Опыт практического анализа кибербезопасности интеллектуальных электросетей Европы

В статье суммируется опыт ряда работ по практическому анализу кибербезопасности различных компонентов интеллектуальных энергосетей Европы.

Введение

В настоящее время в Европе идёт массовое внедрение технологий интеллектуальных электросетей (SmartGrid).

Во многом этот процесс связан с курсом на энергоэффективность и массовым внедрением мини- и микрогенерации на основе возобновляемых источников электроэнергии. Основным целеполагающим документом здесь является директива № 2009/28/EC Европейского парламента и Совета от 23 апреля 2009 [1], в рамках которой ставится цель достигнуть 20% генерации с использованием возобновляемых источников к 2020 году и 80% к 2050.

В статье суммируется опыт ряда работ по практическому анализу защищённости различных компонентов интеллектуальных энергосетей Европы.

Границы работ

В ходе работ использовалось определение кибербезопасности АСУ ТП как процесса обеспечения функционирования объекта управления, при котором отсутствуют опасные отказы и недопустимый ущерб, обеспечивается заданный уровень экономической эффективности и надёжности с учётом целенаправленного негативного антропогенного информационного воздействия.

Это определение даёт возможность применять в ходе анализа защищённости миссиоцентрический подход [2] и задействовать существующий аппарат промышленной и функциональной безопасности, теории надёжности для анализа рисков и моделирования угроз. Результаты такого анализа будут приведены в следующих статьях.

Основные объекты исследования были определены на основе NISTIR 7628 Guidelines for Smart Grid Cyber Security [3].

Рис. 1. Передача энергии и коммуникационные связи в модели NIST SmartGrid Framework

В качестве базовой модели нарушителя был принят анонимный злоумышленник средней квалификации, действующий из сети Интернет. Подобный уровень соответствует возможностям мотивированной группы «хактивистов», среднебюджетной кампании промышленного шпионажа или криминальной операции. Векторы атак, связанные со смежными сетями (adjacent networks в терминологии CVSS), включая локальные радиосети, не рассматривались. Результаты работы показали, что на текущий момент принимать во внимание более сложные модели злоумышленника и связанные методы атаки не имеет смысла, поскольку даже анонимный злоумышленник, действующий из сети Интернет, имеет достаточно возможностей для реализации различных атак.

Поскольку в данной статье приведены результаты нескольких независимых проектов, направленных на анализ защищённости различных элементов (сетевые коммуникации, элементы РЗА, SCADA, прикладное ПО, системы малой энергетики), исследование не претендует на полноту.

Безопасность коммуникаций

Как видно из модели NIST SmartGrid Framework, различные информационные связи присутствуют между всеми субъектами.

Поэтому каналы связи и используемые прикладные протоколы являются существенным элементом поверхности атаки, а от их защищённости во многом зависит общая безопасность системы.

Аудиты безопасности ряда энергетических объектов Европы подтвердили выводы CIGRE [4] о низкой устойчивости используемых протоколов семейства IEC 61850 к атакам типа «прослушивание», «подделка сессий» и «человек посередине». Однако, несмотря на широкое внедрение IEC 61850, опыт практического анализа защищённости показал широкое использование на объектах энергетики стандартных протоколов коммуникаций АСУ ТП, таких как Modbus, S7, PROFINET, IEC 60870-104.

В ходе анализа был подготовлен ряд инструментов для идентификации, модификации и фаззинга протоколов, часть из которых была опубликована в виде инструментов с открытым исходным кодом [5], представленных на конференции Power Of Community (Сеул, Корея.) Практическое применение инструментов дало возможность выявить несколько новых уязвимостей в различных системах, в частности, вывод из строя Siemens S7 1200 путём отправки пакетов Profinet [6].

Результаты исследования были использованы в ряде проектов, например CRISALIS [7], Shodan. На конференции 4SICS (Стокгольм, Швеция) John Matherly представил проект ICS Map [8], основанный на ядре системы Shodan, но сканирующий системы, использующие индустриальные протоколы. Использование данного проекта позволяет выявлять факты подключения индустриальных систем к сети Интернет.

Рис. 2. Карта Shodan-систем IEC 60870-104 в Интернете (июнь 2017)

Однако поверхность атак не ограничивается ICS-протоколами. В докладе на конференции Chaos Communication Congress 30 [9] было показано, что компоненты ICS широко используют стандартные протоколы прикладного уровня для удалённого управления и обмена информацией. По сути, из всех выявленных в Интернете компонентов АСУ ТП индустриальные протоколы использовали только 2% систем.

Рис. 3. Протоколы компонентов АСУ ТП, доступных из Интернета (декабрь 2013)

Дальнейшие исследования показали, что многие из выявляемых устройств относятся к сетевому оборудованию, обеспечивающему внутренние или внешние коммуникации систем АСУ ТП. Так, в опубликованном в 2016 году «Лабораторией Касперского» документе «Industrial control systems and their online availability» [10] указано, что около 28% всех выявленных в Интернете компонентов АСУ ТП являются сетевыми устройствами: промышленными маршрутизаторами, сотовыми модемами и т. д.

Рис. 4. Типы компонентов АСУ ТП, подключенных к Интернету (2016)

Для лучшего понимания возможных атак был проведён анализ защищённости сетевых устройств, используемых в промышленных системах: Bintec, Digi, Moxa, Sierra Wireless. Анализ показал невысокий уровень защищённости данных систем и распространённость достаточно простых в выявлении и эксплуатации уязвимостей, в том числе hardcoded passwords, hardcoded SSH keys, weak mobile comms (2G/3G/4G), web management interface issues, buffer overflows. Использование подобных уязвимостей даёт потенциальному злоумышленнику возможность изменять настройки сетевых устройств, прослушивать и перенаправлять трафик, блокировать сетевое взаимодействие и получать несанкционированный доступ к внутренним компонентам промышленных систем.

Результаты работы были представлены на конференции 32C3 (Германия) [11]; большинство выявленных уязвимостей на настоящий момент устранены производителями.

Отдельного внимания заслуживает широкое применение в энергетике глобальных беспроводных сетей, таких как мобильные сети 2G/3G/4G. В ходе исследования, представленного на конференции PacSec (Япония) [12], было продемонстрировано, как уязвимости ключевых компонентов мобильной сети (SGSN/GGSN), мобильных модемов и SIM-карт могут быть использованы для перехвата и несанкционированной модификации сетевых коммуникаций, модификации firmware устройств и получения несанкционированного доступа. Многие из этих атак могут быть реализованы из произвольной точки и не требуют физической близости к объекту атаки. Выявленные в апреле 2017 года инциденты в ряде банков Германии, в ходе которых злоумышленники использовали уязвимости сетей телекоммуникационных компаний для перехвата SMS [13], демонстрируют доступность подобных методов для криминальных группировок.

Микрогенерация

Однако для полноты картины следует учитывать риски, связанные с малой энергетикой на основе возобновляемых источников энергии.

В рамках проекта был проведён анализ поверхности атак и наличия уязвимостей в 4 популярных платформах для управления солнечной и ветровой генерацией установок Solar-Log, SMA SunnyWebbox и портала Nordex NC2, используемого в качестве SCADA-системы для ветроэнергетических установок компании Nordex. Анализ показал, что в Интернете доступно более 80 000 подобных систем. Поскольку большинство из них предоставляют данные о выработанной электроэнергии и другую техническую информацию без дополнительной авторизации, анализ таких источников OSINT, как кэш Google, позволяет пассивно определить объем вырабатываемой энергии.

Рис. 5. Информация о выработке электроэнергии системы Solar Log

Усреднение полученных данных показало, что средняя моментальная мощность, вырабатываемая этими системами, составляет около 8 ГВт, бóльшая её часть приходится на Европу.

Ещё одной особенностью систем малой энергетики является широкое использование систем централизованного управления на основе «облачных» технологий. В рамках такого подхода системы управления инверторами соединяются с централизованной системой отчётности, расположенной на площадке производителя или оператора, и отправляют туда информацию о текущем состоянии систем, вырабатываемой энергии, скорости ветра и т. д. В ряде случаев централизованные системы имеют возможность управления, например обновление прошивок систем управления инверторами. В этой ситуации атака на системы управления может привести к массовому несанкционированному доступу к оконечным устройствам.

Рис. 6. Web-интерфейс системы централизованного учёта генерации GSE SpA

Поверхностный анализ показал, что в большинстве случаев подобные «облачные» решения не учитывают требования безопасности, и помог выявить в них уязвимость, позволяющую получить несанкционированный доступ к системе [14]. Таким образом, системы управления, в том числе «облачные», должны учитываться при работах по повышению защищённости.

Если рассматривать защищённость самих оконечных устройств, то можно констатировать крайне низкий уровень их сопротивляемости внешним атакам.

В ходе анализа было выявлен ряд уязвимостей «нулевого дня» в firmware указанных систем [15]: фиксированные и инженерные пароли, недостаточная аутентификация и авторизация, слабая криптография, различные варианты переполнение буфера. Потенциальный риск, связанный с выявленными уязвимостями, в большинстве случаев позволял прямо или косвенно получить полный доступ к устройству путём выполнения произвольного кода или загрузки модифицированного программного обеспечения.

Это в совокупности с ошибками эксплуатации (например, широким использованием стандартных паролей) делает подобные «домашние» системы привлекательным объектом для атак, что сейчас и демонстрируют домашние маршрутизаторы и другие устройства класса «Интернета вещей» (Internet of the Things, IoT), и может использоваться для локального фрода с целью манипуляции данными счётчиков, проникновения в информационные системы связанных энергосетей и различных специфичных атак, направленных на устойчивость энергосистемы.

Примерами подобных атак может являться передача ложной информации о генерации или потреблении электроэнергии с целью дестабилизации сети или новый вариант ransomware, блокирующего системы управления солнечной или ветровой энергетики [16]. Тенденция к интеграции систем управления микрогенерации и интеллектуальных счётчиков электроэнергии только увеличивает возможности злоумышленников.

Полученные данные были переданы авторитетным организациям (IMPACT, ENISA, ICS CERT), производителям и региональным CERT с целью информирования владельцев и блокирования удалённого доступа к системам АСУ ТП из Интернета. В результате этого проекта более 60 000 компонентов АСУ ТП, связанных с микрогенерацией, были отключены от сети Интернет [17].

Цифровые подстанции

Невысокий уровень защищённости демонстрируют и системы АСУ ТП, используемые в промышленной генерации и распределении.

Основными дефектами здесь являются массовое использование устаревших и неподдерживаемых ОС, малоэффективные механизмы защиты и множественные уязвимости в SCADA и PLC, незащищённые сетевые протоколы. Что в совокупности с низким уровнем сетевой изоляции и широким использованием слабозащищённых радиоканалов приводит к простоте реализации целенаправленной или спонтанной кибератаки.

Инциденты с энергетическими системами Украины [18] и червём WannaCry показали, что для проникновения во внутренние сети объектов АСУ ТП достаточно применения таких стандартных техник атак, как spear phishing, эксплойты для известных уязвимостей и т. д.

Рис. 7. Блокировка системы диспетчерского контроля червём Wannacry

Одним из ключевых компонентов цифровых подстанций являются терминалы релейной защиты. Данные устройства предназначены для быстрого выявления и отделения от электроэнергетической системы повреждённых элементов этой системы в аварийных ситуациях с целью обеспечения нормальной работы всей системы, то есть такие устройства являются элементом противоаварийной защиты.

В ходе проектов по анализу защищённости объектов генерации и распределения электроэнергии проводился анализ систем релейной защиты ведущих производителей (NARI Relays, Siemens, ABB, General Electric). В рамках анализа были выявлены уязвимости различных типов, включая hardcoded management passwords, unpatched 61850 Stack, remote reboots, permanent DoS, remote code execution.

Комбинация уязвимостей позволяет менять параметры работы системы, уставки, удалённо управлять выключателями и разъединителями, блокировать работоспособность терминалов и даже использовать их в качестве промежуточной платформы для распространения вредоносного кода.

Результаты исследований были представлены на конференциях Area 41, Zurich [19] и RECON BRUSSELS [20]. Информация об уязвимостях передана производителям систем в рамках политики ответственного разглашения. Часть уязвимостей на настоящий момент устранена вендорами.

Выводы

Опыт анализа кибербезопасности технологий SmartGrid показывает высокую уязвимость энергосистемы перед случайным или преднамеренным информационным воздействием.

Несмотря на очевидные экономические преимущества, внедрение SmartGrid создаёт следующие потенциальные узкие места с точки зрения кибербезопасности:

  • широкое использование стандартных сетевых технологий (TCP/IP, 3G/4G, WiFi), системных и прикладных технологий (ОС, СУБД) и наследование связанных проблем безопасности;
  • размытие границ РЗА и роли диспетчерского управления с передачей ряда функций противоаварийной защиты;
  • размытие периметра и увеличение поверхности атаки в связи с использованием большого количества сетевых устройств различного класса, принадлежащих различным владельцам, но объединённых в единую сеть;
  • низкое внимание со стороны разработчиков компонентов АСУ ТП и интеграторов к вопросам кибербезопасности, приводящее к существованию множества уязвимостей, достаточно «дешёвых» с точки зрения потенциальной атаки.

В результате современные реализации SmartGrid содержат ряд общесистемных и специфических уязвимостей как в отдельных компонентах, так и в целом в системах АСУ ТП и их сетях. Выявление и использование данных уязвимостей требует среднего уровня квалификации потенциального злоумышленника и достаточно скромных дополнительных средств. Потенциальные последствия подобных атак варьируются от локального фрода и негативного физического воздействия на элементы подстанций до масштабных сетевых аварий.

Примечания

[1] ГИС в области энергосбережения и повышения энергетической эффективности, «Директива N 2009/28/EC Европейского парламента и Совета от 23 апреля 2009 г. по поддержанию применения энергии от возобновляемых источников и вносящая изменения и отменяющая 2001/77/EC и 2003/30/EC», gisee.ru.

[2] Valentin Gapanovich, Efim Rozenberg and Sergey Gordeychik — Signalling cyber security: the need for a mission-centric approach, railjournal.com.

[3] Victoria Y. Pillitteri, Tanya L. Brewer — NISTIR 7628 Guidelines for Smart Grid Cyber Security, nist.gov.

[4] The Impact of Implementing Cyber Security Requirements using IEC 61850 CIGRE Working Group the B5.38, August 2010.

[5] Alexander Timorin — Power of Community 2013 special release of ICS/SCADA toolkit, scadastrangelove.blogspot.com.

[6] SSA-654382: Vulnerabilities in SIMATIC S7-1200 CPU, siemens.com.

[7] Marco Caselli, Frank Kargl, Dina Hadziosmanovic — Device fingerprinting preliminary results, crisalis-project.eu.

[8] Shodan, Industrial Control Systems, shodan.io.

[9] Sergey Gordeychik, Gleb Gritsai — 30C3 releases: all in one, scadastrangelove.blogspot.com.

[10] Oxana Andreeva, Sergey Gordeychik, Gleb Gritsai, Olga Kochetova, Evgeniya Potseluevskaya, Sergey I. Sidorov, Alexander A. Timorin — Industrial control systems and their online availability, kasperskycontenthub.com.

[11] Sergey Gordeychik, Alexander Timorin — The Great Train Cyber Robbery, scadastrangelove.blogspot.com.

[12] Sergey Gordeychik, Alexander Zaytsev — Root via SMS: 4G access level security assessment, pacsec.jp.

[13] Lily Hay Newman — Fixing the cell network flaw that lets hackers drain bank accounts, wired.com.

[14] SQL Injection in Solar-Log WEB, vulners.com.

[15] Sergey Gordeychik, Aleksandr Timorin — SCADA StrangeLove: Too Smart Grid in da Cloud, scadastrangelove.blogspot.com.

[16] Darren Pauli — Spotty solar power management platform could crash the grid, theregister.co.uk.

[17] Mark Ward — Could hackers turn the lights out?, bbc.com.

[18] Analysis of the Cyber Attack on the Ukrainian Power Grid, nerc.com.

[19] Sergey Gordeychik, Alexander Timorin — Cyber-physical attacks on critical infrastructure, securitytube.net.

[20] Kirill Nesterov, Alexander Tlyapov — Hopeless Relay Protection for Substation Automation, recon.cx.

Цифровая подстанция

(close)

 

Цифровая подстанция

(close)

Имя пользователя должно состоять по меньшей мере из 4 символов

Внимательно проверьте адрес электронной почты

Пароль должен состоять по меньшей мере из 6 символов

 

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: