Новости энергетики Зурумбии … или о пользе CTF

1

Новости энергетики Зурумбии … или о пользе CTF

CoLaboratory: Industrial Cybersecurity Meetup #2 21 ноября 2016 г.

Никандров Максим, iGridsИванов Федор, EnLAB

2

АСУ-шники, которые пришли в ИБ

О нас


IGRIDSИнтеллектуальные Сети

3

Инциденты ИБ на объектах электроэнергетики

Инциденты информационной безопасности на электроэнергетических объектах пока редки.

Информация по реально случившимся инцидентам зачастую скрывается, так как ее обнародование несет серьезные репутационные риски.

В результате, вероятность возникновения инцидента, глубину проникновения и возможный ущерб оценить крайне сложно. Предлагаемые модели угроз часто не учитывают специфику электроэнергетических объектов, в результате, модели угроз и модели нарушителей ничем не подкреплены и не могут быть проверены на практике.


Модель системы

4

internet

Терминал РЗА




объект управления

Маршрутизатор (основной)

АРМ Оператора

Коммутаторы

Серверсвязи+данных(Резервный)

ВЛ 220 кВW2E

K2E

QSG3.2

QW2E QS3QS2

QSG 2 QSG3.1

Маршрутизатор (резервный)

АРМ инженера

Серверсвязи+данных

(Основной)

Сеть ETHERNET

В корпоративнуюсеть

Диспетчерское управление

IED

1 12

3 4


Уязвимости периметра ПС

Инженерный ноутбук

ИЭУ1

2

Router/Firewall

Удаленный АРМ инженера

АРМ инженера

8

1112

Инженерный ноутбук

СВТ хакера

Периметр подстанции

ДЦ/ПС 14

15

АРМ ОП10

WP LAN SW9

Station Bus LAN SW

ИЭУ N

Нелегальная точка доступа

13СКАДА7

Router/Firewall 5

4

Шлюз ТМ

3

6

16

16

1

2

3456

Из презентации Дорофеева Ивана


6

Эволюция турниров1. Что могут сделать «ХАКЕРЫ любители» если их пустить в «огород»?

2. Что могут сделать «ОТБОРНЫЕ ХАКЕРЫ» за хороший приз?

3. Что смогут «ХАКЕРЫ» если им противодействовать?

4. Что можно сделать если их пустить в Кибер-физическую модель?


7

• «Разведка» – тип атак, который позволяет получить дополнительную информацию о стенде, сети или атакуемых устройствах;

• «Взлом» – тип атак, которые привели к потери некоторых функций системы, снижении общей надежности, но не приведшие к разрушению технологического оборудования );

• «Диверсия» – тип атак, способных полностью нарушить технологический процесс, привести к возникновению ЧП (в нашем случае - короткое замыкание модели ЛЭП).

Задачи конкурсов


8

Positive Hack Days VCoLaboratory: Industrial Cybersecurity Meetup #2 21 ноября 2016 г.

Конкурс Digital Substation Takeover

9

Процесс создания стенда



10Международный форум по практической безопасности Positive Hack Days V проходил с 26 по 27 мая

2015 года. Организатор конференции ЗАО «Позитивные Технологии»



11

Wind turbine

Transformer 500 kV Circuit Switch QS1

Circuit Breaker Q1

Circuit Breaker Q2

Circuit Breaker Q3

Circuit Breaker Q4

Circuit Breaker Q8

Circuit Breaker Q5

T1

Local Network

Trans Controller

Relay Protection

Crash

Crash

Crash

Crash

CrashGPS time server

Glonass time server

Crash

Firewall

Digital Substation Takeover IGRIDSIGRIDSИнтеллектуальные СетиИнтеллектуальные Сети

Nuclear power plant

Circuit Breaker Q6

Circuit Breaker Q7

Water-power plant

Thermal Power Plant

earthing switch

500kV

330kV

«Легенда» конкурса


12

Несанкционированное отключение выключателя

• Две успешные атаки с отключением выключателя средствами сервисного ПО

• Одна «почти успешная» путем подключением клиентом IEC 61850

• Создание программы «GOOSE по заказу»

• Никто не смог сделать сложную многоходовую атаку


13

Не обязательно досконально разбирается в техпроцессе чтобы организовать атаку. За два часа участники конкурса разобрались в основах

Итоги конкурса Digital Substation Takeover


14

Тип атаки Количество

Вывод из строя информационной сети подстанции 6Перепрограммирование сервера времени 1Воздействие на терминал, приведшее к несанкционированному отключению 2«Диверсии» 0

Итоги конкурса Digital Substation Takeover


15

Kaspersky Industrial CTF 2015

Финал Kaspersky Industrial CTF проходил с 29 по 30 октября 2015 года в рамках конференции «Кибербезопасность АСУ ТП: время действовать» Организатор конференции ЗАО «Лаборатория Касперского»


16

Kaspersky Industrial CTF


17


18

Итоги CTF KICS 2015

Тип атаки Количество

«Разведка» 7«Взломом» 18

«Диверсии» 5!


19

Статистика команд по балам

RuGrid HackerDom Kokosnusse AntiChat0

500

1000

1500

2000

2500

3000

3500

4000

4500

5000

60 12010 10

2465

2900

150

680

2160

800

1600

4685

3820

1760

690

Разведка Взлом Диверия Сумма


20

PHDays VI. The Standoff


21

Однолинейная схема стендаTransformer T3 Q10

Circuit Breaker Q9

Circuit BreakerGenerator G1

Transformer T1

Q4Circuit Breaker

QSG4earthing switch

QS4Switch

Q2Circuit Breaker

QSG2earthing switch

QS2Switch

Q3Circuit Breaker

QSG3earthing switch

QS3Switch

Q1Circuit Breaker

QSG

1ea

rthi

ng sw

itch

QS1Switch

330kV

W1C W2CNuclear power

plant

Q5Circuit Breaker

10kV

QSG5earthing switch

Q6Circuit Breaker

Q7Circuit Breaker

Q8Circuit Breaker

Transformer T2

Hydro-Power Plant (HPP)

7SD5231_W1

6MD6645_Q1

6MD6645_Q26MD6645_Q3

7SJ6455_Q4

7UT6355_2K

7UT6355_1K

7SD5231_W27SA5225_W3

RTU520

RTU520RTU520

RTU520

RTU520

7UM6225_G1S7-1500_G1

7UT6335_3K

7SJ645

7SJ645

Q11Circuit Breaker

W4C

BE2407BE2407

EKRA200

Main scheme Critical Infrastructure Attack:

Blackout

Main scheme Critical Infrastructure Attack:

Blackout

Distribution Substation 10kV(DSS)


22

Схема информационного обмена


23

Особенность PHDays VI

Противостояние «Хакеров» и «Защитников»


24

«TEENAGER HACKS ELECTRICAL SUBSTATION AT PHDAYS»

Из особенностей IEDScout можно отметить интуитивно понятный интерфейс и встроенный анализатор трафика с подробной расшифровкой информации...


25

Вскрытие пароля для конфигурирования РЗА

Используя ранее не известную уязвимость МП РЗА команде «Хакердом» удалось устроить короткое замыкание в схеме имитируемого объекта.


26

Невидимая точка доступаКоманде «Evil_Dwarfs» путем

социального инжиниринга удалось подключить в

локальную сеть ПС 500кВ (за защитным периметром)

специально подготовленную точку удаленного доступа

До конца конкурса нелегальное

утройство не было обнаружено!!!


27

Мотивация внутренних нарушителей *

* SiFo-Studie 2009/10. Know-how-Schutz in Baden-Württemberg. Steinbeis-Edition Stuttgart, 2010 г.


28

От кого больше вреда ?!?!


29

Kaspersky Industrial CTF 2016CoLaboratory: Industrial Cybersecurity Meetup #2 21 ноября 2016 г.

30

ГЭС СЭС

Город

ПС 110 кВ

Линии 110кВ

Завод

Сети 10кВ

ЕЭС

ПС 10 кВ



https://yandex.ru/images/search?text=%D0%BF%D0%BE%D0%BD%D0%B8%D0%B6%D0%B0%D1%8E%D1%89%D0%B0%D1%8F%20%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BF%D0%BE%D0%B4%D1%81%D1%82%D0%B0%D0%BD%D1%86%D0%B8%D1%8F&img_url=http://ozgo.orotukan.ru/galery/photo_el_prod_a/a14.gif&pos=13&rpt=simage

31


Состоит из 4 шкафов.11 устройства РЗА, 3 контроллера PLC,2 сервера времени,4 Ethernet коммутатора,

2 маршрутизатора,2 измерительных преобразователя,1 контроллер солнечной станции,3 SCADA: 2 локальные + 1 РДУ.


32


110kV

Q11Circuit

Breaker

Q13Circuit Breaker

10kV

QSG13earthing switch

Q14Circuit Breaker

Q15Circuit Breaker

Transformer T1

High Voltage Substation 110kV

Q10Circuit

Breaker

Q12Circuit

Breaker

110kV

Q22Circuit

Breaker

Q23Circuit Breaker

10kV


Q25Circuit Breaker

Q26Circuit Breaker

Transformer T2

Hydro-Power Plant

Q21Circuit

Breaker

110kV

Q31Circuit

Breaker

Q33Circuit Breaker

10kV


Q35Circuit Breaker

Transformer T3

Solar PowerStattion

Q32Circuit

Breaker

Q5Circuit Breaker

10kV

QSG5earthing switch

Q6Circuit Breaker

Q7Circuit Breaker

Q8Circuit Breaker

RTU520

RTU520RTU520

RTU520

RTU520

7SJ645

7SJ645

Distribution Substation 10kV

Factory

City

Generator G1

S7-1500_G1

Q24Circuit

Breaker

Generator G2

Conext Monitor 20

Q34Circuit

Breaker

ЕЭС

7SD5231_W10

6MD6645_Q1 6MD6645_Q1 6MD6645_Q1

6MD6645_Q2

6MD6645_Q2

6MD6645_Q2

6MD6645_Q2

7UT6355_1K

7SJ6455_Q47SJ6455_Q4

7UM6225-G16MD6645_Q5

6MD6645_Q56MD6645_Q5

6MD6645_Q56MD6645_Q5

REC650_Q9

REF630_Q9 REF630_Q9

6MD6645_Q2

REC650_Q9REC650_Q9

REC650_Q9


33

Симуляция энергосистемы в реальном времени

RTDS - цифровой программно-аппаратный симулятор реального времени, который позволяет воссоздавать поведение ЭС на базе ее программно-математической модели. Взаимодействие модели и реальных вторичных устройств происходит через дискретные, аналоговые и цифровые интерфейсы в режиме жесткого реального времени. При любых изменениях этих сигналов происходит практически мгновенное изменение состояния математической модели, что обеспечивает проведение испытаний в непрерывном режиме со сложными сценариями поведения ЭС


34


0

20

40

60

80

100

120

0 5 10 15 20

СЭС Сельски населенный пункт Пропредприятие с двухсменным режимом

ГородЗавод

СЭСГЭС

ЕЭС


35



36

Исходные данныеCoLaboratory: Industrial Cybersecurity Meetup #2 21 ноября 2016 г.

37


SCADA Server WIN CC 7.0 SICAM PAS PQS 7.0

7SD523_W10

Ch1

1/5/

1

Ch2

1/1/

3

1/5/

2

1/5/

3

1/5/

4 172.28.0.11

172.28.0.51

FHS - MicroGrid

GPSTimeServ2

172.28.0.110

1/1/

2

1/1/

1

P1

Eth1

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

SN

MP

, SS

H, I

EC

60

870-

5-10

4, F

TP

MMS, DIGSI, WEB, SNMP, SNTP,

IEC 60870-5-104

SNTP

t °

1/2/1

SN

MP

Temperature Sensor

172.28.0.200

172.28.0.102

SCADA demonstration screen

6MD664_Q1

Ch1 Ch2

172.28.0.526MD664_Q2

Ch1 Ch2

172.28.0.537UT635_1K

Ch1 Ch2

172.28.0.54

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

172.28.0.64

172.28.0.40

SW1

R1

7SJ645_Q4

Ch1

15

Ch2

16

172.20.0.11

172.20.0.170

172.20.0.110

13

P1

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

SN

MP

, SS

H, I

EC

608

70-5

-104

, FTP

6MD664_Q5

Ch1 Ch2

172.20.0.171

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

H1

R2P2

17

GO

OS

E, M

MS

, D

IGS

I, W

EB

, SN

TP

7UM622_G2

Ch1 Ch2

172.20.0.172

P2

SCADA HPPServer WIN CC 7.0

SICAM PAS PQS 8.0

172.20.0.200

172.20.0.102


High Voltage Substation 110 kV

Hydro Power Plant

7SJ6427SJ642

DSS RTU 520

IEC 60870-5-104

IEC 60870-103 (RS485)

DistributionSubstation 10kV

14

ESXi_1.1

ESXi_2.1

172.25.0.111/

2/2

1/1/

11/

2/1

172.20.0.155

OP

C, S

7Com

mP

lus

IEC

608

70-5

-104

, FTP

WE

B, R

TUtil

IE

C 6

0870

-5-1

04

MMS, OPC

172.25.0.120

SW4

GPSTimeServ1

Eth0SNTP

172.20.0.40

10

S7-1500

IDS

Hacker Team

IDS

IDS

1/4/

4

Solar Power Station

SCADA HPPServer WIN CC 7.0

SICAM PAS PQS 8.0

172.31.0.201

172.31.0.202


ESXi_1.1

12

GSM/GPRS

Wi-FiWi-Fi

172.31.0.11REF630

172.31.0.12REС650

IDS

172.20.0.66ENIP-2

172.31.0.51

172.31.0.11

GSM/GPRS-модем

PLC модемPLC модем

PLC модем Wi-Fi модем Wi-Fi модемWi-Fi модем

Factory City

LOGO!

172.31.0.53ENKC-2

Wi-Fi

GSM/GPRS-модем

ARM DIGSI

Hacker Team

089.113.007.104085.115.252.135


38

Результаты KICS CTF 2016


Разв

едка

Взло

м

Див

ерси

я

Ито

го

Разв

едка

Взло

м

Див

ерси

я

Ито

го

Разв

едка

Взло

м

Див

ерси

я

Ито

го

Разв

едка

Взло

м

Див

ерси

я

Ито

го

Singularity Lights Out SUSlo.PAS filthy thr33

0

1000

2000

3000

4000

5000

6000

400

880

0

1280

515

900660

2075

536

1290

1600

3426

510

1168

3650

5328

39http://asutpforum.ru/viewtopic.php?f=104&p=73150#p73150

DISCLAIMER


40

«Засадный полк» - комплекс слежения за атаками


41

«Кибербезопасность РЗА и систем управления современных объектов электроэнергетики»

Группа РНК СИГРЭ D2/B5


42

Спасибо за внимание!

Никандров МаксимООО

«Интеллектуальные Сети»

[email protected]

Иванов ФедорЗАО «ЭнЛАБ»

[email protected]


Technology

Новости энергетики Зурумбии … или о пользе CTF