Phân tích sự cố tấn công mạng gây mất điện tại Ukraine năm 2015 và giải pháp

[nktung]

Cuộc tấn công mạng ngày 23/12/2015 vào lưới điện Ukraine được xác định do một nhóm APT có tên Sandworm thực hiện – đây là nhóm tin tặc nhà nước từng hoạt động phá hoại hệ thống SCADA/ICS trước đó. Nhóm Sandworm nổi tiếng vì sử dụng bộ công cụ malware BlackEnergy, từng bị iSIGHT/FireEye vạch trần vào năm 2014 và từ đó “lặn” một thời gian trước khi tái xuất tại Ukraine năm 2015. Việc lựa chọn mục tiêu là hạ tầng trọng yếu (lưới điện) và cách thức tấn công đồng bộ, có chủ đích cao cho thấy đây là một chiến dịch có tài trợ lớn và lên kế hoạch kỹ lưỡng nhằm vào Ukraine trong bối cảnh xung đột Nga–Ukraine​

Mã độc sử dụng: BlackEnergy3 và KillDisk​

BlackEnergy3 (BE3) là một biến thể trojan/backdoor được nhóm Sandworm sử dụng làm “thương hiệu” của mình. Trong sự cố 2015, BlackEnergy3 được cài vào máy nạn nhân qua email spear-phishing chứa tập tin Microsoft Office có macro độc hại. Khi nạn nhân bật nội dung macro, mã độc BlackEnergy3 sẽ được tải xuống và cài đặt, từ đó mở một cửa hậu (backdoor) cho phép tin tặc điều khiển hệ thống từ xa. BE3 chủ yếu đóng vai trò giai đoạn đầu: xâm nhập mạng IT, thu thập thông tin và đánh cắp thông tin xác thực (như thông tin VPN, tài khoản domain) phục vụ cho bước tấn công tiếp theo.

Sau khi hoàn tất việc gây gián đoạn, tin tặc đã triển khai KillDisk – một malware dạng wiper hủy diệt – trên các hệ thống bị xâm nhập. KillDisk được kích hoạt ở cuối chiến dịch nhằm xóa dấu vết và phá hủy hệ thống: nó xóa/xóa sổ nhiều tệp tin hệ thống quan trọng và ghi đè MBR (Master Boot Record) của máy tính, khiến máy không thể khởi động được. KillDisk thậm chí đã được cài sẵn như một “quả bom logic” hẹn giờ, tự động kích hoạt khoảng 90 phút sau khi cuộc tấn công bắt đầu để xóa sạch các máy trạm vận hành. Việc sử dụng KillDisk cho thấy mục tiêu của kẻ tấn công không chỉ dừng ở việc gây mất điện tạm thời, mà còn phá hoại dài hạn năng lực vận hành của nạn nhân.

Hình. Minh họa lưới điện (Nguồn. Internet)​

Chuỗi tấn công xâm nhập IT và di chuyển sang OT​

Cuộc tấn công được chuẩn bị kỹ lưỡng trong nhiều tháng với chuỗi bước tinh vi từ IT sang OT. (1) Đầu tiên, tin tặc tiến hành do thám và gửi các email lừa đảo tới nhân viên công ty điện lực chứa tài liệu Office độc hại. Khi mở file và kích hoạt macro, nạn nhân sẽ bị nhiễm mã độc BlackEnergy3, tạo cầu nối vào mạng IT nội bộ. (2) Kế đến, tin tặc duy trì hiện diện trong mạng IT, lặng lẽ thu thập thông tin mạng, cấu trúc hệ thống và đánh cắp các thông tin đăng nhập quan trọng (tài khoản người dùng, VPN, thông tin truy cập hệ thống SCADA). Chúng kiên nhẫn ẩn mình để tránh bị phát hiện, có khả năng đã xâm nhập trước hàng tháng so với thời điểm ra tay. (3) Sau khi có được thông tin đăng nhập hợp lệ, nhóm tấn công mở kết nối VPN từ xa vào mạng vận hành OT của các công ty điện lực, lợi dụng đúng các tài khoản hợp pháp để qua mặt hệ thống bảo mật. Do hệ thống SCADA của các công ty này có thiết lập VPN cho nhân viên vận hành điều khiển từ xa nhưng không áp dụng xác thực hai yếu tố (2FA), kẻ tấn công đã dễ dàng chiếm quyền truy cập như người dùng hợp lệ. Các báo cáo cho thấy ICS network của Ukraine dù được phân đoạn tốt bằng firewall, nhưng lỗ hổng chính là cổng truy cập từ xa thiếu cơ chế bảo mật mạnh. (4) Xâm nhập được vào mạng OT, tin tặc tiếp tục di chuyển ngang (lateral movement) tới các máy chủ SCADA và chiếm quyền điều khiển các máy trạm HMI – vốn là các máy tính giao diện người-máy dùng để điều hành thiết bị điện.​

Chiếm quyền HMI/SCADA và thao tác mở máy cắt điện​

Khi đã kiểm soát hệ thống SCADA, tin tặc chuyển sang giai đoạn gây sự cố vật lý trên lưới điện. Chúng sử dụng chính các phần mềm giao diện SCADA và HMI đã chiếm quyền, hoặc lợi dụng công cụ quản trị từ xa có sẵn trong hệ thống, để ra lệnh thao tác các thiết bị điện. Cụ thể, vào chiều ngày 23/12/2015, tin tặc đã điều khiển từ xa con trỏ chuột trên máy trạm SCADA của nhiều trung tâm điều độ điện, mở hàng loạt máy cắt (circuit breaker) tại các trạm phân phối. Tại công ty Prykarpattyaoblenergo, một kỹ sư vận hành đã kinh ngạc chứng kiến trên màn hình: con trỏ chuột tự động nhấp vào nút mở máy cắt, xác nhận thao tác cắt điện một trạm biến áp, khiến khu vực do trạm đó phụ trách lập tức mất điện. Tin tặc thậm chí đổi mật khẩu tài khoản điều khiển, đăng xuất nhân viên vận hành khỏi hệ thống SCADA, nhằm ngăn chặn họ giành lại quyền điều khiển. Trong khoảng thời gian chưa đầy 30 phút, những “bóng ma” trong hệ thống đã lần lượt mở các máy cắt điện của 30 trạm điện thuộc Prykarpattyaoblenergo, đồng thời tiến hành thao tác tương tự tại hai công ty phân phối khác một cách đồng loạt. Việc tấn công được thực hiện đồng thời trên nhiều địa điểm và do nhiều kẻ tấn công điều khiển song song, cho thấy mức độ phối hợp rất cao. Các báo cáo điều tra khẳng định mọi thao tác mở máy cắt đều do con người thực hiện từ xa (không phải tự động hóa hoàn toàn), thông qua các phần mềm Remote Desktop hoặc ứng dụng client SCADA kết nối qua VPN vào hệ thống.​

Hậu quả đối với hệ thống điện​

Đây là sự cố đầu tiên trên thế giới được công khai về việc tấn công mạng gây mất điện trên diện rộng. Hậu quả tức thời là mất điện diện rộng tại 3 công ty điện lực khu vực phía tây và bắc Ukraine. Nghiêm trọng nhất là công ty Prykarpattyaoblenergo (tỉnh Ivano-Frankivsk) bị tin tặc mở 30 máy cắt điện (bao gồm 7 trạm 110 kV và 23 trạm 35 kV) khiến khoảng ~230.000 khách hàng mất điện từ 1 đến 6 giờ. Hai công ty phân phối khác là Chernivtsioblenergo (tỉnh Chernivtsi) và Kyivoblenergo (tỉnh Kyiv) cũng bị ảnh hưởng nhưng với quy mô nhỏ hơn. Tổng cộng có khoảng 225.000 hộ dân (theo ước tính của chính phủ Ukraine và ICS-CERT) rơi vào cảnh mất điện giữa mùa đông. Sự cố diễn ra vào cuối buổi chiều, gần thời điểm chuyển ca, nên đã gây ra sự hoảng loạn và xáo trộn nhất định khi hệ thống điện phụ tải mất ổn định. Tuy nhiên, nhờ khả năng vận hành thủ công, các kỹ sư Ukraine đã khôi phục cấp điện ban đầu trong vòng vài giờ bằng cách tới hiện trường đóng lại các máy cắt theo cách truyền thống. Thiệt hại về điện năng không được cung cấp ước tính khoảng 73 MWh (0,015% sản lượng điện một ngày của Ukraine). Mặc dù thời gian mất điện tương đối ngắn, ảnh hưởng xã hội của sự kiện này rất lớn, gióng lên hồi chuông cảnh báo về nguy cơ mất an ninh cho các hệ thống cơ sở hạ tầng thiết yếu trước các cuộc tấn công mạng.​

Hoạt động phá hoại sau tấn công (xóa dữ liệu, phá hỏng thiết bị)​

Song song với việc thao tác cắt điện, tin tặc tiến hành nhiều hành vi phá hoại và đánh lạc hướng nhằm gây khó khăn cho công tác ứng cứu. Chúng đã thực hiện một cuộc tấn công từ chối dịch vụ (TDoS) nhắm vào tổng đài chăm sóc khách hàng của các công ty điện lực, dồn hàng nghìn cuộc gọi giả mạo (được định hướng xuất phát từ số điện thoại ở Moscow) tới các đường dây nóng. Điều này khiến khách hàng không thể gọi vào báo cáo sự cố, làm quá trình nắm bắt tình hình của nhà chức trách khó khăn hơn. Đồng thời, tại hai trong ba trung tâm điều độ bị tấn công, tin tặc còn vô hiệu hóa nguồn điện dự phòng (UPS), khiến bản thân trung tâm điều khiển cũng mất điện tối om khi đang xử lý sự cố. Thao tác này được kẻ tấn công lên lịch sẵn thông qua giao diện quản lý từ xa của UPS, rõ ràng nhằm cản trở nỗ lực phục hồi của đội ngũ ứng cứu.

Ở giai đoạn cuối, nhóm Sandworm thực hiện chiến dịch xóa dấu vết và phá hoại. Chúng kích hoạt malware KillDisk trên hàng loạt máy chủ và máy trạm, xóa các tệp log, tệp hệ thống, đồng thời phá hỏng MBR làm hệ thống tê liệt hoàn toàn. Theo báo cáo, ít nhất một HMI của RTU (bộ giám sát từ xa tại trạm) đã bị ghi đè bởi KillDisk, khiến giao diện vận hành tại chỗ bị phá hủy. Đặc biệt nghiêm trọng, tin tặc còn nạp firmware độc hại vào các thiết bị chuyển đổi Serial-to-Ethernet tại 16 trạm điện, làm các thiết bị này mất khả năng liên lạc điều khiển từ xa. Nói cách khác, sau khi sự cố xảy ra, trung tâm điều độ không thể gửi lệnh điều khiển xuống 16 trạm do thiết bị giao tiếp đã bị hỏng firmware. Hậu quả là mặc dù điện lưới đã được khôi phục sau vài giờ, hệ thống SCADA/OT vẫn trong tình trạng tê liệt cục bộ suốt nhiều tháng. Thậm chí 2 tháng sau sự cố, nhiều trạm điện vẫn phải vận hành thủ công tại chỗ, chưa khôi phục được khả năng điều khiển từ xa do thiết bị OT bị phá hoại chưa thay thế xong. Rõ ràng, mục tiêu của tin tặc không chỉ là gây gián đoạn tức thời mà còn làm suy yếu năng lực vận hành lâu dài của lưới điện nạn nhân.​

Phản ứng và khôi phục hệ thống​

Ngay sau sự cố, phía Ukraine đã huy động các đội vận hành địa phương tới trực tiếp các trạm điện để đóng lại các máy cắt thủ công, nhanh chóng phục hồi cung cấp điện cho người dân chỉ sau vài giờ. Nhờ thiết kế hệ thống điện Ukraine vẫn duy trì phương án vận hành thủ công, việc phục hồi dòng điện diễn ra tương đối nhanh chóng. Tuy nhiên, việc khôi phục hệ thống SCADA/ICS phức tạp hơn nhiều do hàng loạt máy chủ và thiết bị bị phá hoại. Các chuyên gia an ninh mạng Ukraine cùng với sự hỗ trợ của đội ứng cứu sự cố ICS quốc tế (bao gồm ICS-CERT của Mỹ, FBI, Bộ Năng Lượng Hoa Kỳ...) đã phối hợp điều tra và hỗ trợ kỹ thuật. Quá trình điều tra pháp chứng được tiến hành nhằm xác định phương thức tấn công và đảm bảo sạch mã độc trước khi khôi phục hệ thống. Nhiều máy tính vận hành bị cài lại hệ điều hành, các thiết bị giao tiếp OT bị thay mới hoặc cập nhật firmware. Mạng lưới OT tạm thời được cách ly với bên ngoài cho đến khi an toàn. Đến tháng 3/2016 (khoảng 2-3 tháng sau sự cố), các trung tâm điều khiển mới dần dần khôi phục hoàn toàn chức năng SCADA, tuy nhiên một số thành phần phải hoạt động ở chế độ hạn chế trong thời gian dài. Sự hợp tác cởi mở của Ukraine với các chuyên gia quốc tế trong xử lý sự cố này đã cung cấp nhiều bài học quý giá để ngăn chặn các cuộc tấn công tương tự trong tương lai.​

Bài học kinh nghiệm về bảo mật ICS/SCADA​

Sự kiện tấn công mạng Ukraine 2015 cho thấy rõ những điểm yếu an ninh trong hệ thống OT/SCADA và cung cấp nhiều bài học quan trọng cho các tổ chức vận hành hạ tầng trọng yếu:​

1. Phân tách và kiểm soát chặt chẽ kết nối IT-OT: Mạng ICS/OT cần được cô lập tối đa khỏi mạng IT/Internet bằng cách phân vùng mạng và firewall phù hợp. Mọi kết nối ra/vào mạng OT phải được hạn chế chỉ cho các mục đích thật sự cần thiết. Nếu có thể, sử dụng các cơ chế một chiều (data diode) để chỉ cho phép giám sát từ IT vào OT mà không cho can thiệp ngược lại. Trường hợp cần kênh hai chiều (ví dụ truy cập SCADA từ xa), cần triển khai một điểm truy cập duy nhất, quản lý chặt chẽ qua DMZ.​
2. Bảo mật xác thực và truy cập từ xa: Điểm xâm nhập then chốt của sự cố này là đặc quyền truy cập từ xa thiếu an toàn. Cần loại bỏ truy cập VPN/RDP không có xác thực đa yếu tố. Mọi kết nối remote vào SCADA/ICS phải được bảo vệ bằng xác thực hai yếu tố mạnh (ví dụ token + mật khẩu), và chỉ kích hoạt khi cần (just-in-time), có cơ chế giám sát và phê duyệt. Truy cập của nhà cung cấp hay kỹ sư vận hành từ xa cần được thực hiện qua quy trình tương tự “lock-out, tag-out” trong an toàn công nghiệp – tức là phải được cấp phép mỗi lần, giới hạn thời gian, và giám sát độc lập, thay vì mở sẵn đường kết nối liên tục.​
3. Giám sát và phản ứng sự cố trong mạng ICS: Các tổ chức vận hành ICS cần triển khai cơ chế giám sát an ninh mạng OT để sớm phát hiện bất thường, ví dụ hành vi đăng nhập lạ vào SCADA hoặc thiết bị điều khiển tự động bị thao tác ngoài kế hoạch. Cần xây dựng kế hoạch ứng phó sự cố ICS chi tiết, bao gồm kịch bản vận hành thủ công khi hệ thống SCADA bị mất điều khiển. Bài học từ Ukraine cho thấy may mắn khi họ vẫn có thể chuyển sang chế độ thủ công; nhiều hệ thống điện hiện đại hơn có thể không có chế độ thủ công, dẫn đến khả năng mất điện kéo dài hơn nhiều nếu xảy ra tấn công.​
4. Nâng cao an ninh lớp máy trạm và thiết bị OT: Cần triển khai các biện pháp bảo vệ endpoint trong mạng ICS như whitelist ứng dụng trên HMI/SCADA (ngăn mã lạ thực thi), kiểm soát chặt chẽ các cổng USB và thiết bị lập trình. Đối với thiết bị nhúng OT (RTU, PLC, router công nghiệp), cần có cơ chế bảo vệ firmware và kiểm tra định kỳ tính toàn vẹn. Việc tin tặc dễ dàng nạp firmware độc hại cho thiết bị chuyển đổi ở Ukraine cho thấy nhu cầu xác thực chữ ký số firmware và cô lập vật lý các cổng cấu hình quan trọng.​
5. Đào tạo nhận thức và kiểm soát quy trình vận hành: Nhân viên tại các cơ sở hạ tầng quan trọng cần được đào tạo về nhận biết email độc hại và tuân thủ quy trình an ninh (ví dụ không mở macro nếu không rõ nguồn gốc). Ngoài ra, cần phân quyền hợp lý trong hệ thống: tài khoản quản trị SCADA nên tách bạch và không dùng chung với tài khoản email/domain. Việc Sandworm thu thập được thông tin xác thực quan trọng gợi ý rằng có thể đã có lỗ hổng trong quản lý tài khoản và phân quyền tại các công ty điện lực.​

Sự cố tấn công vào lưới điện gây mất điện tại Ukraine 2015 là hồi chuông cảnh tỉnh về an ninh mạng công nghiệp. Mặc dù hệ thống đã được phân vùng khá tốt, kẻ tấn công vẫn lợi dụng kết nối giữa IT-OT và lỗi con người để đột nhập. Các tổ chức ICS/SCADA cần xem xét lại kiến trúc bảo mật một cách toàn diện theo chiều sâu, từ lớp mạng, ứng dụng cho đến thiết bị và con người, nhằm phòng chống các mối đe dọa ngày càng tinh vi nhắm vào hạ tầng thiết yếu.

Tham khảo
Cisa.gov
Wired.com
Wikipedia.org​