連接互聯(lián)網(wǎng)的電動(dòng)汽車(chē)充電器、智能烤箱、智能熱水爐、智能空調(diào)和其他大功率智能電器都可能會(huì)被劫持，以輕微地操縱能源需求，從而有可能推動(dòng)價(jià)格波動(dòng)，并對(duì)放松管制的能源市場(chǎng)造成巨額財(cái)務(wù)損失。

該警告發(fā)現(xiàn)來(lái)自于8月5日在Black Hat USA 2020會(huì)議上發(fā)表的研究結(jié)論。

通過(guò)開(kāi)啟或關(guān)閉受到破壞的設(shè)備以人為地增加或減少電力需求，由這些耗能設(shè)備組成的僵尸網(wǎng)絡(luò)可能會(huì)幫助不道德的能源供應(yīng)商或零售商(電力公司)改變價(jià)格以創(chuàng)造業(yè)務(wù)優(yōu)勢(shì)，或者使一個(gè)國(guó)家提供一種通過(guò)遠(yuǎn)程對(duì)另一國(guó)的電力市場(chǎng)造成財(cái)務(wù)損失來(lái)?yè)p害另一國(guó)經(jīng)濟(jì)的方法。

研究人員表示，如果在正常的電力需求變化范圍內(nèi)進(jìn)行，將很難檢測(cè)到這種攻擊。

佐治亞研究所電氣與計(jì)算機(jī)工程學(xué)院研究生研究助理Tohid Shekari說(shuō)：“如果攻擊者能夠以有利于他們的價(jià)格稍微影響電力市場(chǎng)價(jià)格，那就像是知道今天的明天將會(huì)發(fā)生什么。

如果操作保持在一定范圍內(nèi)，將是隱秘的，并且很難與典型的負(fù)載預(yù)測(cè)誤差區(qū)分開(kāi)。

被認(rèn)為是首次提出的能源市場(chǎng)操縱網(wǎng)絡(luò)攻擊，該操作將取決于由數(shù)千種設(shè)備組成的僵尸網(wǎng)絡(luò)，這些僵尸網(wǎng)絡(luò)可以由接管其物聯(lián)網(wǎng)(IoT)控制器的攻擊者進(jìn)行集中控制。

惡意行為者已經(jīng)展示了IoT僵尸網(wǎng)絡(luò)攻擊，例如Mirai，它使用了受感染的連接互聯(lián)網(wǎng)的攝像頭和路由器網(wǎng)絡(luò)對(duì)關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)起了攻擊。

放松能源市場(chǎng)管制將使被稱為“IoT Skimmer,””的攻擊成為可能，該攻擊已創(chuàng)建了一個(gè)有效供電的系統(tǒng)。

為了滿足對(duì)電能的需求，公用事業(yè)公司必須預(yù)測(cè)未來(lái)的需求，并以有競(jìng)爭(zhēng)力的價(jià)格從日間批發(fā)能源市場(chǎng)中購(gòu)買(mǎi)電力。

如果預(yù)測(cè)結(jié)果是錯(cuò)誤的，則公用事業(yè)公司可能必須通過(guò)參與實(shí)時(shí)市場(chǎng)來(lái)滿足其客戶需求所需的能源，或多或少地支付能源，而實(shí)時(shí)市場(chǎng)通常具有更大的波動(dòng)性。

創(chuàng)建錯(cuò)誤的需求數(shù)據(jù)來(lái)操縱預(yù)測(cè)可能對(duì)銷(xiāo)售能源以滿足計(jì)劃外需求的供應(yīng)商，或者零售商或公用事業(yè)公司從實(shí)時(shí)市場(chǎng)購(gòu)買(mǎi)便宜的能源有利可圖。

研究人員無(wú)法確定是否可能已經(jīng)發(fā)生了這種攻擊，因?yàn)镮oT設(shè)備(除了不安全之外)還缺乏檢測(cè)此類劫持所必需的監(jiān)控類型。

但是他們使用了來(lái)自美國(guó)兩個(gè)最大能源市場(chǎng)的真實(shí)數(shù)據(jù)集-紐約和加利福尼亞-來(lái)評(píng)估他們提議的攻擊的可行性。

我們進(jìn)行了大量的仿真和數(shù)學(xué)分析，表明可能發(fā)生這種轉(zhuǎn)移，”電氣與計(jì)算機(jī)工程學(xué)院摩托羅拉基金會(huì)教授Raheem Beyah說(shuō)。

我們還對(duì)支持區(qū)域進(jìn)行了可行性分析，以表明從各個(gè)角度來(lái)看這都是可能的。

研究人員認(rèn)為這種僵尸網(wǎng)絡(luò)已經(jīng)存在，攻擊者可以簡(jiǎn)單地將其使用權(quán)租在暗網(wǎng)上。

北美市場(chǎng)已經(jīng)有超過(guò)2000萬(wàn)個(gè)智能恒溫器，并且它們已連接至至少一個(gè)大功率設(shè)備-供暖和空調(diào)系統(tǒng)，攻擊者可以間歇地對(duì)其進(jìn)行控制。

如果考慮所有已經(jīng)使用的智能恒溫器和連接互聯(lián)網(wǎng)的電烤箱、熱水器和電動(dòng)汽車(chē)充電器，則有很多設(shè)備需要妥協(xié)，” Shekari說(shuō)。

房主可能永遠(yuǎn)不會(huì)注意到在電力需求最高時(shí)是否打開(kāi)EV充電器，或者在不在家時(shí)空調(diào)的冷卻程度是否比預(yù)期的要高。

為了應(yīng)對(duì)潛在的攻擊，研究人員建議同時(shí)采取檢測(cè)和預(yù)防步驟。

通過(guò)對(duì)與大功率IoT連接的設(shè)備的正常用電量進(jìn)行集成監(jiān)控，可以檢測(cè)到攻擊者觸發(fā)的意外的功耗峰值或谷值。

現(xiàn)在，只有預(yù)期需要的人才能訪問(wèn)有關(guān)預(yù)期能源需求的數(shù)據(jù)(現(xiàn)在已公開(kāi)提供)。

使這種攻擊成為可能的主要因素是電力市場(chǎng)信息的詳細(xì)在線數(shù)據(jù)共享，通常每五分鐘更新一次。

這種能源需求信息確實(shí)是一個(gè)數(shù)據(jù)隱私問(wèn)題，我們需要認(rèn)真考慮透明度和安全性之間的平衡，” Beyah說(shuō)。

那里總是存在壓力，但是限制細(xì)節(jié)的數(shù)量會(huì)使想要隱藏其操作的攻擊者更加難以知道正常的變化是什么。

潛在的攻擊突出表明，有必要考慮可能從未有過(guò)的技術(shù)領(lǐng)域中的網(wǎng)絡(luò)安全威脅。

這是物聯(lián)網(wǎng)安全世界和能源市場(chǎng)之間的有趣交集，” Beyah說(shuō)。

目前，兩個(gè)世界之間似乎存在很大差距。

我們的觀點(diǎn)是，將物聯(lián)網(wǎng)技術(shù)與高功率設(shè)備結(jié)合使用可能會(huì)以我們以前從未想到的方式破壞市場(chǎng)。