Trang chủ Công nghệ & Ứng dụng Công nghệ & Ứng dụng Nhận diện mã độc tấn công các hệ thống lưới điện

Nhận diện mã độc tấn công các hệ thống lưới điện

Tóm tắt

Các báo cáo trong vòng hai năm trở lại đây cho thấy một loại hình tấn công bằng mã độc vào các hệ thống lưới điện đã bắt đầu xảy ra ở một số nơi trên thế giới. Điều đáng báo động ở đây là các giao thức điều khiển hệ thống lưới điện đã được thiết kế cách đây hàng thập kỷ và có nhiều điểm sơ hở cho các tấn công bằng mã độc. Bên cạnh thông tin về các cuộc tấn công, bài báo này sẽ giới thiệu kiến trúc tổng quan và cơ chế hoạt động để thấy rõ sự nguy hiểm của loại mã độc này đồng thời cập nhật một số khuyến nghị với các tổ chức quản lý hệ thống lưới điện nói riêng và các hệ thống điều khiển công nghiệp nói chung.

1. Một số cuộc tấn công mạng vào lưới điện

Trong báo cáo đưa ra vào tháng 1 năm 2017, tổ chức Motherboard cho biết vào tháng 12 năm 2016 lưới điện của Ukraine đã bị gián đoạn trong vòng khoảng 1 giờ và kết quả điều tra cho thấy nguyên nhân là do một cuộc tấn công mạng. Đây cũng là sự kiện thứ 2 được ghi nhận sau một sự cố về lưới điện vào tháng 12 năm 2015 đã gây mất điện trong vòng 6 tiếng và ảnh hưởng đến khoảng 230.000 người. Sự kiện này bị nghi ngờ và bị đổ lỗi do Chính phủ Nga gây nên. Bộ An ninh nội địa Mỹ (DHS: Department of Homeland Security) mới đây cũng đưa ra bản báo cáo trong đó các tấn công mạng vào hệ thống lưới điện đã tăng cả về tần suất và độ tinh vi. Các tấn công này đến từ nhiều nguồn khác nhau bao gồm các tổ chức khủng bố ở quy mô quốc gia hoặc vùng. Loại tấn công lưới điện quốc gia Mỹ sẽ làm gián đoạn hệ thống cung cấp điện đang có xu hướng phát triển vì loại tấn công này là một trong những cách nhanh nhất để phá hoại nền kinh tế Mỹ.

Các phân tích cho thấy mã độc trong các tấn công thời gian gần đây ngày càng tinh vi và nguy hiểm hơn trước. Các nhà nghiên cứu đã chỉ ra đây là một mã độc có cấu trúc mô-đun với nhiều thành phần cấu thành và có khả năng triển khai các tấn công tự động chống lại các hệ thống điều khiển công nghiệp dùng để quản lý lưới điện. Bộ công cụ này không khai thác các lỗ hổng phần mềm như các mã độc truyền thống thay vào đó là tận dụng các giao thức và tiêu chuẩn truyền thông trong các hệ thống điều khiển công nghiệp tại châu Âu, Trung Đông và châu Á. Điều này có nghĩa là các kẻ tấn công có thể sử dụng chung một bộ công cụ đối với các mục tiêu tấn công trong tất cả các khu vực này và rất có thể đã thực hiện ở đâu đó. Với một số điều chỉnh nhỏ, bộ công cụ này có thể được sử dụng để tấn công các lưới điện tại Mỹ.

2. Mã độc Industroyer/CrashOverride

Tính đến nay, mã độc này được phát hiện và được đặt tên là Industroyer bởi các hãng ESET và Crash Override bởi Công ty Dragos. Mã độc cũng xuất hiện trong cảnh báo Alert (TA17 - 163A) ngày 12 - 6 - 2017 của tổ chức US-CERT

Mã độc Industroyer thực chất là một bộ công cụ phần mềm như mô tả trên hình 2. Bộ công cụ này bao gồm:

- Hai cửa hậu (backdoor) được thiết kế đặc biệt cho phép kẻ tấn công sử dụng chiếm quyền điều khiển hệ thống. Ngay cả khi cửa hậu thứ nhất bị phát hiện và vô hiệu hóa, cửa hậu thứ hai sẽ tiếp tục kích hoạt việc truy cập vào hệ thống;

- Một thành phần chức năng dọn dẹp (wiper) cho phép xóa các tập tin hệ thống quan trọng để có thể xem toàn bộ các trạm điều hành lưới điện;

- Một thành phần quét cổng (port scanner) để vẽ bản đồ các mạng bị nhiễm mã độc trong giai đoạn do thám (reconnaissance);

- Phần quan trọng của mã độc này là 4 mô-đun tương ứng với các giao thức điều khiển công nghiệp tiêu chuẩn bao gồm IEC 60870-5-101, IEC 60870-5-104, IEC 61850 và OPC DA (OLE for Process Control Data Access).

Các chuyên gia tại ESET cho biết Industroyer/Crash Override là nguy cơ lớn nhất đối với các hệ thống điều khiển công nghiệp kể từ khi Stuxnet, sâu phá hoại máy ly tâm được sử dụng trong chương trình hạt nhân của Iran năm 2009. Tính đến nay đã có 4 loại tấn công bằng mã độc nhắm vào các hệ thống điều khiển công nghiệp đã được phát hiện bao gồm Stuxnet, Black Engergy 2, Havex và bây giờ là Industroyer/CrashOverride. BlackEnergy và Havex được thiết kế cho mục đích gián điệp (espionage), chỉ có Stuxnet và Industroyer/CrashOverride là được thiết cho mục đích phá hoại ngầm (sabotage).

Theo Dragos, bản thân mã độc Industroyer/Crash Override không quá phức tạp so với các mã độc khác với các kịch bản tấn công tương tự đã được phát hiện. Điều khiến nó trở nên tinh xảo đó là sự hiểu biết các giao thức điều khiển trong các hệ thống điều khiển công nghiệp. Đây là các giao thức cho phép vẽ bản đồ các thiết bị công nghiệp và gửi các lệnh điều khiển mạch điện.

Mã độc này phải được cấu hình phù hợp với từng mục tiêu cụ thể do đó kẻ tấn công không thể biến nó thành một sâu máy tính để tấn công bất kỳ đối tượng nào. Bộ công cụ này cũng chứa một chức năng của bom logic (logic boom) cho phép mã độc lây nhiễm nhiều hệ thống và đồng thời tấn công chúng.

Một khi các kẻ tấn công cài đặt được các cửa hậu của Industroyer/CrashOverride, chúng có thể đánh cắp thông tin bảo mật của hệ thống và tài khoản của quản trị viên, từ đó có thể tự do truy cập vào mạng lưới mà không bị phát hiện. Chúng sẽ thực hiện hoạt động do thám trong nhiều tháng, quét lưu lượng mạng và tìm hiểu các hành vi hằng ngày của các quản trị viên để bắt chước hoạt động của họ.

Trong cuộc tấn công vào 17-12-2016 tại Ukraina, mỗi lần quản trị viên cố gắng tái chiếm quyền điều khiển để khôi phục gián đoạn thì mã độc lại tự động kích hoạt nó một lần nữa. Hiện tượng này tạo thành một vòng lặp và chỉ kết thúc khi kẻ tấn công cố tình dừng lại. Lúc này mô-đun dọn dẹp sẽ được kích hoạt và xóa các tập tin hệ thống để dừng và ngăn chặn hệ thống khởi động lại. Giải pháp duy nhất là quản trị viên phải chuyển hệ thống sang chế độ chạy thủ công.

3. Cách thức lây nhiễm của Industroyer/Override

Theo Công ty an toàn bảo mật ESET, các tấn công vào mạng điều hành (OT: Operational network) của các hệ thống công nghiệp trong đó có mạng lưới điện không diễn ra trực tiếp mà thường thông qua hệ thống công nghệ thông tin (IT: Information Technology system) của chính bản thân tổ chức quản lý OT. Các bước lây nhiễm được mô tả trên hình 3.

Một khi đã thâm nhập được vào OT, Industroyer bắt đầu tìm kiếm các bộ điều khiển logic khả trình (PLC: Program Logic Control). Khi xác định được định danh các bộ điều khiển này, mã độc sẽ đợi để kích hoạt tấn công khi có cơ hội, ví dụ như vào ban đêm, khi các quản trị viên OT thường phản ứng chậm với các sự cố. Sau đó, Industroyer sẽ triển khai tấn công từ chối dịch vụ (DOS: Deny of Service) vào các bộ điều khiển làm gián đoạn hoạt động của các đối tượng này. Dựa vào các lỗ hổng của 4 giao thức điều khiển nêu trên, Industroyer sẽ gửi các gói tin giả mạo làm quá tải các PLC/RTU.

 

Sự nguy hiểm của Industroyer là nó khó bị phát hiện. Nó bắt đầu bằng một sự thâm nhập rất âm thầm, sử dụng chiến thuật xâm lược (evasion tactics) và di chuyển vào OT để tấn công hệ thống lưới điện. Kiểu tấn công phức tạp này yêu cầu phải có hệ thống giám sát an toàn bảo mật tập trung cho toàn mạng IT và OT. Tuy nhiên, theo Gartner, hơn 60% các tổ chức công nghiệp chưa đáp ứng được yêu cầu này.

4. Một số giải pháp phòng chống Industroyer/Crash Override

Theo các cung cấp dịch vụ bảo mật IT/OT Cyberbit, có 04 giải pháp chính đối phó với Industroyer bao gồm:

- Sử dụng giải pháp phát hiện tấn công từ các đầu cuối sử dụng các thuật toán phân tích bằng học máy (machine learing) để nhận biết các hành vi xâm lược của Industroyer.

- Do Industroyer cần có thời gian để do thám mạng trước khi tấn công, nhà quản trị có thể sử dụng các hệ thống phát hiện thâm nhập (ID: Intrustion Detection) trước để ngăn chặn từ trước các nguy cơ này.

- Sử dụng giải pháp phân tích gói sâu (DPI: Deep Packet Inspection) để phân tích mạng OT và các đường truyền: Trong trường hợp Industroyer đã tiếp cận được OT.

- Sử dụng Trung tâm điều hành an toàn bảo mật đa lớp (Multi-layered Security Operation Center) cho toàn mạng IT/OT Mô hình giải pháp tổng thể chống mã độc Industry của Cyberbit được mô tả chỉ trên hình 4.

5. Kết luận

Tấn công bằng mã độc vào lưới điện là một nguy cơ hiện hữu, đặc biệt ở các quốc gia có hệ thống lưới điện lớn và được điều hành bởi các mạng máy tính IT và OT. Các công bố về Industroyer cũng là một cảnh báo quan trọng cần được xem xét đặc biệt là ở các quốc gia có hệ thống lưới điện lớn cũng như ở các khu vực chiến lược. Ngoài ra, các hãng cung cấp giải pháp IT/OT trong lĩnh vực điều khiển công nghiệp nói chung và điện lực nói riêng cũng cần phải xem xét nâng cấp hệ thống đảm bảo an toàn bảo mật tương xứng tránh các thiệt hại khi tấn công xảy ra ở quy mô lớn.

Cao Minh Thắng 

Viện công nghệ Thông tin và Truyền thông CDIT, Học viện Công nghệ Bưu chính Viễn thông.

Email: Địa chỉ email này đã được bảo vệ từ spam bots, bạn cần kích hoạt Javascript để xem nó. ' ); document.write( addy12183 ); document.write( '<\/a>' ); //--> Địa chỉ email này đã được bảo vệ từ spam bots, bạn cần kích hoạt Javascript để xem nó. ">

Theo Tạp chí Tự động hóa ngày nay số tháng 8/2017


Newer news items:
Older news items:

 

Mới cập nhật

Tìm kiếm

Quảng cáo&Liên kết