Тест генератора Аврора


В 2007 году Национальная лаборатория штата Айдахо провела Тест Генератора Авроры, чтобы продемонстрировать, как кибератака может уничтожить физические компоненты электросети. В эксперименте использовалась компьютерная программа для быстрого включения и выключения прерывателя дизельной электростанции в противофазе с остальной сетью, что приводит её к взрыву. Эта уязвимость называется Aurora Vulnerability — уязвимость Авроры. Автор тестирования — Перри Педерсон.

Эта уязвимость является особенно важной, потому что большинство сетевого оборудования поддерживает использование Modbus и других устаревших сетевых протоколов, которые были разработаны без учета надлежащей безопасности. Таким образом, они не поддерживают аутентификацию, конфиденциальность или защиту от повторной передачи перехваченных сообщений, что означает, что любой злоумышленник, способный соединиться с устройством, может контролировать его и использовать уязвимость Aurora для его уничтожения. Это является серьезной проблемой, так как отказ даже одного генератора может привести к массовым выходам из строя и, возможно, каскадному отказу всей энергосистемы, что и произошло во время аварии в энергосистеме в США и Канаде в 2003 году. Кроме того, даже при отсутствии сбоев при выходе из строя одного компонента (N-1 устойчивость), существует большой интервал времени для проведения второй атаки или сбоя, так как для его замены может потребоваться больше года, поскольку многие генераторы и трансформаторы изготовлены по спецзаказу для подстанции.

Уязвимость Aurora можно невилировать предотвращением несинхронизированного закрытия защитных реле. Некоторые предлагаемые методы включают в себя введение дополнительной функциональности в релейную защиту для обеспечения синхронизации и обеспечения задержки для автоматических выключателей. Большинство современных генераторов имеют много способов защиты от асинхронный работы генератора. Такие устройства, как реле проверки синхронизации IEEE 25, а также IEEE 46,47,50 и 53, используются для предотвращения выхода из строя автоматических выключателей. Кроме того, большинство используемых реле-генераторов не имеют какой-либо связи, они блокируют работу автоматического выключателя генератора, не позволяя ему перейти в режим замыкания.

Эксперимент

Чтобы подготовиться к эксперименту, группа исследователей доставила и установила генератор мощностью 2.25 МВт и подключила его к подстанции. Им также был необходим доступ к программируемому цифровому реле или любому другому устройству, которое контролирует автоматический выключатель. Такой доступ мог быть осуществлен через механический или цифровой интерфейс.

В эксперименте использовалась кибератака, чтобы включать и выключать прерыватель асинхронно, максимизируя нагрузку. Каждый раз, когда прерыватели были выключены, крутящий момент от синхронизации заставлял генератор подпрыгивать и трястись, в результате чего его части отрывались и вылетали. В итоге, некоторые части генератора приземлились в 80 футах от генератора.

Агрегат был уничтожен примерно за три минуты. Но так случилось потому что исследователи оценивали ущерб от каждой итерации атаки. Настоящая атака смогла бы уничтожить устройство гораздо быстрее.

Эксперимент не был определен как секретный, только для служебного пользования. 27 сентября 2007 года CNN опубликовал статью, основанную на различного рода информации, предоставленной министерством внутренней безопасности США, а 3 июля 2014 года DHS опубликовало большинство других документов, связанных с экспериментом, в рамках запроса FOIA / ЗСИ (АСИ — Акт/Закон о Свободе Информации).

Уязвимость

Уязвимость Aurora вызвана обходом защитных реле. Для этого требуется знание распределительного устройства для каждого конкретного завода, доступ к этому устройству, а также размещение перемычек. Надлежащая безопасность помещений с распределительным устройством не может позволить этому произойти.

«Близкую аналогию можно провести с автомобилем, который переключили на заднюю передачу, когда он двигался по шоссе, или эффект от длительного нажатия на педаль газа, пока автомобиль находится в нейтральном и неподвижном положении, а затем переключения передачи обратно на любую другую.

„Атака Aurora предназначена для того, чтобы включить прерыватель, дождаться, когда система или генератор выйдут из синхронного состояния, и затем повторно включить прерыватель, прежде чем система защиты распознает и среагирует на атаку… Традиционные элементы защиты генераторов обычно приводят в действие и блокируют его повторное закрытие примерно за 15 циклов. На это время влияют многие переменные, и каждая система должна быть проанализирована в индивидуальном порядке, чтобы определить ее специфическую уязвимость для атаки Aurora… Хотя основной акцент атаки Aurora — это потенциальное окно в 15-циклов сразу после включения нужного прерывателя. Доминирующей проблемой является то, как быстро генератор выйдет из синхронного состояния.“.»

Снижение последствий атаки

Уязвимость Aurora вызвана несинхронным замыканием защитных реле. Таким образом, любой механизм, предотвращающий несинхронизированное замыкание, уменьшит уязвимость.

Один из способов смягчения заключается в том, чтобы добавить функцию проверки синхронизации ко всем защитным реле, которые потенциально соединяют две системы вместе. Чтобы реализовать это, функция должна препятствовать закрытию реле, если напряжение и частота не находятся на заданном диапазоне. Кроме того, проверка синхронизации может контролировать скорость изменения частоты и предотвращать закрытие выше заданного значения скорости.

Критика

Обсуждался вопрос о том, могут ли защитные устройства оборудования Aurora (Hardware Mitigation Device) вызвать другие сбои. В мае 2011 года Quanta Technology опубликовал статью, в которой использовалось тестирование RTDS (Real Time Digital Simulator) для изучения производительности множества доступных коммерческих релейных устройств Aurora HMDs. «Реле подвергались различным категориям тестов, чтобы выяснить, является ли их производительность надежной, когда им нужно функционировать, и обеспечивают ли они безопасность в ответ на типичные кратковременные процессы энергосистемы, такие как сбои, переключение мощности и коммутация… В целом, в архитектуре схемы защиты были обнаружены технические дефекты, которые были идентифицированы и задокументированы, используя результаты тестирования в режиме реального времени. Тестирование RTDS показало, что до сих пор нет единого решения, которое можно было бы применять в любых случаях и которое могло бы обеспечить требуемый уровень надёжности.»В презентации Quanta Technology и Dominion кратко изложена их оценка надежности «HMD является ни надежными, ни защищёнными».

Джо Вайсс, профессионал в области кибербезопасности и систем управления, оспаривал выводы из этого отчета и утверждал, что он ввел в заблуждение энергопредприятия. Он написал: «Этот отчет нанёс большой урон, подразумевая, что защитные устройства оборудования Aurora вызовут проблемы с электросетью. Несколько энергопредприятий использовали отчет Quanta в качестве оправдания того, чтобы не устанавливать какие-либо защитные устройства Aurora. К сожалению, в докладе содержится несколько сомнительных допущений. Они включают в себя применение начальных условий, для которых, смягчение последствий не предназначалось, например, для устранения более медленных сбоев или отключения номинальных частот электросети. Существующая защита устраняет более „медленные“ неисправности и отключать номинальные частоты сети (<59 Гц или >61 Гц). Защитные устройства оборудования Aurora предназначены для очень быстрых асинхронных аварийных ситуаций, которые в настоящее время являются брешью в защите (то есть не защищены какими-либо другими устройствами) электросети».

Ход событий

4 Марта 2007 — Национальная лаборатория Айдахо продемонстрировала уязвимость Аврора

21 Июня 2007 — NERC проинформировала индустрию об уязвимости.

27 Сентября 2007 — CNN выложили на своей главной странице ранее секретное видео демонстрации уязвимости. Может быть скачано здесь.

13 Октября 2010 — NERC выпустили рекомендацию для индустрии по уязвимости.

3 Июля 2014 — Департамент национальной безопасности США выпустил около 840 страниц документов посвященных уязвимости Аврора


  • Проективные методики
  • Генеалогический ДНК-тест
  • Национальные лаборатории Министерства энергетики США
  • RESET-тест Рамсея
  • Газовый электрогенератор – выгодное решение для агропромышленного комплекса

  •  

    • Яндекс.Метрика
    • Индекс цитирования