เบาะแสใหม่แสดงให้เห็นว่าแฮกเกอร์กริดของรัสเซียมุ่งเป้าไปที่การทำลายล้างอย่างไร


ในปีพ. ศ. 2560 ESET ได้ตั้งข้อสังเกตถึงผลกระทบที่น่ารำคาญขององค์ประกอบมัลแวร์นั้น มันบอกเป็นนัย ๆ ว่าผู้สร้างของ Industroyer อาจจะต้องเผชิญกับความเสียหายทางกายภาพ แต่มันก็ยังไม่ชัดเจนว่าคุณลักษณะการแฮ็กของ Siprotec สามารถทำให้เกิดความเสียหายที่ยาวนานขึ้นได้อย่างไร ท้ายที่สุดแล้วแฮกเกอร์เพิ่งปิดไฟที่ Ukrenergo ไม่ก่อให้เกิดกระแสไฟกระชากที่อันตรายซึ่งการปิดใช้งานรีเลย์ป้องกันอาจทำให้รุนแรงขึ้น

การวิเคราะห์ Dragos อาจเป็นส่วนหนึ่งของปริศนา Ukrenergo ที่หายไป บริษัท ได้รับบันทึกยูทิลิตี้เครือข่ายของยูเครน – มันปฏิเสธที่จะบอกว่าที่ไหน – และเป็นครั้งแรกที่สามารถสร้างคำสั่งของการดำเนินงานของแฮกเกอร์ได้ ขั้นแรกผู้โจมตีจะเปิดตัวตัดวงจรทุกตัวในสถานีส่งสัญญาณซึ่งก่อให้เกิดไฟฟ้าดับ อีกหนึ่งชั่วโมงต่อมาพวกเขาได้เปิดตัวอุปกรณ์ปัดน้ำฝนซึ่งปิดการใช้งานคอมพิวเตอร์ของสถานีส่งสัญญาณทำให้เจ้าหน้าที่ของยูทิลิตี้ไม่สามารถตรวจสอบระบบดิจิตอลของสถานีใด ๆ ได้ จากนั้นผู้โจมตีจึงใช้คุณลักษณะการแฮ็ก Siprotec ของมัลแวร์กับรีเลย์ป้องกันสี่ตัวของสถานีโดยตั้งใจที่จะปิดใช้งานอุปกรณ์ที่ไม่ปลอดภัยเหล่านั้นโดยไม่แจ้งให้ผู้ดูแลระบบตรวจพบการป้องกันที่หายไป

ตอนนี้นักวิเคราะห์ Dragos เชื่อว่าเป็นความตั้งใจที่จะให้วิศวกรของ Ukrenergo ตอบโต้การดับไฟโดยรีบเปิดอุปกรณ์ของสถานีอีกครั้ง การทำเช่นนั้นด้วยตนเองหากไม่มีรีเลย์ป้องกันป้องกันจะทำให้เกิดกระแสเกินที่เป็นอันตรายในหม้อแปลงหรือสายไฟ ความเสียหายรุนแรงที่อาจเกิดขึ้นจะทำให้การส่งพลังงานของโรงงานหยุดชะงักนานกว่าชั่วโมง นอกจากนี้ยังอาจมีอันตรายต่อคนงานสาธารณูปโภค

แผนนั้นล้มเหลวในที่สุด ด้วยเหตุผลที่ Dragos ไม่สามารถอธิบายได้ – อาจเป็นเพราะความผิดพลาดในการกำหนดค่าเครือข่ายที่แฮ็กเกอร์ทำ – แพ็คเก็ตข้อมูลที่เป็นอันตรายซึ่งมีไว้สำหรับรีเลย์ป้องกันของ Ukrenergo ถูกส่งไปยังที่อยู่ IP ผิด ผู้ประกอบการ Ukrenergo อาจหันกลับมาใช้พลังงานได้เร็วกว่าที่แฮ็กเกอร์คาดไว้ซึ่งเกินกว่าการก่อวินาศกรรมการถ่ายทอดการป้องกัน และแม้ว่าการโจมตีของ Siprotec จะมีการทำเครื่องหมายของตนรีเลย์ป้องกันสำรองในสถานีอาจป้องกันไม่ให้เกิดภัยพิบัติ – แม้ว่านักวิเคราะห์ของ Dragos กล่าวว่าหากไม่มีระบบรักษาความปลอดภัยของ Ukrenergo ที่สมบูรณ์แบบเต็มรูปแบบ

แต่ผู้อำนวยการหน่วยสืบราชการลับ Dragos Sergio Caltagirone โต้แย้งว่าไม่ว่าลำดับเหตุการณ์จะเป็นยุทธวิธีที่น่ารำคาญซึ่งไม่ได้รับการยอมรับในเวลานั้น แฮกเกอร์ทำนายปฏิกิริยาของผู้ให้บริการพลังงานและพยายามใช้มันเพื่อขยายความเสียหายของไซเบอร์โจมตี “ นิ้วของพวกเขาไม่ได้อยู่เหนือปุ่ม” Caltagirone พูดถึงแฮ็กเกอร์ดับ “ พวกเขาได้ทำการโจมตีก่อนวางแผนที่เป็นอันตรายต่อสถานที่ในลักษณะที่อันตรายและเป็นอันตรายถึงชีวิตเมื่อคุณ ตอบสนอง กับเหตุการณ์ที่เกิดขึ้น เป็นการตอบสนองที่เป็นอันตรายต่อคุณในที่สุด "

ความอยากทำลายล้าง

ปีศาจจากการทำลายล้างทางกายภาพในระบบไฟฟ้าทำให้วิศวกรกริดไซเบอร์รักษาความปลอดภัยมานานกว่าทศวรรษนับตั้งแต่ Idaho National Labs สาธิตในปี 2550 ว่าเป็นไปได้ที่จะทำลายเครื่องกำเนิดไฟฟ้าดีเซลขนาดใหญ่ 27 ตันเพียงแค่ส่งคำสั่งดิจิตอลไปยังรีเลย์ป้องกัน เชื่อมต่อกับมัน Mike Assante วิศวกรผู้เป็นผู้นำการทดสอบเหล่านั้นบอกกับ WIRED ในปี 2560 ว่าการปรากฏตัวของการถ่ายทอดการป้องกันในมัลแวร์ Ukrenergo แม้ว่าจะยังไม่เข้าใจในเวลานั้นก็ตาม แต่นัยว่าการโจมตีแบบทำลายล้างเหล่านั้นอาจกลายเป็นความจริง “ นี่เป็นเรื่องใหญ่อย่างแน่นอน” Assante เตือนผู้ล่วงลับไปแล้วเมื่อต้นปีนี้ "ถ้าคุณเคยเห็นไฟไหม้หม้อแปลงพวกมันใหญ่มากควันดำขนาดใหญ่ที่กลายเป็นลูกไฟทันที"

หากทฤษฎี Dragos ใหม่ของความมืดมนปี 2016 ถือเป็นจริงมันจะทำให้เหตุการณ์เกิดขึ้นเพียงหนึ่งในสามครั้งเมื่อมัลแวร์ในป่าถูกออกแบบมาเพื่อก่อให้เกิดการก่อวินาศกรรมทางกายภาพ อย่างแรกคือ Stuxnet มัลแวร์สหรัฐอเมริกาและอิสราเอลที่ทำลายเครื่องหมุนเหวี่ยงนิวเคลียร์อิหร่านเพิ่มอีกหนึ่งพันเครื่องเมื่อประมาณทศวรรษที่แล้ว และอีกหนึ่งปีหลังจากที่ยูเครนถูกไฟดับในปลายปี 2560 มัลแวร์อีกชิ้นหนึ่งที่รู้จักกันในชื่อไทรทันหรือทริสค้นพบในเครือข่ายโรงกลั่นน้ำมันของซาอุฯ Petro Rabigh ถูกเปิดเผยว่ามีการก่อวินาศกรรม ตรวจสอบสภาพอันตรายในโรงงานอุตสาหกรรม การโจมตีทางไซเบอร์ครั้งสุดท้ายนับตั้งแต่เชื่อมโยงกับสถาบันวิจัยวิทยาศาสตร์และกลศาสตร์กลางของมอสโกเพียงปิดโรงงานในซาอุดิอาระเบีย แต่อาจนำไปสู่ผลลัพธ์ที่เลวร้ายยิ่งกว่ารวมถึงอุบัติเหตุร้ายแรงเช่นการระเบิดหรือการรั่วไหลของก๊าซ