Các vụ tấn công nhà máy điện tại Mỹ và Venezuela năm 2001 và 2003

nktung

Super Moderator
Thành viên BQT
08/10/2013
401
989 bài viết
Các vụ tấn công nhà máy điện tại Mỹ và Venezuela năm 2001 và 2003
Năm 2001, một cuộc tấn công đã diễn ra tại trung tâm phân phối điện California, nơi điều phối điện
trên khắp bang này. Nguyên nhân của vụ tấn công là do 2 máy chủ web nằm trong hệ thống điều độ không được cấu hình bảo mật tốt, kẻ tấn công đã khai thác lỗ hổng để xâm nhập vào các máy chủ này. Từ đó chúng dự định làm bàn đạp để tấn công vào hệ thống điều khiển lưới điện phía Tây nước Mỹ. Tuy nhiên may mắn là những kẻ tấn công đã bị ngăn chặn trước khi chúng thực hiện được hành vi.
Năm 2003, một loại sâu có tên là Slammer đã lây nhiễm vào hệ thống giám sát an toàn của nhà máy điện hạt nhân Ohio Mỹ khiến cho hệ thống này sập trong vài tiếng đồng hồ. Rất may mắn là trước đó thì nhà máy này cũng đã lên kế hoạch bảo trì do vậy hệ thống backup đã hoạt động và hệ thống này không bị lây nhiễm bởi sâu Slammer.
Number-of-announced-NLRI-prefixes-during-Slammer-worm-event-as-observed-on-RIPE-Route.ppm

Hình. Số lượng bản tin NLRI tăng đột biến khi sâu Slammer lây lan trên toàn cầu
(Ghi nhận bởi RIPE)
Sâu Slammer tấn công vào các máy tính có cài đặt Microsoft SQL Server 2000 hoặc Microsoft Desktop Engine. Loại sâu này có khả năng lây lan rất nhanh. Chỉ sau 10 phút phát tán, nó đã lây nhiễm tới 75000 server trên toàn thế giới, làm hệ thống Internet toàn cầu chậm lại. Nguyên nhân chậm đó là do các máy server đã phát tán một lượng traffic bùng nổ, khiến các Router không thể xử lý được, gây ra cuộc tấn công DoS tới các Router. Nhưng tệ hơn nữa đó là, khi một số Router ngừng hoạt động, các Router láng giềng sẽ phát hiện ra điều này. Và theo nguyên lý định tuyến động, các Router còn sống sẽ thực hiện gửi các bản tin update/query để báo tin và tìm con đường khác đến đích. Chính các bản tin này lại gây ra sự bùng nổ lưu lượng và làm cho vấn đề càng trở nên nghiêm trọng. Nhưng vẫn chưa dừng ở đó, khi các Router bị DoS và dần dần ngưng hoạt động, thì theo nguyên tắc, các Router này sẽ khởi động lại. Sau khi khởi động, các Router sẽ gửi/nhận các bản tin tìm kiếm láng giềng, từ đó tính toán để xây dựng bảng định tuyến. Lưu lượng này lại bùng nổ và khiến mạng Internet toàn cầu chậm lại. Trong số các tổ chức bị thiệt hại, có ngân hàng lớn của Mỹ là Back of America có nhiều máy chủ bị lây nhiễm nhất. (Wikipedia)
Cũng đầu năm 2003, một vụ tấn công vào cảng dầu mỏ tại Venezuela đã xảy ra. Kẻ tấn công đã thực hiện xâm nhập vào hệ thống SCADA điều khiển việc nạp dầu, và thay đổi mã trong firmware của thiết bị PLCs (Bộ điều khiển logic có thể lập trình). PLC là một thiết bị máy tính công nghiệp, có hệ điều hành, CPU, bộ nhớ lưu các chương trình đã được lập trình từ trước, các cổng I/O. Một số hệ điều hành phổ biến chạy trên các bộ PLC là Microwave OS9 , VxWorks. Vì hệ điều hành luôn tồn tại các lỗ hổng bảo mật nên kẻ tấn công có thể khai thác, thay đổi mã chương trình trong bộ nhớ. Một hướng khai thác khác đó là cách khác là tấn công vào một máy tính đang truyền thông với PLC, từ đó ra lệnh điều khiển làm sai lệch hoạt động.
P1000-plc_400.jpg

abb-ac500-plc.jpg

Hình. Một bộ PLC (Nguồn. Internet)​
Trở lại vụ việc tại Venezuela, khi mã lập trình trên bộ PLC bị thay đổi đã làm cho hệ thống ngừng trệ. Các tàu nạp dầu đã phải đợi 8 tiếng đồng hồ trước khi các nhân viên phát hiện ra sự cố và nạp lại mã cho firmware của PLCs. Điều đáng lưu ý là vụ tấn công này xảy ra cùng thời điểm mà phe đối lập với tổng thống Venezuela (lúc đó là Hugo Chavez) đang thực hiện chiến dịch đánh vào dầu mỏ, nguồn thu lợi từ xuất khẩu chính của đất nước.
Như vậy có thể thấy hệ thống SCADA với các thiết bị PLCs là đích ngắm của nhiều nhóm tấn công mạng. Hệ thống này nếu không có đánh giá bảo mật cẩn trọng thì hậu quả là rất lớn.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên