sunny
VIP Members
-
30/06/2014
-
870
-
1.849 bài viết
Nguy cơ hack cơ sở hạ tầng nhìn từ Ukraine
Lời bàn: Ban quản trị giới thiệu đến các bạn bài viết rất hay từ tác giả Phan Châu của pcworld.com.vn. Bài viết xâu chuỗi các sự cố trong hệ thống phân phối, truyền tải điện của Ukraine có sự can thiệp từ các hacker nước ngoài. Điều này cho thấy nguy cơ mất an ninh quốc gia có thể bị tác động như thế nào trong thế giới số hiện nay.
___________________________________________________________
Câu chuyện trên trang Wired xoay quanh những vụ hack lưới điện cuối năm 2015 và 2016 khiến hàng trăm nghìn người dân Ukraine phải sống trong bóng tối nhiều giờ giữa đêm mùa đông lạnh giá. Quốc gia này dường như đang bị hacker dùng làm nơi thử vũ khí số bí mật chuẩn bị cho cuộc chiến tranh mạng trong tương lai, nhằm tấn công vào các cơ sở hạ tầng trọng yếu của đối phương.
Kiev mất điện lúc 0 giờ
Đó là một đêm thứ Bảy tháng 12/2016. Chuyên gia bảo mật Oleksii Yasinsky cùng vợ và con gái đang xem bộ phim Snowden của Oliver Stone tại nhà họ, một căn hộ ở thủ đô Kiev của Ukraine, và bỗng nhiên điện bị mất.
"Bọn tin tặc không muốn chúng ta xem hết bộ phim", vợ Yasinsky nói đùa, ám chỉ tới vụ hack trước lễ Giáng sinh 2015 hai ngày, làm mất điện trên diện rộng, gây ảnh hưởng tới 1/4 triệu người dân Ukraine. Yasinsky, một chuyên gia điều tra số của công ty an ninh mạng có trụ sở tại Kiev, không cười trước câu nói đùa của vợ. Ông liếc nhìn đồng hồ thấy vừa đúng nửa đêm, chính xác là 00:00 giờ.
Bước tới bên cửa sổ nhìn ra ngoài, ông kinh ngạc thấy cả một vùng rộng lớn chìm trong đêm đen, một điều ông chưa từng chứng kiến ở đây. Liên tưởng tới cuộc tấn công làm mất điện một năm về trước, Yasinsky hầu như chắc chắn đây không phải là sự cố thông thường. Ông nghĩ tới nhiệt độ âm ngoài trời lạnh của đêm mùa đông và tụt dần trong các ngôi nhà trong thành phố, tới thời khắc các máy bơm nước đều tê liệt khiến mọi đường ống cấp nước sạch bị đông cứng.
Đó cũng là lúc cuộc khủng hoảng với hàng loạt sự cố xảy ra suốt hơn 14 tháng qua kéo về chiếm trọn tâm trí Yasinsky. Danh sách các công ty và cơ quan chính phủ Ukraine cầu cứu ông trợ giúp trước các cuộc tấn công mạng dồn dập và tàn khốc ngày càng dài ra. Dường như có một nhóm hacker duy nhất đứng đằng sau tất cả. Lúc này, ông có cảm giác những kẻ ông lần theo dấu vết hơn một năm qua đã trở lại, xông thẳng vào nhà ông thông qua Internet.
Ukraine chìm trong những cuộc tấn công mạng
Theo dự báo của các nhà quan sát an ninh trên không gian mạng, rồi sẽ tới ngày chiến tranh mạng xảy ra. Trong nhiều thập kỷ, họ đã cảnh báo rằng hacker sẽ sớm vượt ra ngoài không gian ảo và bắt đầu gây thiệt hại vật chất cho thế giới thực. Dấu hiệu kỷ nguyên mới dường như đã xuất hiện vào năm 2009, khi siêu mã độc Stuxnet, được cho là có sự hậu thuẫn của Cơ quan an ninh Mỹ (NSA), âm thầm tác động làm tăng tốc hàng trăm máy ly tâm hạt nhân của Iran cho đến khi chúng bị phá hỏng hoàn toàn. Thậm chí Michael Hayden, cựu giám đốc của NSA và CIA, còn liên tưởng đến vụ Mỹ thả 2 quả bom nguyên tử xuống đất Nhật vào tháng 8/1945. Ông quả quyết rằng một loại vũ khí mới đã xuất hiện và nó chưa dừng lại ở đó.
Giờ tới lượt Ukraine, với kịch bản chiến tranh mạng tinh vi bắt đầu thâm nhập đời sống. Cả hai lần cúp điện, mỗi lần vài tiếng đồng hồ, đều gây ảnh hưởng hàng trăm nghìn người dân, đủ để các nhà vận hành lưới điện hoảng hốt và phải bật điện trở lại một cách thủ công. Đây không đơn thuần là những cuộc tấn công đơn lẻ chớp nhoáng, mà là một phần của cuộc chiến trên không gian mạng kéo dài chưa từng thấy trên thế giới, khiến Ukraine khốn đốn suốt 3 năm qua. Đội quân hacker đã làm suy yếu một cách có hệ thống các lĩnh vực quan trọng của Ukraine: truyền thông, tài chính, vận tải, quân sự, chính trị, năng lượng. Hết đợt này đến đợt khác, các cuộc xâm nhập xóa dữ liệu, phá hoại máy tính đã nhiều lần làm tê liệt hoạt động của các tổ chức nhà nước Ukraine. "Khó tìm thấy một nơi nào ở Ukraine không bị tấn công", Kenneth Geers, đại sứ của NATO chuyên trách về an ninh mạng cho biết.
Trong một tuyên bố công khai vào tháng 12/2016, Tổng thống Ukraine Petro Poroshenko cho biết, hacker đã thực hiện 6.500 cuộc tấn công mạng nhắm vào 36 mục tiêu ở Ukraine trong 2 tháng cuối năm. Ông thẳng thừng tuyên bố người Nga đã mở mặt trận số tấn công Ukraine.
Nhưng màn khởi đầu cuộc chiến số là từ cuộc bầu cử Tổng thống Ukraine 2014. Nhóm hacker CyberBerkut, vốn có liên hệ với Điện Kremlin, đã can thiệp vào trang web của Ủy ban bầu cử Trung ương Ukraine thông báo ứng cử viên tổng thống Dmytro Yarosh là người chiến thắng. Các quản trị viên đã phát hiện ra sự giả mạo này chỉ chưa đầy 1 giờ trước khi các kết quả bầu cử được đưa ra để công bố. Nhiều nhà phân tích an ninh mạng tin rằng các cuộc tấn công mạng nhắm vào Ukraine bùng nổ từ mùa Thu 2015 và vẫn tiếp diễn cho thấy Nga đang sử dụng Ukraine làm nơi thử nghiệm để hoàn thiện các chiến thuật tấn công mới cho cuộc chiến tranh mạng toàn cầu.
Bộ đôi sát thủ BlackEnergy và KillDisk
Vào một sáng chủ Nhật tháng 10/2015, 14 tháng trước thảm họa Kiev mất điện lúc nửa đêm, Yasinsky đang nghỉ ngơi ở nhà thì nhận được cuộc gọi từ cơ quan. Thời gian đó, ông là giám đốc an ninh thông tin tại StarLightMedia, tập đoàn phát thanh truyền hình lớn nhất Ukraine. Qua điện thoại, quản trị viên báo tin hai máy chủ của StarLight không rõ vì sao bị “sập” vào buổi tối, nhưng đã được phục hồi từ bản sao lưu.
Yasinsky cảm thấy ngờ vực trước việc hai máy chủ đồng thời bị sự cố nên lập tức tới trụ sở StarLightMedia. Tại đây, ông cùng các quản trị viên kiểm tra hình ảnh họ đã lưu giữ của một trong hai máy chủ bị lỗi. Họ phát hiện cung mồi MBR (master boot record) của ổ cứng chứa hệ điều hành đã bị ghi đè bởi các bit 0. Đây là sự cố nghiêm trọng, vì hai máy chủ này là domain controller có nhiệm vụ quản lý hàng trăm máy tính trong mạng công ty. Chưa dừng lại ở đó, Yasinsky còn khám phá ra rằng 13 laptop của nhân viên StarLight đã bị hai máy chủ này lây nhiễm malware vào, tất cả chúng đều bị xóa MBR nên không thể khởi động được. Đây là những máy được nhân viên dùng để chuẩn bị nội dung cho chương trình thời sự buổi sáng trên truyền hình, thông tin về diễn biến bầu cử tại các địa phương trong nước.
Nhưng sau khi kiểm tra nhật ký mạng của StarLight, Yasinsky thấy điều may mắn là các domain controller đã "đột tử" quá sớm. Thực ra chúng được thiết lập để lây nhiễm và phá hoại hơn 200 PC của công ty. Một cuộc tấn công tương tự sau đó ít lâu nhắm vào công ty truyền thông TRK, một đối thủ cạnh tranh của StarLight, gây thiệt hại nặng nề hơn với 100 PC bị hỏng.
Là một chuyên gia bảo mật có kinh nghiệm 20 năm trong nghề, từng bảo vệ nhiều mạng máy tính lớn trước các hacker lão luyện, nhưng Yasinsky chưa từng phân tích một loại vũ khí số nào tinh vi như vậy. Malware này đã qua mặt tất cả các chương trình antivirus , thậm chí nó còn giả mạo như là công cụ quét virus Windows Defender của Microsoft. Đó là một phiên bản của malware KillDisk, loại mã độc xóa dữ liệu đã tồn tại khoảng chục năm qua. Qua nghiên cứu ông cùng hai đồng nghiệp tại StarLight phát hiện ra những dấu hiệu bất thường - một số tài khoản YouTube của công ty bị xâm nhập, phiên đăng nhập mạng của một quản trị viên vẫn còn hoạt động dù vị này đang nghỉ ốm - họ tin rằng những kẻ tấn công đã xâm nhập được vào hệ thống của công ty hơn 6 tháng. Cuối cùng, Yasinsky đã phát hiện ra kẻ lót ổ là một Trojan mang tên BlackEnergy.
Chẳng bao lâu sau, Yasinsky nghe đồng nghiệp trong các công ty khác và cơ quan nhà nước Ukraine cho biết, họ cũng bị hack theo cách thức hoàn toàn tương tự: Hacker cũng dùng BlackEnergy để đột nhập và khảo sát, sau đó xóa dữ liệu bằng KillDisk. Động cơ của chúng hoàn toàn bí ẩn, nhưng dấu vết thì có ở khắp nơi.
Tại thời điểm đó Yasinsky vẫn chưa mường tượng qui mô hiểm họa lớn ra sao. Ông không thể ngờ rằng đến tháng 12/2015 "bộ đôi" BlackEnergy và KillDisk đã đột nhập và nằm phục trong các máy tính của ít nhất 3 công ty điện lực lớn của Ukraine.
Dấu vết hacker Nga
Đó là Giáng sinh 2015, một ngày trước đám cưới của Lee tại quê nhà Cullman, tiểu bang Alabama, Mỹ. Ông mới thành lập một startup an ninh mạng sau khi nghỉ việc tại một tổ chức tình báo Mỹ, tên viết tắt có 3 chữ cái, tại đó ông là một chuyên gia cao cấp chuyên về mảng an ninh cơ sở hạ tầng trọng yếu. Tin "nóng" lưới điện miền Tây Ukraine bị hack làm mất điện 6 giờ cả một vùng rộng lớn không làm ông chú ý. Đang bận rộn chuẩn bị cho ngày hạnh phúc của mình, ông thoáng nghĩ chắc lại là tin đồn thất thiệt về lưới điện bị hack như nhiều lần trước đây. Nguyên nhân thường do một con thú gặm nhấm hay chim – vì vậy, giới bảo mật ví von con sóc còn đáng sợ cho lưới điện hơn hacker.
Tuy nhiên, ngày hôm sau, ngay trước khi diễn ra lễ thành hôn, Lee đã nhận được tin nhắn về cuộc tấn công mạng gây "sốc" từ nhà nghiên cứu bảo mật Mike Assante tại Viện SANS, một trung tâm huấn luyện an ninh mạng nổi tiếng. Khi nói về những mối đe dọa số đối với lưới điện, Assante là một trong những chuyên gia uy tín hàng đầu thế giới. Ông cho Lee biết vụ hack cúp điện ở Ukraine trông như thật. Tiếp đến, một người quen ở Ukraine thông báo cho ông biết vụ cúp điện là do bị hack, và ông ấy đang cần sự giúp đỡ của Lee. Trong suốt sự nghiệp của mình, Lee đã chuẩn bị tinh thần đón chờ các cuộc tấn công mạng nhắm vào cơ sở hạ tầng, và ngày đó rốt cuộc đã tới.
Ngay sau khi nói lời thề và hôn cô dâu, Lee bỏ luôn tiệc cưới và vội vàng nhắn tin trao đổi với Assante. Ông vào nhà bố mẹ gần bên, dùng máy tính của họ và hội đàm từ xa với Assante lúc đó đang dự tiệc Giáng sinh tại nhà một người bạn ở Idaho, Mỹ. Họ xem bản đồ Ukraine cùng biểu đồ lưới điện. Ba trạm biến áp của các công ty điện lực bị sự cố cách nhau hàng trăm dặm và không có liên quan gì nhau. “Thủ phạm không phải là một con sóc”, Lee kết luận với cảm giác rùng mình ớn lạnh.
Tối hôm đó, Lee tập trung phân tích mẫu malware KillDisk do người bạn Ukraine gửi tới. Người này cũng lấy mẫu tại các công ty điện lực bị hack như cách Yasinsky đã làm ở StarLightMedia trong vụ hack xảy ra vài tháng trước. Vài ngày sau, ông nhận được mẫu code BlackEnergy và dữ liệu chứng cứ số từ các cuộc tấn công. Lee phát hiện cách thức xâm nhập xuất phát từ một email lừa đảo (phishing) mạo nhận là một thông điệp từ Nghị viện Ukraine. Một tập tin độc hại đính kèm tài liệu Word đã âm thầm chạy một scrip trên máy nạn nhân, “cấy” BlackEnergy vào hệ thống. Hacker lợi dụng nó làm bàn đạp để lây nhiễm qua mạng của các công ty điện lực và cuối cùng đã xâm nhập được vào một mạng riêng ảo VPN mà các công ty sử dụng để truy cập mạng của họ từ xa – bao gồm phần mềm điều khiển công nghiệp chuyên biệt để các nhà khai thác điều khiển từ xa các thiết bị, chẳng hạn như cầu dao ngắt điện.
Dựa trên phương pháp của các cuộc tấn công, ông liên tưởng đến nhóm Sandworm. Vào năm 2014, công ty an ninh mạng FireEye đã đưa ra cảnh báo về một nhóm hacker chuyên dùng malware BlackEnergy trong các cuộc tấn công nhắm vào các công ty năng lượng Ba Lan và các cơ quan chính phủ Ukraine. Nhóm này dường như đang phát triển các phương thức tấn công nhắm vào các mục tiêu là những kiến trúc máy tính chuyên biệt thường được sử dụng để quản lý từ xa các thiết bị công nghiệp hữu hình.
Không ai rõ ý định của nhóm hacker này. Nhưng mọi dấu hiệu chỉ tới những hacker người Nga: FireEye đã lần theo một trong những kỹ thuật xâm nhập đặc biệt của Sandworm tới một bài thuyết trình tại một hội nghị hacker Nga. Và khi các kỹ sư FireEye truy cập vào những máy chủ ra lệnh và kiểm soát C&C không bảo mật của Sandworm, họ thấy hướng dẫn sử dụng BlackEnergy được viết bằng tiếng Nga, cùng với các tập tin ngôn ngữ tiếng Nga khác. Hầu hết các chuyên gia phân tích Mỹ đều lo ngại Sandworm sẽ mở rộng mục tiêu vượt qua Đại Tây Dương. Hồi năm 2014, chính phủ Mỹ từng ra thông báo đã phát hiện trường hợp BlackEnergy lây nhiễm vào hệ thống mạng của các công ty cung cấp dịch vụ điện và nước của Mỹ. Với Lee, dường như thủ phạm gây mất điện cho 1/4 triệu người Ukraine đã lây nhiễm các công ty điện lực Mỹ cùng loại malware.
Hack làm mất điện – Hacker chơi trò "mèo vờn chuột"
Vài tuần sau vụ hack tháng 12/2015, một nhóm chuyên gia Mỹ đã đến Kiev. Thành phần có đại diện của FBI, Bộ Năng lượng, Bộ an ninh nội địa, và Tập đoàn quản lý độ tin cậy lưới điện Bắc Mỹ (NAERC). Assante cũng tham gia.
Ngay ngày đầu tiên nhóm người Mỹ họp với đại diện của Kyivoblenergo, một công ty điều phối điện năng khu vực của thành phố và là một trong ba nạn nhân bị hack cúp điện. Phía chủ nhà trình bày những cuộc tấn công mạng liên tiếp như thể trêu ngươi họ.
Đúng như nhận định của Lee và Assante, malware lây nhiễm các công ty điện lực không có khả năng kiểm soát cầu dao điện. Tuy nhiên, vào buổi chiều "đen tối" ngày 23 tháng 12, nhân viên của Kyivoblenergo đã phải bất lực chứng kiến cảnh mất điện lần lượt của hàng chục trạm biến áp khắp một vùng rộng lớn. Các kỹ sư Kyivoblenergo sau đó xác định rằng những kẻ tấn công đã cài đặt được một bản sao phần mềm điều khiển của họ vào một PC ở xa, rồi sử dụng PC này để gửi lệnh điều khiển cúp điện qua mạng.
Hacker đã lần lượt tắt từng cầu dao, mỗi lần cúp điện ảnh hưởng tới hàng chục nghìn người dân Ukraine. Trước đó, chúng đã ghi đè firmware của các bộ chuyển đổi giao tiếp serial sang ethernet (serial-to-ethernet converter) của các trạm biến áp – những converter nhỏ này nằm trong tủ máy chủ của các trạm máy điện có chức năng dịch các giao thức Internet để liên lạc với thiết bị cũ hơn. Bằng cách viết lại code firmware của những phần cứng đó, hacker đã biến các thiết bị thành những "cục gạch" hoàn toàn, và nhân viên điều hành không còn kiểm soát được các cầu dao bằng phần mềm. Ngồi trong bàn hội nghị, Assante thực sự kinh ngạc trước những tính toán tỷ mỉ của hacker đối với hoạt động điều khiển.
Những kẻ tấn công còn lây nhiễm KillDisk để phá hỏng PC của công ty. Nhưng yếu tố nguy hiểm nhất của cuộc tấn công xảy ra với nguồn điện dự phòng của các trạm điều khiển. Khi điện lưới bị cúp trên diện rộng, ngay cả các trạm điều khiển cũng bị mất điện và chìm trong bóng tối khiến cơn khủng hoảng càng thêm trầm trọng. Assante cho rằng, những kẻ tấn công muốn gửi đi thông điệp chúng như những vị thần, có thể khiến bất cứ đâu chìm trong bóng tối.
Nạn nhân tiếp theo nhóm tới khảo sát là công ty Prykarpattyaoblenergo ở thành phố Ivano-Frankivsk, phía Tây Ukraine. Những diễn biến được mô tả tại đây cho thấy cuộc tấn công cũng gần giống với Kyivoblenergo: sự xuất hiện của malware BlackEnergy, firmware hỏng, các hệ thống điện dự phòng bị vô hiệu hóa, KillDisk xóa dữ liệu. Nhưng trong chuỗi tiến trình tấn công ở đây còn thêm một bước nữa, hacker đã vô hiệu hóa trung tâm chăm sóc khách hàng bằng các cuộc gọi điện thoại giả mạo - có lẽ để khách hàng không thể gọi điện báo sự cố và xin trợ giúp hoặc chỉ đơn giản là làm cho tình hình thêm rối ren.
Còn có một sự khác biệt nữa, đó là hacker không dùng PC cài bản sao phần mềm điều khiển gửi lệnh cắt điện từ xa như ở Kyivoblenergo. Một clip dài 56 giây do giám đốc kỹ thuật của công ty dùng chiếc iPhone 5s của mình ghi lại cho thấy một phương thức tấn công khác của hacker: con trỏ chuột tự di chuyển trên màn hình của một trong các PC trong phòng điều khiển, rồi lướt tới một biểu tượng cầu dao và click ra lệnh cắt điện. Video quét từ màn hình Samsung của máy tính tới con chuột của máy cho thấy nó không hề nhúc nhíc. Tiếp theo là cảnh con trỏ lại di chuyển tới một biểu tượng cầu dao khác và thực hiện lệnh cắt điện, cứ như là nhân viên điều khiển đang thực hiện thao tác theo chỉ thị của ai đó.
Hacker đã khai thác công cụ hỗ trợ CNTT (IT helpdesk) của công ty để dành quyền điều khiển chuột của nhân viên trực tại trạm. Chúng đã cách ly được bộ phận trực kỹ thuật với giao diện điều khiển, và họ bất lực chứng kiến cánh tay thần bí nhấp chuột ngắt hàng chục cầu dao, lần lượt cắt điện từng khu vực.
Nhưng tất cả mới chỉ là khúc dạo đầu!
Malware CrashOverride – vũ khí số tinh vi đe dọa mọi lưới điện
Đêm 16/12/2016, khi Yasinsky và gia đình ông đang ở nhà xem bộ phim Snowden chiếu trên TV, cũng là lúc kỹ sư trẻ Oleg Zaychenko trực ca đêm tại trạm truyền tải điện Ukrenergo phía bắc Kiev - một phòng điều khiển có từ thời Liên Xô. Những tưởng lại thêm một tối thứ Bảy bình yên thì bỗng nhiên tiếng chuông báo động réo inh ỏi. Nhìn lên bảng điều khiển, Zaychenko thấy hai đèn báo biểu thị tình trạng mạch hệ thống truyền tải đã chuyển màu từ đỏ sang xanh – đó là tín hiệu ngắt mạch.
Zaychenko vội vàng gọi điện thoại báo sự cố cho nhân viên điều hành tại trụ sở Ukrenergo. Ngay lúc đó một đèn khác lại chuyển sang màu xanh. Tiếp đến lại một đèn nữa chuyển màu. Cứ thế đỏ - xanh, đỏ - xanh. Lần lượt 8, 10 rồi 12 đèn chuyển màu.
Khủng hoảng thực sự xảy ra, nhân viên điều hành yêu cầu Zaychenko ra ngoài kiểm tra tình trạng thiết bị hư hỏng về mặt vật chất. Tại thời khắc đó, mạch thứ 20 cũng là cuối cùng bị cắt điện và phòng điều khiển chìm trong bóng tối. Vớ vội áo khoác, Zaychenko lao nhanh ra ngoài và sửng sốt trước cảnh tối tăm lạnh lẽo, lặng như tờ. Trạm truyền tải vốn luôn ồn ào với đủ loại tiếng động phát ra từ các thiết bị điện trong một khu vực có diện tích rộng gấp 10 lần một sân bóng đá. Ba máy biến áp lớn chịu trách nhiệm khoảng 1/5 công suất điện của thủ đô hoàn toàn câm lặng. Anh thoáng nghĩ: hacker đã tấn công trở lại.
Lần này, thay vì nhằm vào các trạm phân phối, mỗi trạm phụ trách một nhánh đường dây truyền tải điện năng, những kẻ phá hoại đã tấn công đường truyền tải chính. Trạm truyền tải duy nhất này của Kiev có công suất 200 Megawatt, vượt tổng công suất của toàn bộ hơn 50 trạm phân phối điện bị hacker hạ gục hồi năm 2015. May mắn thay, hệ thống chỉ bị “sập” 1 tiếng đồng hồ - chưa đủ lâu để gây tác hại và khiến dân chúng hoảng loạn trong thời tiết lạnh giá mùa đông. Sau đó, nhân viên của Ukrenergo đã bật các cầu dao một cách thủ công để lưới điện trở lại bình thường.
Dù thời gian mất điện ngắn chưa gây ra hậu quả lớn, nhưng các hãng bảo mật đánh giá phương thức tấn công mới nguy hiểm hơn hẳn vụ hack năm trước. Những kẻ tấn công đã sử dụng malware hết sức tinh vi mang tên "CrashOverride", nó được viết lại code nhằm mục tiêu hạ gục lưới điện một cách tự động.
Startup bảo vệ an ninh cơ sở hạ tầng trọng yếu của Lee, Dragos, nhận được mẫu mã độc này từ công ty ESET của Slovakia. Các nhà nghiên cứu của Dragos và ESET cùng nhận thấy rằng, trong suốt cuộc tấn công, CrashOverride có thể dùng ngôn ngữ của các giao thức hệ thống điều khiển điện hiếm người biết, và gửi các lệnh trực tiếp tới thiết bị vận hành lưới điện. Trái ngược với các kỹ thuật chuột "ma" thô sơ và PC nhân bản (cloned-PC) mà hacker đã sử dụng trong năm 2015, phần mềm mới này thực hiện tấn công tự động hoàn toàn. Nó có thể đã được lập trình để quét mạng của nạn nhân, vạch ra các mục tiêu, rồi khởi chạy tại một thời điểm đã được định trước, ngắt mạch tín hiệu mà thậm chí không cần kết nối trở lại với hacker thông qua mạng Internet. Nói cách khác, đây là malware đầu tiên sau Stuxnet bị phát hiện được thiết kế để phá hoại cơ sở hạ tầng vật chất một cách độc lập.
Các nhà nghiên cứu nhận định CrashOverride không phải là một công cụ "may đo" riêng cho lưới điện Ukraine. Nó là thứ vũ khí có khả năng tùy biến cao, có thể dùng để đánh sập hạ tầng kỹ thuật điện nhiều nơi. Trong cấu trúc mô-đun của malware này, các giao thức hệ thống điều khiển của Ukrenergo có thể bị hacker dễ dàng sửa lại thay bằng những giao thức của các nước khác, như Mỹ hay châu Âu.
Marina Krotofil, một nhà nghiên cứu bảo mật của Honeywell, người đã phân tích cuộc tấn công Ukrenergo, mô tả “năm 2015 chúng giống như một nhóm chiến binh đường phố tàn bạo. Năm 2016 chúng đã là những ninja”. Các chuyên gia bảo mật của Dragos thì khẳng định, có cơ sở cho thấy kiến trúc sư của CrashOverride chính là từ nhóm Sandworm, nhưng họ chưa muốn đưa ra bằng chứng.
Nguy cơ hacker tấn công cơ sở hạ tầng trọng yếu
Lee thực sự lo ngại về sự phát triển của Sandworm. Ông nhận thấy, lần đầu tiên trong lịch sử đã xuất hiện một nhóm hacker thể hiện được khả năng và sẵn sàng tấn công cơ sở hạ tầng trọng yếu. Chúng đã cải tiến kỹ thuật qua nhiều cuộc tấn công đang diễn ra.
Mã độc BlackEnergy từng xâm nhập vào lưới điện nước Mỹ, nghĩa là nước Mỹ rồi cũng sẽ bị những cuộc tấn công tương tự. Lee cho rằng các công ty điện lực Mỹ dù được bảo vệ an ninh mạng nghiêm ngặt hơn, nhưng thiết bị hiện đại và tự động hóa cao hơn Ukraine nên sẽ phải hứng chịu nhiều cuộc tấn công kỹ thuật số hơn.
Nguy cơ hack làm tê liệt cơ sở hạ tầng điện đã được cảnh báo từ năm 2007. Cuộc thử nghiệm mang tên Aurora do một nhóm các nhà nghiên cứu tại Idaho National Lab, trong đó có Mike Assante thực hiện. Họ không dùng gì ngoài những lệnh kỹ thuật số để phá hỏng hoàn toàn một máy phát điện diesel công suất 2,25-Megawatt. Video thử nghiệm cho thấy một cỗ máy to cỡ căn phòng khách phát ra tiếng khùng khục và phụt khói đen trước khi “chết” lặng.
Thật khó tưởng tượng thời nay một thành phố sẽ ra sao nếu bị mất điện cả tháng trời do những cỗ máy biến áp khổng lồ khó thay thế bị hacker hạ gục.
Các nhà nghiên cứu ESET lưu ý rằng CrashOverride chứa đoạn mã được thiết kế riêng, nhắm vào một thiết bị đặc biệt của Siemens dùng trong các trạm điện. Thiết bị này có chức năng ngắt dòng điện trong trường hợp đột biến điện xảy ra trên các đường dây tải điện và máy biến áp. Nếu CrashOverride có thể vô hiệu hóa biện pháp bảo vệ đó, nó có thể làm hỏng thiết bị điện lâu dài.
Hủy hoại vật chất chưa phải là điều tồi tệ nhất mà hacker có thể thực hiện. Các chuyên gia bảo mật vẫn thường cảnh báo, với các cuộc tấn công có chủ đích (APT), hacker không chỉ đơn giản xâm nhập vào một hệ thống để tấn công mà nằm im che dấu mục tiêu của chúng. Điều gì sẽ xảy ra với một quốc gia khi các cơ sở hạ tầng trọng yếu như mạng lưới giao thông, đường ống cấp nước sạch, hay lưới điện bị hạ gục hết lần này sang lần khác bởi những kẻ thù đã cắm rễ quá sâu.
Tháng 8/2016, Yasinsky xin nghỉ việc tại StarLightMedia vì thấy bảo vệ một công ty trước làn sóng tấn công dữ dội rộng rãi khắp đất nước mình là không đủ. Để đeo bám hacker, ông cần cái nhìn toàn diện hơn hoạt động của chúng.
Yasinsky đầu quân cho công ty ISSP (Information Systems Security Partners) có trụ sở ở Kiev, đảm nhận vị trí trưởng bộ phận nghiên cứu và điều tra số. Không lâu sau, Ukraine lại hứng chịu những đợt hack khác, thậm chí còn sâu rộng hơn trước, và danh sách nạn nhân ngày càng dài: Quỹ hưu trí, Kho bạc nhà nước, các Bộ Cơ sở hạ tầng, Quốc phòng, và Tài chính Ukraine. Công ty đường sắt Ukraine bị hack sập hệ thống bán vé tàu trực tuyến trong nhiều ngày, đúng vào thời gian cao điểm đi lại giữa mùa nghỉ. Cũng như năm 2015, hầu hết các cuộc tấn công lên đến cực điểm với thảm họa kiểu KillDisk xóa sạch dữ liệu trên ổ cứng máy tính mục tiêu. Trong trường hợp của Bộ Tài chính, hàng terabyte dữ liệu đã bị xóa vào thời điểm bộ này đang chuẩn bị kế hoạch ngân sách cho năm tài chính tiếp theo. Cuộc tấn công mùa đông lần này của hacker hết sức dữ dội, vượt xa năm trước.
Theo Yasinsky, khó biết chính xác bao nhiêu tổ chức ở Ukraine đã bị ảnh hưởng trong chiến dịch tấn công mạng điên rồ này, bởi nhiều nạn nhân không công khai việc mình bị xâm phạm. Chưa kể là nhiều hệ thống mục tiêu đã bị xâm nhập nhưng nạn nhân chưa phát hiện ra.
Tuy nhiên, Yasinsky nghĩ rằng những gì Ukraine phải đối mặt 3 năm qua có lẽ chỉ là một chuỗi những thử nghiệm thực tế. Ông cho rằng những kẻ tấn công đang thực hiện ý đồ rèn luyện thông qua những cuộc tấn công ngoài đời thực. Theo quan sát của ông, những cuộc tấn công đã qua thậm chí có thể gây tổn thất lớn hơn nhiều nếu hacker muốn. Chúng có lẽ không chỉ phá hoại dữ liệu lưu trữ của Bộ Tài chính mà còn sao chép. Chúng dường như có thể hạ gục trạm phân phối điện của Ukrenergo lâu hơn hay gây thiệt hại vật chất lâu dài cho lưới điện. Chúng chưa “xuống tay” gây thiệt hại tối đa, như thể mưu mô cho những kế hoạch lâu dài.
Yasinsky thừa nhận ông không biết bước tiếp theo của những kẻ hack Ukraine là gì, nhưng khẳng định không gian ảo tự thân nó không phải là một mục tiêu. Đó là một phương tiện. Và phương tiện đó kết nối mọi thứ trong một thế giới văn minh ngày nay.
Phan Châu - pcworld.com.vn
___________________________________________________________
Câu chuyện trên trang Wired xoay quanh những vụ hack lưới điện cuối năm 2015 và 2016 khiến hàng trăm nghìn người dân Ukraine phải sống trong bóng tối nhiều giờ giữa đêm mùa đông lạnh giá. Quốc gia này dường như đang bị hacker dùng làm nơi thử vũ khí số bí mật chuẩn bị cho cuộc chiến tranh mạng trong tương lai, nhằm tấn công vào các cơ sở hạ tầng trọng yếu của đối phương.
Kiev mất điện lúc 0 giờ
"Bọn tin tặc không muốn chúng ta xem hết bộ phim", vợ Yasinsky nói đùa, ám chỉ tới vụ hack trước lễ Giáng sinh 2015 hai ngày, làm mất điện trên diện rộng, gây ảnh hưởng tới 1/4 triệu người dân Ukraine. Yasinsky, một chuyên gia điều tra số của công ty an ninh mạng có trụ sở tại Kiev, không cười trước câu nói đùa của vợ. Ông liếc nhìn đồng hồ thấy vừa đúng nửa đêm, chính xác là 00:00 giờ.
Bước tới bên cửa sổ nhìn ra ngoài, ông kinh ngạc thấy cả một vùng rộng lớn chìm trong đêm đen, một điều ông chưa từng chứng kiến ở đây. Liên tưởng tới cuộc tấn công làm mất điện một năm về trước, Yasinsky hầu như chắc chắn đây không phải là sự cố thông thường. Ông nghĩ tới nhiệt độ âm ngoài trời lạnh của đêm mùa đông và tụt dần trong các ngôi nhà trong thành phố, tới thời khắc các máy bơm nước đều tê liệt khiến mọi đường ống cấp nước sạch bị đông cứng.
Đó cũng là lúc cuộc khủng hoảng với hàng loạt sự cố xảy ra suốt hơn 14 tháng qua kéo về chiếm trọn tâm trí Yasinsky. Danh sách các công ty và cơ quan chính phủ Ukraine cầu cứu ông trợ giúp trước các cuộc tấn công mạng dồn dập và tàn khốc ngày càng dài ra. Dường như có một nhóm hacker duy nhất đứng đằng sau tất cả. Lúc này, ông có cảm giác những kẻ ông lần theo dấu vết hơn một năm qua đã trở lại, xông thẳng vào nhà ông thông qua Internet.
Ukraine chìm trong những cuộc tấn công mạng
Theo dự báo của các nhà quan sát an ninh trên không gian mạng, rồi sẽ tới ngày chiến tranh mạng xảy ra. Trong nhiều thập kỷ, họ đã cảnh báo rằng hacker sẽ sớm vượt ra ngoài không gian ảo và bắt đầu gây thiệt hại vật chất cho thế giới thực. Dấu hiệu kỷ nguyên mới dường như đã xuất hiện vào năm 2009, khi siêu mã độc Stuxnet, được cho là có sự hậu thuẫn của Cơ quan an ninh Mỹ (NSA), âm thầm tác động làm tăng tốc hàng trăm máy ly tâm hạt nhân của Iran cho đến khi chúng bị phá hỏng hoàn toàn. Thậm chí Michael Hayden, cựu giám đốc của NSA và CIA, còn liên tưởng đến vụ Mỹ thả 2 quả bom nguyên tử xuống đất Nhật vào tháng 8/1945. Ông quả quyết rằng một loại vũ khí mới đã xuất hiện và nó chưa dừng lại ở đó.
Giờ tới lượt Ukraine, với kịch bản chiến tranh mạng tinh vi bắt đầu thâm nhập đời sống. Cả hai lần cúp điện, mỗi lần vài tiếng đồng hồ, đều gây ảnh hưởng hàng trăm nghìn người dân, đủ để các nhà vận hành lưới điện hoảng hốt và phải bật điện trở lại một cách thủ công. Đây không đơn thuần là những cuộc tấn công đơn lẻ chớp nhoáng, mà là một phần của cuộc chiến trên không gian mạng kéo dài chưa từng thấy trên thế giới, khiến Ukraine khốn đốn suốt 3 năm qua. Đội quân hacker đã làm suy yếu một cách có hệ thống các lĩnh vực quan trọng của Ukraine: truyền thông, tài chính, vận tải, quân sự, chính trị, năng lượng. Hết đợt này đến đợt khác, các cuộc xâm nhập xóa dữ liệu, phá hoại máy tính đã nhiều lần làm tê liệt hoạt động của các tổ chức nhà nước Ukraine. "Khó tìm thấy một nơi nào ở Ukraine không bị tấn công", Kenneth Geers, đại sứ của NATO chuyên trách về an ninh mạng cho biết.
Trong một tuyên bố công khai vào tháng 12/2016, Tổng thống Ukraine Petro Poroshenko cho biết, hacker đã thực hiện 6.500 cuộc tấn công mạng nhắm vào 36 mục tiêu ở Ukraine trong 2 tháng cuối năm. Ông thẳng thừng tuyên bố người Nga đã mở mặt trận số tấn công Ukraine.
Nhưng màn khởi đầu cuộc chiến số là từ cuộc bầu cử Tổng thống Ukraine 2014. Nhóm hacker CyberBerkut, vốn có liên hệ với Điện Kremlin, đã can thiệp vào trang web của Ủy ban bầu cử Trung ương Ukraine thông báo ứng cử viên tổng thống Dmytro Yarosh là người chiến thắng. Các quản trị viên đã phát hiện ra sự giả mạo này chỉ chưa đầy 1 giờ trước khi các kết quả bầu cử được đưa ra để công bố. Nhiều nhà phân tích an ninh mạng tin rằng các cuộc tấn công mạng nhắm vào Ukraine bùng nổ từ mùa Thu 2015 và vẫn tiếp diễn cho thấy Nga đang sử dụng Ukraine làm nơi thử nghiệm để hoàn thiện các chiến thuật tấn công mới cho cuộc chiến tranh mạng toàn cầu.
Bộ đôi sát thủ BlackEnergy và KillDisk
Vào một sáng chủ Nhật tháng 10/2015, 14 tháng trước thảm họa Kiev mất điện lúc nửa đêm, Yasinsky đang nghỉ ngơi ở nhà thì nhận được cuộc gọi từ cơ quan. Thời gian đó, ông là giám đốc an ninh thông tin tại StarLightMedia, tập đoàn phát thanh truyền hình lớn nhất Ukraine. Qua điện thoại, quản trị viên báo tin hai máy chủ của StarLight không rõ vì sao bị “sập” vào buổi tối, nhưng đã được phục hồi từ bản sao lưu.
Yasinsky cảm thấy ngờ vực trước việc hai máy chủ đồng thời bị sự cố nên lập tức tới trụ sở StarLightMedia. Tại đây, ông cùng các quản trị viên kiểm tra hình ảnh họ đã lưu giữ của một trong hai máy chủ bị lỗi. Họ phát hiện cung mồi MBR (master boot record) của ổ cứng chứa hệ điều hành đã bị ghi đè bởi các bit 0. Đây là sự cố nghiêm trọng, vì hai máy chủ này là domain controller có nhiệm vụ quản lý hàng trăm máy tính trong mạng công ty. Chưa dừng lại ở đó, Yasinsky còn khám phá ra rằng 13 laptop của nhân viên StarLight đã bị hai máy chủ này lây nhiễm malware vào, tất cả chúng đều bị xóa MBR nên không thể khởi động được. Đây là những máy được nhân viên dùng để chuẩn bị nội dung cho chương trình thời sự buổi sáng trên truyền hình, thông tin về diễn biến bầu cử tại các địa phương trong nước.
Nhưng sau khi kiểm tra nhật ký mạng của StarLight, Yasinsky thấy điều may mắn là các domain controller đã "đột tử" quá sớm. Thực ra chúng được thiết lập để lây nhiễm và phá hoại hơn 200 PC của công ty. Một cuộc tấn công tương tự sau đó ít lâu nhắm vào công ty truyền thông TRK, một đối thủ cạnh tranh của StarLight, gây thiệt hại nặng nề hơn với 100 PC bị hỏng.
Là một chuyên gia bảo mật có kinh nghiệm 20 năm trong nghề, từng bảo vệ nhiều mạng máy tính lớn trước các hacker lão luyện, nhưng Yasinsky chưa từng phân tích một loại vũ khí số nào tinh vi như vậy. Malware này đã qua mặt tất cả các chương trình antivirus , thậm chí nó còn giả mạo như là công cụ quét virus Windows Defender của Microsoft. Đó là một phiên bản của malware KillDisk, loại mã độc xóa dữ liệu đã tồn tại khoảng chục năm qua. Qua nghiên cứu ông cùng hai đồng nghiệp tại StarLight phát hiện ra những dấu hiệu bất thường - một số tài khoản YouTube của công ty bị xâm nhập, phiên đăng nhập mạng của một quản trị viên vẫn còn hoạt động dù vị này đang nghỉ ốm - họ tin rằng những kẻ tấn công đã xâm nhập được vào hệ thống của công ty hơn 6 tháng. Cuối cùng, Yasinsky đã phát hiện ra kẻ lót ổ là một Trojan mang tên BlackEnergy.
Chẳng bao lâu sau, Yasinsky nghe đồng nghiệp trong các công ty khác và cơ quan nhà nước Ukraine cho biết, họ cũng bị hack theo cách thức hoàn toàn tương tự: Hacker cũng dùng BlackEnergy để đột nhập và khảo sát, sau đó xóa dữ liệu bằng KillDisk. Động cơ của chúng hoàn toàn bí ẩn, nhưng dấu vết thì có ở khắp nơi.
Tại thời điểm đó Yasinsky vẫn chưa mường tượng qui mô hiểm họa lớn ra sao. Ông không thể ngờ rằng đến tháng 12/2015 "bộ đôi" BlackEnergy và KillDisk đã đột nhập và nằm phục trong các máy tính của ít nhất 3 công ty điện lực lớn của Ukraine.
Dấu vết hacker Nga
Đó là Giáng sinh 2015, một ngày trước đám cưới của Lee tại quê nhà Cullman, tiểu bang Alabama, Mỹ. Ông mới thành lập một startup an ninh mạng sau khi nghỉ việc tại một tổ chức tình báo Mỹ, tên viết tắt có 3 chữ cái, tại đó ông là một chuyên gia cao cấp chuyên về mảng an ninh cơ sở hạ tầng trọng yếu. Tin "nóng" lưới điện miền Tây Ukraine bị hack làm mất điện 6 giờ cả một vùng rộng lớn không làm ông chú ý. Đang bận rộn chuẩn bị cho ngày hạnh phúc của mình, ông thoáng nghĩ chắc lại là tin đồn thất thiệt về lưới điện bị hack như nhiều lần trước đây. Nguyên nhân thường do một con thú gặm nhấm hay chim – vì vậy, giới bảo mật ví von con sóc còn đáng sợ cho lưới điện hơn hacker.
Tuy nhiên, ngày hôm sau, ngay trước khi diễn ra lễ thành hôn, Lee đã nhận được tin nhắn về cuộc tấn công mạng gây "sốc" từ nhà nghiên cứu bảo mật Mike Assante tại Viện SANS, một trung tâm huấn luyện an ninh mạng nổi tiếng. Khi nói về những mối đe dọa số đối với lưới điện, Assante là một trong những chuyên gia uy tín hàng đầu thế giới. Ông cho Lee biết vụ hack cúp điện ở Ukraine trông như thật. Tiếp đến, một người quen ở Ukraine thông báo cho ông biết vụ cúp điện là do bị hack, và ông ấy đang cần sự giúp đỡ của Lee. Trong suốt sự nghiệp của mình, Lee đã chuẩn bị tinh thần đón chờ các cuộc tấn công mạng nhắm vào cơ sở hạ tầng, và ngày đó rốt cuộc đã tới.
Ngay sau khi nói lời thề và hôn cô dâu, Lee bỏ luôn tiệc cưới và vội vàng nhắn tin trao đổi với Assante. Ông vào nhà bố mẹ gần bên, dùng máy tính của họ và hội đàm từ xa với Assante lúc đó đang dự tiệc Giáng sinh tại nhà một người bạn ở Idaho, Mỹ. Họ xem bản đồ Ukraine cùng biểu đồ lưới điện. Ba trạm biến áp của các công ty điện lực bị sự cố cách nhau hàng trăm dặm và không có liên quan gì nhau. “Thủ phạm không phải là một con sóc”, Lee kết luận với cảm giác rùng mình ớn lạnh.
Tối hôm đó, Lee tập trung phân tích mẫu malware KillDisk do người bạn Ukraine gửi tới. Người này cũng lấy mẫu tại các công ty điện lực bị hack như cách Yasinsky đã làm ở StarLightMedia trong vụ hack xảy ra vài tháng trước. Vài ngày sau, ông nhận được mẫu code BlackEnergy và dữ liệu chứng cứ số từ các cuộc tấn công. Lee phát hiện cách thức xâm nhập xuất phát từ một email lừa đảo (phishing) mạo nhận là một thông điệp từ Nghị viện Ukraine. Một tập tin độc hại đính kèm tài liệu Word đã âm thầm chạy một scrip trên máy nạn nhân, “cấy” BlackEnergy vào hệ thống. Hacker lợi dụng nó làm bàn đạp để lây nhiễm qua mạng của các công ty điện lực và cuối cùng đã xâm nhập được vào một mạng riêng ảo VPN mà các công ty sử dụng để truy cập mạng của họ từ xa – bao gồm phần mềm điều khiển công nghiệp chuyên biệt để các nhà khai thác điều khiển từ xa các thiết bị, chẳng hạn như cầu dao ngắt điện.
Dựa trên phương pháp của các cuộc tấn công, ông liên tưởng đến nhóm Sandworm. Vào năm 2014, công ty an ninh mạng FireEye đã đưa ra cảnh báo về một nhóm hacker chuyên dùng malware BlackEnergy trong các cuộc tấn công nhắm vào các công ty năng lượng Ba Lan và các cơ quan chính phủ Ukraine. Nhóm này dường như đang phát triển các phương thức tấn công nhắm vào các mục tiêu là những kiến trúc máy tính chuyên biệt thường được sử dụng để quản lý từ xa các thiết bị công nghiệp hữu hình.
Không ai rõ ý định của nhóm hacker này. Nhưng mọi dấu hiệu chỉ tới những hacker người Nga: FireEye đã lần theo một trong những kỹ thuật xâm nhập đặc biệt của Sandworm tới một bài thuyết trình tại một hội nghị hacker Nga. Và khi các kỹ sư FireEye truy cập vào những máy chủ ra lệnh và kiểm soát C&C không bảo mật của Sandworm, họ thấy hướng dẫn sử dụng BlackEnergy được viết bằng tiếng Nga, cùng với các tập tin ngôn ngữ tiếng Nga khác. Hầu hết các chuyên gia phân tích Mỹ đều lo ngại Sandworm sẽ mở rộng mục tiêu vượt qua Đại Tây Dương. Hồi năm 2014, chính phủ Mỹ từng ra thông báo đã phát hiện trường hợp BlackEnergy lây nhiễm vào hệ thống mạng của các công ty cung cấp dịch vụ điện và nước của Mỹ. Với Lee, dường như thủ phạm gây mất điện cho 1/4 triệu người Ukraine đã lây nhiễm các công ty điện lực Mỹ cùng loại malware.
Hack làm mất điện – Hacker chơi trò "mèo vờn chuột"
Vài tuần sau vụ hack tháng 12/2015, một nhóm chuyên gia Mỹ đã đến Kiev. Thành phần có đại diện của FBI, Bộ Năng lượng, Bộ an ninh nội địa, và Tập đoàn quản lý độ tin cậy lưới điện Bắc Mỹ (NAERC). Assante cũng tham gia.
Ngay ngày đầu tiên nhóm người Mỹ họp với đại diện của Kyivoblenergo, một công ty điều phối điện năng khu vực của thành phố và là một trong ba nạn nhân bị hack cúp điện. Phía chủ nhà trình bày những cuộc tấn công mạng liên tiếp như thể trêu ngươi họ.
Đúng như nhận định của Lee và Assante, malware lây nhiễm các công ty điện lực không có khả năng kiểm soát cầu dao điện. Tuy nhiên, vào buổi chiều "đen tối" ngày 23 tháng 12, nhân viên của Kyivoblenergo đã phải bất lực chứng kiến cảnh mất điện lần lượt của hàng chục trạm biến áp khắp một vùng rộng lớn. Các kỹ sư Kyivoblenergo sau đó xác định rằng những kẻ tấn công đã cài đặt được một bản sao phần mềm điều khiển của họ vào một PC ở xa, rồi sử dụng PC này để gửi lệnh điều khiển cúp điện qua mạng.
Hacker đã lần lượt tắt từng cầu dao, mỗi lần cúp điện ảnh hưởng tới hàng chục nghìn người dân Ukraine. Trước đó, chúng đã ghi đè firmware của các bộ chuyển đổi giao tiếp serial sang ethernet (serial-to-ethernet converter) của các trạm biến áp – những converter nhỏ này nằm trong tủ máy chủ của các trạm máy điện có chức năng dịch các giao thức Internet để liên lạc với thiết bị cũ hơn. Bằng cách viết lại code firmware của những phần cứng đó, hacker đã biến các thiết bị thành những "cục gạch" hoàn toàn, và nhân viên điều hành không còn kiểm soát được các cầu dao bằng phần mềm. Ngồi trong bàn hội nghị, Assante thực sự kinh ngạc trước những tính toán tỷ mỉ của hacker đối với hoạt động điều khiển.
Những kẻ tấn công còn lây nhiễm KillDisk để phá hỏng PC của công ty. Nhưng yếu tố nguy hiểm nhất của cuộc tấn công xảy ra với nguồn điện dự phòng của các trạm điều khiển. Khi điện lưới bị cúp trên diện rộng, ngay cả các trạm điều khiển cũng bị mất điện và chìm trong bóng tối khiến cơn khủng hoảng càng thêm trầm trọng. Assante cho rằng, những kẻ tấn công muốn gửi đi thông điệp chúng như những vị thần, có thể khiến bất cứ đâu chìm trong bóng tối.
Nạn nhân tiếp theo nhóm tới khảo sát là công ty Prykarpattyaoblenergo ở thành phố Ivano-Frankivsk, phía Tây Ukraine. Những diễn biến được mô tả tại đây cho thấy cuộc tấn công cũng gần giống với Kyivoblenergo: sự xuất hiện của malware BlackEnergy, firmware hỏng, các hệ thống điện dự phòng bị vô hiệu hóa, KillDisk xóa dữ liệu. Nhưng trong chuỗi tiến trình tấn công ở đây còn thêm một bước nữa, hacker đã vô hiệu hóa trung tâm chăm sóc khách hàng bằng các cuộc gọi điện thoại giả mạo - có lẽ để khách hàng không thể gọi điện báo sự cố và xin trợ giúp hoặc chỉ đơn giản là làm cho tình hình thêm rối ren.
Còn có một sự khác biệt nữa, đó là hacker không dùng PC cài bản sao phần mềm điều khiển gửi lệnh cắt điện từ xa như ở Kyivoblenergo. Một clip dài 56 giây do giám đốc kỹ thuật của công ty dùng chiếc iPhone 5s của mình ghi lại cho thấy một phương thức tấn công khác của hacker: con trỏ chuột tự di chuyển trên màn hình của một trong các PC trong phòng điều khiển, rồi lướt tới một biểu tượng cầu dao và click ra lệnh cắt điện. Video quét từ màn hình Samsung của máy tính tới con chuột của máy cho thấy nó không hề nhúc nhíc. Tiếp theo là cảnh con trỏ lại di chuyển tới một biểu tượng cầu dao khác và thực hiện lệnh cắt điện, cứ như là nhân viên điều khiển đang thực hiện thao tác theo chỉ thị của ai đó.
Hacker đã khai thác công cụ hỗ trợ CNTT (IT helpdesk) của công ty để dành quyền điều khiển chuột của nhân viên trực tại trạm. Chúng đã cách ly được bộ phận trực kỹ thuật với giao diện điều khiển, và họ bất lực chứng kiến cánh tay thần bí nhấp chuột ngắt hàng chục cầu dao, lần lượt cắt điện từng khu vực.
Nhưng tất cả mới chỉ là khúc dạo đầu!
Malware CrashOverride – vũ khí số tinh vi đe dọa mọi lưới điện
Đêm 16/12/2016, khi Yasinsky và gia đình ông đang ở nhà xem bộ phim Snowden chiếu trên TV, cũng là lúc kỹ sư trẻ Oleg Zaychenko trực ca đêm tại trạm truyền tải điện Ukrenergo phía bắc Kiev - một phòng điều khiển có từ thời Liên Xô. Những tưởng lại thêm một tối thứ Bảy bình yên thì bỗng nhiên tiếng chuông báo động réo inh ỏi. Nhìn lên bảng điều khiển, Zaychenko thấy hai đèn báo biểu thị tình trạng mạch hệ thống truyền tải đã chuyển màu từ đỏ sang xanh – đó là tín hiệu ngắt mạch.
Zaychenko vội vàng gọi điện thoại báo sự cố cho nhân viên điều hành tại trụ sở Ukrenergo. Ngay lúc đó một đèn khác lại chuyển sang màu xanh. Tiếp đến lại một đèn nữa chuyển màu. Cứ thế đỏ - xanh, đỏ - xanh. Lần lượt 8, 10 rồi 12 đèn chuyển màu.
Khủng hoảng thực sự xảy ra, nhân viên điều hành yêu cầu Zaychenko ra ngoài kiểm tra tình trạng thiết bị hư hỏng về mặt vật chất. Tại thời khắc đó, mạch thứ 20 cũng là cuối cùng bị cắt điện và phòng điều khiển chìm trong bóng tối. Vớ vội áo khoác, Zaychenko lao nhanh ra ngoài và sửng sốt trước cảnh tối tăm lạnh lẽo, lặng như tờ. Trạm truyền tải vốn luôn ồn ào với đủ loại tiếng động phát ra từ các thiết bị điện trong một khu vực có diện tích rộng gấp 10 lần một sân bóng đá. Ba máy biến áp lớn chịu trách nhiệm khoảng 1/5 công suất điện của thủ đô hoàn toàn câm lặng. Anh thoáng nghĩ: hacker đã tấn công trở lại.
Lần này, thay vì nhằm vào các trạm phân phối, mỗi trạm phụ trách một nhánh đường dây truyền tải điện năng, những kẻ phá hoại đã tấn công đường truyền tải chính. Trạm truyền tải duy nhất này của Kiev có công suất 200 Megawatt, vượt tổng công suất của toàn bộ hơn 50 trạm phân phối điện bị hacker hạ gục hồi năm 2015. May mắn thay, hệ thống chỉ bị “sập” 1 tiếng đồng hồ - chưa đủ lâu để gây tác hại và khiến dân chúng hoảng loạn trong thời tiết lạnh giá mùa đông. Sau đó, nhân viên của Ukrenergo đã bật các cầu dao một cách thủ công để lưới điện trở lại bình thường.
Dù thời gian mất điện ngắn chưa gây ra hậu quả lớn, nhưng các hãng bảo mật đánh giá phương thức tấn công mới nguy hiểm hơn hẳn vụ hack năm trước. Những kẻ tấn công đã sử dụng malware hết sức tinh vi mang tên "CrashOverride", nó được viết lại code nhằm mục tiêu hạ gục lưới điện một cách tự động.
Các nhà nghiên cứu nhận định CrashOverride không phải là một công cụ "may đo" riêng cho lưới điện Ukraine. Nó là thứ vũ khí có khả năng tùy biến cao, có thể dùng để đánh sập hạ tầng kỹ thuật điện nhiều nơi. Trong cấu trúc mô-đun của malware này, các giao thức hệ thống điều khiển của Ukrenergo có thể bị hacker dễ dàng sửa lại thay bằng những giao thức của các nước khác, như Mỹ hay châu Âu.
Marina Krotofil, một nhà nghiên cứu bảo mật của Honeywell, người đã phân tích cuộc tấn công Ukrenergo, mô tả “năm 2015 chúng giống như một nhóm chiến binh đường phố tàn bạo. Năm 2016 chúng đã là những ninja”. Các chuyên gia bảo mật của Dragos thì khẳng định, có cơ sở cho thấy kiến trúc sư của CrashOverride chính là từ nhóm Sandworm, nhưng họ chưa muốn đưa ra bằng chứng.
Nguy cơ hacker tấn công cơ sở hạ tầng trọng yếu
Lee thực sự lo ngại về sự phát triển của Sandworm. Ông nhận thấy, lần đầu tiên trong lịch sử đã xuất hiện một nhóm hacker thể hiện được khả năng và sẵn sàng tấn công cơ sở hạ tầng trọng yếu. Chúng đã cải tiến kỹ thuật qua nhiều cuộc tấn công đang diễn ra.
Mã độc BlackEnergy từng xâm nhập vào lưới điện nước Mỹ, nghĩa là nước Mỹ rồi cũng sẽ bị những cuộc tấn công tương tự. Lee cho rằng các công ty điện lực Mỹ dù được bảo vệ an ninh mạng nghiêm ngặt hơn, nhưng thiết bị hiện đại và tự động hóa cao hơn Ukraine nên sẽ phải hứng chịu nhiều cuộc tấn công kỹ thuật số hơn.
Nguy cơ hack làm tê liệt cơ sở hạ tầng điện đã được cảnh báo từ năm 2007. Cuộc thử nghiệm mang tên Aurora do một nhóm các nhà nghiên cứu tại Idaho National Lab, trong đó có Mike Assante thực hiện. Họ không dùng gì ngoài những lệnh kỹ thuật số để phá hỏng hoàn toàn một máy phát điện diesel công suất 2,25-Megawatt. Video thử nghiệm cho thấy một cỗ máy to cỡ căn phòng khách phát ra tiếng khùng khục và phụt khói đen trước khi “chết” lặng.
Thật khó tưởng tượng thời nay một thành phố sẽ ra sao nếu bị mất điện cả tháng trời do những cỗ máy biến áp khổng lồ khó thay thế bị hacker hạ gục.
Các nhà nghiên cứu ESET lưu ý rằng CrashOverride chứa đoạn mã được thiết kế riêng, nhắm vào một thiết bị đặc biệt của Siemens dùng trong các trạm điện. Thiết bị này có chức năng ngắt dòng điện trong trường hợp đột biến điện xảy ra trên các đường dây tải điện và máy biến áp. Nếu CrashOverride có thể vô hiệu hóa biện pháp bảo vệ đó, nó có thể làm hỏng thiết bị điện lâu dài.
Hủy hoại vật chất chưa phải là điều tồi tệ nhất mà hacker có thể thực hiện. Các chuyên gia bảo mật vẫn thường cảnh báo, với các cuộc tấn công có chủ đích (APT), hacker không chỉ đơn giản xâm nhập vào một hệ thống để tấn công mà nằm im che dấu mục tiêu của chúng. Điều gì sẽ xảy ra với một quốc gia khi các cơ sở hạ tầng trọng yếu như mạng lưới giao thông, đường ống cấp nước sạch, hay lưới điện bị hạ gục hết lần này sang lần khác bởi những kẻ thù đã cắm rễ quá sâu.
Tháng 8/2016, Yasinsky xin nghỉ việc tại StarLightMedia vì thấy bảo vệ một công ty trước làn sóng tấn công dữ dội rộng rãi khắp đất nước mình là không đủ. Để đeo bám hacker, ông cần cái nhìn toàn diện hơn hoạt động của chúng.
Yasinsky đầu quân cho công ty ISSP (Information Systems Security Partners) có trụ sở ở Kiev, đảm nhận vị trí trưởng bộ phận nghiên cứu và điều tra số. Không lâu sau, Ukraine lại hứng chịu những đợt hack khác, thậm chí còn sâu rộng hơn trước, và danh sách nạn nhân ngày càng dài: Quỹ hưu trí, Kho bạc nhà nước, các Bộ Cơ sở hạ tầng, Quốc phòng, và Tài chính Ukraine. Công ty đường sắt Ukraine bị hack sập hệ thống bán vé tàu trực tuyến trong nhiều ngày, đúng vào thời gian cao điểm đi lại giữa mùa nghỉ. Cũng như năm 2015, hầu hết các cuộc tấn công lên đến cực điểm với thảm họa kiểu KillDisk xóa sạch dữ liệu trên ổ cứng máy tính mục tiêu. Trong trường hợp của Bộ Tài chính, hàng terabyte dữ liệu đã bị xóa vào thời điểm bộ này đang chuẩn bị kế hoạch ngân sách cho năm tài chính tiếp theo. Cuộc tấn công mùa đông lần này của hacker hết sức dữ dội, vượt xa năm trước.
Theo Yasinsky, khó biết chính xác bao nhiêu tổ chức ở Ukraine đã bị ảnh hưởng trong chiến dịch tấn công mạng điên rồ này, bởi nhiều nạn nhân không công khai việc mình bị xâm phạm. Chưa kể là nhiều hệ thống mục tiêu đã bị xâm nhập nhưng nạn nhân chưa phát hiện ra.
Tuy nhiên, Yasinsky nghĩ rằng những gì Ukraine phải đối mặt 3 năm qua có lẽ chỉ là một chuỗi những thử nghiệm thực tế. Ông cho rằng những kẻ tấn công đang thực hiện ý đồ rèn luyện thông qua những cuộc tấn công ngoài đời thực. Theo quan sát của ông, những cuộc tấn công đã qua thậm chí có thể gây tổn thất lớn hơn nhiều nếu hacker muốn. Chúng có lẽ không chỉ phá hoại dữ liệu lưu trữ của Bộ Tài chính mà còn sao chép. Chúng dường như có thể hạ gục trạm phân phối điện của Ukrenergo lâu hơn hay gây thiệt hại vật chất lâu dài cho lưới điện. Chúng chưa “xuống tay” gây thiệt hại tối đa, như thể mưu mô cho những kế hoạch lâu dài.
Yasinsky thừa nhận ông không biết bước tiếp theo của những kẻ hack Ukraine là gì, nhưng khẳng định không gian ảo tự thân nó không phải là một mục tiêu. Đó là một phương tiện. Và phương tiện đó kết nối mọi thứ trong một thế giới văn minh ngày nay.
Phan Châu - pcworld.com.vn
Chỉnh sửa lần cuối bởi người điều hành: