Prueba del generador Aurora

Experimento físico sobre ciberataques

El generador diésel utilizado en el experimento Aurora empezó a echar humo.

En 2007, el Laboratorio Nacional de Idaho realizó la prueba del generador Aurora para demostrar cómo un ciberataque podía destruir los componentes físicos de la red eléctrica. ^[1] El experimento utilizó un programa informático para abrir y cerrar rápidamente los disyuntores de un generador diésel desfasados ​​respecto del resto de la red, lo que sometió al motor a pares anormales y, en última instancia, provocó su explosión. Esta vulnerabilidad se conoce como vulnerabilidad Aurora .

Esta vulnerabilidad es especialmente preocupante porque la mayoría de los equipos de red admiten el uso de Modbus y otros protocolos de comunicación heredados que se diseñaron sin tener en cuenta la seguridad. Por lo tanto, no admiten autenticación , confidencialidad ni protección contra repetición . Esto significa que cualquier atacante que pueda comunicarse con el dispositivo puede controlarlo y usar la vulnerabilidad Aurora para destruirlo.

Experimento

Para preparar el experimento, los investigadores adquirieron e instalaron un generador de 2,25 MW (3000 caballos de fuerza) y lo conectaron a la subestación. También necesitaban acceso a un relé digital programable u otro dispositivo capaz de controlar el disyuntor. Aunque dicho acceso puede ser a través de una interfaz mecánica o digital, en este caso se utilizó esta última. ^{[2] [3]}

Una unidad generadora consta de un motor diésel conectado mecánicamente a un alternador. En muchos entornos comerciales e industriales, es necesario que varios generadores funcionen juntos en tándem para proporcionar energía a la carga deseada. Un generador que funciona normalmente está sincronizado con la red eléctrica o con uno o más generadores adicionales (por ejemplo, en una red eléctrica independiente "aislada", como la que se puede utilizar en una ubicación remota o para energía de respaldo de emergencia). Cuando los generadores funcionan en sincronía, sus alternadores están bloqueados magnéticamente entre sí. ^[4]

En el experimento Aurora, los investigadores utilizaron un ciberataque para abrir y cerrar los disyuntores sin sincronizar, con el fin de maximizar deliberadamente la tensión. Cada vez que se cerraban los disyuntores, el par inducido en el alternador (como resultado de la conexión sin sincronizar) hacía que todo el generador rebotara y se sacudiera. El generador utilizado en el experimento estaba equipado con un acoplamiento giratorio de goma elástica (ubicado entre el motor diésel y el alternador, conectando así indirectamente el cigüeñal de acero del motor con el eje de acero del alternador). ^{[3] [5]}

Durante los pasos iniciales del ataque, se expulsaron piezas de goma negra a medida que el acoplamiento giratorio se destruía gradualmente (como resultado de los pares extremadamente anormales inducidos por el alternador desincronizado en el cigüeñal del motor diésel). ^[5] El acoplamiento de goma giratorio pronto se destruyó por completo, con lo que el propio motor diésel se destrozó rápidamente y algunas piezas salieron volando. ^[6] Algunas partes del generador aterrizaron a una distancia de hasta 80 pies del generador. ^[7] Además del daño mecánico masivo y obvio al propio motor diésel, más tarde se observó evidencia de sobrecalentamiento del alternador (tras el desmontaje posterior de la unidad). ^[3]

En este ataque, la unidad generadora se destruyó en aproximadamente tres minutos. Sin embargo, este proceso tomó solo tres minutos porque los investigadores evaluaron el daño de cada iteración del ataque. Un ataque real podría haber destruido la unidad mucho más rápidamente. ^[6] Por ejemplo, un generador construido sin un acoplamiento de goma giratorio entre el motor diésel y el alternador experimentaría las fuerzas anormales que destruyen el cigüeñal en su motor diésel de inmediato, dada la ausencia de un material amortiguador entre estos dos componentes giratorios. Una unidad generadora ensamblada de esta manera podría ver su motor diésel arruinado por una sola conexión desincronizada del alternador. ^[5]

El experimento Aurora fue designado como no clasificado, solo para uso oficial . ^[8] El 27 de septiembre de 2007, CNN publicó un artículo basado en la información y el video que el DHS les entregó, ^[1] y el 3 de julio de 2014, el DHS publicó muchos de los documentos relacionados con el experimento como parte de una solicitud de FOIA no relacionada. ^[5]

Vulnerabilidad

La vulnerabilidad Aurora es causada por el cierre desincronizado de los relés de protección . ^[6]

"Una analogía cercana, aunque imperfecta, sería imaginar el efecto de poner un coche en marcha atrás mientras circula por una autopista, o el efecto de acelerar el motor mientras el coche está en punto muerto y luego ponerlo en marcha." ^[6]

"El ataque Aurora está diseñado para abrir un disyuntor, esperar a que el sistema o el generador pierdan la sincronización y volver a cerrar el disyuntor, todo antes de que el sistema de protección reconozca y responda al ataque... Los elementos de protección de generadores tradicionales normalmente se activan y bloquean el cierre en unos 15 ciclos. Muchas variables afectan este tiempo y cada sistema necesita ser analizado para determinar su vulnerabilidad específica al ataque Aurora... Aunque el foco principal del ataque Aurora es la ventana de oportunidad potencial de 15 ciclos inmediatamente después de que se abre el disyuntor objetivo, la cuestión primordial es la velocidad con la que el generador se aleja de la sincronización del sistema". ^[9]

Impacto potencial

Exposición del Museo Internacional del Espionaje sobre la vulnerabilidad de la Aurora

La falla de un solo generador podría causar cortes generalizados y posiblemente una falla en cascada de toda la red eléctrica, como ocurrió en el apagón del noreste de Estados Unidos en 2003. Además, incluso si no hay cortes de energía por la remoción de un solo componente (resistencia N-1), existe una gran ventana para un segundo ataque o falla, ya que podría llevar más de un año reemplazar un generador destruido, porque muchos generadores y transformadores están hechos a medida.

Mitigaciones

La vulnerabilidad de Aurora se puede mitigar evitando la apertura y el cierre desfasados ​​de los interruptores. Algunos métodos sugeridos incluyen agregar funcionalidad a los relés de protección para asegurar el sincronismo y agregar un retardo de tiempo para cerrar los interruptores. ^[10]

Una técnica de mitigación es agregar una función de verificación de sincronismo a todos los relés de protección que potencialmente conectan dos sistemas. Para implementar esto, la función debe evitar que el relé se cierre a menos que el voltaje y la frecuencia se encuentren dentro de un rango preestablecido.

Se pueden utilizar dispositivos como el relé IEEE 25 Sync-Check y el IEEE 50 para evitar la apertura y el cierre desfasados ​​de los disyuntores. ^[11]

Los motores diésel también pueden estar equipados con sensores independientes que detectan señales de vibración anormales. Es posible diseñar un sensor de este tipo para que active inmediatamente un apagado completo del generador al detectar una única desviación importante de la señal de vibración de un motor que funciona normalmente. ^[12] Sin embargo, el daño causado por esa única desviación puede ser ya sustancial, en particular si no hay un acoplamiento de goma elástica entre el motor y el alternador.

Críticas

Hubo cierta discusión sobre si los dispositivos de mitigación de hardware (HMD) de Aurora pueden causar otros fallos. En mayo de 2011, Quanta Technology publicó un artículo que utilizó pruebas RTDS (simulador digital en tiempo real) para examinar el "rendimiento de múltiples dispositivos de relé comerciales disponibles" de los HMD de Aurora. Para citar: "Los relés se sometieron a diferentes categorías de pruebas para averiguar si su rendimiento es confiable cuando necesitan operar y seguro en respuesta a transitorios típicos del sistema de energía, como fallas, oscilaciones de potencia y conmutación de carga... En general, hubo deficiencias técnicas en el diseño del esquema de protección que se identificaron y documentaron utilizando los resultados de las pruebas en tiempo real. Las pruebas RTDS mostraron que, hasta el momento, no existe una solución única que pueda aplicarse ampliamente a cualquier caso y que pueda presentar el nivel de confiabilidad requerido". ^[13] Una presentación de Quanta Technology y Dominion afirmó sucintamente en su evaluación de confiabilidad "Los HMD no son confiables ni seguros". ^[14]

Joe Weiss, un profesional de sistemas de control y ciberseguridad, cuestionó las conclusiones de este informe y afirmó que había engañado a las empresas de servicios públicos. Escribió: "Este informe ha causado un gran daño al insinuar que los dispositivos de mitigación de Aurora causarán problemas en la red. Varias empresas de servicios públicos han utilizado el informe de Quanta como base para no instalar ningún dispositivo de mitigación de Aurora. Desafortunadamente, el informe tiene varias suposiciones muy cuestionables. Entre ellas, se incluye la aplicación de condiciones iniciales que la mitigación de hardware no fue diseñada para abordar, como fallas de desarrollo más lento o frecuencias fuera de la red nominal. La protección existente abordará fallas de desarrollo "más lento" y frecuencias fuera de la red nominal (<59 Hz o >61 Hz). Los dispositivos de mitigación de hardware de Aurora son para las fallas de condición desfasada muy rápidas que actualmente son brechas en la protección (es decir, no protegidas por ningún otro dispositivo) de la red". ^[15]

Cronología

El 4 de marzo de 2007, el Laboratorio Nacional de Idaho demostró la vulnerabilidad Aurora. ^[16]

El 21 de junio de 2007, NERC notificó a la industria sobre la vulnerabilidad de Aurora. ^[17]

El 27 de septiembre de 2007, CNN publicó en su página de inicio un vídeo de demostración previamente clasificado del ataque Aurora. ^[1] Ese vídeo se puede descargar desde aquí.

El 13 de octubre de 2010, NERC publicó una recomendación a la industria sobre la vulnerabilidad Aurora. ^[17]

El 3 de julio de 2014, el Departamento de Seguridad Nacional de Estados Unidos publicó 840 páginas de documentos relacionados con Aurora. ^[5]

Véase también

• Poder frágil
• Pulso electromagnético
• Seguridad energética
• Lista de cortes de energía
• Apagón en la ciudad de Nueva York de 1977
• Controlador lógico programable
• Sistemas de control resilientes
• Vulnerabilidad de las centrales nucleares a los ataques
• Cuando la tecnología falla
• Ataque del francotirador Metcalf

Referencias

1. "Un clic del ratón podría sumir a la ciudad en la oscuridad, dicen los expertos". CNN . 27 de septiembre de 2007 . Consultado el 30 de enero de 2020 .
2. "Solicitud de FOIA - Operación Aurora" (PDF) . Muckrock . pág. 91 . Consultado el 30 de enero de 2020 .
3. Greenberg, Andy (23 de octubre de 2020). "Cómo 30 líneas de código hicieron estallar un generador de 27 toneladas". Wired . Consultado el 11 de diciembre de 2021 .
4. Greenberg, Andy (23 de octubre de 2020). "Cómo 30 líneas de código hicieron estallar un generador de 27 toneladas". Wired . Consultado el 11 de diciembre de 2021 .
5. "Solicitud de FOIA - Operación Aurora". Muckrock . 17 de mayo de 2014 . Consultado el 30 de enero de 2020 .
6. "Solicitud de FOIA - Operación Aurora" (PDF) . Muckrock . p. 59 . Consultado el 30 de enero de 2020 .
7. "Guión maestro" (PDF) . MUSEO INTERNACIONAL DEL ESPÍA . p. 217 . Consultado el 30 de enero de 2020 .
8. "Solicitud de FOIA - Operación Aurora" (PDF) . Muckrock . pág. 134 . Consultado el 30 de enero de 2020 .
9. Zeller, Mark. "Preguntas y respuestas habituales sobre la vulnerabilidad Aurora". Schweitzer Engineering Laboratories, Inc. Recuperado el 30 de enero de 2020 .
10. Zeller, Mark. "Mito o realidad: ¿la vulnerabilidad de Aurora representa un riesgo para mi generador?". Schweitzer Engineering Laboratories, Inc. Recuperado el 30 de enero de 2020 .
11. "Cómo evitar el reenganche no deseado en aparatos rotatorios (Aurora)" (PDF) . Comité de Control y Relés del Sistema Eléctrico . Consultado el 30 de enero de 2020 .
12. SRW Mills (2010). Manual de análisis y monitoreo de vibraciones . Instituto Británico de Pruebas No Destructivas.
13. "QT e-News" (PDF) . Quanta Technology . pág. 3 . Consultado el 30 de enero de 2020 .
14. "Problemas de vulnerabilidad y soluciones de Aurora: dispositivos de mitigación de hardware (HMD)" (PDF) . Quanta Technology . 24 de julio de 2011 . Consultado el 30 de enero de 2020 .^{[ enlace muerto permanente ]}
15. "Última información sobre Aurora: ¡esto afecta a CUALQUIER cliente de servicios eléctricos con equipo eléctrico rotativo trifásico!". Blog sin restricciones . 4 de septiembre de 2013. Consultado el 30 de enero de 2020 .
16. "Vídeo estadounidense muestra ataque de piratas informáticos a red eléctrica". USA Today . 27 de septiembre de 2007 . Consultado el 30 de enero de 2020 .
17. "NERC emite alerta AURORA para la industria" (PDF) . NERC . 14 de octubre de 2010. Archivado desde el original (PDF) el 2011-08-12 . Consultado el 30 de enero de 2020 .

Enlaces externos

• http://www.langner.com/en/2014/07/09/aurora-revisited-by-its-original-project-lead/
• http://www.powermag.com/what-you-need-to-know-and-dont-about-the-aurora-vulnerability/?printmode=1
• http://breakingenergy.com/2013/09/13/the-all-too-real-cybertreat-nadie-is-prepared-for-aurora/
• https://www.computerworld.com/article/1589185/simulated-attack-points-to-vulnerable-us-power-infrastructure.html
• http://www.computerworld.com/s/article/9249642/New_docs_show_DHS_was_more_worried_about_critical_infrastructure_flaw_in_07_than_it_let_on
• http://threatpost.com/dhs-releases-hundreds-of-documents-on-wrong-aurora-project
• http://news.infracritical.com/pipermail/scadasec/2014-July/thread.html
• https://web.archive.org/web/20140903052039/http://www.thepresidency.org.70-32-102-141.pr6m-p7xj.accessdomain.com/sites/default/files/Grid%20Report%20July%2015%20First%20Edition.pdf (Página 30)
• http://www.infosecisland.com/blogview/20925-Misconceptions-about-Aurora-Why-Isnt-More-Being-Done.html
• https://www.sce.com/wps/wcm/connect/c5fe765f-f66b-4d37-8e9f-7911fd6e7f3b/AURORACustomerOutreach.pdf?MOD=AJPERES