-
08/10/2013
-
401
-
1.003 bài viết
Chiến dịch tấn công lưới điện sử dụng mã độc BlackEnergy2
Vào thời điểm tháng 10 năm 2014, tình hình địa chính trị khu vực Đông Âu rất căng thẳng. Cuộc khủng hoảng Ukraina bùng nổ sau sự kiện Nga sáp nhập bán đảo Crimea (đầu 2014) và xung đột ở miền đông Ukraina. Nhóm tin tặc Sandworm đã triển khai một chiến dịch tấn công mạng quy mô lớn nhắm vào các thực thể phương Tây và Ukraina. Mục tiêu của chiến dịch này bao gồm các cơ quan chính phủ (như chính phủ Ukraina, NATO, EU) và cả các doanh nghiệp hạ tầng quan trọng (ví dụ: điện lực, dầu khí, giao thông, cấp nước sạch...).
Giới thiệu
Theo báo cáo của hãng tình báo mạng iSight Partners, nhóm Sandworm đã lợi dụng một lỗ hổng zero-day trong hệ điều hành Windows để do thám và đánh cắp các tài liệu ngoại giao và tình báo. Điều này cho thấy động cơ của chiến dịch có tính chính trị và chiến lược rõ rệt: Sandworm tiến hành gián điệp mạng nhằm thu thập thông tin nhạy cảm của các đối thủ địa chính trị, đồng thời thâm nhập vào các hệ thống cơ sở hạ tầng trọng yếu (như hệ thống lưới điện, hạ tầng cấp nước sạch, hệ thống điều khiển giao thông…) để chuẩn bị cho khả năng phá hoại hoặc gây sức ép trong tương lai.
Nhóm Sandworm hoạt động bài bản theo kiểu APT (mối đe dọa dai dẳng, tinh vi), nghĩa là xâm nhập lén lút, duy trì hiện diện lâu dài trong hệ thống nạn nhân để đạt được mục tiêu tình báo hoặc chuẩn bị cho các đợt tấn công phá hoại khi cần. Mục tiêu cuối cùng của vụ tấn công tháng 10/2014 không chỉ dừng ở việc gián điệp mạng, mà còn nhằm khảo sát và kiểm soát các hệ thống điều khiển công nghiệp (Industrial Control Systems – ICS) của đối phương. Việc xâm nhập thành công vào môi trường ICS/SCADA của nạn nhân sẽ cho phép kẻ tấn công thu thập thông tin về vận hành hệ thống, cấu hình kỹ thuật, thậm chí cài cắm sẵn cửa hậu để trong tương lai có thể làm gián đoạn hoạt động hoặc phá hoại cơ sở hạ tầng (ví dụ gây mất điện trên diện rộng).
Tóm lại, trong bối cảnh địa chính trị năm 2014, vụ tấn công của nhóm Sandworm sử dụng mã độc BlackEnergy2 phục vụ đồng thời hai mục tiêu: (1) thu thập thông tin tình báo phục vụ lợi ích chiến lược, và (2) xâm nhập vào các hệ thống ICS/SCADA trọng yếu của đối thủ như một bước chuẩn bị cho khả năng tấn công mạng gây hậu quả vật lý trong tương lai.
Nhóm Sandworm hoạt động bài bản theo kiểu APT (mối đe dọa dai dẳng, tinh vi), nghĩa là xâm nhập lén lút, duy trì hiện diện lâu dài trong hệ thống nạn nhân để đạt được mục tiêu tình báo hoặc chuẩn bị cho các đợt tấn công phá hoại khi cần. Mục tiêu cuối cùng của vụ tấn công tháng 10/2014 không chỉ dừng ở việc gián điệp mạng, mà còn nhằm khảo sát và kiểm soát các hệ thống điều khiển công nghiệp (Industrial Control Systems – ICS) của đối phương. Việc xâm nhập thành công vào môi trường ICS/SCADA của nạn nhân sẽ cho phép kẻ tấn công thu thập thông tin về vận hành hệ thống, cấu hình kỹ thuật, thậm chí cài cắm sẵn cửa hậu để trong tương lai có thể làm gián đoạn hoạt động hoặc phá hoại cơ sở hạ tầng (ví dụ gây mất điện trên diện rộng).
Tóm lại, trong bối cảnh địa chính trị năm 2014, vụ tấn công của nhóm Sandworm sử dụng mã độc BlackEnergy2 phục vụ đồng thời hai mục tiêu: (1) thu thập thông tin tình báo phục vụ lợi ích chiến lược, và (2) xâm nhập vào các hệ thống ICS/SCADA trọng yếu của đối thủ như một bước chuẩn bị cho khả năng tấn công mạng gây hậu quả vật lý trong tương lai.
Mã độc BlackEnergy2: Đặc điểm và cách thức hoạt động
BlackEnergy2 (BE2) là thế hệ thứ hai của họ mã độc BlackEnergy – một công cụ mã độc đa chức năng khét tiếng. Phiên bản BlackEnergy đầu tiên xuất hiện năm 2007 vốn được thiết kế như một bộ công cụ tạo botnet cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Đến năm 2010, biến thể BE2 ra đời với nhiều năng lực mở rộng vượt xa mục đích DDoS ban đầu. BE2 được lập trình rất tinh vi, có khả năng ẩn mình sâu trong hệ thống nhờ kỹ thuật rootkit và tiêm (inject) vào tiến trình, đồng thời sử dụng mã hóa mạnh để che giấu thông tin liên lạc với máy chủ điều khiển C2. Mã độc có kiến trúc module hóa cao: nó hoạt động theo dạng một trình thả (dropper ) – ban đầu khi xâm nhập sẽ cài một thành phần ẩn (driver kernel mode) vào máy nạn nhân, sau đó giải mã và nạp các mô-đun chức năng bổ sung vào các tiến trình người dùng. Nhờ kiến trúc module này, kẻ tấn công có thể tùy ý “đẩy” các plugin chức năng khác nhau vào hệ thống tùy theo mục đích, đồng thời không phải triển khai tất cả chức năng cùng một lúc, giúp giảm thiểu nguy cơ bị phát hiện.
Về khả năng cụ thể, BE2 cung cấp cho kẻ điều khiển toàn quyền kiểm soát hệ thống bị nhiễm. Nó có thể thực thi file nhị phân trên máy nạn nhân, tải về và thực thi các tệp từ máy chủ C2, tự cập nhật chính nó cũng như các plugin khi có lệnh từ kẻ tấn công, và thậm chí thực thi lệnh để tự hủy hoặc phá hoại hệ thống mục tiêu. Thông qua các plugin, BE2 có thể tiến hành nhiều hoạt động do thám và phá hoại: từ ghi lại phím đã bấm (keylogging), thu âm từ micro, chụp màn hình hệ thống, cho tới khả năng phá hủy dữ liệu. Đáng chú ý, các nhà nghiên cứu đã phát hiện một plugin đặc biệt có thể xóa sạch ổ cứng của máy nạn nhân; người ta cho rằng plugin này được nhóm tấn công sử dụng như “công tắc huỷ diệt” – sẽ kích hoạt để xóa dấu vết và đánh sập hệ thống khi chiến dịch bị phát hiện. Nhờ những năng lực đa dạng như vậy, BE2 không chỉ là một trojan thông thường mà thực chất là một vũ khí mạng đa dụng: vừa lén lút thu thập thông tin tình báo trên hệ thống nạn nhân, vừa sẵn sàng thực thi các hành vi phá hoại khi có lệnh.
Ngoài ra, BE2 được thiết kế hướng đến các môi trường hạ tầng trọng yếu. Điểm đặc biệt được ghi nhận là mã độc này nhắm đến phần mềm của thiết bị HMI (Human-Machine Interface) – tức các giao diện người-máy dùng để giám sát/điều khiển quá trình vận hành của hệ thống SCADA/ICS. Trong các nhà máy công nghiệp hoặc hệ thống điện, nước sạch,… phần mềm HMI thường chạy liên tục 24/7, có thể truy cập từ xa và lại ít được cập nhật bản vá thường xuyên – khiến chúng trở thành “miếng mồi” hấp dẫn đối với kẻ tấn công. Bằng cách chiếm quyền trên HMI, mã độc có thể quan sát trạng thái hoạt động của hệ thống ICS/SCADA theo thời gian thực, đồng thời từ đó có thể tìm cách điều khiển hoặc làm gián đoạn quá trình sản xuất/điều khiển. Tính năng module của BE2 còn cho phép nó di chuyển trong mạng nội bộ: các plugin có thể quét tài nguyên đang được chia sẻ trên mạng LAN, thiết bị lưu trữ rời, để lây lan sang các máy khác .
Như vậy BE2 là một mã độc tấn công ICS cực kỳ nguy hiểm – kết hợp được cả yếu tố APT (ẩn mình thu thập thông tin dài hạn) và phá hoại hệ thống khi cần thiết.
Về khả năng cụ thể, BE2 cung cấp cho kẻ điều khiển toàn quyền kiểm soát hệ thống bị nhiễm. Nó có thể thực thi file nhị phân trên máy nạn nhân, tải về và thực thi các tệp từ máy chủ C2, tự cập nhật chính nó cũng như các plugin khi có lệnh từ kẻ tấn công, và thậm chí thực thi lệnh để tự hủy hoặc phá hoại hệ thống mục tiêu. Thông qua các plugin, BE2 có thể tiến hành nhiều hoạt động do thám và phá hoại: từ ghi lại phím đã bấm (keylogging), thu âm từ micro, chụp màn hình hệ thống, cho tới khả năng phá hủy dữ liệu. Đáng chú ý, các nhà nghiên cứu đã phát hiện một plugin đặc biệt có thể xóa sạch ổ cứng của máy nạn nhân; người ta cho rằng plugin này được nhóm tấn công sử dụng như “công tắc huỷ diệt” – sẽ kích hoạt để xóa dấu vết và đánh sập hệ thống khi chiến dịch bị phát hiện. Nhờ những năng lực đa dạng như vậy, BE2 không chỉ là một trojan thông thường mà thực chất là một vũ khí mạng đa dụng: vừa lén lút thu thập thông tin tình báo trên hệ thống nạn nhân, vừa sẵn sàng thực thi các hành vi phá hoại khi có lệnh.
Ngoài ra, BE2 được thiết kế hướng đến các môi trường hạ tầng trọng yếu. Điểm đặc biệt được ghi nhận là mã độc này nhắm đến phần mềm của thiết bị HMI (Human-Machine Interface) – tức các giao diện người-máy dùng để giám sát/điều khiển quá trình vận hành của hệ thống SCADA/ICS. Trong các nhà máy công nghiệp hoặc hệ thống điện, nước sạch,… phần mềm HMI thường chạy liên tục 24/7, có thể truy cập từ xa và lại ít được cập nhật bản vá thường xuyên – khiến chúng trở thành “miếng mồi” hấp dẫn đối với kẻ tấn công. Bằng cách chiếm quyền trên HMI, mã độc có thể quan sát trạng thái hoạt động của hệ thống ICS/SCADA theo thời gian thực, đồng thời từ đó có thể tìm cách điều khiển hoặc làm gián đoạn quá trình sản xuất/điều khiển. Tính năng module của BE2 còn cho phép nó di chuyển trong mạng nội bộ: các plugin có thể quét tài nguyên đang được chia sẻ trên mạng LAN, thiết bị lưu trữ rời, để lây lan sang các máy khác .
Như vậy BE2 là một mã độc tấn công ICS cực kỳ nguy hiểm – kết hợp được cả yếu tố APT (ẩn mình thu thập thông tin dài hạn) và phá hoại hệ thống khi cần thiết.
Cơ chế lây nhiễm và khai thác
Trong chiến dịch tấn công của Sandworm năm 2014, mã độc BE2 được triển khai vào hệ thống nạn nhân thông qua nhiều con đường khác nhau. Hai con đường chính đã được ghi nhận gồm: (1) khai thác lỗ hổng trong phần mềm HMI/SCADA có kết nối internet, và (2) tấn công lừa đảo qua email với file đính kèm độc hại (spear-phishing) nhắm vào người dùng.
- Khai thác lỗ hổng ICS/SCADA: Nhóm Sandworm đã tận dụng các lỗ hổng bảo mật trong những phần mềm HMI hoặc trên máy chủ SCADA phổ biến để xâm nhập trực tiếp vào mạng ICS. Cụ thể, báo cáo của ICS-CERT cho thấy một số sản phẩm HMI từ các hãng GE, Siemens và Advantech/Broadwin đã bị nhắm làm mục tiêu trong chiến dịch này. Một ví dụ điển hình là lỗ hổng CVE-2014-0751 trong phần mềm GE Cimplicity HMI. Lỗ hổng này (được công bố đầu năm 2014) cho phép kẻ tấn công thực hiện truyền lệnh tùy ý từ xa tới máy chủ HMI thông qua cổng mạng (TCP 10212) mà không cần xác thực. Tận dụng điểm yếu đó, từ tháng 1/2012, các tin tặc đã tìm cách kết nối đến các hệ thống GE Cimplicity HMI lộ trên internet và gửi yêu cầu đặc biệt buộc HMI tải và thực thi file giao diện (.cim) độc hại nằm trên máy chủ của kẻ tấn công. Khi HMI mở file .cim này, mã script nhúng bên trong sẽ tự động được thực thi (sự kiện Screen Open), từ đó tiếp tục tải về payload BE2 dưới dạng các file ngụy trang (.xml, .exe) về thư mục của Cimplicity và kích hoạt cài đặt mã độc. Chẳng hạn, ICS-CERT phân tích hai file .cim độc hại thu được là "devlist.cim" và "config.bak": cả hai đều chứa script để tải xuống và chạy trình cài đặt của BlackEnergy (được đặt tên nguỵ trang như CimWrapPNPS.exe hoặc CimCMSafegs.exe), sau đó tự xóa dấu vết. Quá trình này diễn ra hoàn toàn tự động và vô hình đối với người vận hành HMI. Kết quả là máy chủ HMI bị cài trojan BE2 mà không cần sự tương tác nào, từ đó mã độc có thể bắt đầu kết nối ra ngoài và chờ lệnh điều khiển. Nhóm Sandworm dường như đã sử dụng công cụ tự động để dò quét trên diện rộng, tìm các hệ thống HMI kết nối internet còn tồn tại lỗ hổng, sau đó tiến hành xâm nhập. Điều này lý giải tại sao nhiều công ty sử dụng Cimplicity từ năm 2012 đến 2014 và để hệ thống HMI lộ ra mạng đã bị nhiễm BlackEnergy mà không hay biết. Bên cạnh phần mềm HMI, ICS-CERT nghi ngờ rằng nhóm Sandworm cũng đã khai thác các lỗ hổng zero-day khác trong phần mềm SCADA. Ví dụ, hệ thống Siemens WinCC được báo cáo có thể đã bị tấn công thông qua một lỗ hổng chưa xác định (Siemens đã phát hành bản vá vào cuối năm 2014 cho WinCC/TIA Portal và khuyến cáo cập nhật khẩn cấp). Đối với nền tảng Advantech/BroadWin WebAccess, người ta phát hiện nhiều nạn nhân của chiến dịch đang chạy phần mềm này với kết nối trực tiếp internet; tuy chưa xác định rõ phương thức xâm nhập, ICS-CERT tin rằng Advantech WebAccess cũng nằm trong tầm ngắm của kẻ tấn công.
- Tấn công Spear-Phishing và khai thác 0-day Windows: Bên cạnh hướng tấn công trực tiếp vào ICS, nhóm Sandworm còn tiến hành chiến dịch phishing có chủ đích nhắm vào các cá nhân/tổ chức quan trọng. Họ gửi email lừa đảo chứa file tài liệu Office (PowerPoint, Word) được thiết kế đặc biệt tới nhân viên của NATO, chính phủ Ukraina, các công ty điện lực, v.v. Bên trong các file này có nhúng mã khai thác lỗ hổng CVE-2014-4114 của Windows (còn gọi là lỗ hổng “Sandworm”). Đây là một lỗ hổng cho phép file Office lợi dụng tính năng OLE để tải dữ liệu từ nguồn ngoài và thực thi mã tùy ý trên máy nạn nhân khi mở file. Microsoft đã phát hành bản vá cho lỗi này vào ngày 14/10/2014 sau khi được iSight Partners thông báo. Trước thời điểm đó, nhóm Sandworm đã kịp sử dụng CVE này như một zero-day để cài cắm BlackEnergy vào các máy tính mục tiêu thông qua file PowerPoint độc hại. Kết quả điều tra cho thấy hạ tầng máy chủ C2 được sử dụng trong các vụ phishing này có liên hệ với hạ tầng C2 của vụ tấn công vào ICS (cùng sử dụng một số domain, địa chỉ IP) – chứng tỏ tất cả đều nằm trong một chiến dịch thống nhất của cùng một nhóm tấn công. Tuy ICS-CERT cho biết chưa thấy dấu hiệu nhóm này dùng CVE-2014-4114 trực tiếp trên môi trường ICS, nhưng rõ ràng chiến thuật kết hợp: xâm nhập mạng doanh nghiệp qua spear-phishing và xâm nhập mạng ICS qua khai thác HMI/SCADA, đã giúp Sandworm mở nhiều đường để tiến sâu vào các tổ chức mục tiêu.
Như vậy có thể thấy cơ chế lây nhiễm của BE2 trong sự kiện 2014 là sự phối hợp giữa tấn công kỹ thuật (khai thác các lỗ hổng phần mềm HMI/SCADA, hệ điều hành) và lừa đảo (spear-phishing). Nhờ đó, nhóm Sandworm có thể xâm nhập cả vào mạng IT (mạng văn phòng, hành chính) lẫn mạng OT/ICS (mạng vận hành công nghiệp) của nạn nhân, tạo bàn đạp vững chắc cho các bước tiếp theo trong chuỗi tấn công.
Mục tiêu bị ảnh hưởng và phạm vi tấn công
Chiến dịch của Sandworm trong năm 2014 có phạm vi ảnh hưởng rộng, bao gồm cả lĩnh vực chính phủ, quân sự lẫn công nghiệp tại nhiều quốc gia. Về phía các mục tiêu chính phủ/quân sự, như đã đề cập, nhóm này đã xâm nhập máy tính của chính phủ Ukraina, NATO, EU, thậm chí tấn công cả những người tham dự hội nghị an ninh GlobSec (có sự góp mặt của nhiều lãnh đạo châu Âu). Những nạn nhân này phải đối mặt với nguy cơ lộ lọt tài liệu ngoại giao, quân sự nhạy cảm do bị cài mã độc gián điệp.
Đáng chú ý, các hệ thống điều khiển công nghiệp (ICS/SCADA) cũng nằm trong nhóm mục tiêu chính. Theo ICS-CERT, đã có nhiều môi trường ICS bị xâm nhập bởi BE2 trên toàn cầu. Các nạn nhân cụ thể không được nêu tên công khai, nhưng thông tin từ iSight và các nguồn khác cho thấy một số tổ chức hạ tầng trọng yếu tại Châu Âu đã bị ảnh hưởng. Chẳng hạn, iSight báo cáo rằng các công ty năng lượng ở Ba Lan nằm trong số những mục tiêu bị cài mã độc BE2. Ngoài ra, một số doanh nghiệp viễn thông của Pháp và một viện nghiên cứu tại Mỹ cũng được liệt kê trong danh sách nạn nhân của Sandworm. Việc BE2 được tìm thấy trên các hệ thống HMI của GE Cimplicity, Siemens WinCC, Advantech WebAccess cho thấy các ngành công nghiệp có sử dụng những phần mềm này (như điện lực, dầu khí, sản xuất công nghiệp, tự động hóa nhà máy, hạ tầng cấp nước sạch) đều có thể đã bị ảnh hưởng trực tiếp. Nói cách khác, bất kỳ tổ chức nào vận hành ICS với HMI kết nối internet trong giai đoạn 2011–2014 đều đứng trước nguy cơ bị Sandworm tấn công.
Phía Mỹ cũng không ngoại lệ: dù trọng tâm chiến dịch dường như nhắm vào Ukraina và châu Âu, ICS-CERT (thuộc Bộ an ninh nội địa Mỹ) đã phải vào cuộc phối hợp điều tra. Nhiều công ty Mỹ làm việc với ICS-CERT đã xác định được mã độc BE2 trong hệ thống ICS của họ. Điều này cho thấy hạ tầng công nghiệp Mỹ cũng bị lây nhiễm (mặc dù có thể nhóm tấn công chỉ “trú ẩn” thu thập thông tin chứ chưa hành động phá hoại ngay). Nhìn chung, chiến dịch Sandworm 2014 có tính quốc tế: nó ảnh hưởng đến một loạt các quốc gia từ Đông Âu (Ukraine, Ba Lan) đến Tây Âu (Pháp, có thể Đức) và thậm chí cả Bắc Mỹ. Các hệ thống ICS /SCADA bị thâm nhập chủ yếu thuộc lĩnh vực năng lượng (lưới điện, dầu khí) và có thể cả hạ tầng thiết yếu khác (như viễn thông, giao thông, cấp nước sạch).
Một điểm đáng lưu ý là tại thời điểm 2014, dù mã độc đã hiện diện trong ICS của nhiều nạn nhân, chưa có sự cố phá hoại vật lý nghiêm trọng nào được ghi nhận ngay lập tức. Không có báo cáo về nhà máy điện nào bị tắt, hay dây chuyền công nghiệp nào bị ngừng do BE2 trong năm 2014. Nhóm tấn công dường như tập trung vào việc nằm vùng và do thám, chuẩn bị cho các hoạt động tương lai. Tuy nhiên, sự hiện diện của BE2 trong các hệ thống điều khiển này đặt ra mối đe dọa nghiêm trọng đối với an toàn vận hành: chỉ cần kẻ tấn công phát lệnh, chúng có thể khiến quá trình công nghiệp bị gián đoạn hoặc thiết bị bị hư hại.
Đáng chú ý, các hệ thống điều khiển công nghiệp (ICS/SCADA) cũng nằm trong nhóm mục tiêu chính. Theo ICS-CERT, đã có nhiều môi trường ICS bị xâm nhập bởi BE2 trên toàn cầu. Các nạn nhân cụ thể không được nêu tên công khai, nhưng thông tin từ iSight và các nguồn khác cho thấy một số tổ chức hạ tầng trọng yếu tại Châu Âu đã bị ảnh hưởng. Chẳng hạn, iSight báo cáo rằng các công ty năng lượng ở Ba Lan nằm trong số những mục tiêu bị cài mã độc BE2. Ngoài ra, một số doanh nghiệp viễn thông của Pháp và một viện nghiên cứu tại Mỹ cũng được liệt kê trong danh sách nạn nhân của Sandworm. Việc BE2 được tìm thấy trên các hệ thống HMI của GE Cimplicity, Siemens WinCC, Advantech WebAccess cho thấy các ngành công nghiệp có sử dụng những phần mềm này (như điện lực, dầu khí, sản xuất công nghiệp, tự động hóa nhà máy, hạ tầng cấp nước sạch) đều có thể đã bị ảnh hưởng trực tiếp. Nói cách khác, bất kỳ tổ chức nào vận hành ICS với HMI kết nối internet trong giai đoạn 2011–2014 đều đứng trước nguy cơ bị Sandworm tấn công.
Phía Mỹ cũng không ngoại lệ: dù trọng tâm chiến dịch dường như nhắm vào Ukraina và châu Âu, ICS-CERT (thuộc Bộ an ninh nội địa Mỹ) đã phải vào cuộc phối hợp điều tra. Nhiều công ty Mỹ làm việc với ICS-CERT đã xác định được mã độc BE2 trong hệ thống ICS của họ. Điều này cho thấy hạ tầng công nghiệp Mỹ cũng bị lây nhiễm (mặc dù có thể nhóm tấn công chỉ “trú ẩn” thu thập thông tin chứ chưa hành động phá hoại ngay). Nhìn chung, chiến dịch Sandworm 2014 có tính quốc tế: nó ảnh hưởng đến một loạt các quốc gia từ Đông Âu (Ukraine, Ba Lan) đến Tây Âu (Pháp, có thể Đức) và thậm chí cả Bắc Mỹ. Các hệ thống ICS /SCADA bị thâm nhập chủ yếu thuộc lĩnh vực năng lượng (lưới điện, dầu khí) và có thể cả hạ tầng thiết yếu khác (như viễn thông, giao thông, cấp nước sạch).
Một điểm đáng lưu ý là tại thời điểm 2014, dù mã độc đã hiện diện trong ICS của nhiều nạn nhân, chưa có sự cố phá hoại vật lý nghiêm trọng nào được ghi nhận ngay lập tức. Không có báo cáo về nhà máy điện nào bị tắt, hay dây chuyền công nghiệp nào bị ngừng do BE2 trong năm 2014. Nhóm tấn công dường như tập trung vào việc nằm vùng và do thám, chuẩn bị cho các hoạt động tương lai. Tuy nhiên, sự hiện diện của BE2 trong các hệ thống điều khiển này đặt ra mối đe dọa nghiêm trọng đối với an toàn vận hành: chỉ cần kẻ tấn công phát lệnh, chúng có thể khiến quá trình công nghiệp bị gián đoạn hoặc thiết bị bị hư hại.
Phân tích chuỗi tấn công (Kill Chain)
Chiến dịch Sandworm 2014 có thể được phân tích theo mô hình Cyber Kill Chain (chuỗi các bước tấn công mạng) kinh điển. Dựa trên các thông tin đã biết, chuỗi tấn công của nhóm Sandworm diễn ra theo các giai đoạn sau:
- Trinh sát (Reconnaissance): Nhóm tấn công tiến hành thu thập thông tin về mục tiêu. Họ sử dụng các công cụ quét internet (như Shodan, công cụ scan cổng) để tìm kiếm các hệ thống ICS/HMI đang mở cổng dịch vụ ra internet – đặc biệt là những hệ thống dùng phần mềm Cimplicity, WinCC, WebAccess có thể có lỗ hổng. Song song đó, họ cũng thu thập danh sách email và thông tin cá nhân của các cá nhân trong tổ chức mục tiêu (nhân viên chính phủ, quản trị viên ICS, v.v.) để chuẩn bị cho tấn công phishing.
- Vũ khí hóa (Weaponization): Ở giai đoạn này, kẻ tấn công tạo ra các “vũ khí” lợi hại để khai thác mục tiêu. Cụ thể, chúng chuẩn bị BE2 tùy biến kèm các mã khai thác phù hợp. Ví dụ: tạo một file PowerPoint/Word có nhúng mã khai thác CVE-2014-4114 (0-day) để tấn công người dùng; hoặc tạo các file .cim HMI độc hại. Giai đoạn này cũng bao gồm việc thiết lập hạ tầng máy chủ C2 (máy chủ điều khiển) chứa payload BlackEnergy nhằm khai thác lỗ hổng Cimplicity và đăng ký các tên miền, địa chỉ IP sẽ được dùng để nhận kết nối từ mã độc hoặc lưu trữ payload.
- Phân phối (Delivery): Kẻ tấn công tiến hành gửi “vũ khí” đến mục tiêu. Với hướng spear-phishing, email lừa đảo được gửi kèm file tài liệu độc hại đến hộp thư của nạn nhân. Nội dung email thường được tùy biến để tạo sự tin cậy (như tiêu đề về các chủ đề nóng liên quan Nga-Ukraine nhằm dụ người đọc mở file). Với hướng tấn công ICS trực tiếp, nhóm Sandworm kết nối đến các hệ thống HMI bị lộ trên internet thông qua giao thức mạng (như kết nối đến cổng 10212 của Cimplicity) và gửi chuỗi yêu cầu đặc biệt để “ép” hệ thống tải file cấu hình giao diện độc hại từ máy chủ của chúng. Đây là bước tiếp cận ban đầu để cài mã độc vào hệ thống mục tiêu.
- Khai thác (Exploitation): Ngay khi “vũ khí” được phân phối tới máy nạn nhân, một giai đoạn khai thác diễn ra. Đối với phishing, khi nạn nhân mở file Office đính kèm, mã khai thác CVE-2014-4114 sẽ thực thi, chiếm quyền điều khiển máy tính và thả mã độc BE2 vào hệ thống. Đối với mạng ICS, máy chủ HMI khi nhận yêu cầu tải file .cim độc hại sẽ thực thi mã script trong file đó (do lỗ hổng cho phép) và từ đó cài đặt trojan BE2 vào máy HMI. Nói cách khác, đây là giai đoạn mã độc xâm nhập được vào bên trong hệ thống mục tiêu bằng cách lợi dụng các lỗ hổng hoặc sai sót cấu hình.
- Cài cắm (Installation): BE2 được cài đặt bền vững trong hệ thống. Quá trình này bao gồm việc thiết lập bám trụ (Persistence) và che giấu. Mã độc sẽ cài rootkit để ẩn tiến trình, tạo khóa registry hoặc dịch vụ hệ thống để tự động chạy mỗi khi máy khởi động. BE2 dùng kỹ thuật tiêm để nạp các module vào tiến trình hợp lệ (nhằm tránh bị phát hiện bởi antivirus). Sau khi cài cắm thành công, mã độc tạo cửa hậu (backdoor) nằm im trên máy nạn nhân, sẵn sàng chờ lệnh từ xa.
- Nhận lệnh và Điều khiển (Command & Control): Ở giai đoạn này, BE2 trên máy nạn nhân sẽ kết nối ra máy chủ C2 do nhóm Sandworm kiểm soát. Kết nối này thường được mã hóa và có thể nguỵ trang qua giao thức HTTP/HTTPS hoặc các cổng không nghi ngờ để vượt qua tường lửa. Khi kết nối thành công, kẻ tấn công có thể điều khiển trực tiếp hệ thống nạn nhân: gửi lệnh, tải thêm plugin, hoặc di chuyển trong mạng nội bộ. (Trong chiến dịch này, hạ tầng C2 dùng cho các nạn nhân rất đa dạng nhưng có những điểm chung, giúp các nhà điều tra liên kết các vụ việc rời rạc thành một chiến dịch thống nhất.
- Hành động trên máy mục tiêu (Actions on Objectives): Đây là giai đoạn cuối, nơi kẻ tấn công thực hiện các mục tiêu đã đề ra sau khi đã có mặt trong hệ thống. Đối với chiến dịch Sandworm 2014, mục tiêu chủ yếu là gián điệp và trinh sát hệ thống. Vì vậy, BE2 triển khai các plugin keylogger, chụp màn hình, thu âm để thu thập thông tin nhạy cảm từ mạng nạn nhân (như tài liệu mật, thông tin đăng nhập ICS. Đồng thời, chúng tiến hành do thám nội mạng: quét các máy khác, dò tìm tài nguyên chia sẻ trên mạng, thậm chí di chuyển sang các hệ thống ICS khác (ví dụ từ máy HMI có thể tìm đường sang máy chủ SCADA hoặc bộ điều khiển công nghiệp (PLC)). Tất cả những dữ liệu thu thập được sẽ được đóng gói và gửi ra ngoài thông qua kênh C2 về cho nhóm Sandworm. Ngoài ra, trong một số trường hợp, nếu mục tiêu đã bị lộ hoặc đạt được mục đích, kẻ tấn công có thể thực thi các hành vi phá hoại: như kích hoạt plugin KillDisk để xóa sạch dữ liệu, làm hệ thống tê liệt nhằm xóa dấu vết và gây thiệt hại cho nạn nhân. (KillDisk thực tế đã được nhóm này sử dụng cuối năm 2015 để phá hoại một số hệ thống điện Ukraina, gây ra sự cố mất điện lớn – minh chứng cho khả năng hành động mục tiêu nguy hiểm của chúng).
Bằng việc tuân theo chuỗi Cyber Kill Chain trên, nhóm Sandworm đã cho thấy một quy trình tấn công bài bản và toàn diện: từ khâu chuẩn bị kỹ lưỡng, xâm nhập khéo léo, cho đến kiểm soát và thực thi mục tiêu một cách hiệu quả mà vẫn giữ được bí mật trong thời gian dài.
Hậu quả đối với các hệ thống điều khiển công nghiệp (ICS)
Mặc dù trong năm 2014 chiến dịch Sandworm chưa gây ra sự cố phá hoại tức thời (như mất điện hay hỏng hóc thiết bị), nhưng hậu quả tiềm tàng đối với các hệ thống ICS bị xâm nhập là vô cùng nghiêm trọng. Trước hết, việc BE2 hiện diện trong mạng lưới ICS đồng nghĩa với mất an ninh hoàn toàn: kẻ tấn công có thể quan sát mọi hoạt động vận hành, thu thập các bí mật công nghệ (sơ đồ SCADA, cấu hình PLC, tài khoản người vận hành), từ đó hiểu rõ cách hệ thống hoạt động. Thông tin này cho phép chúng chuẩn bị các kịch bản tấn công phá hoại một cách chính xác (ví dụ: biết thiết bị nào điều khiển phần nào để tác động). Nói cách khác, nạn nhân đã đánh mất ưu thế an toàn – hệ thống ICS vốn dĩ được thiết kế hướng tới an toàn và tính liên tục, nay lại có một “kẻ nội gián” ẩn bên trong.
Tiếp theo, nguy cơ gián đoạn và thiệt hại vật chất là hoàn toàn hiện hữu. Dù năm 2014 nhóm Sandworm chưa kích hoạt phá hoại, nhưng ICS-CERT cảnh báo BE2 là mối lo ngại đặc biệt cho các công ty hạ tầng quan trọng vì nó có thể chuyển sang chế độ tấn công bất cứ lúc nào. Chỉ cần nhóm hacker ra lệnh, BE2 có thể thao túng quá trình điều khiển (gửi lệnh giả mạo qua HMI, thay đổi tham số vận hành), hoặc phá hủy hệ thống (xóa firmware thiết bị, tắt máy chủ, xóa dữ liệu lịch sử). Thực tế năm 2015, chính nhóm Sandworm đã thực hiện việc kích hoạt các máy cắt điện, làm mất điện diện rộng ở Ukraina sau khi đã nắm quyền các hệ thống SCADA. Điều này cho thấy nếu không bị phát hiện và ngăn chặn, BE2 trong năm 2014 hoàn toàn có thể đã được dùng để gây ra những hậu quả tương tự ở các nước khác.
Ngoài nguy cơ trực tiếp, hậu quả gián tiếp cũng đáng kể. Các công ty vận hành ICS bị nhiễm mã độc buộc phải tiến hành điều tra và khắc phục toàn diện: cô lập các hệ thống bị ảnh hưởng, quét sạch mã độc, vá tất cả lỗ hổng, thay đổi thông tin xác thực, v.v. Quá trình này tiêu tốn nhiều thời gian, chi phí và có thể đòi hỏi dừng hoạt động sản xuất tạm thời để đảm bảo hệ thống sạch. Thêm vào đó, niềm tin vào an ninh ICS bị lung lay: trước đây người ta từng cho rằng mạng ICS tách biệt và ít bị nhắm đến, nhưng sự kiện 2014 cho thấy ngay cả hệ thống công nghiệp cũng đã trở thành mục tiêu của tấn công có chủ đích. Do đó, ngành công nghiệp buộc phải nâng cao cảnh giác, đầu tư hơn vào bảo mật ICS sau sự kiện này.
Tóm lại, hậu quả lớn nhất của chiến dịch Sandworm 2014 đối với ICS là đã tạo ra một tiền lệ nguy hiểm: mã độc có chủ đích xâm nhập sâu vào hệ thống công nghiệp và lưu trú dài hạn. Dù chưa phá hoại tức thì, sự kiện này đặt tất cả các nhà vận hành ICS vào tình trạng báo động về an ninh mạng và thúc đẩy những thay đổi mạnh mẽ trong cách tiếp cận bảo vệ hệ thống điều khiển công nghiệp.
Tiếp theo, nguy cơ gián đoạn và thiệt hại vật chất là hoàn toàn hiện hữu. Dù năm 2014 nhóm Sandworm chưa kích hoạt phá hoại, nhưng ICS-CERT cảnh báo BE2 là mối lo ngại đặc biệt cho các công ty hạ tầng quan trọng vì nó có thể chuyển sang chế độ tấn công bất cứ lúc nào. Chỉ cần nhóm hacker ra lệnh, BE2 có thể thao túng quá trình điều khiển (gửi lệnh giả mạo qua HMI, thay đổi tham số vận hành), hoặc phá hủy hệ thống (xóa firmware thiết bị, tắt máy chủ, xóa dữ liệu lịch sử). Thực tế năm 2015, chính nhóm Sandworm đã thực hiện việc kích hoạt các máy cắt điện, làm mất điện diện rộng ở Ukraina sau khi đã nắm quyền các hệ thống SCADA. Điều này cho thấy nếu không bị phát hiện và ngăn chặn, BE2 trong năm 2014 hoàn toàn có thể đã được dùng để gây ra những hậu quả tương tự ở các nước khác.
Ngoài nguy cơ trực tiếp, hậu quả gián tiếp cũng đáng kể. Các công ty vận hành ICS bị nhiễm mã độc buộc phải tiến hành điều tra và khắc phục toàn diện: cô lập các hệ thống bị ảnh hưởng, quét sạch mã độc, vá tất cả lỗ hổng, thay đổi thông tin xác thực, v.v. Quá trình này tiêu tốn nhiều thời gian, chi phí và có thể đòi hỏi dừng hoạt động sản xuất tạm thời để đảm bảo hệ thống sạch. Thêm vào đó, niềm tin vào an ninh ICS bị lung lay: trước đây người ta từng cho rằng mạng ICS tách biệt và ít bị nhắm đến, nhưng sự kiện 2014 cho thấy ngay cả hệ thống công nghiệp cũng đã trở thành mục tiêu của tấn công có chủ đích. Do đó, ngành công nghiệp buộc phải nâng cao cảnh giác, đầu tư hơn vào bảo mật ICS sau sự kiện này.
Tóm lại, hậu quả lớn nhất của chiến dịch Sandworm 2014 đối với ICS là đã tạo ra một tiền lệ nguy hiểm: mã độc có chủ đích xâm nhập sâu vào hệ thống công nghiệp và lưu trú dài hạn. Dù chưa phá hoại tức thì, sự kiện này đặt tất cả các nhà vận hành ICS vào tình trạng báo động về an ninh mạng và thúc đẩy những thay đổi mạnh mẽ trong cách tiếp cận bảo vệ hệ thống điều khiển công nghiệp.
Đánh giá chiến lược và kỹ thuật tấn công của nhóm Sandworm
Nhìn từ góc độ chuyên môn, chiến dịch tấn công của Sandworm năm 2014 thể hiện một chiến lược tinh vi và kỹ thuật cao cấp. Trước hết, chiến lược lựa chọn mục tiêu của nhóm rất rõ ràng: họ tập trung vào các mục tiêu “2 trong 1” vừa mang giá trị chính trị (chính phủ, tổ chức quốc tế) vừa liên quan đến hạ tầng quan trọng (công ty điện lực, hệ thống ICS/SCADA). Cách chọn mục tiêu này phục vụ đồng thời hai mục đích: thu thập tin tình báo và chuẩn bị khả năng gây rối loạn hạ tầng. Đặc biệt, việc nhắm vào phần mềm HMI cho thấy Sandworm hiểu rõ điểm yếu của ICS – HMI thường bảo mật kém – và lợi dụng nó để đi đường vòng vào hệ thống ICS thay vì tấn công trực diện.
Về kỹ thuật tấn công, nhóm Sandworm đã thể hiện trình độ hàng đầu của một APT được nhà nước bảo trợ. Họ sử dụng kết hợp cả zero-day lẫn 1-day: tức vừa khai thác lỗ hổng chưa ai biết (CVE-2014-4114) vừa tận dụng lỗ hổng đã công bố nhưng còn nhiều hệ thống chưa vá (như CVE-2014-0751). Điều này đòi hỏi nguồn lực nghiên cứu lỗ hổng và khả năng tấn công đồng thời trên nhiều mặt trận – điều mà ít nhóm tin tặc độc lập nào làm được, ám chỉ sự hậu thuẫn của một tổ chức lớn. Mã độc BE2 được tùy biến chuyên cho chiến dịch: modul hóa cao, chỉ cài những plugin cần thiết cho từng nạn nhân nhằm giảm dấu vết. Ví dụ, nếu mục tiêu chỉ cần do thám, có thể chỉ cài plugin keylogger và chụp màn hình; còn nếu mục tiêu có giá trị phá hoại, có thể thêm plugin KillDisk. Sự linh hoạt này cho thấy kỹ thuật phát triển mã độc chuyên nghiệp của nhóm.
Nhóm Sandworm cũng rất biết ẩn mình và kiên nhẫn. Chiến dịch kéo dài nhiều năm (2011–2014) với nhiều nạn nhân nhưng hầu hết không gây sự cố ồn ào, nhờ đó tránh được sự chú ý trong thời gian dài. Họ cũng triển khai các biện pháp xoá dấu vết tinh vi: sử dụng plugin phá hủy dữ liệu khi cần, mã hóa mọi liên lạc C2, sử dụng server proxy và domain nhiều lớp để che giấu nguồn gốc. Mặt khác, khi cần thiết, Sandworm sẵn sàng hành động táo bạo – minh chứng là cuộc tấn công gây mất điện ở Ukraina 2015 – cho thấy họ có đủ năng lực chuyển từ do thám sang phá hoại khi thời cơ đến. Sự kết hợp giữa tính tàng hình (stealth) và sự nhanh nhạy (agility) này làm cho Sandworm trở thành một đối thủ đặc biệt nguy hiểm.
Một khía cạnh chiến lược quan trọng là Sandworm dường như phối hợp hoạt động không gian mạng với mục tiêu quân sự-chính trị. Điều này gợi ý chiến dịch mạng được triển khai như một phần của chiến lược tổng lực (hybrid warfare), trong đó tấn công mạng hỗ trợ cho mục tiêu chính trị/quân sự.
Đánh giá chung, nhóm Sandworm đã thể hiện chiến lược tấn công có chủ đích, dài hơi, lựa chọn mục tiêu khôn ngoan kết hợp với kỹ thuật tấn công tinh vi bậc nhất (khai thác ICS + 0-day, mã độc có tính modul nâng cao). Chính những điều này khiến Sandworm được giới chuyên gia xếp vào hàng những nhóm APT nguy hiểm nhất thế giới.
Về kỹ thuật tấn công, nhóm Sandworm đã thể hiện trình độ hàng đầu của một APT được nhà nước bảo trợ. Họ sử dụng kết hợp cả zero-day lẫn 1-day: tức vừa khai thác lỗ hổng chưa ai biết (CVE-2014-4114) vừa tận dụng lỗ hổng đã công bố nhưng còn nhiều hệ thống chưa vá (như CVE-2014-0751). Điều này đòi hỏi nguồn lực nghiên cứu lỗ hổng và khả năng tấn công đồng thời trên nhiều mặt trận – điều mà ít nhóm tin tặc độc lập nào làm được, ám chỉ sự hậu thuẫn của một tổ chức lớn. Mã độc BE2 được tùy biến chuyên cho chiến dịch: modul hóa cao, chỉ cài những plugin cần thiết cho từng nạn nhân nhằm giảm dấu vết. Ví dụ, nếu mục tiêu chỉ cần do thám, có thể chỉ cài plugin keylogger và chụp màn hình; còn nếu mục tiêu có giá trị phá hoại, có thể thêm plugin KillDisk. Sự linh hoạt này cho thấy kỹ thuật phát triển mã độc chuyên nghiệp của nhóm.
Nhóm Sandworm cũng rất biết ẩn mình và kiên nhẫn. Chiến dịch kéo dài nhiều năm (2011–2014) với nhiều nạn nhân nhưng hầu hết không gây sự cố ồn ào, nhờ đó tránh được sự chú ý trong thời gian dài. Họ cũng triển khai các biện pháp xoá dấu vết tinh vi: sử dụng plugin phá hủy dữ liệu khi cần, mã hóa mọi liên lạc C2, sử dụng server proxy và domain nhiều lớp để che giấu nguồn gốc. Mặt khác, khi cần thiết, Sandworm sẵn sàng hành động táo bạo – minh chứng là cuộc tấn công gây mất điện ở Ukraina 2015 – cho thấy họ có đủ năng lực chuyển từ do thám sang phá hoại khi thời cơ đến. Sự kết hợp giữa tính tàng hình (stealth) và sự nhanh nhạy (agility) này làm cho Sandworm trở thành một đối thủ đặc biệt nguy hiểm.
Một khía cạnh chiến lược quan trọng là Sandworm dường như phối hợp hoạt động không gian mạng với mục tiêu quân sự-chính trị. Điều này gợi ý chiến dịch mạng được triển khai như một phần của chiến lược tổng lực (hybrid warfare), trong đó tấn công mạng hỗ trợ cho mục tiêu chính trị/quân sự.
Đánh giá chung, nhóm Sandworm đã thể hiện chiến lược tấn công có chủ đích, dài hơi, lựa chọn mục tiêu khôn ngoan kết hợp với kỹ thuật tấn công tinh vi bậc nhất (khai thác ICS + 0-day, mã độc có tính modul nâng cao). Chính những điều này khiến Sandworm được giới chuyên gia xếp vào hàng những nhóm APT nguy hiểm nhất thế giới.
Khuyến nghị phòng chống và cải thiện an ninh mạng ICS sau sự kiện
Sự kiện Sandworm/BE2 năm 2014 là một hồi chuông cảnh tỉnh đối với công tác bảo mật ICS/SCADA. Từ bài học này, các chuyên gia đã đề ra nhiều khuyến nghị để phòng chống các chiến dịch tương tự và nâng cao an ninh mạng cho hệ thống điều khiển công nghiệp:- Giảm thiểu kết nối trực tiếp ICS ra Internet: Nhiều hệ thống HMI bị tấn công do để lộ dịch vụ ra mạng công cộng. Do đó, không nên kết nối trực tiếp các thành phần ICS (HMI, PLC, máy chủ SCADA) với Internet. Thay vào đó, hãy đặt chúng sau các lớp mạng bảo vệ (DMZ) và sử dụng VPN bảo mật cùng cơ chế xác thực mạnh nếu cần truy cập từ xa. Kiểm tra định kỳ các cổng dịch vụ ICS để đảm bảo không có cổng nào mở công khai mà không được quản lý.
- Cập nhật và vá lỗ hổng kịp thời: Trường hợp GE Cimplicity cho thấy một lỗ hổng dù đã có vá vẫn bị khai thác nhiều năm do chậm cập nhật. Các tổ chức cần theo dõi sát các khuyến cáo bảo mật từ nhà cung cấp ICS (như GE, Siemens, Schneider Electric...), và nhanh chóng áp dụng bản vá (sau khi đã kiểm tra tương thích). Đặc biệt, các lỗ hổng nghiêm trọng (như CVE-2014-0751) cần được ưu tiên khắc phục. Nếu vì lý do vận hành không thể vá ngay, cần triển khai các biện pháp giảm thiểu tạm thời (ví dụ: chặn cổng, giới hạn IP được phép truy cập).
- Phân tách mạng IT và OT: Cần tách mạng rõ ràng giữa mạng văn phòng/doanh nghiệp (IT) và mạng vận hành công nghiệp (OT). Việc Sandworm xâm nhập cả email lẫn HMI cho thấy nếu hai mạng này liên thông, hacker có thể di chuyển từ IT sang OT dễ dàng. Do đó, nên tách biệt vật lý hoặc tách logic hai mạng, chỉ cho phép giao tiếp qua cổng kiểm soát chặt chẽ (chẳng hạn jump-server, cổng OPC firewall). Mọi kết nối qua lại giữa IT-OT phải được giám sát nghiêm ngặt để phát hiện hành vi bất thường.
- Tăng cường giám sát và phát hiện xâm nhập ICS: Triển khai các hệ thống IDS/IPS chuyên dụng cho mạng ICS nhằm phát hiện dấu hiệu mã độc và hoạt động bất thường. Ví dụ: sử dụng các quy tắc chữ ký (Snort rule) cho giao thức Modbus, DNP3, hoặc dùng YARA signature do ICS-CERT cung cấp để nhận diện BE2. Giám sát lưu lượng ra/vào mạng ICS để phát hiện nếu có kết nối tới các địa chỉ C2 đáng ngờ. Bên cạnh đó, cần thiết lập cơ chế logging và cảnh báo trên các máy chủ HMI/SCADA (ghi lại các sự kiện như chạy script lạ, tạo file bất thường, dịch vụ dừng bất thường,...).
- Kiểm soát chặt chẽ tài khoản và thiết bị trong ICS: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) cho tài khoản trên hệ thống ICS. Các tài khoản trên HMI/máy vận hành chỉ nên có quyền cần thiết, tránh dùng tài khoản domain admin trên máy ICS. Thực hiện đổi mật khẩu mặc định và dùng mật khẩu mạnh; kết hợp xác thực hai yếu tố cho truy cập quan trọng. Ngoài ra, quản lý chặt chẽ việc sử dụng thiết bị di động/USB trong môi trường ICS, bởi mã độc có thể lan qua USB (BE2 có khả năng lây qua ổ USB và mạng nội bộ).
- Đào tạo nhận thức an ninh cho nhân viên: Yếu tố con người vẫn là mắt xích quan trọng. Cần huấn luyện nhân viên, đặc biệt là kỹ sư vận hành ICS và nhân viên IT, về nhận biết email phishing, tài liệu độc hại, cũng như các quy trình an ninh khi làm việc với hệ thống ICS. Bài học từ Sandworm cho thấy chỉ một cú nhấp chuột vào file đính kèm độc hại có thể mở cửa cho hacker vào cả hệ thống doanh nghiệp lẫn nhà máy. Do đó, nâng cao nhận thức an ninh và diễn tập tình huống tấn công sẽ giúp giảm thiểu rủi ro.
- Kế hoạch ứng phó sự cố ICS: Các tổ chức hạ tầng cần xây dựng kế hoạch ứng phó sự cố mất an toàn thông tin chuyên cho ICS. Kế hoạch này bao gồm bước cô lập an toàn hệ thống ICS khi bị tấn công (đảm bảo vẫn vận hành chế độ an toàn nếu mất kết nối IT), quy trình phân tích mã độc trong ICS (có sự tham gia của chuyên gia OT), và phương án khôi phục hệ thống (có backup cấu hình PLC/SCADA an toàn). Ví dụ, trong sự cố BE2, nếu phát hiện sớm cần có biện pháp cách ly máy HMI nhiễm mã độc, chuyển điều khiển sang máy dự phòng, sau đó quét sạch mã độc trên máy HMI bị nhiễm và phục hồi từ bản backup sạch.
- Hợp tác với cơ quan an ninh và chia sẻ thông tin: Khi phát hiện dấu hiệu bất thường, các đơn vị nên báo ngay cho các cơ quan đầu mối để được hỗ trợ và cảnh báo sớm cho cộng đồng. Việc ICS-CERT công bố cảnh báo tháng 10/2014 về BlackEnergy đã giúp nhiều nơi khác kiểm tra hệ thống của mình và phát hiện mã độc kịp thời. Tham gia các mạng lưới chia sẻ tình báo về mối đe dọa (ví dụ ISAC cho từng ngành) cũng giúp tổ chức cập nhật được dấu hiệu bị xâm nhập IOC (Indicators of Compromise) và cách thức tấn công mới, từ đó nâng cao khả năng phòng thủ chủ động.
Những khuyến nghị trên nhằm mục tiêu xây dựng một phòng tuyến nhiều lớp bảo vệ hệ thống ICS trước các chiến dịch tấn công tinh vi như của Sandworm. Trong bối cảnh các nhóm APT vẫn không ngừng nhắm vào hạ tầng trọng yếu, việc thực thi nghiêm túc các biện pháp trên sẽ giúp giảm thiểu rủi ro, đảm bảo an toàn và độ tin cậy cho hệ thống điều khiển công nghiệp. Sự kiện BE2/Sandworm 2014 tuy nguy hiểm nhưng đã đem lại bài học quý giá, thúc đẩy cộng đồng ICS toàn cầu cải thiện văn hóa an ninh mạng cho các hệ thống công nghiệp, hướng tới một môi trường OT an toàn hơn trước các mối đe dọa ngày càng gia tăng.
Tham khảo
1. Wikipedia, BlackEnergy – technical details on BE2
2. Trend Micro & iSight Partners phân tích Sandworm (2014)
3. CS-CERT, Ongoing Sophisticated Malware Campaign Compromising ICS (ICS-ALERT-14-281-01) (2014, cập nhật 2021)
4. MITRE ATT&CK – Sandworm Team
Tham khảo
1. Wikipedia, BlackEnergy – technical details on BE2
2. Trend Micro & iSight Partners phân tích Sandworm (2014)
3. CS-CERT, Ongoing Sophisticated Malware Campaign Compromising ICS (ICS-ALERT-14-281-01) (2014, cập nhật 2021)
4. MITRE ATT&CK – Sandworm Team