O Έλληνας πίσω από την ανακάλυψη ότι οι invertors μπορούν να ανιχνεύσουν κυβερνοεπιθέσεις

Ένας Έλληνας ερευνητής από το King Abdullah University of Science and Technology (KAUST), του οποίου το εργαστήριο έχει επιδείξει ακρίβεια έως και 100% χρησιμοποιώντας έναν μόνο hardware counter, δήλωσε στο pv magazine ότι η ανίχνευση επιθέσεων σε μετατροπείς σε επίπεδο firmware είναι τεχνικά εφικτή – αλλά τα σημερινά πρότυπα επικοινωνίας δεν μεταδίδουν το σήμα ακεραιότητας του firmware στους διαχειριστές.

Ο Charalambos Konstantinou, αναπληρωτής καθηγητής και επικεφαλής ερευνητής του εργαστηρίου SENTRY στο KAUST στη Σαουδική Αραβία, έχει αφιερώσει χρόνια στην προσομοίωση επιθέσεων σε ηλιακούς μετατροπείς και στην ανάπτυξη μεθόδων ανίχνευσής τους. Η έρευνα της ομάδας του επικεντρώνεται σε ένα επίπεδο χαμηλότερο από τις παραβιάσεις συστημάτων παρακολούθησης που έχουν γίνει πρωτοσέλιδα – στο ίδιο το firmware, δηλαδή στον κώδικα που καθορίζει πόσο ρεύμα διοχετεύει ένας μετατροπέας στο δίκτυο και σε ποια φάση.

«Το βασικό συμπέρασμα είναι ότι αυτή η ανίχνευση σε επίπεδο firmware στους ηλιακούς μετατροπείς είναι τεχνικά εφικτή», δήλωσε στο pv magazine. «Αυτό που λείπει δεν είναι η επιστήμη. Είναι απλώς ένας συνδετικός κρίκος μεταξύ των μετατροπέων και των διαχειριστών.»

Το περιβάλλον απειλών

Το περιβάλλον απειλών γύρω από τα συστήματα που συνδέονται με μετατροπείς έχει γίνει πιο συγκεκριμένο.

Το 2024, περίπου 800 συσκευές παρακολούθησης φωτοβολταϊκών της εταιρείας Contec παραβιάστηκαν στην Ιαπωνία μέσω γνωστής ευπάθειας, με τους επιτιθέμενους να αποκτούν μη εξουσιοδοτημένη πρόσβαση.

Την ίδια χρονιά, επιτιθέμενοι απέκτησαν πρόσβαση σε dashboards παρακολούθησης για 22 πελάτες κρίσιμων υποδομών της λιθουανικής ενεργειακής εταιρείας Ignitis Group, σύμφωνα με δημοσιεύματα του κλαδικού τύπου.

Το 2025, η εταιρεία ασφάλειας Forescout, μέσω του Vedere Labs, αποκάλυψε 46 ευπάθειες σε μετατροπείς των εταιρειών Sungrow, Growatt και SMA Solar Technology. Η σχετική προειδοποίηση ανέφερε ότι η εκμετάλλευση αυτών των ευπαθειών θα μπορούσε να επιτρέψει σε επιτιθέμενους να χειραγωγήσουν τη λειτουργία των συσκευών. Και στις τρεις περιπτώσεις, οι επιθέσεις αφορούσαν επίπεδα παρακολούθησης ή επικοινωνίας και όχι άμεση τροποποίηση firmware.

Πώς λειτουργεί η μέθοδος

Η ομάδα του Konstantinou χρησιμοποιεί hardware performance counters, τα οποία αρχικά σχεδιάστηκαν για ανάλυση απόδοσης λογισμικού, ώστε να δημιουργήσει ένα «δακτυλικό αποτύπωμα» της φυσιολογικής λειτουργίας του firmware σε επίπεδο chip και να ανιχνεύει αν αυτό συμπεριφέρεται όπως αναμένεται.

Σε αντίθεση με τα antivirus που βασίζονται σε υπογραφές, αυτή η προσέγγιση δεν απαιτεί βάση δεδομένων γνωστών απειλών.

Προηγούμενη έρευνα πέτυχε ακρίβεια ανίχνευσης 97% σε έναν εμπορικό μικρομετατροπέα.
«Αργότερα, δείξαμε ότι αυτό μπορεί να φτάσει έως και το 100% χρησιμοποιώντας μόνο έναν μετρητή», δήλωσε ο Konstantinou.

Προέλευση της ιδέας

Η βασική ιδέα έχει ήδη εφαρμοστεί σε άλλους τομείς.

Ο Konstantinou ανέφερε ότι:

• Η DARPA είχε ένα πρώιμο πρόγραμμα με την ονομασία Radix
• Η Intel την εμπορευματοποίησε το 2021 ως Threat Detection Technology
• Και η Microsoft την ενσωμάτωσε στο Defender για ανίχνευση ransomware

«Το πρότυπο υπάρχει», είπε.

Τα εμπόδια

Η εφαρμογή στους ηλιακούς μετατροπείς είναι πιο δύσκολη για δύο λόγους:

1. Οι μετατροπείς είναι ενσωματωμένα συστήματα (microcontrollers), όχι γενικής χρήσης υπολογιστές
2. Συχνά δεν διαθέτουν ενσωματωμένους performance counters

Η ομάδα του έχει προτείνει ειδικά σχεδιασμένους μετρητές για να ξεπεραστούν αυτοί οι περιορισμοί.

Ωστόσο, το μεγαλύτερο πρόβλημα είναι δομικό:

«Ο ιδιοκτήτης του μετατροπέα, είτε είναι εταιρεία κοινής ωφέλειας είτε ανεξάρτητος παραγωγός, δεν έχει τρόπο να δει αυτό το σήμα, ακόμη κι αν υπολογίζεται», είπε.
«Τα σημερινά πρότυπα δεν μεταφέρουν αυτόν τον έλεγχο ακεραιότητας firmware.»

Τα επίπεδα επίθεσης

Ο Konstantinou περιγράφει τέσσερα επίπεδα επιφάνειας επίθεσης:

1. Πρωτόκολλα επικοινωνίας

Όταν το πρότυπο IEEE 1547 ενημερώθηκε το 2018, απαιτούσε οι μετατροπείς να παρέχουν λειτουργίες υποστήριξης δικτύου μέσω του πρωτοκόλλου SunSpec Modbus.

Η ομάδα του έδειξε ότι ένας επιτιθέμενος μπορεί να:

• αποκτήσει πρόσβαση στο πρωτόκολλο
• αλλάξει τιμές καταχωρητών
• βγάλει τον μετατροπέα εκτός κανονικής λειτουργίας

2. Phase-Locked Loop (PLL)

Αν κάποιος επηρεάσει τον PLL, μπορεί να αλλοιώσει πλήρως την «αντίληψη» λειτουργίας του μετατροπέα.

3. Παραποίηση δεδομένων αισθητήρων

Αλλοίωση μετρήσεων τάσης στο σημείο σύνδεσης → αλλοίωση όλου του συστήματος αναφοράς.

4. Τροποποίηση firmware

Η πιο δύσκολη να ανιχνευθεί χωρίς τη μέθοδο των hardware counters.

Η σημασία της κλίμακας

Η πραγματική απειλή εμφανίζεται σε μεγάλη κλίμακα:

• Ένας μεμονωμένος μετατροπέας → περιορισμένη επίδραση
• 5%–10% της ισχύος ενός feeder → παραβιάσεις τάσης
• Συντονισμένη επίθεση σε μεγάλο στόλο → πιθανή αποσταθεροποίηση δικτύου

Ρυθμιστικό πλαίσιο

Η οδηγία NIS2 Directive επιβάλλει υποχρεώσεις σε μεγάλους ενεργειακούς φορείς για διαχείριση κυβερνοκινδύνων.

Ωστόσο, ο Konstantinou τονίζει:

«Η NIS2 από μόνη της δεν επαρκεί.»

Η Cyber Resilience Act αφορά τους κατασκευαστές, αλλά δεν έχει ακόμη πλήρως εφαρμοστεί.

Ο κανονισμός EU 2024/2847:

• Θέτει απαιτήσεις αναφοράς ευπαθειών από Σεπτέμβριο 2026
• Πλήρη εφαρμογή από Δεκέμβριο 2027

Πρόβλημα γνωστοποίησης ευπαθειών

«Κάποιοι κατασκευαστές έχουν σωστές διαδικασίες γνωστοποίησης, αλλά άλλοι είναι πολύ δύσκολο να προσεγγιστούν», είπε.

Πολλοί ερευνητές δεν μπορούν καν να αναφέρουν ευπάθειες στους κατασκευαστές.

Η παγκοσμιοποίηση δυσκολεύει την επιβολή κανόνων:

• Η ΕΕ ή οι ΗΠΑ μπορούν να θεσπίσουν κανόνες
• Αλλά είναι δύσκολο να εφαρμοστούν παγκοσμίως