-
08/10/2013
-
401
-
1.002 bài viết
Chiến dịch tấn công Dragonfly vào hạ tầng công nghiệp và năng lượng
Koala Team – còn được biết đến với các tên gọi như Dragonfly, Energetic Bear hoặc Crouching Yeti – là một nhóm APT được cho là hoạt động từ năm 2010 và nhắm vào các tổ chức hạ tầng công nghiệp và năng lượng. Trong chiến dịch cao điểm mang tên Dragonfly bị phát hiện vào khoảng tháng 6-7 năm 2014, nhóm này đã tiến hành tấn công mạng gián điệp trên diện rộng nhằm vào nhiều mục tiêu quan trọng ở Mỹ và châu Âu. Các nạn nhân thuộc nhiều quốc gia bao gồm Hoa Kỳ, Tây Ban Nha, Pháp, Ý, Đức, Thổ Nhĩ Kỳ, Ba Lan, v.v. – tập trung chủ yếu ở khu vực Bắc Mỹ và Tây Âu.
Ảnh: unearthed.greenpeace.org
Lĩnh vực bị nhắm đến chủ yếu là ngành năng lượng và công nghiệp, mục tiêu là hệ thống ICS/SCADA. Cụ thể, Koala Team đã xâm nhập vào các nhà vận hành lưới điện, công ty sản xuất điện, nhà vận hành đường ống dẫn dầu khí, cũng như các nhà cung cấp thiết bị công nghiệp cho ngành năng lượng. Việc tấn công vào cả nhà cung cấp thiết bị cho thấy chiến dịch có phạm vi và tính chiến lược cao – kẻ tấn công không chỉ nhắm vào doanh nghiệp vận hành hạ tầng mà còn đánh vào chuỗi cung ứng của lĩnh vực này.
Hệ thống và thiết bị ICS/SCADA bị xâm nhập, ảnh hưởng
Một đặc điểm nổi bật của chiến dịch Dragonfly năm 2014 là việc xâm nhập thành công vào các công ty cung cấp phần mềm/thiết bị điều khiển công nghiệp (ICS) để cài cắm mã độc vào sản phẩm của họ. Ít nhất ba nhà cung cấp ICS tại châu Âu đã trở thành nạn nhân: ví dụ như MESA Imaging (Thụy Sĩ) – hãng sản xuất camera công nghiệp, eWON (Bỉ) – cung cấp giải pháp bảo trì từ xa cho hệ thống SCADA, và MB Connect Line (Đức) – cung cấp thiết bị router/VPN công nghiệp. Theo Symantec, mã độc Trojan đã được chèn vào phần mềm/bản update hợp pháp trên website của ba hãng ICS này. Những phần mềm/bản cập nhật sau đó được khách hàng tải về và cài đặt, vô tình cài mã độc vào chính mạng lưới ICS/SCADA của họ. Thực tế, chiến dịch này được xem là một hình thức tấn công chuỗi cung ứng trong lĩnh vực hạ tầng công nghiệp hết sức nguy hiểm: kẻ tấn công lợi dụng lòng tin vào nhà cung cấp để phát tán mã độc vào mạng lưới OT của các cơ sở hạ tầng quan trọng.
Kết quả là các máy tính trong mạng OT của nạn nhân (như máy chủ HMI, máy chủ SCADA) đã bị nhiễm trojan Havex. Đáng chú ý, các máy chủ OPC (Open Platform Communications) trong mạng OT bị nhiễm đã chịu ảnh hưởng trực tiếp. OPC server là thành phần phần mềm trung gian phổ biến trong hệ thống điều khiển công nghiệp, dùng để giao tiếp giữa phần mềm SCADA và các PLC/thiết bị hiện trường. Mã độc của Koala Team chứa chức năng quét và thu thập thông tin từ các OPC server này. Khi xâm nhập được vào mạng OT, mã độc sẽ tự động tìm kiếm tất cả các máy chủ OPC đang chạy trong mạng, cũng như các thiết bị điều khiển công nghiệp kết nối với OPC. Theo phân tích của ICS-CERT, Havex được thiết kế để có khả năng liệt kê mọi tài nguyên mạng nội bộ (tên máy tính, thư mục chia sẻ mạng, v.v.) rồi sử dụng giao thức OPC Classic (DCOM) để truy vấn thông tin về các thiết bị và hệ thống điều khiển nối với OPC server. Nói cách khác, toàn bộ hệ thống OT của nạn nhân đã bị mã độc “do thám” từ bên trong.
Các thông tin cụ thể được thu thập bao gồm: danh tính máy chủ OPC (CLSID, ProgID), tên và hãng sản xuất OPC server, phiên bản OPC hỗ trợ, trạng thái chạy, số lượng nhóm, băng thông của server, v.v. Ngoài ra mã độc còn liệt kê các OPC tag (các điểm dữ liệu/biến quá trình) hiện có trên hệ thống. Những thông tin này phản ánh quy trình vận hành công nghiệp cụ thể (ví dụ các tag có thể tương ứng với nhiệt độ, áp suất, mức bồn chứa…), là những thông tin rất nhạy cảm, giúp kẻ tấn công hiểu rõ hệ thống OT của nạn nhân. Toàn bộ dữ liệu thu thập sau đó được malware đóng gói và gửi về máy chủ điều khiển (C&C) của tin tặc. Theo báo cáo, Havex đã liên lạc về hàng trăm máy chủ C&C (146 máy) do nhóm Koala Team kiểm soát. Hành vi này được giới chuyên môn gọi là “ICS sniffing”, nhằm lập bản đồ chi tiết hệ thống ICS của nạn nhân để phục vụ cho các hoạt động do thám và chuẩn bị cho khả năng tấn công tương lai.
Kết quả là các máy tính trong mạng OT của nạn nhân (như máy chủ HMI, máy chủ SCADA) đã bị nhiễm trojan Havex. Đáng chú ý, các máy chủ OPC (Open Platform Communications) trong mạng OT bị nhiễm đã chịu ảnh hưởng trực tiếp. OPC server là thành phần phần mềm trung gian phổ biến trong hệ thống điều khiển công nghiệp, dùng để giao tiếp giữa phần mềm SCADA và các PLC/thiết bị hiện trường. Mã độc của Koala Team chứa chức năng quét và thu thập thông tin từ các OPC server này. Khi xâm nhập được vào mạng OT, mã độc sẽ tự động tìm kiếm tất cả các máy chủ OPC đang chạy trong mạng, cũng như các thiết bị điều khiển công nghiệp kết nối với OPC. Theo phân tích của ICS-CERT, Havex được thiết kế để có khả năng liệt kê mọi tài nguyên mạng nội bộ (tên máy tính, thư mục chia sẻ mạng, v.v.) rồi sử dụng giao thức OPC Classic (DCOM) để truy vấn thông tin về các thiết bị và hệ thống điều khiển nối với OPC server. Nói cách khác, toàn bộ hệ thống OT của nạn nhân đã bị mã độc “do thám” từ bên trong.
Các thông tin cụ thể được thu thập bao gồm: danh tính máy chủ OPC (CLSID, ProgID), tên và hãng sản xuất OPC server, phiên bản OPC hỗ trợ, trạng thái chạy, số lượng nhóm, băng thông của server, v.v. Ngoài ra mã độc còn liệt kê các OPC tag (các điểm dữ liệu/biến quá trình) hiện có trên hệ thống. Những thông tin này phản ánh quy trình vận hành công nghiệp cụ thể (ví dụ các tag có thể tương ứng với nhiệt độ, áp suất, mức bồn chứa…), là những thông tin rất nhạy cảm, giúp kẻ tấn công hiểu rõ hệ thống OT của nạn nhân. Toàn bộ dữ liệu thu thập sau đó được malware đóng gói và gửi về máy chủ điều khiển (C&C) của tin tặc. Theo báo cáo, Havex đã liên lạc về hàng trăm máy chủ C&C (146 máy) do nhóm Koala Team kiểm soát. Hành vi này được giới chuyên môn gọi là “ICS sniffing”, nhằm lập bản đồ chi tiết hệ thống ICS của nạn nhân để phục vụ cho các hoạt động do thám và chuẩn bị cho khả năng tấn công tương lai.
Phương thức tấn công
Chiến dịch Koala Team năm 2014 được tiến hành qua nhiều giai đoạn và kỹ thuật tấn công kết hợp hết sức tinh vi. Theo Symantec và ICS-CERT, ba mũi tấn công chính đã được sử dụng tuần tự:
- Mũi tấn công spear-phishing (thư điện tử lừa đảo mục tiêu): Trong giai đoạn đầu (2013), nhóm đã gửi email có chứa file PDF độc hại tới các nhân sự quan trọng (lãnh đạo, kỹ sư) của các công ty năng lượng. File PDF khai thác lỗ hổng để cài trojan vào máy nạn nhân khi mở.
- Mũi tấn công Watering Hole: Nhóm tin tặc sau đó chuyển sang việc chiếm quyền kiểm soát các website mà giới kỹ sư/người trong ngành năng lượng hay truy cập (ví dụ trang tin tức, diễn đàn kỹ thuật...). Các trang này bị cài mã chuyển hướng sang một website khác có chứa bộ khai thác lỗ hổng. Khi nạn nhân truy cập, bộ khai thác lỗ hổng sẽ tự động tấn công trình duyệt và cài mã độc vào máy nạn nhân. Phương thức watering hole này được Koala Team sử dụng mạnh từ giữa năm 2013.
- Mũi tấn công chuỗi cung ứng: Đây là giai đoạn nguy hiểm nhất và cũng là đỉnh điểm chiến dịch vào 2014. Như đề cập ở trên, tin tặc đã xâm nhập website của ít nhất 3 nhà cung cấp phần mềm/hardware của hạ tầng công nghiệp và lén chèn trojan Havex vào bộ cài đặt phần mềm hợp pháp của họ. Khi các kỹ sư tại các nhà máy tải về các bản cập nhật/phần mềm đã bị nhiễm này và cài đặt, mã độc lập tức lây lan vào mạng nội bộ của nhà máy. Kỹ thuật này đặc biệt hiệu quả vì nó bỏ qua được nhiều cơ chế bảo mật truyền thống, do phần mềm được cài là từ nhà cung cấp tin cậy.
Phiên bản Havex mà Koala Team sử dụng có chức năng RAT (Remote Access Trojan) đầy đủ, cho phép tin tặc kiểm soát máy nạn nhân từ xa, thực thi lệnh tùy ý, tải lên hoặc tải về tệp tin, đánh cắp dữ liệu... Trojan này duy trì kết nối liên tục về máy chủ C&C và có một bảng điều khiển để kẻ tấn công quản lý các máy đã nhiễm (cho phép xem và tải về dữ liệu đánh cắp). Đặc biệt, Havex còn trích xuất các thông tin nhạy cảm từ hệ thống bị nhiễm, ví dụ: danh sách chương trình đã cài, danh bạ Outlook, cấu hình VPN trên máy nạn nhân – những dữ liệu giúp tin tặc leo thang tấn công và mở rộng quyền truy cập vào mạng doanh nghiệp (mạng IT).
Điểm làm cho Havex trở nên nổi bật và nguy hiểm chính là mô-đun có khả năng làm việc đặc thù với các giao thức công nghiệp. Đây là mã độc đầu tiên được phát hiện có khả năng chủ động quét tìm các máy chủ OPC trong hệ thống ICS/SCADA. Khi Havex xâm nhập vào một máy trong mạng, nó sẽ ngay lập tức tải và thực thi mô-đun quét OPC (thường là một DLL tên là PE.dll). Quá trình quét bắt đầu khi trojan gọi hàm runDll để kích hoạt mô-đun. Môđun này sử dụng các hàm Windows Networking (WNetOpenEnum, WNetEnumResource) để đệ quy liệt kê toàn bộ máy chủ Windows có thể truy cập trong mạng nạn nhân. Sau đó, với mỗi máy chủ tìm được, malware kiểm tra xem máy đó có cung cấp các giao diện COM liên quan đến OPC hay không. Nếu máy chủ có chạy OPC, mã độc sẽ tiến hành kết nối và thu thập thông tin cấu hình OPC trên máy đó (CLSID, tên, trạng thái, các khả năng/hỗ trợ của OPC server, danh sách tag…). Kỹ thuật này cho phép mã độc khảo sát chi tiết mạng lưới OT của nạn nhân, bao gồm cả các thiết bị điều khiển cụ thể đang được sử dụng (qua thông tin vendor, tag OPC).
Quá trình quét OPC của Havex có thể diễn ra một cách âm thầm, nhưng cũng có ghi nhận về tác dụng phụ: ICS-CERT phát hiện mô-đun dò quét đã làm nhiều OPC server bị treo hoặc bị lỗi tạm thời, gây ra nguy cơ từ chối dịch vụ (DoS) cho các ứng dụng điều khiển vận hành. Nghĩa là, khi thực hiện quét, một số phần mềm SCADA giao tiếp OPC có thể mất kết nối tạm thời với thiết bị.
Sau khi thu thập xong dữ liệu OPC, mô-đun Havex sẽ lưu tạm kết quả ra file (ví dụ %TEMP%\OPCServer[random].txt chứa thông tin về tính năng OPC của các server). Các file log này sau đó được mã độc mã hóa lại (sử dụng cặp khóa RSA công khai nhúng sẵn kết hợp khóa 3DES ngẫu nhiên) rồi lưu thành file .tmp.yls trong thư mục tạm. Cuối cùng, dữ liệu mã hóa sẽ được gửi về máy chủ C&C của Koala Team. Nhờ đó, kẻ tấn công có được bức tranh đầy đủ về mạng lưới ICS/SCADA của nạn nhân: từ cấu trúc mạng, các máy chủ, cho tới thiết bị điều khiển và quy trình vận hành.
Điểm làm cho Havex trở nên nổi bật và nguy hiểm chính là mô-đun có khả năng làm việc đặc thù với các giao thức công nghiệp. Đây là mã độc đầu tiên được phát hiện có khả năng chủ động quét tìm các máy chủ OPC trong hệ thống ICS/SCADA. Khi Havex xâm nhập vào một máy trong mạng, nó sẽ ngay lập tức tải và thực thi mô-đun quét OPC (thường là một DLL tên là PE.dll). Quá trình quét bắt đầu khi trojan gọi hàm runDll để kích hoạt mô-đun. Môđun này sử dụng các hàm Windows Networking (WNetOpenEnum, WNetEnumResource) để đệ quy liệt kê toàn bộ máy chủ Windows có thể truy cập trong mạng nạn nhân. Sau đó, với mỗi máy chủ tìm được, malware kiểm tra xem máy đó có cung cấp các giao diện COM liên quan đến OPC hay không. Nếu máy chủ có chạy OPC, mã độc sẽ tiến hành kết nối và thu thập thông tin cấu hình OPC trên máy đó (CLSID, tên, trạng thái, các khả năng/hỗ trợ của OPC server, danh sách tag…). Kỹ thuật này cho phép mã độc khảo sát chi tiết mạng lưới OT của nạn nhân, bao gồm cả các thiết bị điều khiển cụ thể đang được sử dụng (qua thông tin vendor, tag OPC).
Quá trình quét OPC của Havex có thể diễn ra một cách âm thầm, nhưng cũng có ghi nhận về tác dụng phụ: ICS-CERT phát hiện mô-đun dò quét đã làm nhiều OPC server bị treo hoặc bị lỗi tạm thời, gây ra nguy cơ từ chối dịch vụ (DoS) cho các ứng dụng điều khiển vận hành. Nghĩa là, khi thực hiện quét, một số phần mềm SCADA giao tiếp OPC có thể mất kết nối tạm thời với thiết bị.
Sau khi thu thập xong dữ liệu OPC, mô-đun Havex sẽ lưu tạm kết quả ra file (ví dụ %TEMP%\OPCServer[random].txt chứa thông tin về tính năng OPC của các server). Các file log này sau đó được mã độc mã hóa lại (sử dụng cặp khóa RSA công khai nhúng sẵn kết hợp khóa 3DES ngẫu nhiên) rồi lưu thành file .tmp.yls trong thư mục tạm. Cuối cùng, dữ liệu mã hóa sẽ được gửi về máy chủ C&C của Koala Team. Nhờ đó, kẻ tấn công có được bức tranh đầy đủ về mạng lưới ICS/SCADA của nạn nhân: từ cấu trúc mạng, các máy chủ, cho tới thiết bị điều khiển và quy trình vận hành.
Hậu quả và thiệt hại gây ra
Đến thời điểm phát hiện (giữa năm 2014), chưa có báo cáo về hành vi phá hoại vật lý trực tiếp nào do Koala Team/Dragonfly gây ra. Mục tiêu chính của chiến dịch dường như là gián điệp mạng và xây dựng sự hiện diện dai dẳng bên trong các hệ thống ICS/SCADA, hơn là phá hoại ngay lập tức. Tuy nhiên, mức độ xâm nhập cho thấy tiềm năng phá hoại là có thật và đáng lo ngại. Symantec nhận định chiến dịch Dragonfly đã mang lại cho kẻ tấn công khả năng tiến hành phá hoại trên các hệ thống năng lượng: khi kẻ gian đã chiếm được quyền truy cập sâu vào mạng SCADA của những cơ sở hạ tầng trọng yếu, và nếu lợi dụng các khả năng đó, hoàn toàn có thể gây mất ổn định hoặc gián đoạn nguồn cung cấp năng lượng tại các quốc gia bị ảnh hưởng. Nói cách khác, hậu quả có thể xảy ra là rất nghiêm trọng, chẳng kém gì so với sự cố mà sâu Stuxnet đã gây ra tại Iran trước đó – chỉ khác là Koala Team ở giai đoạn 2014 đã lựa chọn chưa kích hoạt năng lực phá hoại.
Trên thực tế, tổn thất hữu hình được ghi nhận chủ yếu là ở khía cạnh an ninh và bí mật thông tin: hàng loạt dữ liệu về hệ thống công nghiệp, cấu hình kỹ thuật và thậm chí thông tin nhạy cảm (email, VPN, tài khoản) của các công ty năng lượng đã bị đánh cắp và rơi vào tay tin tặc. Việc OPC server bị quét cũng dẫn đến một số sự cố treo dịch vụ tạm thời trong mạng OT, tuy nhiên không có báo cáo về hỏng hóc thiết bị hay tai nạn công nghiệp nào xảy ra do chiến dịch này. Giới chuyên gia lo ngại rằng Dragonfly có thể chỉ đang thu thập thông tin và cài cắm backdoor trước, để mở đường cho khả năng tấn công phá hoại sau này khi thời cơ chín muồi. Quả thực, về sau (khoảng 2015-2017) nhóm này được cho là đã hoạt động trở lại với biến thể Dragonfly 2.0 và có những động thái xâm nhập hệ thống điện ở Bắc Mỹ và châu Âu, thậm chí giành quyền điều khiển một số hệ thống SCADA (dù vẫn chưa gây sự cố thực tế). Điều đó cho thấy mối đe dọa lâu dài mà Koala Team đặt ra: một khi hạ tầng ICS/SCADA đã bị cài backdoor và do thám, tin tặc có thể chờ đợi và phát động tấn công phá hoại bất cứ lúc nào trong tương lai.
Chiến dịch tháng 7/2014 của Koala Team đã không trực tiếp gây hậu quả tức thì về vận hành (như mất điện hay hỏng hóc thiết bị), nhưng nó đã xâm phạm nghiêm trọng an ninh của các hệ thống công nghiệp trọng yếu. Các nạn nhân phải thực hiện quá trình dài để rà soát và loại bỏ mã độc ra khỏi hàng trăm hệ thống, vá các lỗ hổng bị khai thác, cũng như nâng cao phân tách mạng IT-OT nhằm ngăn chặn kiểu tấn công tương tự trong tương lai. Về lâu dài, những thông tin mà Koala Team đánh cắp được có thể phục vụ cho các chiến dịch gián điệp hoặc phá hoại khác, đe dọa an ninh năng lượng và sản xuất công nghiệp của các quốc gia liên quan.
Nhìn chung, Dragonfly là một chiến dịch APT rất tinh vi và nguy hiểm đối với hệ thống OT. Nó báo động cho giới vận hành công nghiệp về việc cần cập nhật chiến lược bảo mật: không chỉ bảo vệ IT mà còn phải bảo vệ cả hệ thống điều khiển ICS/SCADA, bao gồm áp dụng phân vùng mạng, hạn chế quyền truy cập, giám sát lưu lượng ICS (như OPC) và nâng cao nhận thức về các mối đe dọa có chủ đích nhắm vào OT.
Nguồn tham khảo: Symantec 2014, ICS-CERT 2014, FireEye 2014
Trên thực tế, tổn thất hữu hình được ghi nhận chủ yếu là ở khía cạnh an ninh và bí mật thông tin: hàng loạt dữ liệu về hệ thống công nghiệp, cấu hình kỹ thuật và thậm chí thông tin nhạy cảm (email, VPN, tài khoản) của các công ty năng lượng đã bị đánh cắp và rơi vào tay tin tặc. Việc OPC server bị quét cũng dẫn đến một số sự cố treo dịch vụ tạm thời trong mạng OT, tuy nhiên không có báo cáo về hỏng hóc thiết bị hay tai nạn công nghiệp nào xảy ra do chiến dịch này. Giới chuyên gia lo ngại rằng Dragonfly có thể chỉ đang thu thập thông tin và cài cắm backdoor trước, để mở đường cho khả năng tấn công phá hoại sau này khi thời cơ chín muồi. Quả thực, về sau (khoảng 2015-2017) nhóm này được cho là đã hoạt động trở lại với biến thể Dragonfly 2.0 và có những động thái xâm nhập hệ thống điện ở Bắc Mỹ và châu Âu, thậm chí giành quyền điều khiển một số hệ thống SCADA (dù vẫn chưa gây sự cố thực tế). Điều đó cho thấy mối đe dọa lâu dài mà Koala Team đặt ra: một khi hạ tầng ICS/SCADA đã bị cài backdoor và do thám, tin tặc có thể chờ đợi và phát động tấn công phá hoại bất cứ lúc nào trong tương lai.
Chiến dịch tháng 7/2014 của Koala Team đã không trực tiếp gây hậu quả tức thì về vận hành (như mất điện hay hỏng hóc thiết bị), nhưng nó đã xâm phạm nghiêm trọng an ninh của các hệ thống công nghiệp trọng yếu. Các nạn nhân phải thực hiện quá trình dài để rà soát và loại bỏ mã độc ra khỏi hàng trăm hệ thống, vá các lỗ hổng bị khai thác, cũng như nâng cao phân tách mạng IT-OT nhằm ngăn chặn kiểu tấn công tương tự trong tương lai. Về lâu dài, những thông tin mà Koala Team đánh cắp được có thể phục vụ cho các chiến dịch gián điệp hoặc phá hoại khác, đe dọa an ninh năng lượng và sản xuất công nghiệp của các quốc gia liên quan.
Nhìn chung, Dragonfly là một chiến dịch APT rất tinh vi và nguy hiểm đối với hệ thống OT. Nó báo động cho giới vận hành công nghiệp về việc cần cập nhật chiến lược bảo mật: không chỉ bảo vệ IT mà còn phải bảo vệ cả hệ thống điều khiển ICS/SCADA, bao gồm áp dụng phân vùng mạng, hạn chế quyền truy cập, giám sát lưu lượng ICS (như OPC) và nâng cao nhận thức về các mối đe dọa có chủ đích nhắm vào OT.
Nguồn tham khảo: Symantec 2014, ICS-CERT 2014, FireEye 2014
Chỉnh sửa lần cuối bởi người điều hành: