Когато хакерите атакуват мрежата

Тренировъчни учения разкриха потенциалните поражения след кибератака срещу енергийната инфраструктура на САЩ

17:00 | 25 февруари 2022
Обновен: 17:18 | 25 февруари 2022
снимка: Bloomberg LP
снимка: Bloomberg LP

Пет пъти в продължение на три години на Плъм Айлънд, изолирано парче земя край североизточния край на нюйоркския Лонг Айлънд, се разиграва отчаян сценарий. Голяма част от електропреносната мрежа се е сринала, населението е на тъмно, а критичните обекти като болници са в отчайваща ситуация. Авариен екип на комуналната служба и експерти по киберсигурността се опитва да възстанови работата на мрежата, докато хакери упорито атакуват.

Всяка извънредна ситуация се разиграва по време на учението, проведено от Агенцията за перспективни изследователски проекти в областта на отбраната (ДАРПА) – научно-развойното звено на Пентагона. Целта е да сблъскат комуналните обекти, свикнали да се справят с урагани, снежни бури и други предизвикателства, с реалността на успешна кибератака срещу електрическата мрежа на САЩ.

Загрижеността на американското правителство от подобно развитие нараства от близо година. ДАРПА започна да подготвя тренировъчните учени в средата на 2015 г. като част от 5-годишен проект за $118 млн., наречен "Системи за бързо откриване, изолиране и характеризиране на атаки" - или "РАДИКС" - след смразяващия доклад пред Конгреса през 2014 г. на тогавашния директор на Агенцията за национална сигурност Майк Роджърс. Адмирал Роджърс разкри, че хакери са прониквали в американските енергийни предприятия, за да търсят слаби места и че Русия е уличена във внедряване на зловреден софтуер в същия вид индустриални компютри, използвани от енергийните предприятия. "Всичко това ме кара да вярвам, че става въпрос кога, а не дали ще станем свидетели на нещо по-драматично", казал той.

Проблемът е особено актуален през последните месеци, след поредица от хакерски атаки за откуп срещу американски съоръжения и нарастващото напрежение с Китай и Русия. Руски войски са разположени по границата с Украйна - страна, чиято електропреносна мрежа на два пъти стана жертва на руски кибератаки. Миналата година Белият дом стартира 100-дневен спринт за ускорена работа по дългосрочни проекти за укрепване на американската енергийна инфраструктура срещу подобни атаки.

В края на декември правителствени служители в частни разговори са предупредили частно енергийните компании, че могат да станат обект на нападение, ако отношенията с Русия се влошат, а препоръката била екипите по сигурността да не излизат в отпуск по празниците. На 11 януари правителствени служители публично призоваха комуналните услуги да инспектират мрежите си за признаци на руски атаки.  Секретарят на армията Кристин Уормут наскоро заяви пред репортери, че електропреносната мрежа също би може да се окаже цел в случай на конфликт с Китай за Тайван.

Ученията на остров Плъм ясно илюстрираха хаоса, който хакерите могат да предизвикат. Нападателите превзели критично важно за сигурността оборудване, прекъснали комуникациите и изпратили фалшиви данни към дежурните оператори.  с цел , за да объркат операторите, които вземаха важни решения. Предприятията от комуналния сектор, някога уверени, че са предпазени от хакерски атаки, вече не са толкова сигурни. "Това, в което се убедихме като държава е, че противникът може да атакува успешно“, казва Уолтър Вайс, програмен мениджър на РАДИКС. "Въпросът е, какво правим след това?“

Докато правителството периодично практикува подобни сценарии, за операторите на комунални услуги това е рядкост. Преди да приключи 2020 проектът РАДИКС създаде за 15-те комунални участници максимално близки до реалността условия, при които те можеха да тестват нови технологии, някои от които вече бяха внедрили. „Той ги извади от усещането за сигурност, което може би са имали“, казва Брайън Лин, водещ инструктор в ПиДжейЕм Интерконекшън - най-голямото електроразпределително дружество, което консултирало ДАРПА по време на програмата. "На всички, които участваха, наистина им се отвориха очите", казва той. "И след като се върнеха дружествата си с информация от първа ръка, можеха да кажат: Да, има реална заплаха“.

Повечето истории за кибератаки срещу физическа инфраструктура започват с вируса Стъкснет. Атаката от 2010, осъществена от САЩ и Израел, унищожи повече от 1000 ирански ядрени центрофуги чрез манипулиране на индустриалните компютри, които ги контролират. Съвременните електропреносни мрежи също са силно компютъризирани, което ги прави по-устойчиви по време на бури и други смущения, свързани с метеорологичните условия, но също така открива нови уязвими точки за кибератаки.

В края на 2015 руски хакери извършиха първата голяма кибератака срещу националната електропреносна мрежа, като извадиха от строя част от украинската национална електропреносна мрежа за 6 часа. На следващата година отново атакуваха Украйна, проникнаха в преносна подстанция северно от Киев и задействаха всички прекъсвачи, оставяйки част от столицата без ток. Според Анди Бочман, старши стратег в Националната лаборатория на Айдахо и един от най-добрите американски експерти по киберзаплахите за мрежата, хакерската атака е имала за цел не само да накаже украинците, но и да покаже какво може да направи Русия на други противници. "И двете атаки в Украйна бяха демонстрация", казва той. "И целият свят ги наблюдаваше."

Скоро след това руски зловреден софтуер беше открит в 10 американски комунални дружества, сред които бе и операторът на атомна електроцентрала в Канзас. Според разказите на трима експерти, запознати с инцидента, правителствени служители незабавно секретни брифинги с мениджмънта на комуналните предприятия, на които са инструктирани как да прочистят системите в следващите месеци. Министерството на енергетиката на САЩ продължава да провежда подобни брифинги, като на един от тях информира участниците, че са били заловени потенциални противници, опитали се да манипулират компоненти на ел. мрежата.

Макар че най-яростните атаки ще бъдат осъществени на държавно ниво, поредицата от хакерски нападения с цел откуп през последната година нагледно демонстрираха колко широко разпространена е възможността за парализиране на физическата инфраструктура чрез кибератаки, казва Анг Куи, основател на Ред Балуун Сикюрити и участник в ученията на Плъм Айлънд. "Това, което един хакер може да постигне с тези вградени устройства днес, прави Stuxnet да изглежда като пещерна технология", казва Куи.

Хакерите, които искат да сринат електрическата мрежа, вероятно ще манипулират компютрите, поддържащи баланса в нея. Поддържането на модерна мрежа изисква постоянно пренастройване, за да се гарантира, че количеството енергия, изпращано в системата, е равно на енергията, която домакинствата, фирмите и други потребители теглят от нея. Ерик Хитингер, експерт по енергийна политика, доцент в Технологичния институт в Рочестър, оприличава този процес на велосипедист, който постоянно премества тежестта си, за да остане изправен. Ако този баланс се наруши достатъчно силно, "всичко започва да се разпада. Различните части на системата ще започнат да се изключват по непредсказуем начин. В крайна сметка се стига до каскадни откази. Падаш от велосипеда."

Подобно нещо може да се случи поради природни явления, като например зимните бури в Тексас миналата година, когато електроенергията, насочена към мрежата, спадна, след като метеорологичните условия извади електроцентралите от строя. Съветът за електрическа надеждност на Тексас, организацията, която управлява електропреносната мрежа,  изключи за няколко минути електрозахранването в големите населени места и така предотврати каскаден срив.

Най-сложната част при срив на мрежата е възстановяването на захранването след колапса, а при по време на прекъсване тока в широка зона може да се наложи сложна маневра, известна като "черно стартиране", което включва рестартиране на електрическата мрежа без захранване отвън, извън зоната на прекъсване.  

Особено кошмарен сценарий, който ДАРПА симулира по време на учението, включва кибератака, при която хакерите остават в системата и многократно осуетяват процеса на рестартиране. В тази ситуация прекъсването на електрозахранването, което би продължило часове, може да се проточи със седмици. "Когато става въпрос за кибернетична атака, това е все едно да поправяте щетите от урагана, докато той все още е над вас", казва Лин от ПеДжиЕм. "И аз просто не мога да ги поправя и да съм сигурна, ще е трайно. Налага се постоянно да се питам: "Пропуснах ли нещо? Все още ли нещо е заразено? "

Първото учение на остров Плъм се проведе през 2018, като следващите се организират до октомври 2020. Действието е съсредоточено във Форт Тери – изоставена част от крайбрежната отбрана на Ню Йорк. Островът, където се намира и свръхсекретна лаборатория за изследване заразни болести по животните, е достъпен само с ферибот, до който се стига през  охранителен пост; около 100-те участници прекарваха там между 7 и 10 дни, като всяка вечер се връщаха в хотели на Лонг Айлънд. Служители от комуналните услуги и бойци от Националната гвардия изпълняваха рутинните си задължения на работното място, докато експерти по кибервойна, ангажирани от ДАРПА, изпълняваха ролята на хакери.

Участниците не са склонни да разкриват подробности, страхувайки се на не разгласят важна за хакерите информация, но те не крият, че сред най-големите предизвикателства е бил културният сблъсък между опитните оператори на комунални услуги и експертите по киберсигурност. "Как да накарате операторите на системите, които не говорят кибернетично, да разговарят с кибер експертите, които пък не говорят езика на системните операции“, казва Дони Биелак, колега на Лин в ПиДжейЕм, консултант на ученията. Той разказа за типичното отношение на оператор на смяна от Ню Йорк, който пристигнал с  думите: „Добре, кибер-гении, свалете ръце, аз поемам“.   

След старта на учението и когато токът спрял, станало ясно, че типичните техники за възстановяване са неадекватни. Нападателите манипулирали  данните, идващи от сензорите – например, те показвали отворен прекъсвач, когато той реално бил затворен. Дори несложни на пръв поглед трикове се оказали бяха обезпокоителни. В един от епизодите нападателите намалили яркостта на екрана на устройство, което принудило аварийните екипи да губят време за погрешна диагностика на оборудване, което изглеждало сякаш не работи. В друг случай операторите, които са свикнали да проверяват състоянието на компонентите с онлайн приложение, останали объркани, хакерите деактивирали, така че да няма достъп до него.

В началото на едно от ученията Уолтър Вайс нагледно напомнил на група експерти по киберсигурност за собствената им неподготвеност, като просто врътнал прекъсвача на електрическата верига в конферентната зала, където се били събрали. Всеки, който не си носел допълнителни батерии за лаптоп или челник за глава, останал на тъмно.

Ученията обикновено започвали злополучно, после настъпвал бавен напредък, след като участниците се научавали да работят с експерименталната технология, разработена за РАДИКС – но най-вече, как да действат в новата, проблемна среда. В крайна сметка, казва Биелак, комуналните служители, които в началото се държали безцеремонно с експертите по киберсигурност, започнали да си сътрудничат с тях. Бранещите се трябвало да свикват с процедури за зачистване на всяка подстанция от зловреден софтуер, преди да я свържат към по-голямата мрежа. Ако не го направят, хакерите могат да изключат прекъсвач в критичен момент или да изпратят манипулирани данни, които да объркат усилията за възстановяване.

Но дори привидните победи се оказали краткотрайни. По време на едно от ученията операторите успели да възстановят мрежата и да подновят работата на модела за комунални услуги. Вайс си спомня, че токът тръгнал към ключови обекти на острова и участници избухнали в радостни възгласи. Но само минути по-късно мрежата отново прекъснала.

РАДИКС, подобно на много други програми на ДАРПА, била с ограничен срок на действие и ученията приключили с края на програмата. Част от тестовото оборудване обаче останало, а Министерството на енергетиката продължава да тества технологии за киберсигурност на острова. Но повечето от комунални служители вече не участват и Лин се опасява, че те скоро се забравят новопридобитите рефлекси и умения:  "Иска ти се да запазиш тази мускулна памет", казва той.

Но дори и да продължат, в ученията на остров Плъм са ангажирани ограничен брой комунални дружества, а експертите се опасяват, че страната остава неподготвена за тази опасна и непредсказуема заплаха. Ситуацията по украинската граница показа как един външен конфликт повишава вероятността от хакерска атака. Дори ограничен опит за  политически натиск чрез провеждане на кибероперация може да предизвика поражения, извън контрола на нападателите, казва Тим Рокси, бивш шеф по сигурността на Норт Америкън Илектрик Релайабилити Корп.  "Страничните щети понякога могат да бъдат много по-различни от намеренията", допълва той.

Но ученията на Плъм Айлънд оставиха и по-траен ефект. Националната асоциация на електрическите кооперативи в селските райони, в която членуват предимно малки оператори, отскоро започна да използва нов инструмент за сигурност, който тя е тествала за първи път на острова, съобщи  Ема Стюарт, главен научен ръководител на асоциацията. Когато този инструмент, наречен „Есенс“ бъде въведен повсеместно, той ще помогне на членовете на асоциацията да откриват кибератаки срещу най-чувствителните им съоръжения.

Анг Куи, чиято компания произвежда част от инструментите, тествани на Плъм Айлънд, казва, че САЩ имат да извървят дълъг път в подготовката си за кибератаки и в обучението на комуналните служители от първа линия. Неговият екип наскоро подложи на тест компютрите, използвани за контрол на ел. мрежата и откри сериозни конструктивни недостатъци, които могат да бъдат използвани от хакерите. За да докаже тезата си, екипът му дистанционно превзе едно от устройствата и изключи електрозахранването на построен от него умален модел на Манхатън.

"Какви са рисковете за страната? Може би по-добрият въпрос е: Какво сме направили, за да не допуснем нещо подобно на сценариите в "РАДИКС?", казва Куи казва. "Мисля, за всички е ясно, че не сме направили достатъчно." - Майкъл Райли, с Джордан Робъртсън и Уилям Търтън

В РЕЗЮМЕ Комунални служители и експерти по киберсигурност са планирали в игра последиците от голяма кибератака срещу електропреносната мрежа като част от по-широките усилия за подготовка за такава.