-
08/10/2013
-
401
-
1.006 bài viết
Phân tích vụ tấn công sử dụng mã độc Industroyer vào hệ thống công nghiệp ICS
Industroyer (còn gọi là CrashOverride) là một malware đặc biệt nguy hiểm được thiết kế nhắm vào hệ thống điều khiển công nghiệp (ICS), cụ thể là các trạm điện trong lưới điện. Đây là malware đầu tiên được biết đến có mục tiêu tấn công trực tiếp lưới điện, chỉ đứng sau Stuxnet về mức độ tinh vi trong hệ thống ICS.
Hình. Minh họa lưới điện (Nguồn. Internet)
Ngoài ra, Industroyer còn cản trở nỗ lực khôi phục của phía phòng thủ bằng cách phá hoại hệ thống công nghệ thông tin tại trạm điện. Ngay sau khi mở thành công các máy cắt điện, malware đã kích hoạt mô-đun xóa để xóa sổ nhiều máy tính điều khiển trong trạm. Nhiều máy chủ SCADA và máy trạm kỹ sư bị treo hoặc hỏng hệ điều hành, buộc nhân viên phải chuyển sang vận hành thủ công tại chỗ. Điều này làm chậm trễ quá trình đóng điện trở lại và có thể khiến trạm không thể điều khiển từ trung tâm trong một thời gian. Rất may, một số payload wiper đã không thực thi thành công 100% (như báo cáo kỹ thuật chỉ ra), nên hệ thống không bị tê liệt hoàn toàn. Nếu wiper hoạt động hiệu quả hơn, hậu quả có thể nghiêm trọng hơn nhiều – ví dụ mất điện kéo dài nhiều giờ trong tiết trời mùa đông có thể khiến đường ống nước bị đóng băng vỡ đường ống, gây thiệt hại lớn về cơ sở hạ tầng.
Một khía cạnh nguy hiểm nữa là malware đã cố gắng vô hiệu hóa các rơ-le bảo vệ trong trạm. Industroyer triển khai module DoS nhắm vào rơ-le Siemens, tuy nhiên thao tác này may mắn thất bại ở hiện trường. Nếu các thiết bị bảo vệ quá dòng/quá áp bị tắt mà lưới điện được đóng lại, nguy cơ cháy hỏng máy biến áp hoặc thiết bị trạm sẽ tăng cao do không còn cơ chế bảo vệ. Điều này cho thấy kẻ tấn công không chỉ muốn gây mất điện tạm thời mà có thể còn nhắm tới việc phá hủy vật lý hệ thống điện. Rất may là trong vụ việc 2016, ý đồ gây hư hại thiết bị đã không đạt được, và sự cố được khống chế trong vòng một giờ đồng hồ.
Tóm lại, vụ tấn công Industroyer tháng 12/2016 tuy không gây hậu quả kéo dài như một thảm họa, nhưng lại là hồi chuông cảnh tỉnh cho ngành năng lượng. Quy mô ảnh hưởng ở mức trung bình (hàng nghìn hộ bị mất điện) và thời gian gián đoạn tương đối ngắn so với dự kiến, dẫn đến nhận định từ các chuyên gia rằng đây có thể là một phép thử lớn của nhóm tấn công hơn là khai thác triệt để. Dù vậy, việc hai năm liên tiếp lưới điện Ukraine bị tấn công thành công cho thấy rõ sự mong manh của hệ thống ICS trước các mối đe dọa mạng hiện đại.
1. Xâm nhập ban đầu: Nhóm hacker APT nhiều khả năng đã xâm nhập vào mạng IT của công ty điện lực từ trước (có thể qua hình thức spear-phishing hoặc lợi dụng lỗ hổng bảo mật). Thông tin cụ thể về vector ban đầu không được công bố rộng rãi, nhưng kịch bản phổ biến trong các vụ tấn công Ukraine là gửi email lừa đảo chứa mã độc hoặc tài liệu Office có macro độc hại để chiếm quyền kiểm soát một máy trạm trong mạng doanh nghiệp. Từ bàn đạp này, kẻ tấn công tiến hành thu thập thông tin đăng nhập và thăm dò hệ thống nhằm tìm đường vào mạng ICS nội bộ. Nhiều báo cáo cho rằng mạng văn phòng và mạng SCADA của nạn nhân không được phân tách chặt chẽ, tồn tại một số máy chủ hoặc thiết bị kết nối liên mạng. Kẻ tấn công đã kiên nhẫn đánh cắp thông tin xác thực và chờ thời cơ để chuyển hướng sang mạng vận hành ICS.
2. Di chuyển và leo thang trong mạng ICS: Sau khi có được điểm truy cập, kẻ tấn công xâm nhập vào mạng ICS (mạng điều khiển trạm điện). Vụ việc cho thấy ngay từ đầu tháng 12/2016 (trước sự cố ~2 tuần), kẻ gian đã có mặt trong mạng ICS và bắt đầu tắt các hệ thống ghi log để tránh bị phát hiện. Chúng tiến hành do thám cấu trúc hạ tầng ICS, xác định các máy chủ SCADA, máy trạm HMI, máy chủ cơ sở dữ liệu và thiết bị điều khiển quan trọng. Một thủ thuật tinh vi được ghi nhận là nhóm hacker đã sử dụng công cụ WMI tùy chỉnh để thực thi lệnh từ xa trên các máy trong mạng ICS, nhằm tránh tạo thêm phần mềm lạ trên từng máy. Bằng cách tận dụng công cụ hợp pháp (WMI) và kỹ thuật “Living off the Land - LoTL” (tạm dịch là Sống ngoài đất liền), chúng đã di chuyển ngang rất nhanh mà ít bị nghi ngờ. Toàn bộ quá trình thâm nhập, leo thang đặc quyền và chuẩn bị diễn ra âm thầm, cho đến khi hacker chiếm được quyền admin trên các máy chủ quan trọng (ví dụ máy chủ SCADA/SQL của trạm).
3. Cài cắm malware và chuẩn bị tấn công: Kẻ tấn công sau đó cài đặt các thành phần Industroyer vào những hệ thống chốt trong mạng ICS, như máy chủ trung tâm SCADA hoặc máy trạm vận hành trạm điện. Backdoor của Industroyer được triển khai để duy trì kết nối với hacker phòng trường hợp cần điều chỉnh, tuy nhiên điểm đáng chú ý là Industroyer có thể hoạt động độc lập không cần chỉ huy từ xa tại thời điểm tấn công chính. Trước giờ G, module payload ICS được cấu hình sẵn đã âm thầm quét mạng ICS nội bộ nhằm nhận diện thiết bị và “map” địa chỉ các RTU, IED, rơ-le… mục tiêu. Malware có sẵn danh mục các lệnh điều khiển phù hợp với thiết bị (được chuẩn bị dựa trên kiến thức về hệ thống điện đích), chờ sẵn để kích hoạt. Việc trinh sát kỹ lưỡng này đảm bảo rằng khi tấn công, malware sẽ gửi đúng loại lệnh tới đúng thiết bị để gây sự cố tối đa. Để bảo đảm thành công, hacker đặt lịch kích hoạt payload vào lúc gần nửa đêm – thời điểm ít người trực và hệ thống ở trạng thái ổn định, giảm thiểu khả năng bị can thiệp.
4. Tấn công điều khiển thiết bị (chiếm quyền SCADA): Đến thời điểm đã định, bộ chạy của Industroyer kích hoạt loạt payload ICS. Malware bắt đầu gửi các gói lệnh điều khiển qua các giao thức IEC-104, IEC-101, IEC-61850… tới các thiết bị tại trạm điện. Hành động cụ thể nhất là gửi lệnh mở tất cả các máy cắt trong trạm gần như đồng thời, dẫn đến mất điện trên toàn khu vực phụ trách của trạm. Các lệnh được gửi một cách tự động và nhanh chóng – thậm chí Dragos còn cho biết malware có thể thực hiện thao tác đóng mở cầu dao liên tục nhiều lần trong thời gian ngắn. Điều này có thể gây hiện tượng dao động lưới và buộc các khu vực lân cận phải tách lưới để tự bảo vệ. Tại trung tâm điều độ, các kỹ sư mất khả năng điều khiển từ xa: bất kỳ nỗ lực nào đóng lại máy cắt đều bị malware tự động mở ra ngay lập tức. Trong vài chục phút, kẻ tấn công đã hoàn toàn chiếm quyền kiểm soát SCADA của trạm điện. Song song đó, Industroyer kích hoạt module DoS rơ-le bảo vệ nhằm vô hiệu hóa các rơ-le quan trọng (như rơ-le quá dòng) để tăng mức độ phá hoại. May mắn là không phải mọi lệnh đều thành công, nhưng đủ để làm tê liệt hoạt động trạm điện trong thời gian ngắn.
5. Xóa dấu vết và thoát khỏi hệ thống: Ngay sau khi thực hiện các lệnh phá hoại, Industroyer tiến hành xóa dấu vết nhằm tránh bị phát hiện và kéo dài thời gian khôi phục của nạn nhân. Mô-đun wiper bắt đầu xóa các log, khóa Registry và phá hủy dữ liệu trên nhiều máy chủ và máy trạm trong mạng ICS. Mục tiêu chính là làm sập hệ thống HMI/SCADA của trạm, khiến nhân viên vận hành không thể giành lại quyền điều khiển qua mạng. Đồng thời, việc xóa sạch dấu vết khiến công tác điều tra nguyên nhân sau này gặp nhiều khó khăn. Sau khi “đốt nhà” nạn nhân, nhóm hacker cũng ngắt kết nối C&C và rời hệ thống, để lại hiện trường hỗn loạn với các thiết bị điện bị ngắt và máy tính bị tê liệt. Toàn bộ chiến dịch – từ lúc phát động tấn công đến lúc thoát – diễn ra rất nhanh, cho thấy sự tính toán chính xác và hiểu biết rõ hệ thống của kẻ tấn công. Chỉ khi mất điện xảy ra, nhân viên vận hành mới nhận ra sự cố và buộc phải chuyển sang thao tác thủ công tại chỗ để từng bước khôi phục điện cho khu vực.
Chuỗi tấn công trên cho thấy Industroyer đã được chuẩn bị một cách bài bản theo đúng mô hình APT: xâm nhập âm thầm, nghiên cứu kỹ mục tiêu, rồi ra đòn chính xác và xóa dấu vết. Quá trình tấn công gọn gàng như vậy chứng tỏ nhóm hacker đã có kiến thức chuyên môn về vận hành lưới điện và có thể đã thử nghiệm malware trong môi trường giả lập trước đó. Các chuyên gia nhận định việc tấn công thành công hệ thống điện phức tạp như vậy không thể là hành động của tội phạm thông thường, mà có bàn tay của một tổ chức APT lớn với nguồn lực và kỹ năng cao.
Trong cách phân loại của các hãng bảo mật, nhóm Sandworm còn có những bí danh khác. Công ty ESET gọi nhóm này là TeleBots – nhóm hacker chịu trách nhiệm cho BlackEnergy 2015 và NotPetya 2017, nay được phát hiện có liên quan chặt chẽ đến Industroyer. Bằng chứng kỹ thuật (như mã nguồn backdoor Exaramel) cho thấy malware Industroyer và công cụ của TeleBots có điểm tương đồng chung một nguồn phát triển. Hãng Dragos Inc. thì đặt tên nhóm này là Electrum, xác định Electrum chính là tác giả của CrashOverride và hoạt động phối hợp với Sandworm. Dù tên gọi khác nhau, cộng đồng an ninh mạng đều thống nhất rằng đây là một APT do nhà nước bảo trợ.
Nhóm Sandworm/Electrum nổi tiếng vì mục tiêu tấn công vào hạ tầng trọng yếu và sử dụng mã độc có sức công phá lớn. Ngoài hai vụ tấn công lưới điện Ukraine 2015 và 2016, Sandworm còn được cho là đứng sau chiến dịch Olympic Destroyer (tấn công mạng vào Thế vận hội Pyeongchang 2018) và nhiều hoạt động gián điệp, phá hoại khác ở châu Âu. Gần đây nhất, đầu năm 2022, ngay trước thềm xung đột tại Ukraine, Sandworm tiếp tục triển khai biến thể Industroyer2 nhằm tấn công lưới điện Ukraine lần nữa. Rất may, chiến dịch 2022 đã bị phát hiện và ngăn chặn kịp thời. Việc một nhóm hacker quân sự có thể nhiều lần làm tê liệt hệ thống điện của cả một quốc gia cho thấy mối đe dọa hiện hữu của chiến tranh mạng. Sandworm được xem là một trong những nhóm APT nguy hiểm nhất thế giới, với kho vũ khí mạng gồm nhiều mã độc hủy diệt (BlackEnergy, Industroyer, NotPetya, OlympicDestroyer, v.v.) và mục tiêu nhắm vào ICS/SCADA, hạ tầng năng lượng của đối thủ.
• Củng cố an ninh cho giao thức công nghiệp: Nhiều giao thức ICS (IEC-101, IEC-104, OPC, v.v.) được thiết kế không có cơ chế xác thực/đánh dấu nguồn gửi, do đó kẻ tấn công dễ dàng gửi lệnh giả mạo. Cần triển khai các biện pháp bù đắp như firewall ICS hoặc cổng giao thức an toàn để kiểm tra tính hợp lệ của lệnh trước khi cho phép thực thi. Về lâu dài, các nhà quản lý nên làm việc với nhà sản xuất để nâng cấp thiết bị ICS hỗ trợ chuẩn bảo mật mới (ví dụ: bổ sung xác thực thiết bị và mã hóa truyền thông). Nếu dùng thiết bị cũ không thể nâng cấp, nên cô lập hoặc đặt sau tường lửa chặt chẽ.
• Phân tách mạng và Defense-in-Depth: Sự kiện cho thấy nếu hacker xâm nhập được mạng IT thì có thể lan sang mạng OT do phân cách không rõ ràng. Do đó, doanh nghiệp phải thực hiện nguyên tắc phân vùng, phân đoạn mạng (network segmentation) mạnh mẽ giữa mạng văn phòng IT và mạng điều khiển OT. Hạn chế tối đa các kết nối không cần thiết giữa hai mạng, cô lập mạng ICS khỏi Internet và các mạng không tin cậy. Nếu cần trao đổi dữ liệu, nên sử dụng các giải pháp một chiều như Data Diode để ngăn truy cập từ ngoài vào. Song song, áp dụng mô hình phòng thủ nhiều lớp (defense-in-depth), kết hợp nhiều lớp kiểm soát (firewall, IDS, antivirus, kiểm soát thiết bị ngoại vi…) để tăng cường khả năng phát hiện và ngăn chặn xâm nhập ở từng lớp.
• Quản lý tài khoản và xác thực chặt chẽ: Industroyer cho thấy kẻ tấn công lợi dụng rất nhiều vào tài khoản hợp pháp bị đánh cắp để di chuyển nội bộ. Do đó, cần triển khai xác thực đa yếu tố (MFA) cho các tài khoản truy cập hệ thống quan trọng, đặc biệt là tài khoản quản trị ICS. Bên cạnh đó, phân quyền theo nguyên tắc tối thiểu – mỗi người chỉ được quyền phù hợp với nhiệm vụ, tránh dùng chung tài khoản admin cho nhiều hệ thống. Quan trọng là tách biệt hoàn toàn hệ thống xác thực giữa mạng văn phòng và mạng ICS (không dùng chung domain hoặc thông tin đăng nhập). Điều này ngăn chặn việc hacker lấy được mật khẩu ở IT rồi dùng ngay vào OT. Định kỳ thay đổi mật khẩu và sử dụng mật khẩu mạnh (ưu tiên độ dài) cho tất cả tài khoản. Khóa hoặc xóa các tài khoản không sử dụng, đặc biệt lưu ý vô hiệu hóa quyền truy cập remote của tài khoản admin cục bộ để giảm nguy cơ leo thang đặc quyền.
• Giám sát và phát hiện sớm bất thường: Cần có giải pháp giám sát lưu lượng mạng ICS và phân tích hành vi hệ thống để sớm phát hiện các dấu hiệu xâm nhập. Ví dụ, nếu một máy chủ bỗng gửi hàng loạt lệnh mở máy cắt, hoặc có thiết bị quét địa chỉ các trạm RTU, hệ thống giám sát ICS cần nhận biết và cảnh báo. Xây dựng các kịch bản phát hiện dựa trên hành vi đặc thù của ICS, chẳng hạn cảnh báo khi có lệnh điều khiển hàng loạt hoặc khi log sự kiện trên thiết bị bị vô hiệu hóa bất thường. Việc giám sát nên bao gồm cả tầng mạng (ICS IDS/IPS) lẫn tầng thiết bị (ghi nhận bất thường từ PLC/RTU). Ngoài ra, tổ chức diễn tập tình huống tấn công ICS thường xuyên để đội ngũ vận hành quen với dấu hiệu nhận biết và quy trình ứng phó nhanh.
• Application Whitelisting và bảo vệ máy trạm ICS: Do máy tính trong mạng ICS thường chạy các ứng dụng cố định (HMI, giao diện SCADA, v.v.), doanh nghiệp có thể áp dụng danh sách trắng ứng dụng để ngăn mã độc thực thi trên các máy này. Chỉ cho phép các ứng dụng đã được phê duyệt chạy, khóa chặn mọi chương trình lạ. Biện pháp này sẽ ngăn được malware như Industroyer cài cắm payload trên máy HMI/SCADA nếu nó chưa nằm trong danh sách cho phép. Đồng thời, nên hạn chế sử dụng USB/hotspot trên máy ICS, tránh kẻ tấn công có vector xâm nhập trực tiếp.
• Quản lý cập nhật và vá lỗi cho hệ thống ICS: Nhiều cuộc tấn công lợi dụng hệ thống ICS chạy phần mềm/hệ điều hành cũ và nhiều lỗ hổng. Do vậy, cần thiết lập chương trình quản lý cấu hình và vá lỗi định kỳ cho ICS. Thách thức là phải kiểm thử bản vá an toàn trước khi áp dụng trên hệ thống công nghiệp để tránh gián đoạn sản xuất. Doanh nghiệp nên duy trì một bản dựng cấu hình gốc (baseline) cho các máy chủ, HMI, PLC… và cập nhật bản vá trong môi trường thử nghiệm trước. Luôn tải bản cập nhật từ nguồn đáng tin cậy và kiểm tra chữ ký/hàm băm xác thực của file cập nhật. Nếu thiết bị ICS không còn bản vá (end-of-support), cần xem xét giải pháp bảo vệ bổ sung (như cô lập thiết bị, hoặc thay thế nếu có thể). Việc vá kịp thời sẽ ngăn chặn các kỹ thuật mà Industroyer đã dùng, chẳng hạn lỗ hổng DoS trên rơ-le SIPROTEC nếu được cập nhật firmware sẽ giảm nguy cơ bị khai thác.
• Kế hoạch sao lưu và phục hồi hệ thống: Một điểm yếu bị Industroyer khai thác là nhiều trạm điều khiển thiếu phương án phục hồi nhanh khi hệ thống IT bị sập. Do đó, các công ty vận hành ICS cần duy trì sao lưu định kỳ cấu hình hệ thống điều khiển, bao gồm: hình ảnh máy chủ, cấu hình HMI, cấu hình PLC/RTU, cơ sở dữ liệu SCADA…. Các bản sao lưu này nên được lưu giữ ngoại tuyến (offline) để tránh bị mã độc xóa mất, và được kiểm tra tính sẵn sàng thường xuyên. Đồng thời, xây dựng kế hoạch ứng cứu sự cố ICS chi tiết: ví dụ, nếu trung tâm SCADA bị tê liệt, có thể chuyển sang chế độ điều khiển cục bộ tại trạm? Có thiết bị dự phòng nóng hay không?... Nhờ chuẩn bị trước, khi xảy ra tấn công kiểu wiper, đội ngũ có thể khôi phục hoạt động trong thời gian ngắn nhất, giảm thiểu gián đoạn cho sản xuất và dịch vụ.
• Kiểm soát chặt chẽ truy cập từ xa: Nhiều hệ thống công nghiệp cho phép truy cập từ xa (qua VPN, modem, v.v.) để bảo trì, nhưng đây cũng là cửa mở cho hacker. Bài học rút ra là nên hạn chế tối đa kết nối từ xa vào mạng ICS. Nếu bắt buộc phải có, cần áp dụng giải pháp an toàn như kênh một chiều chỉ giám sát hoặc cơ chế truy cập tạm thời có sự giám sát của người vận hành. Tuyệt đối không duy trì kết nối VPN mở liên tục vào hệ thống ICS, và không dùng các phần mềm điều khiển từ xa không được mã hóa. Mọi truy cập remote nên yêu cầu MFA, giới hạn thời gian và phạm vi quyền hạn rõ ràng (theo nguyên tắc “lock out, tag out” trong an toàn công nghiệp).
• Nâng cao nhận thức và năng lực bảo mật: Cuối cùng, con người vẫn là mắt xích quan trọng. Cần đào tạo thường xuyên cho nhân viên về nhận biết email độc hại, tránh bẫy spear-phishing, vì đó thường là khởi đầu của các cuộc tấn công APT. Đội ngũ quản trị hệ thống ICS cũng cần được huấn luyện về các tình huống tấn công mạng, hiểu rõ Indicator of Compromise (IOC) của các malware như Industroyer để kịp thời phát hiện. Việc phối hợp chặt chẽ với các trung tâm ứng cứu sự cố (CERT) và cập nhật thông tin về mối đe dọa ICS mới sẽ giúp tổ chức chủ động phòng vệ trước khi bị tấn công.
Sự kiện Industroyer 2016 là một lời cảnh báo nghiêm túc rằng các hệ thống ICS/SCADA đang trở thành mục tiêu của chiến tranh mạng. Những điểm yếu về kỹ thuật (giao thức thiếu bảo mật, mạng không phân đoạn, quy trình vận hành lỏng lẻo) đều có thể bị khai thác để gây hậu quả thực tế. Các tổ chức vận hành hạ tầng thiết yếu cần coi trọng công tác bảo mật CNTT cho hệ thống điều khiển công nghiệp tương đương với hệ thống văn phòng. Đầu tư vào bảo mật trước khi quá muộn sẽ giúp tránh lặp lại những sự cố tương tự Industroyer trong tương lai[24].
Nguồn tài liệu tham khảo: Báo cáo kỹ thuật của ESET, Dragos; cảnh báo an ninh của CISA (Mỹ); phân tích của MITRE và các hãng bảo mật về sự cố Industroyer/CrashOverride. Các trích dẫn tiêu biểu đã được liệt kê trong bài viết.[17][4]
Tham khảo
CrashOverride Malware - CISA
Industroyer: Biggest malware threat to critical infrastructure since Stuxnet - ESET
Industroyer: A cyber-weapon that brought down a power grid
Tìm hiểu về Industroyer
Industroyer có kiến trúc mô-đun gồm nhiều thành phần, phối hợp để xâm nhập và điều khiển thiết bị công nghiệp một cách trực tiếp. Các thành phần chính bao gồm:- Backdoor chính: Mã độc cài một backdoor (cửa hậu) trên hệ thống nạn nhân để giám sát và điều khiển các module khác. Backdoor này kết nối về máy chủ C&C do kẻ tấn công kiểm soát để nhận lệnh điều khiển từ xa[3].
- Backdoor phụ (dự phòng): Một backdoor thứ hai được cài làm cơ chế tồn tại dự phòng, giúp kẻ tấn công duy trì quyền truy cập kể cả khi backdoor chính bị phát hiện hoặc gỡ bỏ[5].
- Thành phần khởi chạy (launcher): Một chương trình thực thi chuyên trách việc kích hoạt các payload ICS và module xóa dấu vết. Thành phần launcher này chứa sẵn thời điểm kích hoạt định sẵn; ví dụ, mẫu phân tích cho thấy nó được đặt lịch khởi chạy vào ngày 17/12/2016 (đúng thời điểm xảy ra sự cố) và một ngày khác 20/12/2016[4]. Cơ chế hẹn giờ này cho phép malware “nằm vùng” chờ đến thời điểm tấn công đã định.
- Các module payload: Có 4 payload chính, mỗi payload tương ứng với một giao thức truyền thông công nghiệp phổ biến: IEC 60870-5-101 (IEC 101, giao thức SCADA qua nối tiếp), IEC 60870-5-104 (IEC 104, SCADA qua TCP/IP), IEC 61850 (protocol tự động hóa trạm điện), và OLE for Process Control Data Access (OPC DA). Các payload này có khả năng quét và nhận diện thiết bị ICS trong mạng, sau đó phát sinh các lệnh điều khiển hợp lệ gửi tới thiết bị (như Remote Terminal Unit – RTU, PLC, rơ-le bảo vệ, v.v.) nhằm thao túng quá trình vận hành. Chẳng hạn, Industroyer có thể gửi lệnh mở máy cắt điện (cầu dao) giống hệt như lệnh từ hệ thống SCADA hợp pháp. Điểm độc đáo là malware lợi dụng chính chức năng hợp pháp của giao thức ICS để phá hoại, thay vì dùng payload phá hủy dữ liệu thông thường. Các giao thức ICS này vốn ra đời từ nhiều thập kỷ trước và hầu như không có cơ chế xác thực hay bảo mật tích hợp, tạo điều kiện cho Industroyer khai thác để gửi lệnh trái phép mà không bị phát hiện. Sự hỗ trợ nhiều giao thức cho thấy kẻ tấn công có hiểu biết sâu về hạ tầng ICS – đặc biệt là hệ thống điện – và malware có thể được tùy biến để nhắm vào nhiều môi trường công nghiệp tương tự trên thế giới.
- Thành phần xóa dữ liệu (Data wiper): Industroyer tích hợp một mô-đun nhằm phá hoại hệ thống máy tính sau khi hoàn tất việc điều khiển thiết bị. Mô-đun này xóa các khóa Registry quan trọng và ghi đè dữ liệu trên đĩa, khiến hệ điều hành bị hỏng và máy tính nạn nhân không thể khởi động được. Mục đích của wiper là làm hệ thống tê liệt, cản trở việc phục hồi vận hành và xóa dấu vết của malware nhằm tránh bị phân tích điều tra.
- Công cụ hỗ trợ khác: Ngoài các thành phần chính, các báo cáo kỹ thuật còn phát hiện Industroyer đi kèm công cụ quét mạng ICS (dò tìm các nút thiết bị theo giao thức OPC và các cổng đang mở), và một công cụ DoS khai thác lỗ hổng trên dòng rơ-le bảo vệ Siemens SIPROTEC. Công cụ này có thể gửi gói tin đặc biệt để làm treo thiết bị rơ-le (lỗi denial-of-service), buộc phải có người đến reset thủ công mới khôi phục được. Đây là dấu hiệu cho thấy kẻ tấn công còn có ý đồ gây hư hại vật lý hoặc làm phức tạp thêm việc khôi phục hệ thống điện.
Tác động đối với hệ thống điện Ukraine
Cuộc tấn công Industroyer đã gây ra sự cố mất điện diện rộng tại Ukraine. Cụ thể, vào tối ngày 17/12/2016, malware được kích hoạt tại một trạm điện gần Kiev, khiến hàng ngàn hộ dân ở phía bắc thủ đô Kiev bị mất điện khoảng 1 giờ đồng hồ. Ước tính khoảng 1/5 diện tích thành phố Kiev chịu ảnh hưởng khi toàn bộ các máy cắt điện tại trạm biến áp bị mở đồng loạt, làm gián đoạn cung cấp điện trên diện rộng. Đây là lần thứ hai trong lịch sử Ukraine xảy ra sự cố mất điện do tấn công mạng (lần đầu là sự cố cuối năm 2015), cho thấy mức độ leo thang nguy hiểm của các cuộc tấn công vào hạ tầng năng lượng. Hậu quả trực tiếp của vụ tấn công tuy được khôi phục khá nhanh (phục hồi điện sau ~1 giờ), nhưng cũng đủ gây xáo trộn xã hội và cảnh báo về rủi ro an ninh mạng. Trong thời gian mất điện, nhiều khu dân cư rơi vào cảnh mất ánh sáng và sưởi ấm giữa mùa đông, hệ thống giao thông công cộng và thông tin liên lạc có thể đã bị ảnh hưởng. Các kỹ sư vận hành trạm điện cho biết toàn bộ cầu dao đã “nhảy” cùng lúc và không thể đóng lại thủ công do hệ thống SCADA liên tục mở cầu dao trở lại. Malware đã tạo ra tình huống mà người vận hành mất quyền kiểm soát từ xa đối với thiết bị của chính mình.Hình. Minh họa lưới điện (Nguồn. Internet)
Ngoài ra, Industroyer còn cản trở nỗ lực khôi phục của phía phòng thủ bằng cách phá hoại hệ thống công nghệ thông tin tại trạm điện. Ngay sau khi mở thành công các máy cắt điện, malware đã kích hoạt mô-đun xóa để xóa sổ nhiều máy tính điều khiển trong trạm. Nhiều máy chủ SCADA và máy trạm kỹ sư bị treo hoặc hỏng hệ điều hành, buộc nhân viên phải chuyển sang vận hành thủ công tại chỗ. Điều này làm chậm trễ quá trình đóng điện trở lại và có thể khiến trạm không thể điều khiển từ trung tâm trong một thời gian. Rất may, một số payload wiper đã không thực thi thành công 100% (như báo cáo kỹ thuật chỉ ra), nên hệ thống không bị tê liệt hoàn toàn. Nếu wiper hoạt động hiệu quả hơn, hậu quả có thể nghiêm trọng hơn nhiều – ví dụ mất điện kéo dài nhiều giờ trong tiết trời mùa đông có thể khiến đường ống nước bị đóng băng vỡ đường ống, gây thiệt hại lớn về cơ sở hạ tầng.
Một khía cạnh nguy hiểm nữa là malware đã cố gắng vô hiệu hóa các rơ-le bảo vệ trong trạm. Industroyer triển khai module DoS nhắm vào rơ-le Siemens, tuy nhiên thao tác này may mắn thất bại ở hiện trường. Nếu các thiết bị bảo vệ quá dòng/quá áp bị tắt mà lưới điện được đóng lại, nguy cơ cháy hỏng máy biến áp hoặc thiết bị trạm sẽ tăng cao do không còn cơ chế bảo vệ. Điều này cho thấy kẻ tấn công không chỉ muốn gây mất điện tạm thời mà có thể còn nhắm tới việc phá hủy vật lý hệ thống điện. Rất may là trong vụ việc 2016, ý đồ gây hư hại thiết bị đã không đạt được, và sự cố được khống chế trong vòng một giờ đồng hồ.
Tóm lại, vụ tấn công Industroyer tháng 12/2016 tuy không gây hậu quả kéo dài như một thảm họa, nhưng lại là hồi chuông cảnh tỉnh cho ngành năng lượng. Quy mô ảnh hưởng ở mức trung bình (hàng nghìn hộ bị mất điện) và thời gian gián đoạn tương đối ngắn so với dự kiến, dẫn đến nhận định từ các chuyên gia rằng đây có thể là một phép thử lớn của nhóm tấn công hơn là khai thác triệt để. Dù vậy, việc hai năm liên tiếp lưới điện Ukraine bị tấn công thành công cho thấy rõ sự mong manh của hệ thống ICS trước các mối đe dọa mạng hiện đại.
Chuỗi tấn công
Quá trình tấn công Industroyer được chuẩn bị kỹ lưỡng và diễn ra theo một chuỗi nhiều giai đoạn, từ xâm nhập ban đầu cho đến khi xóa dấu vết. Dựa trên các báo cáo sự cố, có thể tóm tắt chuỗi tấn công như sau:1. Xâm nhập ban đầu: Nhóm hacker APT nhiều khả năng đã xâm nhập vào mạng IT của công ty điện lực từ trước (có thể qua hình thức spear-phishing hoặc lợi dụng lỗ hổng bảo mật). Thông tin cụ thể về vector ban đầu không được công bố rộng rãi, nhưng kịch bản phổ biến trong các vụ tấn công Ukraine là gửi email lừa đảo chứa mã độc hoặc tài liệu Office có macro độc hại để chiếm quyền kiểm soát một máy trạm trong mạng doanh nghiệp. Từ bàn đạp này, kẻ tấn công tiến hành thu thập thông tin đăng nhập và thăm dò hệ thống nhằm tìm đường vào mạng ICS nội bộ. Nhiều báo cáo cho rằng mạng văn phòng và mạng SCADA của nạn nhân không được phân tách chặt chẽ, tồn tại một số máy chủ hoặc thiết bị kết nối liên mạng. Kẻ tấn công đã kiên nhẫn đánh cắp thông tin xác thực và chờ thời cơ để chuyển hướng sang mạng vận hành ICS.
2. Di chuyển và leo thang trong mạng ICS: Sau khi có được điểm truy cập, kẻ tấn công xâm nhập vào mạng ICS (mạng điều khiển trạm điện). Vụ việc cho thấy ngay từ đầu tháng 12/2016 (trước sự cố ~2 tuần), kẻ gian đã có mặt trong mạng ICS và bắt đầu tắt các hệ thống ghi log để tránh bị phát hiện. Chúng tiến hành do thám cấu trúc hạ tầng ICS, xác định các máy chủ SCADA, máy trạm HMI, máy chủ cơ sở dữ liệu và thiết bị điều khiển quan trọng. Một thủ thuật tinh vi được ghi nhận là nhóm hacker đã sử dụng công cụ WMI tùy chỉnh để thực thi lệnh từ xa trên các máy trong mạng ICS, nhằm tránh tạo thêm phần mềm lạ trên từng máy. Bằng cách tận dụng công cụ hợp pháp (WMI) và kỹ thuật “Living off the Land - LoTL” (tạm dịch là Sống ngoài đất liền), chúng đã di chuyển ngang rất nhanh mà ít bị nghi ngờ. Toàn bộ quá trình thâm nhập, leo thang đặc quyền và chuẩn bị diễn ra âm thầm, cho đến khi hacker chiếm được quyền admin trên các máy chủ quan trọng (ví dụ máy chủ SCADA/SQL của trạm).
3. Cài cắm malware và chuẩn bị tấn công: Kẻ tấn công sau đó cài đặt các thành phần Industroyer vào những hệ thống chốt trong mạng ICS, như máy chủ trung tâm SCADA hoặc máy trạm vận hành trạm điện. Backdoor của Industroyer được triển khai để duy trì kết nối với hacker phòng trường hợp cần điều chỉnh, tuy nhiên điểm đáng chú ý là Industroyer có thể hoạt động độc lập không cần chỉ huy từ xa tại thời điểm tấn công chính. Trước giờ G, module payload ICS được cấu hình sẵn đã âm thầm quét mạng ICS nội bộ nhằm nhận diện thiết bị và “map” địa chỉ các RTU, IED, rơ-le… mục tiêu. Malware có sẵn danh mục các lệnh điều khiển phù hợp với thiết bị (được chuẩn bị dựa trên kiến thức về hệ thống điện đích), chờ sẵn để kích hoạt. Việc trinh sát kỹ lưỡng này đảm bảo rằng khi tấn công, malware sẽ gửi đúng loại lệnh tới đúng thiết bị để gây sự cố tối đa. Để bảo đảm thành công, hacker đặt lịch kích hoạt payload vào lúc gần nửa đêm – thời điểm ít người trực và hệ thống ở trạng thái ổn định, giảm thiểu khả năng bị can thiệp.
4. Tấn công điều khiển thiết bị (chiếm quyền SCADA): Đến thời điểm đã định, bộ chạy của Industroyer kích hoạt loạt payload ICS. Malware bắt đầu gửi các gói lệnh điều khiển qua các giao thức IEC-104, IEC-101, IEC-61850… tới các thiết bị tại trạm điện. Hành động cụ thể nhất là gửi lệnh mở tất cả các máy cắt trong trạm gần như đồng thời, dẫn đến mất điện trên toàn khu vực phụ trách của trạm. Các lệnh được gửi một cách tự động và nhanh chóng – thậm chí Dragos còn cho biết malware có thể thực hiện thao tác đóng mở cầu dao liên tục nhiều lần trong thời gian ngắn. Điều này có thể gây hiện tượng dao động lưới và buộc các khu vực lân cận phải tách lưới để tự bảo vệ. Tại trung tâm điều độ, các kỹ sư mất khả năng điều khiển từ xa: bất kỳ nỗ lực nào đóng lại máy cắt đều bị malware tự động mở ra ngay lập tức. Trong vài chục phút, kẻ tấn công đã hoàn toàn chiếm quyền kiểm soát SCADA của trạm điện. Song song đó, Industroyer kích hoạt module DoS rơ-le bảo vệ nhằm vô hiệu hóa các rơ-le quan trọng (như rơ-le quá dòng) để tăng mức độ phá hoại. May mắn là không phải mọi lệnh đều thành công, nhưng đủ để làm tê liệt hoạt động trạm điện trong thời gian ngắn.
5. Xóa dấu vết và thoát khỏi hệ thống: Ngay sau khi thực hiện các lệnh phá hoại, Industroyer tiến hành xóa dấu vết nhằm tránh bị phát hiện và kéo dài thời gian khôi phục của nạn nhân. Mô-đun wiper bắt đầu xóa các log, khóa Registry và phá hủy dữ liệu trên nhiều máy chủ và máy trạm trong mạng ICS. Mục tiêu chính là làm sập hệ thống HMI/SCADA của trạm, khiến nhân viên vận hành không thể giành lại quyền điều khiển qua mạng. Đồng thời, việc xóa sạch dấu vết khiến công tác điều tra nguyên nhân sau này gặp nhiều khó khăn. Sau khi “đốt nhà” nạn nhân, nhóm hacker cũng ngắt kết nối C&C và rời hệ thống, để lại hiện trường hỗn loạn với các thiết bị điện bị ngắt và máy tính bị tê liệt. Toàn bộ chiến dịch – từ lúc phát động tấn công đến lúc thoát – diễn ra rất nhanh, cho thấy sự tính toán chính xác và hiểu biết rõ hệ thống của kẻ tấn công. Chỉ khi mất điện xảy ra, nhân viên vận hành mới nhận ra sự cố và buộc phải chuyển sang thao tác thủ công tại chỗ để từng bước khôi phục điện cho khu vực.
Chuỗi tấn công trên cho thấy Industroyer đã được chuẩn bị một cách bài bản theo đúng mô hình APT: xâm nhập âm thầm, nghiên cứu kỹ mục tiêu, rồi ra đòn chính xác và xóa dấu vết. Quá trình tấn công gọn gàng như vậy chứng tỏ nhóm hacker đã có kiến thức chuyên môn về vận hành lưới điện và có thể đã thử nghiệm malware trong môi trường giả lập trước đó. Các chuyên gia nhận định việc tấn công thành công hệ thống điện phức tạp như vậy không thể là hành động của tội phạm thông thường, mà có bàn tay của một tổ chức APT lớn với nguồn lực và kỹ năng cao.
Nhóm APT đứng sau chiến dịch (Sandworm)
Chiến dịch tấn công Industroyer được cho là do một nhóm APT tinh vi có hậu thuẫn cấp quốc gia thực hiện. Nhiều nguồn tin tình báo và cơ quan an ninh mạng đã quy trách nhiệm cho nhóm “Sandworm”, một nhóm hacker khét tiếng. Tháng 10/2020, Bộ Tư pháp Hoa Kỳ công bố cáo trạng buộc tội 6 sĩ quan đơn vị 74455 (tức Sandworm) liên quan trực tiếp đến vụ tấn công lưới điện Ukraine năm 2016. Sandworm từ lâu đã được biết đến với chiến dịch tấn công mạng nhằm vào Ukraine và các nước khác, nổi bật nhất là việc phá hoại hệ thống điện Ukraine năm 2015 (sử dụng malware BlackEnergy) và phát tán mã độc hủy diệt NotPetya năm 2017. Các cuộc tấn công này đều gây hậu quả nghiêm trọng: sự cố 2015 khiến hơn 200.000 người mất điện, còn NotPetya gây thiệt hại hàng tỷ USD trên toàn cầu. Việc Industroyer 2016 có chung phương thức tấn công và mục tiêu Ukraine cho thấy nhiều khả năng cùng một nhóm đứng sau.Trong cách phân loại của các hãng bảo mật, nhóm Sandworm còn có những bí danh khác. Công ty ESET gọi nhóm này là TeleBots – nhóm hacker chịu trách nhiệm cho BlackEnergy 2015 và NotPetya 2017, nay được phát hiện có liên quan chặt chẽ đến Industroyer. Bằng chứng kỹ thuật (như mã nguồn backdoor Exaramel) cho thấy malware Industroyer và công cụ của TeleBots có điểm tương đồng chung một nguồn phát triển. Hãng Dragos Inc. thì đặt tên nhóm này là Electrum, xác định Electrum chính là tác giả của CrashOverride và hoạt động phối hợp với Sandworm. Dù tên gọi khác nhau, cộng đồng an ninh mạng đều thống nhất rằng đây là một APT do nhà nước bảo trợ.
Nhóm Sandworm/Electrum nổi tiếng vì mục tiêu tấn công vào hạ tầng trọng yếu và sử dụng mã độc có sức công phá lớn. Ngoài hai vụ tấn công lưới điện Ukraine 2015 và 2016, Sandworm còn được cho là đứng sau chiến dịch Olympic Destroyer (tấn công mạng vào Thế vận hội Pyeongchang 2018) và nhiều hoạt động gián điệp, phá hoại khác ở châu Âu. Gần đây nhất, đầu năm 2022, ngay trước thềm xung đột tại Ukraine, Sandworm tiếp tục triển khai biến thể Industroyer2 nhằm tấn công lưới điện Ukraine lần nữa. Rất may, chiến dịch 2022 đã bị phát hiện và ngăn chặn kịp thời. Việc một nhóm hacker quân sự có thể nhiều lần làm tê liệt hệ thống điện của cả một quốc gia cho thấy mối đe dọa hiện hữu của chiến tranh mạng. Sandworm được xem là một trong những nhóm APT nguy hiểm nhất thế giới, với kho vũ khí mạng gồm nhiều mã độc hủy diệt (BlackEnergy, Industroyer, NotPetya, OlympicDestroyer, v.v.) và mục tiêu nhắm vào ICS/SCADA, hạ tầng năng lượng của đối thủ.
Bài học bảo mật cho hệ thống ICS/SCADA
Sự kiện Industroyer 2016 đem lại nhiều bài học đắt giá về lỗ hổng an ninh trong hệ thống công nghiệp và cách thức phòng thủ trước những cuộc tấn công tương tự. Dưới đây là một số điểm yếu và biện pháp được rút ra từ vụ việc, đóng vai trò tham khảo cho các tổ chức vận hành ICS/SCADA:• Củng cố an ninh cho giao thức công nghiệp: Nhiều giao thức ICS (IEC-101, IEC-104, OPC, v.v.) được thiết kế không có cơ chế xác thực/đánh dấu nguồn gửi, do đó kẻ tấn công dễ dàng gửi lệnh giả mạo. Cần triển khai các biện pháp bù đắp như firewall ICS hoặc cổng giao thức an toàn để kiểm tra tính hợp lệ của lệnh trước khi cho phép thực thi. Về lâu dài, các nhà quản lý nên làm việc với nhà sản xuất để nâng cấp thiết bị ICS hỗ trợ chuẩn bảo mật mới (ví dụ: bổ sung xác thực thiết bị và mã hóa truyền thông). Nếu dùng thiết bị cũ không thể nâng cấp, nên cô lập hoặc đặt sau tường lửa chặt chẽ.
• Phân tách mạng và Defense-in-Depth: Sự kiện cho thấy nếu hacker xâm nhập được mạng IT thì có thể lan sang mạng OT do phân cách không rõ ràng. Do đó, doanh nghiệp phải thực hiện nguyên tắc phân vùng, phân đoạn mạng (network segmentation) mạnh mẽ giữa mạng văn phòng IT và mạng điều khiển OT. Hạn chế tối đa các kết nối không cần thiết giữa hai mạng, cô lập mạng ICS khỏi Internet và các mạng không tin cậy. Nếu cần trao đổi dữ liệu, nên sử dụng các giải pháp một chiều như Data Diode để ngăn truy cập từ ngoài vào. Song song, áp dụng mô hình phòng thủ nhiều lớp (defense-in-depth), kết hợp nhiều lớp kiểm soát (firewall, IDS, antivirus, kiểm soát thiết bị ngoại vi…) để tăng cường khả năng phát hiện và ngăn chặn xâm nhập ở từng lớp.
• Quản lý tài khoản và xác thực chặt chẽ: Industroyer cho thấy kẻ tấn công lợi dụng rất nhiều vào tài khoản hợp pháp bị đánh cắp để di chuyển nội bộ. Do đó, cần triển khai xác thực đa yếu tố (MFA) cho các tài khoản truy cập hệ thống quan trọng, đặc biệt là tài khoản quản trị ICS. Bên cạnh đó, phân quyền theo nguyên tắc tối thiểu – mỗi người chỉ được quyền phù hợp với nhiệm vụ, tránh dùng chung tài khoản admin cho nhiều hệ thống. Quan trọng là tách biệt hoàn toàn hệ thống xác thực giữa mạng văn phòng và mạng ICS (không dùng chung domain hoặc thông tin đăng nhập). Điều này ngăn chặn việc hacker lấy được mật khẩu ở IT rồi dùng ngay vào OT. Định kỳ thay đổi mật khẩu và sử dụng mật khẩu mạnh (ưu tiên độ dài) cho tất cả tài khoản. Khóa hoặc xóa các tài khoản không sử dụng, đặc biệt lưu ý vô hiệu hóa quyền truy cập remote của tài khoản admin cục bộ để giảm nguy cơ leo thang đặc quyền.
• Giám sát và phát hiện sớm bất thường: Cần có giải pháp giám sát lưu lượng mạng ICS và phân tích hành vi hệ thống để sớm phát hiện các dấu hiệu xâm nhập. Ví dụ, nếu một máy chủ bỗng gửi hàng loạt lệnh mở máy cắt, hoặc có thiết bị quét địa chỉ các trạm RTU, hệ thống giám sát ICS cần nhận biết và cảnh báo. Xây dựng các kịch bản phát hiện dựa trên hành vi đặc thù của ICS, chẳng hạn cảnh báo khi có lệnh điều khiển hàng loạt hoặc khi log sự kiện trên thiết bị bị vô hiệu hóa bất thường. Việc giám sát nên bao gồm cả tầng mạng (ICS IDS/IPS) lẫn tầng thiết bị (ghi nhận bất thường từ PLC/RTU). Ngoài ra, tổ chức diễn tập tình huống tấn công ICS thường xuyên để đội ngũ vận hành quen với dấu hiệu nhận biết và quy trình ứng phó nhanh.
• Application Whitelisting và bảo vệ máy trạm ICS: Do máy tính trong mạng ICS thường chạy các ứng dụng cố định (HMI, giao diện SCADA, v.v.), doanh nghiệp có thể áp dụng danh sách trắng ứng dụng để ngăn mã độc thực thi trên các máy này. Chỉ cho phép các ứng dụng đã được phê duyệt chạy, khóa chặn mọi chương trình lạ. Biện pháp này sẽ ngăn được malware như Industroyer cài cắm payload trên máy HMI/SCADA nếu nó chưa nằm trong danh sách cho phép. Đồng thời, nên hạn chế sử dụng USB/hotspot trên máy ICS, tránh kẻ tấn công có vector xâm nhập trực tiếp.
• Quản lý cập nhật và vá lỗi cho hệ thống ICS: Nhiều cuộc tấn công lợi dụng hệ thống ICS chạy phần mềm/hệ điều hành cũ và nhiều lỗ hổng. Do vậy, cần thiết lập chương trình quản lý cấu hình và vá lỗi định kỳ cho ICS. Thách thức là phải kiểm thử bản vá an toàn trước khi áp dụng trên hệ thống công nghiệp để tránh gián đoạn sản xuất. Doanh nghiệp nên duy trì một bản dựng cấu hình gốc (baseline) cho các máy chủ, HMI, PLC… và cập nhật bản vá trong môi trường thử nghiệm trước. Luôn tải bản cập nhật từ nguồn đáng tin cậy và kiểm tra chữ ký/hàm băm xác thực của file cập nhật. Nếu thiết bị ICS không còn bản vá (end-of-support), cần xem xét giải pháp bảo vệ bổ sung (như cô lập thiết bị, hoặc thay thế nếu có thể). Việc vá kịp thời sẽ ngăn chặn các kỹ thuật mà Industroyer đã dùng, chẳng hạn lỗ hổng DoS trên rơ-le SIPROTEC nếu được cập nhật firmware sẽ giảm nguy cơ bị khai thác.
• Kế hoạch sao lưu và phục hồi hệ thống: Một điểm yếu bị Industroyer khai thác là nhiều trạm điều khiển thiếu phương án phục hồi nhanh khi hệ thống IT bị sập. Do đó, các công ty vận hành ICS cần duy trì sao lưu định kỳ cấu hình hệ thống điều khiển, bao gồm: hình ảnh máy chủ, cấu hình HMI, cấu hình PLC/RTU, cơ sở dữ liệu SCADA…. Các bản sao lưu này nên được lưu giữ ngoại tuyến (offline) để tránh bị mã độc xóa mất, và được kiểm tra tính sẵn sàng thường xuyên. Đồng thời, xây dựng kế hoạch ứng cứu sự cố ICS chi tiết: ví dụ, nếu trung tâm SCADA bị tê liệt, có thể chuyển sang chế độ điều khiển cục bộ tại trạm? Có thiết bị dự phòng nóng hay không?... Nhờ chuẩn bị trước, khi xảy ra tấn công kiểu wiper, đội ngũ có thể khôi phục hoạt động trong thời gian ngắn nhất, giảm thiểu gián đoạn cho sản xuất và dịch vụ.
• Kiểm soát chặt chẽ truy cập từ xa: Nhiều hệ thống công nghiệp cho phép truy cập từ xa (qua VPN, modem, v.v.) để bảo trì, nhưng đây cũng là cửa mở cho hacker. Bài học rút ra là nên hạn chế tối đa kết nối từ xa vào mạng ICS. Nếu bắt buộc phải có, cần áp dụng giải pháp an toàn như kênh một chiều chỉ giám sát hoặc cơ chế truy cập tạm thời có sự giám sát của người vận hành. Tuyệt đối không duy trì kết nối VPN mở liên tục vào hệ thống ICS, và không dùng các phần mềm điều khiển từ xa không được mã hóa. Mọi truy cập remote nên yêu cầu MFA, giới hạn thời gian và phạm vi quyền hạn rõ ràng (theo nguyên tắc “lock out, tag out” trong an toàn công nghiệp).
• Nâng cao nhận thức và năng lực bảo mật: Cuối cùng, con người vẫn là mắt xích quan trọng. Cần đào tạo thường xuyên cho nhân viên về nhận biết email độc hại, tránh bẫy spear-phishing, vì đó thường là khởi đầu của các cuộc tấn công APT. Đội ngũ quản trị hệ thống ICS cũng cần được huấn luyện về các tình huống tấn công mạng, hiểu rõ Indicator of Compromise (IOC) của các malware như Industroyer để kịp thời phát hiện. Việc phối hợp chặt chẽ với các trung tâm ứng cứu sự cố (CERT) và cập nhật thông tin về mối đe dọa ICS mới sẽ giúp tổ chức chủ động phòng vệ trước khi bị tấn công.
Sự kiện Industroyer 2016 là một lời cảnh báo nghiêm túc rằng các hệ thống ICS/SCADA đang trở thành mục tiêu của chiến tranh mạng. Những điểm yếu về kỹ thuật (giao thức thiếu bảo mật, mạng không phân đoạn, quy trình vận hành lỏng lẻo) đều có thể bị khai thác để gây hậu quả thực tế. Các tổ chức vận hành hạ tầng thiết yếu cần coi trọng công tác bảo mật CNTT cho hệ thống điều khiển công nghiệp tương đương với hệ thống văn phòng. Đầu tư vào bảo mật trước khi quá muộn sẽ giúp tránh lặp lại những sự cố tương tự Industroyer trong tương lai[24].
Nguồn tài liệu tham khảo: Báo cáo kỹ thuật của ESET, Dragos; cảnh báo an ninh của CISA (Mỹ); phân tích của MITRE và các hãng bảo mật về sự cố Industroyer/CrashOverride. Các trích dẫn tiêu biểu đã được liệt kê trong bài viết.[17][4]
Tham khảo
CrashOverride Malware - CISA
Industroyer: Biggest malware threat to critical infrastructure since Stuxnet - ESET
Industroyer: A cyber-weapon that brought down a power grid
Chỉnh sửa lần cuối: