首例公開確認(rèn)的光伏電網(wǎng)攻擊

日本媒體《產(chǎn)經(jīng)新聞》近日報道，黑客劫持了一個大型光伏電網(wǎng)中的800臺遠(yuǎn)程監(jiān)控設(shè)備(由工控電子制造商Contec生產(chǎn)的SolarView Compact)，用于銀行賬戶盜竊。這可能是全球首例公開確認(rèn)的針對光伏發(fā)電基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。

據(jù)悉，攻擊者利用了Palo Alto Networks在2023年6月發(fā)現(xiàn)的一個漏洞(CVE-2022-29303)傳播Mirai僵尸網(wǎng)絡(luò)。攻擊者甚至在Youtube上發(fā)布了如何SolarView系統(tǒng)上利用漏洞的“教學(xué)視頻”。Contec隨后在2023年7月18日修補了該漏洞。

2024年5月7日，Contec確認(rèn)了最近對遠(yuǎn)程監(jiān)控設(shè)備的攻擊，并提醒光伏發(fā)電設(shè)施運營商將設(shè)備軟件更新至最新版本。

在接受分析師采訪時，韓國網(wǎng)絡(luò)安全公司S2W表示，這次攻擊的幕后黑手是一個名為Arsenal Depository的黑客組織。S2W指出該組織在日本政府排放福島核電站污染水后，發(fā)起了針對日本基礎(chǔ)設(shè)施的“日本行動”黑客攻擊。

光伏網(wǎng)絡(luò)攻擊潛在風(fēng)險巨大

攻擊者此次的主要動機似乎是財務(wù)獲利，而不是破壞電網(wǎng)運營，對光伏電站遠(yuǎn)程監(jiān)控設(shè)備的攻擊并未威脅到電力系統(tǒng)的運行。但專家表示，此類攻擊的潛在風(fēng)險巨大。

DER Security的CEO Thomas Tansy表示：“此次攻擊中，黑客尋找的是可以用來進行敲詐勒索的計算設(shè)備。劫持這些設(shè)備與劫持工業(yè)攝像頭、家用路由器或其他聯(lián)網(wǎng)設(shè)備并無二致。但是，如果黑客的目標(biāo)轉(zhuǎn)向破壞電網(wǎng)，完全可以利用這些未打補丁的設(shè)備實施更具破壞性的攻擊(例如中斷電網(wǎng))，因為攻擊者已經(jīng)成功進入系統(tǒng)，他們只需要再學(xué)習(xí)一些光伏領(lǐng)域的專業(yè)知識?！?/p>

Tansy警告說，大型光伏電網(wǎng)通常有一個中央控制系統(tǒng)，如果被入侵，黑客可以接管不止一個光伏電場，頻繁關(guān)閉或打開光伏設(shè)備，對光伏電網(wǎng)的運營造成嚴(yán)重影響。

光伏電網(wǎng)的最大弱點：逆變器

安全專家指出，光伏這種分布式能源資源(DER)面臨的最嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險其實是逆變器。后者負(fù)責(zé)將太陽能板產(chǎn)生的直流電轉(zhuǎn)換為電網(wǎng)使用的交流電，是電網(wǎng)控制系統(tǒng)的接口。最新的逆變器具有通信功能，可連接到電網(wǎng)或者云服務(wù)，這增加了這些設(shè)備被攻擊的風(fēng)險。

北美電力可靠性公司(NERC)警告稱，逆變器的缺陷對大容量電力供應(yīng)(BPS)可靠性構(gòu)成“重大風(fēng)險”，并可能導(dǎo)致“大面積停電”。美國能源部在2022年曾警告說，針對逆變器的網(wǎng)絡(luò)攻擊可能會降低電網(wǎng)的可靠性和穩(wěn)定性。

2023年5月，荷蘭國家數(shù)字基礎(chǔ)設(shè)施督察局(RDI)的研究人員報告稱，他們檢查了8家制造商的9種逆變器，發(fā)現(xiàn)沒有一款符合RDI的安全標(biāo)準(zhǔn)。

研究人員表示：“這意味著太陽能電池板裝置等很容易受到黑客攻擊，被關(guān)閉或用于DDoS攻擊。用戶和運營數(shù)據(jù)也可能會被竊取?！?/p>

逆變器最大的安全風(fēng)險在于家庭太陽能裝置數(shù)量的不斷增長。根據(jù)太陽能協(xié)會的報告，到2030年，美國安裝光伏設(shè)備的家庭數(shù)量預(yù)計將翻一番，達到1000萬。到2030年，安裝光伏設(shè)備的家庭數(shù)量預(yù)計將超過1億。

美國加緊制定光伏網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

IEEE在2018年更新了光伏系統(tǒng)連接標(biāo)準(zhǔn)1547，以提高可靠性并在異常情況下支持電網(wǎng)。

Tansy指出，通過遵循標(biāo)準(zhǔn)，光伏發(fā)電用戶可以從全球不同供應(yīng)商處購買硬件，并實現(xiàn)完全本土化的控制系統(tǒng)和安全系統(tǒng)，從而獲得顯著的保護。

此外，專家還建議確保本地安裝人員接受充分的網(wǎng)絡(luò)安全培訓(xùn)，特別是在處理不安全的逆變器時。

美國能源部也呼吁在分布式能源資源行業(yè)成熟之前，采取措施確保其未來安全。

值得注意的是，NIST正在制定針對住宅和輕型商業(yè)的光伏系統(tǒng)安全指南。該指南基于對國家漏洞數(shù)據(jù)庫(NVD)中記錄的智能逆變器漏洞的審查以及已知智能逆變器網(wǎng)絡(luò)攻擊的信息，并測試了五種智能逆變器。