Pojawiła się rosyjska strona, która skupuje exploity (narzędzia do przełamywania zabezpieczeń systemów/oprogramowania/itd). Jest szczególnie zainteresowana narzędziami do hakowania stacji ładowania pojazdów elektrycznych. Rodzi to szereg pytań. Dlaczego ktokolwiek miałby chcieć hakować takie cele? Dlaczego to podmioty rosyjskie (w szczególności) miałyby być zainteresowane takimi celami? Najlepszą odpowiedzią jest tu „dobre pytanie!” ale przyjrzyjmy się potencjalnym zagrożeniom dla cyberbezpieczeństwa stacji ładowania pojazdów elektrycznych, zakładając możliwość ich zhakowania na dużą skalę, mając takie narzędzia.

Nabywcy luk zero-day (0day) istnieją  od  lat. To dostawcy, którzy proszą o narzędzia, które zazwyczaj mogą uzyskiwać “dostęp” (hakując/omijając zabezpieczenia) do określonego oprogramowania, takiego jak systemy operacyjne (Android, iOS, …), komunikatory internetowe (iMessage, WhatsApp, Signal, Telegram, …), serwery (Apache itp.) i tak dalej . Mają wielu klientów, od prywatnych (do testowania bezpieczeństwa), po rządowych lub wojska.

W tym przypadku skupiam się na małym wycinku. Ten rosyjski podmiot wyraża zainteresowanie nabyciem narzędzi umożliwiających hakowanie stacji ładowania pojazdów elektrycznych (część wyposażenia zasilania pojazdów elektrycznych (EVSE)). To dość niestandardowe zainteresowanie. Dlaczego ktokolwiek miałby być zainteresowany nabyciem narzędzi do wykorzystywania luk w stacjach ładowania pojazdów elektrycznych?

Cyberbezpieczeństwo stacji ładowania pojazdów elektrycznych

Cyberbezpieczeństwo stacji ładowania pojazdów elektrycznych jest naturalnie ważne. Zwłaszcza w przyszłości, w której samochody elektryczne są wszechobecne. Takie podatności mogą np. spowodować awarię wielu stacji ładowania w tym samym czasie. Można sobie wyobrazić, że w rezultacie… duża część transportu w dotkniętym kraju/regionie zostanie wstrzymana. Pomińmy kwestię wynikającej z tego publicznej paniki. Zakładając, że w przyszłości wszystkie pojazdy będą elektryczne, w tym straż pożarna, karetki pogotowia, pojazdy wojskowe, służby ratownicze itp., wtedy sytuacja byłaby poważna. Pomińmy to w 2022 r. Daleko nam do takiej rzeczywistości. Jaki byłby więc pożytek dzisiaj? Jednym z pomysłów jest oczywiście możliwość poinformowania dostawcy, aby luka została naprawiona! Ok, ale co z innymi?

W celu działań propagandowych, jak podczas wojny Rosji z Ukrainą, kiedy ukraiński producent wykorzystał z posiadanego dostępu by wyświetlać komunikaty w rosyjskich stacjach ładowania? Cóż, kiedy dostęp już jest, to nie ma oczywiście potrzeby omijania jakichkolwiek granic bezpieczeństwa. To nie hakowanie. Ale to już inna kwestia.

Wyłączenie dostępu do stacji ładowania EV może być pewną niedogodnością, albo znacznym problemem (gdy wszystkie są zhakowane/wyłączone w tym samym czasie i jeśli samochody EV to duży procent pojazdów w kraju). Czy może to podważyć zaufanie do tego środka transportu? Potencjalnie tak. W dodatku, jeśli jesteś krajem zależnym od eksportu ropy naftowej, być może warto spróbować?

Powodowanie awarii sieci energetycznej?

Cyberoperacja na większą skalę przeciwko stacjom ładowania samochodów elektrycznych może potencjalnie nawet wpłynąć na krajową/regionalną sieć energetyczną (“atak obciążenia EV o wartości 30 MW może całkowicie zdestabilizować system”). Czy możliwe jest więc skuteczne “zdjęcie” całej sieci energetycznej za pomocą skoordynowanej, masowej cyber operacji wymierzonej w stacje ładowania pojazdów elektrycznych? Zależy to w dużym stopniu od takich aspektów jak: liczba zainstalowanych stacji ładowania, ich typ, rzeczywista różnorodność sieci energetycznej w danym kraju itp. Mówiąc uczciwie, to ładowarki elektryczne faktycznie mogą być odpowiedzialne za znaczne obciążenie, a (prawdopodobieństwo utraty obciążenia) w sezonie zimowym może osiągnąć nawet 6,89%. Zdolność do sztucznego wywołania awarii to w ogólności dobre pytanie. Być może jest to już potencjalny problem dla niektórych krajów, jak np może dla Portugaliu. W przypadku Polski obecnie… nie wiem. Ale wątpię. Przynajmniej w 2022 r. Choć w niektórych krajach jest to już teoretycznie możliwe (ze względu na liczbę stacji ładowania pojazdów elektrycznych).

Scenariusz tutaj polega na przejęciu kontroli nad stacją ładującą i modulowaniu obciążenia/zapotrzebowania w taki sposób, aby “przebić” odporność systemu, co prowadzi do niestabilności sieci i możliwego zaniku zasilania (gwałtowny wzrost popytu może nie zostać zrekompensowany przez system).

W każdym razie Departament Energii USA jest świadomy zagrożeń związanych z cyberbezpieczeństwem. Luki w stacjach ładowania już występowały, były znajdowane i poprawiane. Nie ulega wątpliwości, że będzie ich więcej.

Jest to ryzyko, ale powiedziałbym, że wykonanie tego dzisiaj nadal byłoby wyzwaniem. Chyba, że jest coś o czym nie wiemy. Warto tu dopuścić tę możliwość: że jest coś, o czym nie wiemy 🙂.

To powiedziawszy, bycie świadomym z takiego ryzyka systemowego nie jest złym pomysłem. Zwłaszcza, gdy całe społeczeństwo/cywilizacja ma przestawić się na pojazdy elektryczne, a stacje ładowania staną się wszechobecne i krytyczne dla nas.

Tymczasem ciekawe jest, że rosyjski nabywca exploitów jest szczególnie zainteresowany uzyskaniem narzędzi do hakowania właśnie takich celów.

Podobała Ci się ocena i analiza? Masz pytania, uwagi, skargi lub oferty zaangażowania? Zapraszam do kontaktu: me@lukaszolejnik.com.