研究人员称，高功率物联网僵尸网络可以操纵能源市场

大多数僵尸网络由路由器，摄像机和DVR等设备提供动力。但是，普林斯顿大学的研究人员几年前警告说，试图破坏能源网格的威胁行为者可能会创建一个高功率设备的僵尸网络，例如连接互联网的烤箱，空调以及水和空间加热器， 1-5千瓦的功率。

普林斯顿大学研究人员描述的僵尸网络名为BlackIoT（MadIoT），该僵尸网络致力于通过同时打开和关闭受损的高功率设备来造成破坏，包括本地中断和大规模停电。但是，在实践中，攻击不一定总是成功的，尤其是当电网保护机制有效应对僵尸网络造成的冲击时。

在佐治亚理工学院研究人员描述的新攻击方法中，他们将其称为“ IoT Skimmer”，攻击者使用高功率设备的僵尸网络来操纵电力市场，以获取财务利益或财务损失。

大多数电力市场包括日间交易市场和实时市场，在日间交易市场中，参与者以前一天确定的价格买卖电能，而实时市场则平衡了实际电力需求与日间承诺之间的差额。

佐治亚理工学院的研究人员说，威胁行为者可以像操纵金融市场一样操纵电力市场：产生一个导致价格下跌或上涨的事件，在价格低时买入，在价格高时卖出。

研究人员引用了美国联邦能源监管委员会（FERC）的一份报告，该报告称2018年有16起潜在的市场操纵案件，其中14宗因未发现操纵迹象而未采取任何行动而结案。他们还指出了最近对英国电力市场管理者的袭击。

研究人员认为，控制高功率IoT僵尸网络的攻击者可以稍微改变电网的需求，从而影响市场价格。

一个潜在的攻击者可能是市场参与者，它会发动攻击，以操纵价格以谋取自身利益。另一个潜在的攻击者是国家赞助的演员，其目的是操纵价格，仅使目标国家或目标市场参与者蒙受财务损失。

一个民族国家的攻击者可以获得有关市场参与者如何竞标的信息（此数据是公开可用的），并影响实时市场价格以最大程度地减少经济损失。

佐治亚理工学院的研究人员认为，攻击的收益与僵尸网络中的僵尸程序数量成正比。可以使用多达50,000个自动程序进行攻击，从而产生可观的财务影响。

臭名昭著的物联网僵尸网络Mirai由600,000台设备提供动力，但这些设备大多是低功率设备。但是，研究人员在Black Hat网络安全会议上的演讲之前的采访中告诉SecurityWeek，拥有大量资源的攻击者可以通过在目标IoT设备中寻找漏洞然后加以利用，从头创建高功率设备的僵尸网络。努力使它们成为僵尸网络。

他们指出，目前估计有3000万个智能恒温器，这将为恶意行为者提供大量潜在的目标，研究人员预计，在将来的某个时刻，我们将看到这种高功率的僵尸网络。要使攻击长期成功，就必须隐秘，为此，僵尸网络产生的额外功耗必须在一定的限制内，以避免被能源市场和使用其设备的消费者发现被滥用。预测的电力负荷与实际负荷之差称为负荷预测误差。如果攻击产生的变化在此负载预测错误的范围之内，则市场运营商和参与者不太可能检测到攻击。

为了避免被消费者发现，如果僵尸网络每年平均100天（或每月8天）打开其设备，持续3个小时，那么消费者账单上的增加幅度将高达7％，研究人员认为，许多用户不太可能注意到这一点。但是，这仍然足以进行重大攻击。为了使操作更加隐蔽，威胁行动者甚至可以在几天之内发起攻击，并且他们可以在一天中的关键时刻打开受感染的设备（例如，一天中的智能冰箱；电动汽车充电器，烤箱和烘干机）清晨）。如果竞选活动是由市场参与者进行的，他们可以针对竞争对手，甚至发动在一定程度上影响他们的攻击，以摆脱对自己的怀疑。

由于创建这样的僵尸网络并进行实际测试是非法的，因此研究人员使用了来自纽约和加利福尼亚市场的可用数据来计算攻击的效率。例如，如果市场参与者发动攻击，如果他们使用150,000个僵尸网络的僵尸网络，他们每天可以额外赚取100,000美元的利润-利润的大小与僵尸网络的大小成正比。研究人员说，由一个国家赞助的威胁参与者，使用15万台设备的僵尸网络，每天可能造成200万美元的经济损失，同时将负载分布保持在限制之内。

根据他们的计算，市场参与者每年可以额外赚取2400万美元的利润，而一个民族国家集团每年可能造成高达3.5亿美元的经济损失。

至于针对此类攻击的对策，研究人员建议开发一种实时监控数据库，该数据库将信息存储在一小部分高功率IoT设备上。该数据库可以通过查找可疑活动来检测潜在的攻击。

他们还认为，不应公开共享市场数据-市场参与者仅应使用它们，甚至他们也应该仅延迟接收数据，而不是实时接收。