Przejęcie kontroli nad urządzeniami monitorującymi wskazuje na zagrożenia cybernetyczne dla infrastruktur energii słonecznej

Atak na urządzenia do zdalnego monitorowania w Japonii podkreśla pojawiające się zagrożenie dla cyberbezpieczeństwa szybko rozwijającego się komponentu solarnego sieci energetycznej. Falowniki używane z panelami słonecznymi mogą stanowić większe ryzyko.

Źródło: Shutterstock / Metamorworks

Japońskie media poinformowały niedawno, że cyberatak na infrastrukturę sieci fotowoltaicznej może być pierwszym publicznie potwierdzonym cyberatakiem, w którym cyberprzestępcy przejęli 800 urządzeń do zdalnego monitorowania SolarView Compact wyprodukowanych przez producenta przemysłowej elektroniki sterującej Contec w zakładach wytwarzania energii słonecznej, aby zaangażować się w kradzieże kont bankowych.

Atakujący prawdopodobnie wykorzystali systemy, które nie załatały luki CVE-2022-29303, którą firma Palo Alto Networks odkryła w czerwcu 2023 r. Firma zajmująca się cyberbezpieczeństwem stwierdziła, że luka była aktywnie wykorzystywana do rozprzestrzeniania botnetu MiraiAtakujący zamieścili nawet film na YouTube demonstrujący ich exploita w systemie SolarView. Contec następnie załatał lukę 18 lipca 2023 r.

7 maja 2024 roku Contec potwierdził najnowsze ataki na urządzenia do zdalnego monitorowania i przeprosił za niedogodności. Firma zaalarmowała operatorów zakładów energetycznych o problemie i wezwała ich do aktualizacji oprogramowania urządzenia do najnowszej wersji.

Za atak prawdopodobnie odpowiedzialna była grupa Hacker CN

wywiadzie dla analityków południowokoreańska firma ochroniarska S2W powiedziała, że grupą odpowiedzialną za atak był Arsenal Depository, co wydaje się odnosić do grupy hakerów znanej również jako Hacker CN.

W styczniu 2024 r. S2W zidentyfikował Hacker CN jako chiński lub rosyjski, wskazując, że był zaangażowany w ataki haktywistów wymierzone w japońską infrastrukturę po tym, jak japoński rząd zrzucił skażoną wodę z elektrowni jądrowej Fukushima w ramach kampanii S2W nazwanej przez S2W kampanią "Operacja Japonia". (Ani Contec, ani S2W nie odpowiedziały na prośby o wywiady).

Eksploatacja urządzeń zdalnego monitorowania, choć niepokojąca, nie zagroziła pracy systemu elektroenergetycznego. Eksperci twierdzą jednak, że w bardzo sprawnych rękach włamanie do eksploatowanych urządzeń mogłoby okazać się jeszcze bardziej niebezpieczne. Podkreślają, że falowniki stosowane w instalacjach fotowoltaicznych są bardziej prawdopodobnym wektorem, przez który może dojść do szkodliwych ataków słonecznych.

Atak nie był wymierzony w operacje sieciowe, ale mógł

Eksperci twierdzą, że widoczna motywacja finansowa prowadzi ich do przekonania, że atakujący nie atakowali operacji sieciowych. "Ci źli ludzie szukali urządzeń obliczeniowych, których mogliby użyć do wymuszeń związanych z Internetem" – mówi Thomas Tansy, dyrektor generalny DER Security. "Z tego punktu widzenia fakt, że przejęli kontakt, nie różniłby się niczym od przejęcia przez złoczyńców kamer przemysłowych, domowych routerów lub innych urządzeń podłączonych do Internetu. Celem ataku nie było naruszenie sieci energetycznej. Chodziło o wyłudzenie pieniędzy".

Ale jeśli hakerzy byli zmotywowani do zakłócenia sieci energetycznej, mogli wykorzystać te niezałatane urządzenia do bardziej złowrogich celów, mówi Tansy. "Czy przeciwnik może zmienić zdanie i powiedzieć: "Nie jesteśmy już zainteresowani wyłudzaniem pieniędzy od ludzi, jesteśmy zainteresowani przerwaniem zasilania w sieci?" Pewny. Gdyby mieli odpowiednią wiedzę, fakt, że są wewnątrz systemu, daje im taką możliwość. Oczywiście, musieliby mieć umiejętności i wiedzę, aby to zrobić, ale w tym momencie barbarzyńcy są za bramami.

Dostęp do systemów monitoringu zapewni pewien poziom dostępu do rzeczywistej instalacji fotowoltaicznej, mówi Willem Westerhof, kierownik zespołu w Secura. "Masz dostęp do sieci lokalnej. Zamiast robić to, co oni, można spróbować wykorzystać ten dostęp do ataku na wszystko, co znajduje się w tej samej sieci".

Atakujący mogą uzyskać dostęp do centralnego systemu kontroli

Takie sieci zazwyczaj mają centralny system kontroli, którego infiltracja może pozwolić atakującym na przejęcie więcej niż jednej farmy fotowoltaicznej. "Z tego, co zaobserwowałem, ten konkretny sprzęt monitorujący ma również możliwość np. wyłączenia instalacji fotowoltaicznej" – mówi Westerhof. "W ten sposób można by zamknąć i uruchomić farmę fotowoltaiczną. Nie sądzę, aby sieć została całkowicie wyłączona, biorąc pod uwagę skalę ataku i dostępne środki zaradcze, ale prawdopodobnie niektórzy ludzie odpowiedzialni za równoważenie sieci będą bardzo zdenerwowani, jeśli zaczniesz je wyłączać lub wielokrotnie je wyłączać.

Jednak instalacje fotowoltaiczne na skalę sieciową, takie jak te, które przedsiębiorstwa użyteczności publicznej coraz częściej wykorzystują do zasilania swoich sieci, prawdopodobnie mają wystarczające zabezpieczenia wbudowane w swoje sieci, aby udaremnić tego rodzaju atak.

Obowiązkowe zabezpieczenia, takie jak "NERC-, zaczynają obowiązywać w zależności od tego, jak duża jest instalacja i jak duży jest wpływ" – mówi CSO Andrew Ginter, wiceprezes ds. bezpieczeństwa przemysłowego w Waterfall Security Systems. "Coraz bardziej rygorystyczne cyberbezpieczeństwo jest stosowane tylko dlatego, że ma to sens biznesowy. Jeśli masz tuzin farm fotowoltaicznych, z których każda wytwarza 300 megawatów energii, przedsiębiorstwo energetyczne monitoruje te rzeczy".

Poważniejsze zagrożenia dla cyberbezpieczeństwa sieci energetycznych wynikają z falowników

Choć atak na Contec był niepokojący, eksperci wskazują na poważniejsze zagrożenie dla bezpieczeństwa cybernetycznego rozproszonych zasobów energetycznych (DER) składających się z paneli słonecznych, krytycznego komponentu zwanego falownikiem, należącego do klasy energoelektroniki, która reguluje przepływ energii elektrycznej. Falownik to urządzenie, które przekształca prąd stały (DC), który wytwarza panel słoneczny, na prąd przemienny (AC), z którego korzysta sieć elektryczna.

North American Electric Reliability Corporation (NERC) ostrzegła, że braki w falownikach stanowią "znaczące zagrożenie dla niezawodności BPS [zasilania masowego]" i mogą potencjalnie spowodować "rozległe awarie". Amerykański Departament Energii ostrzegł w 2022 roku, że cyberatak na falowniki może zmniejszyć niezawodność i stabilność sieci.

W maju 2023 r. zespół badaczy z holenderskiego Krajowego Inspektoratu Infrastruktury Cyfrowej (RDI) poinformował, że spośród dziewięciu typów falowników ośmiu badanych przez nich producentów, żaden nie spełniał standardów bezpieczeństwa RDI. Naukowcy doszli do wniosku, że "to sprawia, że instalacje paneli słonecznych są łatwe do zhakowania, a następnie mogą być wyłączone lub wykorzystane do ataków DDoS. Mogą też zostać przechwycone dane osobowe i dane dotyczące użytkowania".

"Kluczowym elementem jest falownik" – mówi Ginter. "Falownik jest interfejsem do sieci, jest interfejsem do systemów sterowania siecią. Najnowsze falowniki mają komunikację; Są one połączone z siecią lub komunikacją z usługą w chmurze. To właśnie te urządzenia są narażone na ryzyko włamania".

Zhakowane falowniki mogą zagrozić domowym instalacjom fotowoltaicznym, a nawet wywołać pożar

Realne zagrożenie dla eksploatacji falowników tkwi w rosnącej liczbie domowych instalacji fotowoltaicznych. Według Solar Energy Association liczba amerykańskich domów z instalacjami słonecznymi ma się podwoić do 10 milionów do 2030 roku. Oczekuje się, że do 2030 r. liczba gospodarstw domowych z instalacjami fotowoltaicznymi przekroczy 100 milionów.

"Zazwyczaj falowniki te mają ustawione napięcie i częstotliwość" – mówi Westerhof. "Są to więc tylko parametry elektryczne, ale są one konfigurowane albo za pomocą oprogramowania układowego, albo za pomocą wartości zadanych. Jeśli dojdziesz do punktu, w którym możesz na to wpłynąć, możesz sprawić, że te systemy będą wysyłać bardzo znacząco inne napięcie i inną częstotliwość, co w zasadzie zaburza wszystkie podłączone urządzenia".

Same falowniki są zwykle w stanie poradzić sobie ze zmianami napięcia lub częstotliwości, zwarciem lub awarią. Ale, jak mówi Westerhof, w pewnych rzadkich okolicznościach "niektóre podłączone urządzenia mogą w pewnym kontekście powoli, ale stale zaczynać się palić. Szanse na wybuch pożaru na pewno wzrosną".

Niektóre rozwiązania problemów związanych z cyberbezpieczeństwem energii słonecznej

Atak na urządzenia Contec, zagrożenia dla falowników DER i inne zagrożenia dla komponentu słonecznego sieci energetycznej nie wynikają z samych paneli słonecznych, które są w zasadzie urządzeniami pasywnymi, ale z elementów komunikacyjnych, które łączą panele z systemami elektroenergetycznymi. Ze względu na to rozwidlenie użytkownicy paneli słonecznych mogą podjąć kroki w celu ochrony przed zagrożeniami wbudowanymi w oprogramowanie komunikacyjne.

Organ ustanawiający standardy IEEE ustanowił normę 1547 dotyczącą łączenia paneli słonecznych z systemami i niedawno zaktualizowała tę normę w 2018 r., aby między innymi poprawić niezawodność i wspierać sieć w nietypowych okolicznościach.

"Ponieważ istnieje standard, możesz kupić twarde towary, baterie, panele słoneczne od jednej strony z Chin i możesz wdrożyć system kontroli i system bezpieczeństwa, który jest w 100% wyprodukowany w Ameryce" – mówi Tansy. A robiąc to, kupiłeś sobie całkiem pokaźną ochronę.

Według Westerhofa kolejnym krokiem w celu ochrony fotowoltaicznego komponentu sieci jest zapewnienie, że lokalni instalatorzy są odpowiednio przeszkoleni w zakresie cyberbezpieczeństwa, szczególnie jeśli chodzi o niezabezpieczone falowniki.

"Instalatorzy, na przykład, czasami instalują modele, które nie były wspierane przez dostawców przez kilka lat, tylko dlatego, że jest to falownik, który nadal mają w magazynie" – mówi. "Właściciele farm fotowoltaicznych są bardzo zaniepokojeni cyberbezpieczeństwem, ale tak naprawdę nie mogą go kontrolować w przypadku instalacji fotowoltaicznych, ponieważ są zależni od dostawców i ludzi, którzy mogą je zainstalować".

Amerykański Departament Energii opowiada się za zabezpieczeniem branży rozproszonych zasobów energetycznych na przyszłość, zanim osiągnie ona dojrzałość, a NIST opracowuje wytyczne dla domowych i lekkich komercyjnych systemów energii słonecznej w oparciu o przegląd znanych luk w zabezpieczeniach inteligentnych falowników udokumentowanych w National Vulnerability Database (NVD) oraz informacje o znanych cyberatakach na inteligentne falowniki. Testuje również pięć przykładowych inteligentnych falowników.

Ginter uważa, że projekt wytycznych NIST podkreśla rodzaje pytań, które powinny zadawać sobie wszystkie organizacje, wdrażając podstawowe zabezpieczenia cybernetyczne. "NIST mówi, że powinniśmy mieć pewne standardy cyberbezpieczeństwa, zrobić pewne podstawy. Myślę, że z biegiem czasu normy będą musiały stać się bardziej rygorystyczne, a my skończymy z oprogramowaniem realizującym funkcje krytyczne dla bezpieczeństwa w tych fizycznych urządzeniach" – mówi.

- źródło

 

 ROZPOZNAWANIE INFORMACYJNE I ŁĄCZNOŚĆ  
 
Ta strona internetowa prezentuje porządek bezpieczeństwa informacji w trakcie jej używania i nie udostępnia żadnych elementów informacyjnych. Na stronie mogą znajdować się Facebook posty, X tweety i wiadoności z serwisu Telegram. System i wszystkie zawartości są aktualizowane. Strona jest napędzana systemem Drupal10.

STOP 🛑 iD2020