Tấn công nhà máy điện qua mạng: Hiểm họa bảo mật mới

Giáng sinh năm ngoái, sự cố mất điện trên diện rộng đã khiến hơn 225 nghìn hộ dân Ukraina phải sống trong cảnh tăm tối và rét mướt nhiều ngày trời. Đây không phải sự cố thông thường. Đã có một cuộc tấn công tinh vi qua mạng nhắm vào một trong những công ty cấp điện chính của nước này.

Nhà máy điện Prykarpattyaoblenergo Ukraina - nơi hứng chịucuộc tấn công tinh vi của tin tặc.

Cuộc tấn công diễn ra vào chiều muộn ngày 23/12/2015. Kẻ tấn công đã sử dụng quyền truy cập từ xa chiếm đoạt được để kiểm soát máy tính tại trung tâm điều khiển của công ty Prykarpattyaoblenergo để ngắt cầu dao và tắt toàn bộ các máy phát điện.

Tổng cộng đã có khoảng 30 máy phát điện bị tắt, trong đó có cả máy phát điện cấp cho phòng điều khiển chính của Prykarpattyaoblenergo. Các nhân viên đã phải làm việc cực nhọc trong đêm tối để tạm thời khắc phục sự cố bất ngờ và "chết người" này.

Nhiều tháng sau sự cố trên, các hệ thống máy tính tại công ty cấp điện Ukraina vẫn chưa được khôi phục hoàn toàn. Ẩn sâu trong hệ thống là loại phần mềm độc hại "Killdisk" vẫn chui lủi và thi thoảng xóa các tệp tin điều khiển mà người ta không sao loại bỏ hết được.

Lỗ hổng chết người

Theo Stephen Ward, giám đốc cao cấp của công ty bảo mật iSight Partners, người trực tiếp phân tích cuộc tấn công nhà máy điện trên, sẽ cần rất nhiều thời gian và nguồn lực để thực hiện một cuộc tấn công tinh vi và phức tạp đến vậy. Tuy nhiên, có một điều chắc chắn là để thực hiện được điều đó không dễ dàng chút nào. Tấn công một nhà máy điện không đơn giản như xâm nhập vào chiếc máy tính người dùng hoặc hệ thống máy tính doanh nghiệp.

Rất nhiều hệ thống kiểm soát mạng lưới tàu hỏa trên thế giới kết nối với Internet.

Để xâm nhập vào hệ thống kiểm soát điện, kẻ tấn công phải nắm được thông tin và hiểu được quy trình vận hành diễn ra thế nào. Những quy trình này được thiết kế hoàn toàn khác với những lĩnh vực khác, thậm chí mỗi nhà máy điện lại có quy trình vận hành khác nhau. Có thể phần mềm cơ bản giống nhau nhưng mỗi nhà máy điện lại viết logic điều khiển và quy trình khác nhau. Quy trình này mang tính đặc thù, mỗi nơi mỗi khác.

Các bằng chứng cho thấy thực tế trên là hoàn toàn đúng. Kẻ tấn công vào nhà máy điện Ukraina đã phải mất vài tháng trời để nghiên cứu hệ thống máy tính của Prykarpattyaoblenergo bắt nguồn từ việc lừa nhân viên điều hành mở tệp tin đính kèm theo e-mail giả danh bạn bè hoặc đồng nghiệp gửi tới.

Tuy nhiên, Sergey Gordeychik, phó giám đốc công nghệ của Kaspersky Lab, cho biết vẫn còn những cách khác để xâm nhập vào hệ thống kiểm soát công nghiệp (ICS) – vốn được sử dụng cho nhà máy điện, nhà máy nước hoặc hệ thống kiểm soát giao thông. Cụ thể ở đây là hệ thống Scada, dùng để quản lý nhà máy và máy móc trong ngành công nghiệp. Hiện đang có hơn 80.000 các loại hệ thống ICS khác nhau kết nối trực tiếp với Internet, và đây chính là đầu mối dẫn tới các cuộc tấn công, đột nhập.

Bảo mật của hệ thống điều khiển công nghiệp ICS được ví như HĐH Windows 95 lỗi thời.

"Nếu so chuẩn bảo mật của hệ thống ICS hiện tại với máy tính Windows hoặc Apple thì nó chỉ như hệ điều hành Windows 95 mà thôi. Các hệ thống ICS này giống như hệ điều hành PC đã 10 năm tuổi vốn được bảo mật rất thấp", Sergey Gordeychik cho biết.

Sergey Gordeychik đã làm việc với Scada Strangelove, cộng đồng bảo mật chuyên tìm kiếm lỗ hổng trong hệ thống ICS kết nối Internet, để cảnh báo các công ty tách hệ thống có vấn đề ra khỏi môi trường Internet. Hoạt động này còn bao gồm việc thúc giục các hãng sản xuất phần cứng nâng cấp phần mềm điều khiển để hệ thống vận hành an toàn hơn.

Hàng rào số

Theo Ian Glover, người đứng đầu tổ chức Crest chuyên cấp chứng nhận cho hacker "mũ trắng" vào làm việc trong các tổ chức doanh nghiệp hoặc cơ quan chính phủ, thì "lỗ hổng lớn nhất chính là kết nối những hạ tầng CNTT yếu kém của doanh nghiệp với các công nghệ đang được vận hành".

Các công nghệ vận hành (OT) dùng để chỉ hệ thống máy móc chuyên ngành hoặc được sử dụng trong nhà máy công nghiệp dùng để kiểm soát quy trình hoặc trợ giúp quản lý vận hành từ xa. Phần lớn các cuộc tấn công nhắm vào nền tảng CNTT doanh nghiệp, rồi sau đó giả mạo người dùng hợp pháp tiếp cận hệ thống ICS hoặc các công nghệ vận hành để thao túng toàn bộ.

Tất nhiên, phải có lý do nào đó các hacker mới đi theo con đường vòng kiểu này. Thông thường, tấn công và khai thác hệ thống CNTT doanh nghiệp luôn dễ dàng hơn bởi có rất nhiều công cụ làm được việc đó. Mà những hệ thống như thế này là bước tiếp cận đầu tiên giúp tin tặc chiếm quyền điều khiển những hệ thống công nghiệp phức tạp hơn.

Đó cũng chính là lý do mà các công ty công nghệ Anh, Pháp, Mỹ … luôn bị chính phủ hối thúc kiện toàn và hoàn thiện hệ thống bảo mật. Điều này trước hết là vì quyền lợi doanh nghiệp, thứ đến là giúp ngăn chặn nguy cơ tấn công vào các hệ thống công nghiệp liên quan tới an ninh quốc gia như điện, nước, năng lượng…

Sở Chỉ huy thông tin của chính phủ Anh (GCHQ) cảnh báo rằng có nhiều tổ chức, kể cả riêng lẻ hoặc có sự hậu thuẫn của chính phủ nào đó, có thể thực hiện các cuộc tấn công vào nhà máy điện, thậm chí là điện hạt nhân, và các ngành công nghiệp quan trọng khác ngay từ bây giờ.

Theo Zing