Kim Zetter Stuxnet Книга Перевод

Kim Zetter. Countdown to zero day. Глава 9. Системы управления вне контроля. Часть 3.

На протяжении многих лет многочисленные сценарии Судного дня пытались предугадать возможные последствия массовой...

Kim Zetter. Countdown to zero day. Глава 9. Системы управления вне контроля. Часть 3.

На протяжении многих лет многочисленные сценарии Судного дня пытались предугадать возможные последствия массовой кибератаки.41 Но до настоящего времени такой атаки не было, а непреднамеренные проблемы, связанные с системами управления, намного превосходили преднамеренные.

Достаточно взглянуть на случайные промышленные катастрофы, чтобы увидеть степень ущерба, который может нанести кибератака, поскольку часто последствия промышленной аварии могут быть воспроизведены и в преднамеренной атаке. Умный хакер может просто наблюдать и изучать причины и последствия случайных катастроф прям с экрана своего телевизора, а затем использовать их для разработки собственной атаки, которая приведет как минимум к таким же разрушительным результатам.

Кит Александр из АНБ привел свой пример катастрофической атаки, произошедшей на Саяно-Шушенской ГЭС на юге Сибири, в качестве того, какие последствия может иметь кибератака.42 Тридцатилетняя плотина, шестая по величине в мире, высотой в восемьсот футов и общей протяжностью около полумили через живописное ущелье на реке Енисей рухнула в 2009 году, убив 75 человек.

Сразу после полуночи 17 августа 940-тонная турбина из электростанции плотины была поражена внезапным скачком давления воды, который сорвал ее крепления и заставил подлететь в воздух. Когда гейзер воды затопил машинное отделение шахты, где находилась турбина, он нанес еще больший ущерб более чем полудюжине других турбин, вызвав множественные взрывы и обрушение крыши.

Катастрофа частично объяснялась пожаром на Братской электростанции, расположенной примерно в пятистах милях отсюда, что привело к падению выработки энергии из Братска. Это заставило поднять нагрузку на турбинах на Саяно-Шушенской ГЭС. Но одна из турбин уже на тот момент подходила к концу своего срока службы, и иногда начинала странно вибрировать. Несколькими месяцами ранее на станции была установлена новая система управления, чтобы как-то стабилизировать машину, но вибрации от дополнительной нагрузки оказались слишком сильными. Болты, удерживающие турбину, сорвало, и она оказалась полностью откреплена. На снимках камер наблюдения видно, как рабочие перебираются через оборудование, пытаясь сбежать со станции. Кроме гибели 75 рабочих и затопленной местности вокруг, из станции в реку Енисей вытекло 100 тонн нефти, убив этим 4 тысячи тонн форели на местных объектах рыбного промысла. Эксперты подсчитали, что восстановление дамбы займет четыре года и 1,3 миллиарда долларов.43

Взрыв трубопровода в июне 1999 года в Вашингтоне также послужил отличным уроком для хакеров. В этот раз трубопровод диаметром 16 дюймов, принадлежащий компании Olympic Pipe Line Company в Беллингеме, разорвался и выбросил более 237 тысяч галлонов бензина в ручей в парке Утком Фоллс. Бензин лился из трубы в течение полутора часа, а затем загорелся, словно греческий огонь, который растянулся на полторы мили вниз по течению, убив двух десятилетних мальчиков, подростка, еще 8 людей получили ожоги. Хотя в основном катастрофе способствовали многочисленные неполадки, в том числе неправильно настроенные клапаны и экскаватор, который ослабил часть трубы, безответная система управления также сыграла свою роль. «Если бы компьютерные системы SCADA продолжали реагировать на команды операторов из Olympic», — выяснили следователи, — «контроллер, работающий на аварийном трубопроводе, вероятно, мог бы предпринять действия, которые предотвратили бы повышение давления, вызвавшее разрыв трубопровода».44

Операторам потребовалось больше часа, чтобы зарегистрировать утечку, и к тому времени жители уже начали звонить в 911, жалуясь на сильный запах нефти в ручье. И хотя утечка бензина была вызвана не хакерами, при дальнейшем следствии, эксперты обнаружили, что системы Olympic обладали рядом проблем с безопасностью, и были уязвимы к атакам. Например, компания установила удаленный коммутируемый доступ для своей системы управления SCADA, которая была защищена только логином и паролем, а ее бизнес-сети и сети SCADA были взаимосвязаны. Хотя они были соединены мостом, который обеспечивал минимальную безопасность от случайных вторжений, соединение не имело надежного фаервола, а также защиты от вирусов и мониторинга доступа, что повышало вероятность того, что опытный хакер может проникнуть в бизнес-сеть из интернета, а затем войти и в критические сети SCADA.

 Взрыв газопровода в Сан-Бруно, штат Калифорния, в 2010 году был еще одним из наихудших сценариев, который послужил тревожным звоночком для многих людей. Взрыв произошел после того, как в результате технического обслуживания блока бесперебойного питания, или ИБП, в системе SCADA отключилось электричество. Регулирующий клапан на трубопроводе был запрограммирован на автоматическое открытие, в случае, если система SCADA была обесточена, в результате газ беспрепятственно начал заливаться в трубопровод, вызывая все большее давление в и без того стареющей конструкции, пока она не лопнула. И поскольку система SCADA была обесточена, операторы даже не понимали, что на самом деле происходит с трубопроводом.45

В декабре 2005 года в Миссури произошло обрушение дамбы. Катастрофа произошла в следствии отсоединения датчиков от стены, что в результате не дало им обнаружить, когда резервуар плотины объемом 1,5 миллиарда галлонов стал переполнен. Насосы продолжали подавать воду в резервуар, и в очередной раз «безотказная» система отключения не сработала.46 Переполнение началось около 5:10 утра, и спустя шесть минут 60-футовая секция парапета обрушилась. Более миллиарда галлонов хлынули безумным потоком вниз с горы Проффит, сметая на своем пути деревья и камни, после чего поток вошел в закрытый Государственный Парк Джонсона, смыл дом управляющего парком – с жильцами внутри – и отнес здание на четверть мили.47 К счастью никто не пострадал, но на соседнем шоссе течением смело несколько десятков машин, а палаточный лагерь, расположенный недалеко от парка, полностью затопило. По счастливой случайности, поскольку стояла зима, лагерь был пуст.

Примерами для цифровых атак также служат и железнодорожные аварии. Системы, которые управляют пассажирскими поездами, объединяют в себе множество, часто взаимосвязанных компонентов, которые обеспечивают хакерам множество путей для атаки: системы контроля доступа, для посадки пассажиров по билетах, системы обработки кредитных карт, цифровые рекламные системы, управление освещением и мультимедиа, не говоря уже о более важных системах реагирования на пожары и чрезвычайные ситуации, управление железнодорожными переездами и семафорами, а также работы самих поездов. В прошлом эти системы были разделены и взаимодействовали между собой только посредством проводов. Но сегодня системы стают все более цифровыми и взаимосвязанными, включая системы, которые взаимодействуют между собой посредством радиосигналов и незашифрованных команд. И хотя железнодорожные системы имеют множество отказоустойчивых механизмов для предотвращения аварий, когда многие системы взаимосвязаны, это создает возможность для настройки неправильных конфигураций, которые могут позволить кому-то получить доступ к системам безопасности и подорвать их.

22 июня 2009 года пассажирский поезд в метро Вашингтона столкнулся с другим поездом, остановившимся на путях, погиб один водитель и восемь пассажиров, еще 80 пассажиров пострадало. Неисправные датчики на путях не смогли обнаружить стоящий состав и сообщить об этом движущемуся поезду. Несмотря на то, что последний поезд был оснащен противоударными датчиками, которые должны были начать аварийную остановку состава в случае, если перед ним на расстоянии 1200 футов стоял другой поезд, эта система также отказала. В добавок ко всему этому, водитель движущегося поезда почему-то не среагировал, и не начал ручное торможение. Десять лет назад ретрансляторы в той же системе метро несколько раз посылали поездам неверные сигналы – один раз, поезд, который должен был ехать 15 миль в час, мчался по рельсам со скоростью 45 миль/час.48

Все эти инциденты были случайными, но были же и преднамеренные. В Польше в 2008 году четырнадцатилетний мальчик в Лодзе вызвал крушение нескольких поездов. Он использовал инфракрасный порт модифицированного телевизионного пульта дистанционного управления, чтобы переключить трамвайные пути. Четыре трамвая сошли с рельс, двенадцать человек получили ранения.49

Хотя способов атаковать критическую инфраструктуру существует великое множество, одним из наиболее эффективных можно считать атаки на энергосистему, поскольку электроэнергия лежит в основе всей критической инфраструктуры. Отключение электричества на длительный период затронет большой список критической служб и объектов – пригородные поезда и светофоры, банки и фондовые биржи, школы и военные объекты, холодильники, контролирующие температуру продуктов питания кровоснабжения, респираторы, кардиомониторы и другое жизненно важное оборудование в больницах, взлетно-посадочные полосы и системы управления воздушным движением в аэропортах. На некоторых критических объектах будут работать генераторы, но они не являются жизнеспособным решением, если речь идет о длительном отключении электропитания, а в случае с атомными электростанциями, в соответствии с правилами, переход на генераторную мощность вызывает автоматическое, постепенное отключение станции.

Один из способов нацелить атаку на электроэнергию – смарт-счетчики электричества, которые начали тысячами устанавливаться в домах и на предприятиях Америки, отчасти, благодаря правительственной программе внедрения интеллектуальных сетей на сумму 3 миллиарда долларов, которая ускорила распространение смарт-счетчиков, не обеспечив им перед этим соответствующие технологии безопасности.

Одна из главных проблем, обнаруженных исследователями безопасности в этой системе, заключается в том, что смарт-счетчики имеют функцию удаленного отключения, которая позволяет коммунальным компаниям включить или выключить подачу электроэнергии в здание без необходимости посылать на место специалиста. Но с помощью этой функции хакер может захватить контроль над счетчиками и отключить таким образом питание тысячам клиентов, да еще и включить ее обратно будет не так просто, как выключить. В 2009 году исследователь по имени Майк Дэвис разработал червя, который как раз делал это.

Дэвис был нанят коммунальной компанией на Тихоокеанском Северо-Западе, чтобы изучить безопасность смарт-счетчиков, которые компания планировала развернуть для клиентов. Как и в случае с ПЛК Siemens, которые исследовал Бересфорд, Дэвис обнаружил, что умные счетчики были неразборчивыми и взаимодействовали с любыми другими смарт-счетчиками в окрестностях, если те использовали тот же протокол связи. Они даже принимали обновления прошивки от других счетчиков. Все что нужно было хакеру для обновления микропрограммы счетчика – это ключ сетевого шифрования. Но поскольку все счетчики, которые планировала установить компания, имели один и тот же сетевой ключ, вшитый в прошивку, злоумышленнику требовалось лишь извлечь ключ, и использовать его для доставки вредоносных обновлений на остальные счетчики. «Как только мы получим контроль хотя бы над одним устройством, у нас будет почти все, что нужно» — сказал Дэвис. «Подобную ситуацию мы уже наблюдали с кучей других умных счетчиков от разных производителей, которые мы исследовали».50

Счетчики взаимодействовали между собой по радио и всегда находились в режиме поиска, чтобы обнаруживать другие счетчики поблизости. Некоторые из них, могли взаимодействовать между собой на расстоянии до нескольких миль. Те, которые исследовал Дэвис, достигали примерно 400 футов, чуть больше длины футбольного поля – этого было более чем достаточно, чтобы распространить вредоносное обновление между соседними домами, которое вырубило бы электричество и распространило червя на остальные счетчики. Для начала заражения Дэвису даже не понадобилось бы взламывать чей-то счетчик, он мог просто купить себе собственный такой же марки – при условии, что он имел необходимый протокол связи – загрузить на него свой зловред, а потом поместить его в непосредственной близости с другими счетчиками. «Из-за использования радиосигнала он будет автоматически обнаружен другими смарт-счетчиками вокруг него», — объяснил Дэвис. Как только обновление будет завершено, счетчик жертвы перезапуститься и автоматически начнет распространять свое обновление на остальные счетчики в пределах диапазона его действия, запуская таким образом цепную реакцию. В свое время операторы даже не будут знать о том, что на датчиках изменилась прошивка, пока в соседних районах не начнет пропадать электричество.

Обычно счетчики обновляются удаленно через центральную сеть коммунальной компании или через специалиста, который использует специальный ключ на ноутбуке для беспроводной связи со счетчиками. Когда Дэвис и его команда сообщили производителю, что они могут написать программное обеспечение, которое автоматически распространится от одного счетчика к другому без использования центральной сети и ключа, тот усмехнулся и сказал, что счетчики не имеют возможности инициировать обновление прошивки для других счетчиков. «Они сказали нам… что это не было частью их набора функций», — вспоминает Дэвис, после чего он отвечает им, — «Мы знаем, мы добывали ее сами». Производители все еще не верили в действенность такой атаки, поэтому Дэвис написал программу для симуляции заражения в жилом районе Сиэтла, которая за день распространилась на 20 тысяч смарт-счетчиков.51 «К концу 24 часов, мы достигли почти полного компромисса», — говорит он. Вирус распространялся на один метр за раз, но в реальном мире атака продвигалась бы гораздо быстрее, так как хакеры могли бы разослать множество обновлений микропрограмм в такое же множество стратегически расположенных домов по всему городу.

Поставщики все также насмехались с Дэвиса, доказывая ему, что для обновления каждого счетчика червю понадобится от двух до четырех минут, за это время технические специалисты обнаружат сбой, и он не успеет распространиться на большое количество устройств. Затем они просто удаленно отправят новое обновление, чтобы снова включить электропитание. Именно тогда Дэвис нанес финальный, добивающий удар и сказал, что вредоносное ПО не только отключало питание в домах, оно также удаляло функцию обновления встроенного ПО на счетчиках, чтобы те больше не могли обновляться. Чтобы восстановить подачу электроэнергии, техникам нужно было заменить счетчики в каждом доме или взять их обратно в лабораторию и наново прошить их программное обеспечение. «Это действительно привлекло их внимание», — не без улыбки говорил Дэвис. «Мы доказали им, что все их устройства могут выйти из-под контроля задолго до того, как они смогут понять, что вообще происходит».

С момента проведения симулированной атаки, Дэвис видел, что производители начали улучшать свои устройства. Сейчас некоторые поставщики используют несколько сетевых ключей для разных районов города, чтобы ограничить ущерб, который сможет нанести хакер с помощью одного ключа. Но удаленное отключения все также остается главной проблемой для большинства смарт-счетчиков, поскольку злоумышленник, который взломает программное обеспечение центральной сети сможет сделать то же самое, что и червь Дэвиса, но гораздо более простым путем. «Если бы в счетчиках не было удаленного отключения, ничего из остального на самом деле не было большой проблемой», — уверяет Дэвис. «По-моему, если в счетчике есть реле дистанционного отключения, независимо от того, включено оно или нет… это действительно большая, ужасная проблема».

Взлом смарт-счетчиков – это эффективный способ отрезать электричество отдельным домам или целым районам. Но еще более эффективной и массовой атакой будет уничтожение генераторов, питающих сеть, или систем передачи электричества потребителям. Министр обороны Леон Панетта заявил на слушаниях в июне 2011 года, что, по его мнению, следующий Перл Харбор, который переживет страна, вполне может быть кибератакой.

Североамериканская энергосистема является большой и сложной, и фактически состоит из трех крупных региональных сетей, известных как восточная, западная и техасская соединения. Эти сети состоят из более чем 450 тысяч миль высоковольтных линий электропередач, принадлежащих и эксплуатируемых примерно трем тысячам коммунальных служб. Поскольку энергия, как и любой товар, продается, она иногда направляется на огромные расстояния между государствами и внутри них, чтобы удовлетворить спрос, например, Cal-ISO, организации, которая была взломана в 2001 году. Хотя существование многих независимых систем означает, что атака на одну из коммунальных станций или подстанций будет иметь ограниченный эффект, их взаимосвязанность означает, что скоординированная и стратегическая атака на ряд систем может привести к каскадным отключениям, что может погрузить пользователей в темноту даже на несколько недель.52

Например, автоматические выключатели, контролирующие распределительные линии, предназначенные для обнаружения опасного скачка напряжения и предотвращения таким образом аварий и повреждений электросетей. Однако, когда выключается один выключатель, питание от этой линии, автоматически перенаправляется на другие. Если и эти линии достигнут края своей пропускной способности, их выключатели также выключатся, вызывая этим массовые отключения электроэнергии. Но хорошо продуманная атака может привести к отключению выключателей на одних линиях, манипулируя настройками других линий, чтобы предотвратить срабатывание выключателей, что в конечном итоге приведет к перегреву линий при превышении их пропускной способности.

Перегрев линий вызывает их провисание или плавление. Провисшие линии электропередач стали причиной отключения электроэнергии в 2003 году на северо-востоке страны, в результате чего 50 миллионов человек в восьми штатах и некоторых регионах Канады лишись электроэнергии. В этот раз вновь вина последовала не за хакерами, а за ошибкой в программном обеспечении, которая помешала раннему обнаружению и предотвращению отключения электричества.

Проблема возникла в штате Огайо, где провисшие линии электропередач запутались в ветках деревьев, положение усугубила неисправная система оповещений в центре управления FirstEnergy, которая не смогла зарегистрировать неисправности в системе, тем самым оставив операторов в неведении относительно ухудшения условий. Примерно за два с половиной часа до того, как произошло отключение электроэнергии, промышленные потребители, и даже другие электростанции звонили в FirstEnergy, чтобы сообщить о низком напряжении и периодических отключениях электричества – первые признаки того, что в сети назревают серьезные проблемы. Но поскольку операторы FirstEnergy не видел никаких признаков проблем на своих мониторах, они предположили, что проблема заключается в чем-то другом. «Видимо, это в наших подрядчиков возникли какие-то проблемы», — сказал оператор FirstEnergy одному из звонящих, указывая пальцем на другую компанию.53 Только когда в комнате управления FirstEnergy погас свет, операторы поняли, что проблемы все-таки были в их собственной системе. В конце концов они отследили сбой в системе оповещения в ошибке программного обеспечения. «Ошибка никогда не проявляла себя до сегодняшнего дня», — позже оправдывался представитель FirstEnergy, — «Ошибка была насколько глубоко зарыта, что нам потребовались недели на изучение миллионов строк кода и данных, прежде найти ее».54

Еще более разрушительной атакой, чем атака на распределительные линии, было бы нацеливание на оборудование подстанций, которое подает электричество к этим линиям. Сеть состоит из более чем 15 тысяч узлов, или подстанций, разделенных на три типа — генераторные подстанции, которые создают электроэнергию, передающие электростанции, которые передают ее между линиями электропередач, и распределительные подстанции, которые доставляют электроэнергию непосредственно к ее потребителям.55

Хорошая новость заключается в том, что электрические системы принадлежат и управляются множеством коммунальных служб, каждая из которых использует свое оборудование и конфигурации. А это делает невозможным создание одной универсальной атаки, которая распространиться одновременно на все энергосистемы. Но региональные атаки и отключения остаются все такими же актуальными. А атаки, которые уничтожают промышленные генераторы на электростанциях, сделает их восстановление еще более трудным. Именно в этом и состоял смысл испытания генератора Аврора. 

Названное в честь римской богини, матери четырех ветров, испытание имело свои истоки еще в каскадном северо-восточном отключении электричества в далеком 2003 году. Длилось это отключение не так долго — два дня, но дало людям понять, насколько широки возможности дистанционных атак на электростанции, последствия которых, к тому же, не так просто восстановить. Майк Ассанте отвечал за сбор команды для проверки гипотезы.

Будучи офицером военно-морской разведки в 2001 году, Ассанте был назначен на работу в новый Национальный Центр защиты инфраструктуры при ФБР в Вашингтоне, округ Колумбия, для изучения рисков, связанных с кибератаками на энергетические инфраструктуры. Через год он ушел из военно-морского флота, чтобы устроиться на работу в American Electric Power(AEP), одну из крупнейших электроэнергетических компаний в стране. AEP нужна была помощь в разработке программы защиты инфраструктуры, и именно в это время Ассанте начал задумываться о нападениях, которые могли бы привести к физическому разрушению сети.

Работая в AEP, Ассанте был поражен статьей в Washington Post о программе испытательного стенда SCADA Национальной лаборатории Айдахо, в которой исследователи буквально напугали председателя Федеральной комиссии по регулированию энергетики своей симуляцией кибератаки, показывающей, насколько легко хакер может разрушить турбину одного из коммунальных предприятий, отключив механизм, отвечающий за смазку машины. Без масла, смазывающего металлические части, турбина зацепилась за небольшой выступ и разорвалась на части.56 Реакция председателя была ошеломляющей. «Я пожалел, что на мне не было подгузника», — в шутку прокомментировал он Washington Post сразу после демонстрации.57

Ассанте лично посетил лабораторию в Айдахо и был впечатлен командой экспертов, нанятых лабораторией для своей программы. В дополнение к инженерам систем управления, лаборатория наняла группу молодых программистов, только недавно окончивших колледж, которые знали, как их взломать. Они пробирались сквозь защиту системы управления с минимальным сопротивлением, используя слабости, которые инженеры, годами работающие с этими системами, даже не замечали. Лаборатория также имела свои собственные подстанции и мини-сеть – семимильную секцию резервной сети, которую исследователи могли изолировать от общей сети для проведения на ней тестов. Ассанте был настолько заинтригован и восторжен возможностями проведения реальных исследований безопасности на сети, а не только симуляций, что в 2005 году он оставил свою работу в AEP и занял должность в лаборатории.

Оказавшись там, Ассанте и его коллеги начали обдумывать сценарии возможного уничтожения оборудования посредством кибератаки. Тогда самым популярным способом было проникновение хакера в энергосеть и отключение им всех возможных функций для вызова сбоя в системе. Отключение электропитания, однако, можно было решить довольно быстро, просто сбросив выключатели. Но как насчет атаки, которая бы обошла все слои защиты, и физически уничтожила генератор, без шансов на его легкое восстановление?

Они решили добраться до генератора, сосредоточив атаку на защитных реле – предохранительных устройствах, которые отслеживают изменения в сети и отвечают за отключение выключателей, в случае, если показатели начинают входить в опасную зону, которая может повредить линии электропередач. Отключение защитных реле уже проявило себя в крупном отключении электроэнергии в феврале 2008 года, когда почти 600 тысяч человек во Флориде остались без света, после того, как инженер из Florida Power and Light отключил их, занимаясь ремонтом неисправного выключателя.58 Когда на линии, на которой он ремонтировал выключатель, случился сбой, уже никто не мог предотвратить последствий. В результате произошел каскадный сбой, который распространился на 38 подстанций, включая одну, которая питала энергией атомную станцию, что привело к ее автоматическому отключению.

Но кроме отключения электроэнергии, это не единственная способность защитных реле, с их помощью также можно отрубить генераторы и другое оборудование. Электрическая сеть работает на частоте 60 Гц – или 60 циклов в секунду – и устройства, подключенные к ней, должны быть синхронизированы, иначе они могут быть повреждены. Подключение к сети оборудования, частота которого отличная от 60 Гц, может запросто привести к его уничтожению. Когда генератор подключается к сети, его нагрузка начинает отталкиваться назад, как гравитационная сила, толкающая автомобиль, когда тот подымается на холм. Но когда срабатывает выключатель и отключает генератор от сети, все еще работающий генератор начинает ускоряться без какой-любо нагрузки, толкающей его. В течение всего лишь 10 миллисекунд генератор потеряет синхронизацию с сетью. Если затем включить генератор обратно, в то время как он и сеть не будут синхронизированы по частоте, эффект будет похож на удар автомобиля о кирпичную стену. Генератор будет излучать слишком много энергии, которую ему будет некуда деть, и как только он попадает в более медленную сеть, сила этой энергии ударяется о нее. Это хорошо известное явление, которое в прошлом было причиной многих несчастных случаев.

Таким образом, команда Ассанте поставила перед собой простой вопрос: если предполагается, что защитные реле предотвращают повреждение оборудования, то возможно ли это повреждение в случае, если защитные реле будут отключены? Разработка такой атаки оказалась лишь немного сложней, чем сам вопрос. Атака включала в себя написание вредоносного кода для изменения настроек цифровых реле таким образом, чтобы выключатели генератора начали быстро включаться и выключаться, заставляя оборудование быстро и многократно переподключаться к сети, в поисках момента, когда синхронизация по частоте между генератором и сетью будет отсутствовать. Без защитных реле, в системе не оставалось ничего, что могло бы предотвратить самоуничтожение генератора. «Вот что сделало его таким чертовски коварным», — говорит Джо Вайс. «То, что должно было по сути предотвращать оборудование от повреждения, используется для его уничтожения». Из-за резкого открытия и закрытия защитной цепи, реле перешло от «обеспечения максимальной защиты к нанесению максимального ущерба», — позже написали DHS в своем отчете об испытании генератора Аврора.59

В качестве испытуемого они выбрали генератор Wärtsilä, который был выведен из эксплуатации на нефтяных месторождениях в Аляске и был куплен брокером за треть от его стоимости в 1 миллион долларов за совершенно новый.60

Испытание длилось 3 минуты, а сама цель – уничтожение оборудования – была достигнута всего за 15 секунд. Во время атаки исследователи делали паузы, чтобы дать инженерам время оценить ущерб и проверять системы безопасности на каждом этапе. Каждый раз, когда выключатель замыкался на несинхронизированном генераторе, подключая его обратно к сети, машина начинала подпрыгивать и вибрировать от силы собственной энергии, пока в конце концов связь между дизельным двигателем и генератором не оборвалась.61

Рабочие в оперативном центре, которые следили за сетью на предмет аномалий и не были проинформированы о начале атаки, сообщили, что не замечали ничего подозрительного на своих мониторах. Система безопасности, которая была разработана для того, чтобы выдерживать небольшие скачки напряжения, которые обычно возникали в сети, также не зарегистрировала разрушительных перебоев. «Мы могли бы сделать атаку, которая включала и отключала сеть так быстро, что системы безопасности даже не заметили бы этого», — сказал Перри Педерсон, который в то время возглавлял программу безопасности системы управления DHS и наблюдал за испытанием.62

Замена 27-тонного генератора, который был разрушен таким образом, разумеется не было невыполнимой задачей. Но на крупных электростанциях и других объектах имелись 800-мегаваттные генераторы, замена которых могла занять месяцы и даже год, поскольку генераторы такого размера обычно строятся под заказ за рубежом. Не все генераторы, питающие сеть, будут одинаково восприимчивы к такой атаке – это будет зависеть от того, как сбалансирована мощность на этой части сети. Но то же самое может произойти и с другим критическим оборудованием, которое питает не только сеть, но и другие вещи, которые впоследствии будет нелегко заменить. Например, подстанция, питающая ряд насосов, отвечающих за доставку питьевой воды в мегаполис, может вызвать серьезные сбои, если вывести ее из строя. «Я, честно, даже представить не могу что произойдет с огромным насосом мощностью 50 тысяч лошадиных сил, но я уверен, что последствия будут вряд ли лучше, чем с генератором», — сказал Педерсон.63

После испытания генератора Аврора в 2007 году, был проведен еще не один тест, демонстрирующий силу разрушительных кибератак. В отчете за 2009 год, опубликованном в 60 Minutes, исследовали Национальной лаборатории Сандиа показали, что они могут вызвать перегрев отдельных компонентов на нефтеперерабатывающем заводе, просто изменив настройки нагревательного элемента и отключив рециркуляционные насосы, которые помогают регулировать температуру.64

Помимо Stuxnet и инцидента в графстве Маручи, до сих пор в мире не было зафиксировано ни одной действительно разрушительной атаки. Эксперты предположили ряд возможных причин, почему это так – провести такие атаки намного сложнее чем кажется сначала, к тому же, провести их, не оставив за собой следов; и часто те, кто обладает навыками и ресурсами для проведения подобных атак не имеют мотивации для этого, в то время как желающие их провести просто не имеют ресурсов.

Одно только можно сказать с уверенностью: учитывая разнообразие и обширные возможности для проведения таких атак, остается лишь вопросом времени, когда соблазн цифрового нападения станет слишком велик, чтобы не запустить атаку.

Сноски, ссылки и используемая литература:

1.    Интервью автора с Ассанте, сентябрь, 2011 год.

2.    Системы SCADA обычно используют там, где управляемые системы географически распределены по большим территориям – например, в системах трубопровода, водоснабжения и электроэнергии. С другой стороны, SCADA также крайне удобны в случаях, когда операторам требуется обширное и сложное управление на ограниченных объектах, таких как нефтеперерабатывающие заводы, водоочистные сооружения и электростанции, хотя электростанции также могут использовать системы SCADA для мониторинга удаленных подстанций в полевых условиях. SCADA системы состоят из станции оператора, сети связи и удаленного терминального блока, или RTU. RTU, по принципу работы схожи с ПЛК, отправляют данные через сеть на станцию мониторинга оператора. Станция оператора обычно работает на Windows – со всеми присущими ей уязвимостями. Полевые устройства используют другие специализированные системы, которые, как правило, имеют низкую степень защиты.

3.    Инциденты системы промышленного контроля отслеживаются в базе данных RISI (репозиторий инцидентов промышленной безопасности), которая начала вести учет ошибок с 2001 года, но бездействовала в период с 2006 по 2009 годы. База данных поддерживается организацией инцидентов безопасности, увидеть ее можно по адресу: http://www.securityincidents.org/.

4.    Марти Нилэнд, “Computer Virus Brings Down Train Signals”, Associated Press, 20 августа, 2003, доступно по адресу: http://www.informationweek.com/news/13100807.

5.    Червь попал туда через корпоративную сеть коммунальной компании, которая управляла заводом, и распространился от деловой сети завода к сети управления. К счастью завод был неактивным уже более года из-за других проблем, так что никакого вреда причинено не было. Операторы станции также сообщили, что у них было ручное управление, которое служило резервным, в случае, если что-то случилось бы с автоматическим. Смотрите, Кэвин Поулсен, “Slammer Worm Crashed Ohio Nuke Plant Network”,SecurityFocus, 19 августа, 2003, доступно по адресу: https://www.securityfocus.com/news/6767/.

6.    “Cybersecurity: Preparing for and Responding to the Enduring Threat”, речь в сенатском комитете по ассигнованиям, 12 июня 2013 г., доступно по адресу: http://www.hsdl.org/?view&did=739096.

7.    Льюис выступал на радио-шоу Дианы Рэм, транслируемом WAMU в Южной Калифорнии, 4 июня 2012 года. Интервью доступно по адресу: http://www.thedianerehmshow.org/shows/2012-06-04/growing-threat-cyberwarfare.

8.    Грегори Бенфорду, физику, приписывают одно из первых упоминаний о компьютерном вирусе в рассказе, который он написал в 1969 году под названием «Человек со шрамом», опубликованное в мае 1970 года в журнале Venture. Первая идея цифровых червей фигурирует в научно-фантастической книге Джона Бруннера «The Shockwave Rider», в которой упоминался червь, передаваемый от машины к машине.

9.    “Teen Hacker Pleads Guilty to Crippling Mass. Airport”, Boston Globe, 19 марта, 1998.

10. “Teen Hacker Faces Federal Charges”, CNN, 18 марта, 1998, доступно по адресу: http://edition.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html.

11. “Critical Foundations: Protecting America’s Infrastructures”, Президентская комиссия по защите критической инфраструктуры, октябрь 1997 года. Отчет доступен по адресу: https://www.fas.org/sgp/library/pccip.pdf.

12. “Electric Power Risk Assessment”, Консультативный комитет по телекоммуникациям национальной безопасности, целевая группа по обеспечению информационной безопасности, доступно по адресу: http://www.solarstorms.org/ElectricAssessment.html.

13. Информация о деле в графстве Маручи взята из интервью автора, проведенного в августе 2012 года с Робертом Стрингфеллоу, инженером водного округа, который помогал расследовать это дело, а также из отредактированных судебных документов и полицейского отчета, написанного судебным экспертом Питером Кингсли. Некоторые подробности из судебных документов были впервые опубликованы Джо Вайсом в его книге «Protecting Industrial Control Systems from Electronic Threats» (Нью-Йорк: Momentum Press, 2010).

14. С 14 марта по 23 апреля произошло около 90 инцидентов. Один из рабочих проследил часть этой активности до RTU на насосной станции 14, откуда, по-видимому, и исходили вредоносные радиосигналы. Он понимал, что адрес RTU можно легко изменить, просто переключив определенные переключатели на ней, поэтому он заключил, что злоумышленник, должно быть использует свою подставную RTU, которую он настроил таким образом, что система воспринимала его как настоящую RTU, которая находится на насосной станции 14. Чтобы установить ловушку, рабочий изменил номер насосной станции с 14 на 3. Если хакер отправлял свои команды, он не знал, что адрес изменился, и продолжал отправлять их по старому адресу. Именно это и произошло одной ночью, когда поток вредоносного трафика полился по сети от насосной станции 14, нацеленный на сбой центрального компьютера. Так следователи пришли к выводу, что злоумышленник должен был знать систему изнутри, обладал знаниями в системе Маручи и имел доступ к программному обеспечению и оборудованию Hunter WaterTech.

15. Боден был осужден и приговорен к двум годам тюремного заключения в октябре 2001 года. Позднее он подал апелляцию, после чего его осуждение по двум пунктам обвинения было снято, но осуждение по другим пунктам обвинения осталось прежним, как и его приговор.

16. Опрос коммунальных служб, проведенный Институтом исследований электронной энергетики в 1996 году показал, что только 25 процентов респондентов использовали какие-либо методы обнаружения вторжений. Этот обзор, обзор электронной информационной безопасности Института исследований в 1996 году и статистические данные доступны по адресу: http://www.solarstorms.org/ElectricAssessment.html.

17. У службы водоснабжения Маручи не было иного выбора, кроме как привлечь к этому делу правоохранительные органы, поскольку разливы воды были слишком большие и угрожали общественной безопасности. Этот инцидент также вызвал пристальное внимание со стороны австралийского агентства по охране окружающей среды и региональных правительственных чиновников, которые потребовали объяснений причин возникновения разливов.

18. Кингсли выступал на конференции AusCERT 2002 в Австралии. В отчете, рассматривавшем дело Маручи в 2008 году, спустя восемь лет после того, как произошел инцидент, авторы пришли к выводу, что некоторые из проблем, поднятые этим происшествием только начинают решаться компаниями, в то время как «некоторые из них остаются нерешенными и останутся без какого-либо решения в ближайшем будущем». Смотрите Маршал Абрамс и Джо Вайс, “Malicious Control System Cyber Security Attack Case Study–Maroochy Water Services, Australia”, 23 февраля 2008 года, доступно по адресу: http://www.csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf.

19. Эта и другие цитаты Вайса в этой главе взяты из интервью автора, июнь 2012 года.

20. Бартон Геллман, “Cyber-Attacks by Al Qaeda Feared”, Washington Post, 27 июня, 2002.

21. Смотрите предыдущую сноску.

22. «Критическая инфраструктура» в Соединенных Штатах широко определяется правительством как любой объект или система, которая попадает под одно из шестнадцати категорий, которые включают: сельское хозяйство и продовольствие, банковское дело и финансы, химические, коммерческие объекты, критическое производство, плотины, оборонно-промышленные базы, системы питьевой воды и водоочистные сооружения, аварийные службы, энергетику, правительственные объекты, информационные технологии, ядерные реакторы и отходы, общественное здравоохранение, телекоммуникации и транспорт. Смотрите https://www.cisa.gov/critical-infrastructure-sectors.

23. Дэн Морейн, “Hackers Victimize Cal-ISO”, Los Angeles Times, 9 июня, 2001.

24. Предыдущая программа тестирования SCADA была запущена в Национальной лаборатории Сандиа в 1998 году, но в ней не принимали участия разработчики. Национальная лаборатория Айдахо является ведущей лабораторией Департамента энергетики по исследованиям ядерной энергетики и управляет самым большим испытательным реактором в мире. Комиссия по атомной энергетике получила землю в Айдахо после Второй мировой войны для строительства лаборатории ядерных исследований. С годами работа лаборатории расширилась, включив в себя исследования в области электросетевой промышленности, и после того, как администрация Буша опубликовала свою национальную стратегию по обеспечению безопасности киберпространства в феврале 2003 года, еще и безопасность промышленных систем управления. Эта стратегия предусматривала, что Министерство энергетики и Министерство внутренней безопасности (DHS) будут сотрудничать с частными лицами для решения проблем безопасности систем управления.

25. Департамент внутренней безопасности, “The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets” (отчет, Белый Дом, февраль 2003), 9. Доступно по адресу: https://www.dhs.gov/xlibrary/assets/Physical_Strategy.pdf.

26. Смотрите предыдущую сноску, 39.

27. Однако одна из проблемных лазеек в тестовой программе заключается в том, что отчеты с описанием уязвимостей в их системах, которые получают разработчики, покрываются соглашением о неразглашении, и поставщики не обязаны сообщать клиентам об уязвимостях в своих системах.

28. Ким Зеттер, “Hard-Coded Password and Other Security Holes Found in Siemens Control Systems”, Wired.com, 3 августа, 2011, доступно по адресу: http://www.wired.com/2011/08/siemens-hardcoded-password.

29. Джо Вайс считает, что более половины всех систем управления имеют бэкдор, встроенный в них поставщиком.

30. Бересфорд также обнаружил еще один сюрприз – «пасхальное яйцо», которое программист Siemens спрятал в прошивке. Пасхальные яйца – это внутренние шутки, которые программисты оставляют в своих программах, чтобы пользователи могли их найти. Часто их можно увидеть, когда пользователь набирает определенную последовательность клавиш или обращается к неясной части программы. В случае с Siemens, пасхалка состояла из анимированного изображения танцующих шимпанзе и немецкой пословицы, которая также появлялась на экране. В свободном переводе пословица гласила «Только работа и никаких игр делают Джека скучным мальчиком». И хотя пасхалка не была вредоносной, она вызвала серьезные опасения по поводу безопасности Siemens.

31. В 2013 году два исследователя обнаружили проблемы с популярным протоколом, используемым центрами управления для связи ПЛК и RTU, установленными на подстанциях. Злоумышленник, который не мог получить доступ к машине центра управления через интернет, мог взломать устройство связи на удаленной подстанции – физически, или взломав беспроводную радиосеть, используемую для связи с центром управления – и использовать уязвимость в протоколе для отправки вредоносных команд в центр управления. Таким образом, злоумышленник может либо вывести из строя машину центра управления, либо использовать ее для распространения вредоносных команд на все подстанции, с которыми эта машина взаимодействует, потенциально выводя из строя десятки, или даже сотни подстанций одновременно, в зависимости от размеров коммунальной компании. Смотрите Ким Зеттер, “Researchers Uncover Holes That Open Power Stations to Hacking”, Wired.com, 16 октября, 2013, доступно по адресу: https://www.wired.com/2013/10/ics/.

32. Джордан Робертсон, “Science Fiction–Style Sabotage a Fear in New Hacks”, Associated Press, 23 октября, 2011, доступно по адресу: http://www.news-yahoo.com/science-fiction-style-sabotage-fear-hacks-120704517.html.

33. В 2003 году, по словам Джо Вайса, когда червь SQL Slammer попал в интернет, один поставщик систем управления предупредил своих клиентов не устанавливать патч, выпущенный Microsoft, потому что патч исправлял используемые червем уязвимости.

34. Системы безопасности на атомных станциях, к счастью, все еще контролируются аналоговыми средствами, и согласно Джо Вайсу, шанс расплавления активной зоны, вызванного кибератакой очень низок. Но это может измениться, поскольку проекты для заводов следующего поколения включают цифровые, сетевые системы, которые значительно облегчат атаки на такие заводы.

35. Ким Зеттер, “10K Reasons to Worry About Critical Infrastructure”, Wired.com, 24 января, 2012, доступно по адресу: https://www.wired.com/2012/01/10000-control-systems-online/. Исследователь Эйрен Лавереттне не смог определить, сколько из систем управления были рабочими, а сколько демонстрационных, и не мог сказать, сколько из них были критическими системами, а которые простыми система отопления офиса на заводе. Но он смог определить среди них системы управления водопроводом в Ирландии и канализацией в Калифорнии. Но не стоит при этом преуменьшать значение даже той же системы отопления, иногда и с ее помощью хакеры могут попасть в центральную систему. И только 17% из 10 тысяч систем, которые он обнаружил, потребовали авторизацию для подключения к ним. В некоторых случаях владельцы даже не знали, что их системы доступны в интернете.

36. Пол Ф. Робертс, “Hacker Says Texas Town Used Three Character Password to Secure Internet Facing SCADA System”, блог Threatpost, 20 ноября, 2011, доступно по адресу: http://www.threatpost.com/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201/75914.

37. Его заявления появились на сайте Pastebin 18 ноября 2011 года. Смотрите http://www.pastebin.com/Wx90LLum.

38. Кен Диланян, “Virtual War a Real Threat”, Los Angeles Times, 28 марта, 2011.

39. Ким Зеттер, “Chinese Military Linked to Hacks of More Than 100 Companies”, Wired.com, 19 февраля, 2013, доступно по адресу: https://www.wired.com/2013/02/chinese-army-linked-to-hacks/. Для большей информации о специфике взлома Telvent также смотрите Ким Зеттер, “Maker of Smart-Grid Control Software Hacked”, Wired.com, 26 сентября, 2012, доступно по адресу: http://www.wired.com/2012/09/scada-vendor-telvent-hacked.

40. “Report of the Commission to Assess the Threat to the United States from Electromagnetic Pulse (EMP) Attack”, апрель 2008, доступно по адресу: http://www.empcommission.org/docs/A2473-EMP_Commission-7MB.pdf. Смотрите также сноску 25 главы 11 для описания плана преднамеренной электромагнитной импульсной атаки.

41. Исследование RAND 1996 года под названием «The Day After … in Cyberspace» было одним из первых, которое описывало последствия многоаспектной атаки, нацеленной на самолеты, поезда, телефонные системы и банкоматы на разных континентах. Смотрите Роберт Х. Андерсон и Энтони С. Хирн, “An Exploration of Cyberspace Security R&D Investment Strategies for DARPA: The Day After … in Cyberspace II”, RAND, 1996, доступно по адресу: http://www.rand.org/pubs/monograph_reports/MR797.html.

42. Билл Герц, “Computer-Based Attacks Emerge as Threat of Future, General Says”, Washington Times, 13 сентября, 2011.

43. Джо П. Хаслер, “Investigating Russia’s Biggest Dam Explosion: What Went Wrong”, Popular Mechanics, 2 февраля, 2010.

44. “Pipeline Rupture and Subsequent Fire in Bellingham, Washington June 10, 1999,” опубликованный Национальным Советом по транспортной безопасности, 2002, доступно по адресу: https://www.ntsb.gov/doclib/reports/2002/PAR0202.pdf.

45. “Pacific Gas and Electric Company Natural Gas Transmission Pipeline Rupture and Fire”, Национальный Совет по транспортной безопасности, 9 сентября, 2010, доступно по адресу: https://www.ntsb.gov/investigations/summary/PAR1101.html.

46. Дэвид Роджерс и Конор М. Уоткинс, “Overview of the Taum Sauk Pumped Storage Power Plant Upper Reservoir Failure, Reynolds County, MO”, представлен на 6-й Международной конференции по историческим примерам в геотехнической инженерии, Арлингтон, Вирджиния, 11-16 августа, 2008 года, доступно по адресу: http://www.web.mst.edu/~rogersda/dams/2_43_rogers.pdf.

47. Эмитт К. Витт III, “December 14th, 2005 Taum Sauk Dam Failure at Johnson’s Shut-Ins Park in Southeast Missouri”, Национальное управление океанических и атмосферных исследований, доступно по адресу: http://www.crh.noaa.gov/lsx/?n=12_14_2005.

48. Линдси Лейтон, “Metro Crash: Experts Suspect System Failure, Operator Error in Red Line Accident”, Washington Post, 23 июня, 2009.

49. Грэм Бейкер, “Schoolboy Hacks into City’s Tram System”, Telegraph, 11 января, 2008.

50. Из интервью автора, август 2012.

51. Видео с симуляцией на Youtube можно посмотреть в интернете по адресу: https://www.youtube.com/watch?v=kc_ijB7VPd8. Или смотрите ссылки на презентации Дэвиса и две другие симуляции со смарт-счетчиками по адресу: http://www.ioactive.com/services_grid_research.html.

52. NERC имеет правила кибербезопасности, которым должны следовать коммунальные службы. Но они применяются только к массовым электрическим системам (определяемые как объекты и системы, работающие на 100 киловольт и больше), и соблюдение этих правил не дает стопроцентной гарантии того, что система не будет взломана. Безопасность находится в постоянном движении, она не стоит на месте, и меняется каждый раз, когда появляется новое оборудование или программное обеспечение.

53. Целевая группа по отключению энергосистемы США и Канады, “Final Report on the August 14th Blackout in the United States and Canada”, апрель 2004, доступно по адресу: https://reports.energy.gov/BlackoutFinal-Web.pdf.

54. Кевин Полсен, “Software Bug Contributed to Blackout”, SecurityFocus.com, 11 февраля, 2004, доступно по адресу: http://www.securityfocus.com/news/8016.

55. Ребекка Смит, “U.S. Risks National Blackout from Small-Scale Attack”, Wall Street Journal, 12 марта, 2004.

56. Сценарий был похож на реальный инцидент, произошедший на заводе по разливу воды Coors в 2004 году, когда сотрудник по ошибке изменил настройки системы, ответственной за смазку подшипников на производственной линии. Вместо того, чтобы смазывать подшипники каждые 20 минут, система считала, что их нужно смазывать каждые 8 часов, и в конце концов конвейер остановился.

57. Джастин Блум, “Hackers Target US Power Grid”, Washington Post, 11 марта, 2005.

58. Florida Power and Light, “FPL Announces Preliminary Findings of Outage Investigation”, 29 февраля, 2008, доступно по адресу: http://www.fpl.com/news/2008/022908.shtml.

59. Презентация называется «Control Systems Vulnerability — Aurora».

60. Эта цифра исходит из оценки стоимости разработки испытания Аврора и вышла на DHS по просьбе автора.

61. В качестве примера того, что может произойти, когда на турбине повреждена муфта, в 2011 году генератор паровой турбины на электростанции в Ираншаре, Иран, попросту взорвался, вину приписывают неисправной муфте. Взрыв был такой силы, что следователи даже не смогли найти турбину после аварии. Муфты необходимо регулярно инспектировать на наличие износа и смазывать для поддержания работоспособности и предотвращения несчастных случаев. Завод в Ираншаре имел три масляных котла, что вероятно, усугубило взрыв. Взрыв действительно мог быть результатом плохого обслуживания муфты или неисправной установки, но в то время были люди, которые считали, что это мог быть результат саботажа, что-то наравне с испытанием Авроры.

62. Интервью автора, август 2012.

63. Смотрите предыдущую сноску.

64. 60 Minutes, “Cyber War: Sabotaging the System”, 6 ноября, 2009, CBS.

Очень злой админ
Очень злой админ Автор статьи

Админ сайта. Публикует интересные статьи с других ресурсов, либо их переводы. Если есть настроение, бывает, что пишет и что-то своё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *