連接互聯網的電動汽車充電器、智能烤箱、智能熱水爐、智能空調和其他大功率智能電器都可能會被劫持，以輕微地操縱能源需求，從而有可能推動價格波動，并對放松管制的能源市場造成巨額財務損失。

該警告發現來自于8月5日在Black Hat USA 2020會議上發表的研究結論。

通過開啟或關閉受到破壞的設備以人為地增加或減少電力需求，由這些耗能設備組成的僵尸網絡可能會幫助不道德的能源供應商或零售商（電力公司）改變價格以創造業務優勢，或者使一個國家提供一種通過遠程對另一國的電力市場造成財務損失來損害另一國經濟的方法。

研究人員表示，如果在正常的電力需求變化范圍內進行，將很難檢測到這種攻擊。

佐治亞研究所電氣與計算機工程學院研究生研究助理Tohid Shekari說：“如果攻擊者能夠以有利于他們的價格稍微影響電力市場價格，那就像是知道今天的明天將會發生什么。”

“如果操作保持在一定范圍內，將是隱秘的，并且很難與典型的負載預測誤差區分開。”

被認為是首次提出的能源市場操縱網絡攻擊，該操作將取決于由數千種設備組成的僵尸網絡，這些僵尸網絡可以由接管其物聯網（IoT）控制器的攻擊者進行集中控制。惡意行為者已經展示了IoT僵尸網絡攻擊，例如Mirai，它使用了受感染的連接互聯網的攝像頭和路由器網絡對關鍵的互聯網基礎設施發起了攻擊。

放松能源市場管制將使被稱為“IoT Skimmer，””的攻擊成為可能，該攻擊已創建了一個有效供電的系統。為了滿足對電能的需求，公用事業公司必須預測未來的需求，并以有競爭力的價格從日間批發能源市場中購買電力。如果預測結果是錯誤的，則公用事業公司可能必須通過參與實時市場來滿足其客戶需求所需的能源，或多或少地支付能源，而實時市場通常具有更大的波動性。創建錯誤的需求數據來操縱預測可能對銷售能源以滿足計劃外需求的供應商，或者零售商或公用事業公司從實時市場購買便宜的能源有利可圖。

研究人員無法確定是否可能已經發生了這種攻擊，因為IoT設備（除了不安全之外）還缺乏檢測此類劫持所必需的監控類型。但是他們使用了來自美國兩個最大能源市場的真實數據集-紐約和加利福尼亞-來評估他們提議的攻擊的可行性。

“我們進行了大量的仿真和數學分析，表明可能發生這種轉移，”電氣與計算機工程學院摩托羅拉基金會教授Raheem Beyah說。“我們還對支持區域進行了可行性分析，以表明從各個角度來看這都是可能的。”

研究人員認為這種僵尸網絡已經存在，攻擊者可以簡單地將其使用權租在暗網上。北美市場已經有超過2000萬個智能恒溫器，并且它們已連接至至少一個大功率設備-供暖和空調系統，攻擊者可以間歇地對其進行控制。

“如果考慮所有已經使用的智能恒溫器和連接互聯網的電烤箱、熱水器和電動汽車充電器，則有很多設備需要妥協，” Shekari說。 “房主可能永遠不會注意到在電力需求最高時是否打開EV充電器，或者在不在家時空調的冷卻程度是否比預期的要高。”

為了應對潛在的攻擊，研究人員建議同時采取檢測和預防步驟。通過對與大功率IoT連接的設備的正常用電量進行集成監控，可以檢測到攻擊者觸發的意外的功耗峰值或谷值。現在，只有預期需要的人才能訪問有關預期能源需求的數據（現在已公開提供）。

使這種攻擊成為可能的主要因素是電力市場信息的詳細在線數據共享，通常每五分鐘更新一次。

“這種能源需求信息確實是一個數據隱私問題，我們需要認真考慮透明度和安全性之間的平衡，” Beyah說。 “那里總是存在壓力，但是限制細節的數量會使想要隱藏其操作的攻擊者更加難以知道正常的變化是什么。”

潛在的攻擊突出表明，有必要考慮可能從未有過的技術領域中的網絡安全威脅。

“這是物聯網安全世界和能源市場之間的有趣交集，” Beyah說。 “目前，兩個世界之間似乎存在很大差距。我們的觀點是，將物聯網技術與高功率設備結合使用可能會以我們以前從未想到的方式破壞市場。