «Главный сценарий» (PDF) . МЕЖДУНАРОДНЫЙ МУЗЕЙ ШПИОНА . п. 217 . Проверено 30 января 2020 г.

[MuckRock_FOIA_response_documents,_page_134-8] «Запрос FOIA — Операция Аврора» (PDF) . Макрок . п. 134 . Проверено 30 января 2020 г.

[Common_Questions_and_Answers-9] Зеллер, Марк. «Распространенные вопросы и ответы, касающиеся уязвимости Aurora» . Швейцер Инжиниринг Лабораториз, Инк . Проверено 30 января 2020 г.

[Myth_or_Reality-10] Зеллер, Марк. «Миф или реальность: представляет ли уязвимость «Авроры» риск для моего генератора?» . Швейцер Инжиниринг Лабораториз, Инк . Проверено 30 января 2020 г.

[Avoiding_unwanted_reclosing_on_rotating_apparatus_(Aurora)-11] «Предотвращение нежелательного повторного включения вращающегося аппарата (Аврора)» (PDF) . Комитет по реле и управлению энергосистемами . Проверено 30 января 2020 г.

[12] SRW Mills (2010). Справочник по мониторингу и анализу вибрации . Британский институт неразрушающего контроля.

[Quanta_Technology_Newsletter,_Volume_2,_Issue_2,_Spring_2011-13] «Электронные новости QT» (PDF) . Квантовые технологии . п. 3 . Проверено 30 января 2020 г.

[Quanta_Technology_and_Dominion_July_2011_presentation-14] «Аппаратные устройства для устранения уязвимостей Aurora (HMD)» (PDF) . Квантовые технологии . 24 июля 2011 года . Проверено 30 января 2020 г. ^{[ постоянная мертвая ссылка ]}

[Unfettered_Blog,_September_4,_2013-15] «Последняя информация Aurora – это касается ЛЮБОГО потребителя электроэнергии, имеющего трехфазное вращающееся электрооборудование!» . Беспрепятственный блог . 4 сентября 2013 года . Проверено 30 января 2020 г.

[USAToday_2007_Hacker_Video-16] «Видео из США показывает, как хакер проник в энергосистему» . США сегодня . 27 сентября 2007 года . Проверено 30 января 2020 г.

[NERC_Aurora_Alert,_October_14,_2010-17] Jump up to: ^а ^б «NERC выпускает предупреждение AURORA для промышленности» (PDF) . НКРЭ . 14 октября 2010 г. Архивировано из оригинала (PDF) 12 августа 2011 г. Проверено 30 января 2020 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]