Тест генератора полярных сияний - Aurora Generator Test

Дизель-генератор, использованный в эксперименте "Аврора", начинает дымить.

Национальная лаборатория Айдахо побежал Тест генератора полярных сияний в 2007 году, чтобы продемонстрировать, как кибератака может разрушить физические компоненты электрической сети.^[1] В эксперименте использовалась компьютерная программа для быстрого открытия и закрытия дизельный генератор автоматические выключатели не совпадают по фазе с остальной частью сети и вызывают ее взрыв. Эта уязвимость называется Уязвимость Авроры.

Эта уязвимость вызывает особую озабоченность, поскольку большая часть сетевого оборудования поддерживает использование Modbus и другое наследие протоколы связи которые были разработаны с учетом требований безопасности. Таким образом, они не поддерживают аутентификация, конфиденциальность, или же защита от воспроизведения, что означает, что любой злоумышленник, который может связаться с устройством, может контролировать его и использовать уязвимость Aurora для его уничтожения.

Эксперимент

Чтобы подготовиться к эксперименту, исследователи приобрели и установили генератор мощностью 2,25 МВт и подключили его к подстанции. Им также был необходим доступ к программируемому цифровому реле или другому устройству, управляющему выключателем. Этот доступ мог быть через механический или цифровой интерфейс.^[2]

В эксперименте исследователи использовали кибератаку, чтобы открыть и закрыть взломщики не синхронно, чтобы максимизировать стресс. Каждый раз, когда выключатели замыкались, крутящий момент от синхронизации заставлял генератор подпрыгивать и трястись, что в конечном итоге приводило к разрыву частей генератора на части и их отлету.^[3] Некоторые части генератора приземлились на расстоянии 80 футов от генератора.^[4]

Блок был уничтожен примерно за три минуты. Однако это произошло только потому, что исследователи оценивали ущерб от каждой итерации атаки. Настоящая атака могла бы уничтожить отряд гораздо быстрее.^[3]

Опыт обозначен как несекретный, для служебного пользования.^[5] 27 сентября 2007 года телеканал CNN опубликовал статью, основанную на информации и видео, предоставленных им DHS.^[1] 3 июля 2014 года DHS опубликовало многие документы, относящиеся к эксперименту, как часть несвязанного запроса FOIA.^[6]

Уязвимость

Уязвимость Aurora вызвана несинхронным закрытием защитные реле.^[3]

"Близкая, но несовершенная аналогия могла бы представить эффект переключения автомобиля в режим заднего хода, когда он движется по шоссе, или эффект увеличения оборотов двигателя, когда автомобиль находится в нейтральном положении, а затем переключения его в режим Drive. "^[3]

«Атака« Аврора »предназначена для размыкания автоматического выключателя, ожидания выхода системы или генератора из синхронизма и повторного включения автоматического выключателя, и все это до того, как система защиты распознает атаку и отреагирует на нее ... Традиционные элементы защиты генератора обычно срабатывают и повторное включение блока примерно за 15 циклов.Многие переменные влияют на это время, и каждая система должна быть проанализирована, чтобы определить ее конкретную уязвимость для атаки Aurora ... Хотя основной фокус атаки Aurora - это потенциальное окно возможностей в 15 циклов немедленно после размыкания целевого выключателя основной проблемой является то, насколько быстро генератор уходит от системного синхронизма ».^[7]

Потенциальное воздействие

Выставка DC Spy Musem для Уязвимость Авроры

Выход из строя даже одного генератора может вызвать массовые отключения и, возможно, каскадный отказ всей энергосистемы, как это произошло в Северо-восточное затемнение 2003 г.. Кроме того, даже если при удалении одного компонента не произойдет простоев (устойчивость N-1), существует большое окно для второй атаки или сбоя, поскольку на замену разрушенного генератора может потребоваться больше года, поскольку многие генераторы и трансформаторы изготавливаются по индивидуальному заказу.

Смягчения

Уязвимость Aurora можно уменьшить, предотвратив размыкание и замыкание выключателей вне фазы. Некоторые предлагаемые методы включают добавление функций в защитные реле для обеспечения синхронизма и добавления задержки включения выключателей.^[8]

Один из способов смягчения последствий - добавить функцию проверки синхронизма ко всем защитным реле, которые потенциально соединяют две системы вместе. Чтобы реализовать это, функция должна предотвращать замыкание реле, если напряжение и частота не находятся в предварительно заданном диапазоне.

Такие устройства, как реле проверки синхронизации IEEE 25 и IEEE 50, могут использоваться для предотвращения размыкания и замыкания выключателей по противофазе.^[9]

Критика

Было некоторое обсуждение относительно того, могут ли устройства защиты оборудования Aurora (HMD) вызывать другие сбои. В мае 2011 года Quanta Technology опубликовала статью, в которой RTDS (цифровой симулятор в реальном времени) тестирование для проверки «производительности множества доступных коммерческих релейных устройств» HMD Aurora. Цитата: «Реле были подвергнуты различным категориям испытаний, чтобы выяснить, являются ли их характеристики надежными, когда они должны работать, и безопасны ли они в ответ на типичные переходные процессы в энергосистеме, такие как сбои, колебания мощности и переключение нагрузки ... В общем, в конструкции схемы защиты имелись технические недостатки, которые были выявлены и задокументированы с использованием результатов тестирования в реальном времени. Тестирование RTDS показало, что пока нет единого решения, которое можно было бы широко применить в любом случае и которое могло бы обеспечить требуемую надежность уровень."^[10] Презентация Quanta Technology и Доминион В своей оценке надежности лаконично сказано: «HMD не являются ни надежными, ни безопасными».^[11]

Джо Вайс, специалист по системам кибербезопасности и контроля, оспорил выводы этого отчета и заявил, что он ввел в заблуждение коммунальные службы. Он написал: «Этот отчет причинил большой ущерб, подразумевая, что устройства смягчения последствий Aurora вызовут проблемы с сетью. Некоторые коммунальные предприятия использовали отчет Quanta в качестве основы для отказа от установки каких-либо устройств смягчения последствий Aurora. К сожалению, в отчете есть несколько очень серьезных проблем. сомнительные предположения. Они включают в себя применение начальных условий, для устранения которых аппаратное смягчение последствий не было разработано, таких как более медленно развивающиеся неисправности или выходящие за пределы номинальной частоты сети. Существующая защита будет учитывать «более медленно развивающиеся» неисправности и частоты, выходящие за пределы номинальной сети (<59 Гц или> 61 Аппаратные устройства смягчения последствий Aurora предназначены для очень быстрых сбоев в несинфазных условиях, которые в настоящее время представляют собой пробелы в защите (т. Е. Не защищены никаким другим устройством) сети ».^[12]

График

4 марта 2007 года Национальная лаборатория Айдахо продемонстрировала уязвимость Aurora.^[13]

21 июня 2007 г. НКРЭ уведомил отрасль об уязвимости Aurora.^[14]

27 сентября 2007 года телеканал CNN разместил на своей домашней странице засекреченное демонстрационное видео атаки «Авроры».^[1] Это видео можно скачать с здесь.

13 октября 2010 г. НКРЭ выпустила отраслевую рекомендацию по уязвимости Aurora.^[14]

3 июля 2014 г. Министерство внутренней безопасности США выпустила 840 страниц документов, связанных с Авророй.^[6]

Смотрите также

внешняя ссылка

[CNN_article_2007/09/27-1] а ^б ^c «Щелчок мышью может погрузить город во тьму, - говорят эксперты». CNN. 27 сентября 2007 г.. Получено 30 января, 2020.

[MuckRock_FOIA_response_documents,_page_91-2] "Запрос FOIA - операция" Аврора " (PDF). Muckrock. п. 91. Получено 30 января, 2020.

[MuckRock_FOIA_response_documents,_page_59-3] а ^б ^c ^d "Запрос FOIA - операция" Аврора " (PDF). Muckrock. п. 59. Получено 30 января, 2020.

[International_Spy_Museum,_Master_Script-4] «Мастер-сценарий» (PDF). МЕЖДУНАРОДНЫЙ Шпионский музей. п. 217. Получено 30 января, 2020.

[MuckRock_FOIA_response_documents,_page_134-5] "Запрос FOIA - операция" Аврора " (PDF). Muckrock. п. 134. Получено 30 января, 2020.

[MuckRock_FOIA_request-6] а ^б "Запрос FOIA - операция" Аврора ". Muckrock. Получено 30 января, 2020.

[Common_Questions_and_Answers-7] Зеллер, Марк. «Общие вопросы и ответы, касающиеся уязвимости Aurora». Schweitzer Engineering Laboratories, Inc.. Получено 30 января, 2020.

[Myth_or_Reality-8] Зеллер, Марк. «Миф или реальность. Представляет ли уязвимость« Аврора »опасность для моего генератора?». Schweitzer Engineering Laboratories, Inc.. Получено 30 января, 2020.

[Avoiding_unwanted_reclosing_on_rotating_apparatus_(Aurora)-9] «Предотвращение нежелательного повторного включения вращающегося аппарата (Аврора)» (PDF). Комитет по реле и управлению энергосистемой. Получено 30 января, 2020.

[Quanta_Technology_Newsletter,_Volume_2,_Issue_2,_Spring_2011-10] "Электронные новости QT" (PDF). Quanta Technology. п. 3. Получено 30 января, 2020.

[Quanta_Technology_and_Dominion_July_2011_presentation-11] «Аппаратные устройства для устранения уязвимостей (HMD)», связанные с уязвимостью Aurora » (PDF). Quanta Technology. 24 июля 2011 г.. Получено 30 января, 2020.

[Unfettered_Blog,_September_4,_2013-12] «Последняя информация Aurora - это касается ЛЮБОГО потребителя электроэнергии с трехфазным вращающимся электрооборудованием!». Свободный блог. 4 сентября 2013 г.. Получено 30 января, 2020.

[USAToday_2007_Hacker_Video-13] «Видео из США показывает, как хакер ударил по электросети». USA Today. 27 сентября 2007 г.. Получено 30 января, 2020.

[NERC_Aurora_Alert,_October_14,_2010-14] а ^б «НКРЭ направляет предупреждение AURORA промышленности» (PDF). НКРЭ. 14 октября 2010 г. Архивировано с оригинал (PDF) на 2011-08-12. Получено 30 января, 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]