Хакнуть АЭС намного проще, чем вы думаете
2007-й год – успешная попытка вывода из строя учебного генератора электростанции. 2010-й год – масштабная кибератака на центрифуги в Иране. 2013-й год – рекордная активность хакеров на инфраструктурных объектах США. 2015 год – особый акцент на угрозах энергетическому комплексу США в национальной Стратегии кибербезопасности. Похоже шансы изменить историю в соответствии со своим сценарием у азартных киберспортсменов растут с каждым годом. О том, насколько реальны опасения и какие меры предпринимаются, чтобы предотвратить управляемую катастрофу читайте ниже.
Актуальность проблемы атаки кибернетических злоумышленников на энергетические объекты национального значения была особо подчеркнута на последней конференции Black Hat, прошедшей в США в начале августа 2015 года. С докладом выступила Марина Кротофил — старший консультант ENCS (European Network for Cyber Security — Европейского информационного центра кибербезопасности). Именно ее проект модели имитации атаки хакеров на электростанции использует сегодня для разработки мер противодействия киберугрозе Национальный институт стандартов и технологий США (NIST).
Свой доклад подготовил и Джейсон Ларсен, ведущий консультант по кибербезопасности компании IOActive, обозначивший вероятные места и направления атак на существующие объекты энергетической инфраструктуры.
Где болит?
Возможностей для нанесения массированного информационного удара с фатальными для энергетического объекта последствиями, как показал доклад Джейсона предостаточно.
Одна из них – методика гидравлического удара, которая может быть использована для вывода из строя ключевых узлов электростанции. Эффект гидравлического удара достигается благодаря команде на синхронное и очень быстрое завинчивание вентилей.
Вывести объект из строя можно и при помощи рассинхронизации вращения шестеренок или закачивания горячей жидкости в емкость с ее последующим моментальным закрытием. В последнем случае при остывании жидкости образуется вакуум, который деформирует емкость с катастрофическими последствиями.
Альтернативный способ – вывод из строя системы подачи воды в кондиционеры, обеспечивающие охлаждение в комнатах с серверным оборудованием. Сбой в нормальной работе системы охлаждения влечет за собой поломку серверов, обеспечивающих контроль и автоматизацию всех производственных процессов.
Все перечисленные уязвимости были и остаются актуальными, поскольку проектная документация и регламентирующие протоколы промышленных устройств в части систем диспетчерского и управления данных SCADA (Industrial Control Protocol) не предусматривают НИКАКИХ механизмов по аутентификации и проверке получаемых управляющих команд.
То, чем может обернуться такого рода "неучтенки" прекрасно продемонстрировал проект "Аврора" (2007 год). В рамках эксперимента, проводимого в национальной лаборатории Айдахо, хакеры должны были вывести из строя электростанцию учебного центра. О том, насколько удачной оказалась попытка вы можете судить сами:
Примерно так выглядят последствия хакерской атаки, сопровождающейся выходом из строя насоса и генератора.
STUXNET и иранские ядерные центрифуги
Один из примеров, наглядно демонстрирующий всю уязвимость существующих ядерных энергетических объектов — известный компьютерный червь STUXNET, целью которого в 2010 году стали иранские ядерные центрифуги. В результате атаки, впервые в истории, хакерам удалось осуществить масштабное перепрограммирование промышленных установок путем отправки ложных и вредоносных команд с использованием уязвимостей в системе защиты консоли управления на Siemens PLC.
Уникальность хакерской разработки заключалась в том, что впервые за всю историю кибератак вирус оказался способен разрушать инфраструктуру объекта на физическом уровне. По одной из версий STUXNET – продукт, созданный специалистами спецслужб США и Израиля с целью похоронить надежды, связанные с ядерным проектом Ирана. В качестве доказательства приводится упоминания слова MYTRUS, содержащиеся в коде червя. Помимо этого авторский след просматривается в закодированной дате 9 мая 1979 года – день казни известного иранского промышленника еврейского происхождения Хабиба Эльганяна.
По убеждению Марины Кротофил, известны как минимум два способа преодоления всего комплекса IT-защиты, включая пароли и шифрование с последующим беспрепятственным доступом к системе управления производственными процессами на электростанциях. Еще один способ взять станцию под свой контроль – передача операторам псевдодостоверных данных со всеми вытекающими последствиями.
Подробно о возможных проблемах на химических объектах Кротофил рассказала в своем выступлении на хакерской конференции 2014 года (Chaos Communications Congress (31C3)), представив доклад с красноречивым названием "Этот чёртов уязвимый химический процесс".
Подробный 50-ти минутный видеодоклад Марины в доступном переводе, посвященный отмеченной проблеме можно посмотреть на видео:
Управляемый хаос ближе, чем когда бы то ни было
Джейсон Ларсен убежден: один из косвенных, но красноречивых признаков масштабной подготовки хакеров к атаке на АЭС — наблюдаемые незначительные отклонения в рутинных процессах. Именно так ведут себя системы, подвергаемые тестированию на чувствительность, скорость исполнения команды нагрева реактора и команды к закрытию критического клапана. Ларсен уверен: хакеры готовятся более чем серьезно и планомерно совершенствуют свой разрушительный арсенал.
По мнению Кротофил – введение даже самой совершенной IT-защиты не гарантирует решение проблемы. Кардинально повысить безопасность АЭС поможет комплексная программа, предполагающая:
- Совершенствование систем IT-безопасности.
- Совершенствование систем физического контроля всех ответственных узлов оборудования с установкой специальных датчиков контроля, реагирующих на малейшие отклонения в нормальном режиме работы.
- Совершенствование системы мониторинга в комплексе, с учетом обеспечения многоуровневой глубинной защиты станционного оборудования.
Доклад счетной палаты США июля 2015 года
В аналитическом докладе, предоставленном Счетной палатой США Конгрессу специалисты настаивают на укреплении устойчивости энергетической инфраструктуры Министерства Обороны США, усилении мониторинга и активном обмене текущей технической информацией с ведомством, ответственным за кибербезопасность.
В соответствии с обновленной Стратегией о кибербезопасности, предоставленной на обозрение в апреле 2015 года, в категорию объектов повышенного риска сегодня попали главным образом промышленные объекты SCADA, централизованные сети энергетического комплекса и комплекса ЖКХ страны.
Предлагаем вашему вниманию любопытную статистику счетной палаты США по "кибер-инцидентам", имеющим место с 2009 по 2014 годы.
Проект «Аврора» и последствия
Отдельного внимания достойна парадоксальная ситуация 2014 года с Министерством внутренней безопасности США. В рамках недавно принятого акта "О свободе информации" в Министерство безопасности был отправлен запрос на предоставление информации о результатах расследования операции "Аврора", связанной с маccовой атакой на аккаунты пользователей Google. В результате полного сходства названий проекта с названием проекта "Аврора", проводившегося в целях имитации хакерской атаки на электростанцию (см. выше) и оплошности персонала данные о результатах исследований двух экспериментов были перепутаны. Так в режиме доступа оказалась вся внутренняя аналитика проекта. А это более чем 800 страниц, содержащих сведения об уязвимости электростанций и объектов водоснабжения национального масштаба.
Помимо описательной части в информационном пакете присутствовали 3 слайда, наглядно иллюстрирующих что и как следует вывести из строя для нанесения максимально ущерба американской инфраструктуре. А лучшего подарка хакерам, как вы понимаете, и представить сложно.
Проанализировав имеющуюся посекторальную информацию, и, ссылаясь на мнение ведущих специалистов по кибербезопасности в связи с инцидентом можно прийти к неутешительному выводу: если ранее мы могли рассуждать на тему принципиальной возможности хакерской атаки на АЭС или другие объекты национального значения, то сегодня вопрос звучит более прозаично и жестко: когда и где она состоится.
Уважаемые читатели, напоминаем, что вы читаете блог компании iCover, место где можно получить хороший совет? экспертизу в мире гаджетов и просто интересную актуальную информацию. И, конечно, не забывайте подписываться на наши рубрики и мы обещаем — скучно не будет!