Секретный эксперимент: как 30 строк кода взорвали 27-тонный генератор

На обложке изображена диспетчерская Национальной лаборатории Айдахо. Фотография: Джим Макали via The New York Times / Redux / Wired

Секретный эксперимент 2007 года доказал, что хакеры могут разрушить электросеть без возможности восстановления — с помощью лишь файла, размером не больше обычной гифки.

Ранее на этой неделе, Министерство юстиции США обнародовало обвинение против группы хакеров, известной как Sandworm. В документе шести хакерам, якобы работающим на российское военное разведывательное управление ГРУ, были предъявлены обвинения в компьютерных преступлениях, связанных кибератаками по всему миру, от саботажа зимних Олимпийских игр 2018 года в Корее до распространения самого разрушительного вредоносного ПО в истории Украины.

Атака на энергосистему Украины в 2016 году, по всей видимости, была предназначена не просто для отключения электричества, но и для нанесения физического ущерба электрическому оборудованию, отмечает Exploit.media. И когда один исследователь кибербезопасности по имени Майк Ассанте углубился в детали этой атаки, он понял, что способ взлома был изобретен не российскими хакерами, а правительством США, и уже был протестирован десятилетием ранее.

У издания WIRED вышла статья с отрывком из книги SANDWORM: Новая эра кибервойны и охоты на самых опасных хакеров Кремля, опубликованной на прошлой неделе. В издании Exploit.media перевели ее и предлагают прочитать увлекательную историю об одном из самых ранних удачных экспериментов по взлому сети. Сегодня он по-прежнему служит мощным предупреждением о потенциальных последствиях кибератак для физического мира и мрачным предчувствием грядущих атак Sandworm


Холодным и ветреным утром в марте 2007 года Майк Ассанте прибыл в Национальную лабораторию Айдахо в 32 милях к западу от Айдахо-Фоллс, здание посреди огромного высокого пустынного ландшафта, покрытого снегом и полынью. Он вошел в зал внутри центра для посетителей, где собиралась небольшая толпа. В группу вошли должностные лица из Министерства внутренней безопасности, Министерства энергетики и Североамериканской корпорации по надежности электроснабжения (NERC), руководители нескольких электроэнергетических компаний по всей стране, а также другие исследователи и инженеры, которым, как и Ассанте, было поручено национальной лаборатории, чтобы проводить свои дни в воображении катастрофических угроз критически важной инфраструктуре Америки.

В передней части комнаты был массив видеомониторов и каналов передачи данных, настроенных так, чтобы быть обращенными к сиденьям стадиона в комнате, как центр управления полетом при запуске ракеты. На экранах была показана прямая трансляция с нескольких ракурсов массивного дизельного генератора. Машина была размером со школьный автобус, мятно-зеленая, гигантская масса стали весом 27 тонн, это примерно столько же, сколько весит танк М3 Брэдли. Он находился в миле от аудитории, на электрической подстанции, производя электричество, достаточное для питания госпиталя или военного корабля, и издавая устойчивый рев. Волны тепла, исходящие от его поверхности, покачивали горизонт на изображении видеопотока.

Ассанте и его коллеги-исследователи из INL купили генератор за 300 000 долларов на нефтяном месторождении на Аляске. Они отправили его за тысячи миль на испытательный полигон Айдахо, участок земли площадью 890 квадратных миль, где национальная лаборатория обслуживала значительную электрическую сеть с целью тестирования, в комплекте с 100 километровой линий электропередачи и семью электрических подстанций.

Теперь, когда Ассанте выполнил свою работу должным образом, они собирались ее уничтожить. И собравшиеся исследователи планировали уничтожить этот очень дорогой и устойчивый механизм не с помощью какого-либо физического инструмента или оружия, а с помощью около 140 килобайт данных, файла меньше, чем среднестатистическая гифка с котиком, опубликованная сегодня в Twitter.‌


‌Три года назад Ассанте был начальником службы безопасности American Electric Power, коммунального предприятия с миллионами клиентов в 11 штатах от Техаса до Кентукки. Бывший офицер ВМФ, ставший инженером по кибербезопасности, Ассанте хорошо осознавал возможность хакерских атак на энергосистему. Но он был встревожен, увидев, что большинство его коллег в электроэнергетической отрасли имели относительно упрощенное представление об этой все еще теоретической и отдаленной угрозе. Если хакеры каким-то образом проникли в сеть коммунального предприятия и начали открывать автоматические выключатели, в то время в отрасли считалось, что персонал может просто выгнать злоумышленников из сети и снова включить питание. «Мы могли бы справиться с этим, как шторм», — вспоминает Ассанте слова своих коллег. «Как это предполагалось, это было бы похоже на отключение, и мы оправились бы от сбоя, и это был предел размышлений о модели риска».

Но Ассанте, обладавший редким уровнем знаний в области перекрестной связи между архитектурой электрических сетей и компьютерной безопасностью, пришел в голову более хитрая мысль. Что, если бы злоумышленники не просто захватили системы управления операторов сети, чтобы переключать переключатели и вызывать кратковременные отключения электроэнергии, но вместо этого перепрограммировали автоматизированные элементы сети, компоненты, которые принимали свои собственные решения о работе сети без проверки с кем-либо?‌

Изображение может содержать Пейзаж На открытом воздухе Природа Пейзаж Дорога и вид с воздуха

‌В частности, Ассанте думал об устройстве, называемом защитным реле. Защитные реле предназначены для работы в качестве защитного механизма для защиты от опасных физических условий в электрических системах. Если линии перегреваются или генератор выходит из синхронизации, именно эти защитные реле обнаруживают аномалию и размыкают автоматический выключатель, отключая место неисправности, экономя драгоценное оборудование и даже предотвращая пожары. Защитное реле выполняет роль своего рода спасателя для сети.

Но что, если это защитное реле может быть парализовано — или, что еще хуже, повреждено так, что оно станет ковровой дорожкой для полезной нагрузки атакующего?

Этот тревожный вопрос был задан Ассанте в Национальную лабораторию Айдахо, когда он работал в электроэнергетике. Теперь, в центре посетителей испытательного полигона лаборатории, он и его коллеги-инженеры собирались воплотить в жизнь свою самую злую идею. Секретному эксперименту было дано кодовое название, которое станет синонимом возможности цифровых атак с физическими последствиями: Аврора.‌


Директор по тестированию зачитал время: 11:33. Он проверил с инженером по технике безопасности, что вокруг дизельного генератора лаборатории нет посторонних. Затем он дал добро одному из исследователей кибербезопасности в офисе национальной лаборатории в Айдахо-Фолс, чтобы начать атаку. Как и любой настоящий цифровой саботаж, этот будет совершаться за много миль, через Интернет. В ответ на это смоделированный хакер отправил примерно тридцать строк кода со своей машины на защитное реле, подключенное к дизельному генератору размером с автобус.

Внутренняя часть этого генератора до того момента, когда он был саботажирован, исполняла своего рода невидимый, идеально гармонизированный танец с электрической сетью, к которой он был подключен. Дизельное топливо в его камерах распылялось и взорвалось с нечеловеческой синхронизацией, чтобы сдвинуть поршни, которые вращали стальной стержень внутри двигателя генератора — полная сборка была известна как «первичный двигатель» — примерно 600 раз в минуту. Это вращение осуществлялось через резиновую втулку, предназначенную для уменьшения любой вибрации, а затем в компоненты, генерирующие электричество: стержень с рычагами, обмотанный медной проводкой, заключенный между двумя массивными магнитами, так что каждое вращение индуцировало электрический ток в проводах. Достаточно быстро закрутите эту массу намотанной меди, и она произведет переменный ток частотой 60 Гц, подавая свою энергию в гораздо большую сеть, к которой он был подключен.

Защитное реле, прикрепленное к этому генератору, было разработано так, чтобы предотвратить его подключение к остальной части энергосистемы без предварительной синхронизации с точным ритмом: 60 герц. Но хакер Ассанте в Айдахо-Фоллс только что перепрограммировал это защитное устройство, перевернув его логику с ног на голову.

В 11:33 и 23 секунды защитное реле обнаружило, что генератор синхронизирован идеально. Но затем его испорченный мозг сделал противоположное тому, для чего был создан: он открыл автоматический выключатель, чтобы отключить машину.

Когда генератор был отсоединен от большей цепи электрической сети Национальной лаборатории Айдахо и освобожден от бремени деления этой обширной системы, он мгновенно начал ускоряться, вращаясь быстрее. Как только защитное реле обнаружило, что вращение генератора увеличилось до полной несинхронизации с остальной частью сети, его логика, специально перевернутая хакером, немедленно подключила его к механизму сети.

В тот момент, когда дизель-генератор снова был подключен к более крупной системе, он был поражен с роковой силой любого другого вращающегося генератора в сети. Все это оборудование вернуло относительно небольшую массу вращающихся компонентов дизельного генератора к исходной, более медленной скорости, чтобы соответствовать частотам его соседей.

На экранах собравшаяся аудитория наблюдала, как гигантская машина тряслась с внезапной ужасной силой, издавая звук, похожий на удары кнута. Весь процесс с момента запуска вредоносного кода до первой дрожи занял лишь долю секунды.

Черные куски начали вылетать из панели доступа к генератору, которую исследователи оставили открытой для наблюдения за его внутренностями. Внутри черная резиновая втулка, соединяющая две половинки вала генератора, рвалась на части.

Через несколько секунд машина снова затряслась, когда код защитного реле повторил свой цикл саботажа, отключив машину и снова подключив ее не синхронно. На этот раз облако серого дыма начало вырываться из генератора, возможно, в результате горения обломков резины внутри него.

Ассанте, несмотря на месяцы усилий и миллионы долларов из федеральных фондов, которые он потратил на разработку атаки, свидетелями которой они были, каким-то образом почувствовал некоторую симпатию к машине, когда ее разрывали изнутри. «Вы начинаете болеть за это, как за маленький двигатель, — вспоминал Ассанте. «Я думал:« Ты справишься!»»

Машина не выжила. После третьего попадания она выпустила большее облако серого дыма. После четвертого удара струя черного дыма поднялась над машиной на 10 метров в воздух.

Директор по испытанию закончил эксперимент и в последний раз отключил разрушенный генератор от сети, оставив его смертельно неподвижным. В ходе последующего судебно-медицинского анализа исследователи лаборатории обнаружили, что вал двигателя столкнулся с внутренней стенкой двигателя, оставив глубокие выемки на обеих сторонах и заполнив внутреннюю часть машины металлической стружкой. С другой стороны генератора его проводка и изоляция расплавились и сгорела. Машина была уничтожена.

После демонстрации в центре для посетителей воцарилась тишина. «Это был трезвый момент», — вспоминает Ассанте. Инженеры только что без сомнения доказали, что хакеры, атаковавшие электрическую сеть, могут выйти за рамки временного нарушения работы жертвы: они могут повредить ее самое важное оборудование, которое нельзя будет восстановить. «Представьте себе, как бы это произошло с машиной на реальном заводе, это было бы ужасно», — говорит Ассанте. «С помощью всего нескольких строк кода вы можете создать условия, которые физически могут нанести серьезный ущерб машинам, на которые мы полагаемся».

Но Ассанте также помнит, как почувствовал что-то более серьезное в моменты после эксперимента «Аврора». Было ощущение, что, подобно Роберту Оппенгеймеру, наблюдающему за первым испытанием атомной бомбы в другой национальной лаборатории США шестью десятилетиями ранее, он был свидетелем рождения чего-то исторического и чрезвычайно мощного.‌

По материалам Wired.

Читайте также: