Các cuộc tấn công mạng vào đường ống dẫn và các công trình công nghiệp khác hoạt động như thế nào?
Không có tin tức gì khi nhiều tổ chức công nghệ lớn đã phải hứng chịu hết cuộc tấn công mạng này đến cuộc tấn công mạng khác. Nhưng một cuộc tấn công mạng nhằm vào các công nghệ hoạt động của các nhà máy công nghiệp như đường ống và trạm điện?
Thật là táo bạo và nhục nhã. Và không phải chuyện đùa khi nó xảy ra. Những cuộc tấn công như vậy, nếu thành công, sẽ làm đình trệ các hoạt động công nghiệp và ảnh hưởng tiêu cực đến những người phụ thuộc vào ngành công nghiệp bị nạn. Tệ hơn nữa, nó có thể làm tê liệt một quốc gia về mặt kinh tế.
Nhưng các cuộc tấn công mạng vào đường ống dẫn và các cơ sở công nghiệp khác hoạt động như thế nào? Nào cùng đào vào bên trong.
Mục Lục
Tại sao các cuộc tấn công mạng lại xảy ra đối với các cơ sở công nghiệp
Đối với hầu hết chúng ta, không hiểu bằng cách nào và tại sao bất kỳ ai cũng có cơ hội thực hiện một cuộc tấn công mạng được dàn dựng kỹ thuật số nhằm vào một nhà máy công nghiệp được vận hành bằng máy móc.
Trên thực tế, hiện nay chúng ta thấy trí tuệ nhân tạo, máy học và nhiều công nghệ kỹ thuật số hơn đang tiếp quản các hoạt động cơ khí và thậm chí là kỹ thuật trong các nhà máy công nghiệp. Do đó, dữ liệu hoạt động, thông tin hậu cần, v.v. của họ hiện đang ở trên internet và dễ bị đánh cắp và tấn công.
Có nhiều lý do giải thích tại sao các cuộc tấn công mạng ngày càng lan rộng vào các cơ sở lắp đặt công nghiệp như đường ống, trạm điện, trạm cấp nước, ngành công nghiệp thực phẩm và những thứ tương tự.
Dù động cơ là gì, nó có thể sẽ thuộc một trong các loại sau.
1. Động cơ chính trị, kinh tế và kinh doanh
Từ góc độ kinh doanh, những kẻ tấn công đôi khi tấn công một hệ thống công nghiệp để lấy thông tin về công thức hóa học, thương hiệu, quy mô thị trường, kế hoạch kỹ thuật và kinh doanh, v.v. Điều này có thể đến từ một công ty cạnh tranh hoặc những người có ý định thành lập.
Tuy nhiên, chính trị cũng đóng một vai trò quan trọng. Các cuộc tấn công mạng do nhà nước bảo trợ thường có ý định làm tê liệt cơ sở hạ tầng kinh tế của một quốc gia khác để thể hiện sức mạnh và khả năng của quốc gia đó. Một trong những cách họ đạt được điều này là phá vỡ các quy trình trong các ngành thúc đẩy nền kinh tế của một quốc gia là nạn nhân. Và đã có báo cáo về một vài người trong số họ ở đây và ở đó.
2. Động cơ tài chính
Đây là một trong những lý do phổ biến nhất đằng sau các cuộc tấn công mạng. Những kẻ tấn công có thể xâm nhập vào một hệ thống công nghiệp vì một số động cơ tài chính, từ truy xuất thông tin thẻ tín dụng đến đánh cắp thông tin tài chính.
Chúng thường đạt được điều này thông qua phần mềm độc hại hoặc trojan, vì vậy chúng có thể xâm nhập vào hệ thống mà không bị phát hiện. Khi vào bên trong, họ có thể lấy dữ liệu liên quan đến các quy trình kỹ thuật. Sau đó, hacker có thể cung cấp thông tin mà họ đánh cắp được trên thị trường chợ đen cho bất kỳ ai quan tâm.
Một cách khác mà họ có thể kiếm tiền là thông qua tiêm ransomware, trong đó những kẻ tấn công mã hóa dữ liệu của mục tiêu và sau đó bán mật khẩu với một khoản tiền khổng lồ.
Ngoài ra còn có các cuộc tấn công từ chối dịch vụ (DDoS) phân tán, trong đó một số máy tính bị nhiễm đồng thời truy cập vào trang web của mục tiêu, do đó áp đảo hệ thống của họ. Điều này ngăn không cho khách hàng liên hệ với công ty nói trên cho đến khi họ ngừng cuộc tấn công.
Các cuộc tấn công mạng này hoạt động như thế nào? Ví dụ đáng chú ý
Bây giờ bạn đã thấy những lý do nổi bật đằng sau các cuộc tấn công mạng vào các nhà máy công nghiệp. Chúng ta hãy rút ra cái nhìn sâu sắc về cách nó hoạt động từ những ví dụ đáng chú ý này.
1. Đường ống Thuộc địa
Đường ống Thuộc địa vận chuyển khoảng 3 triệu thùng sản phẩm dầu mỏ mỗi ngày trong Hoa Kỳ. Đó là đường ống dẫn nhiên liệu lớn nhất ở Mỹ. Tất nhiên, người ta sẽ tưởng tượng được độ khó của việc hack một hệ thống phức tạp như vậy.
Nhưng điều không tưởng đã xảy ra. Tin tức về vụ tấn công của nó đã xuất hiện rầm rộ suốt tháng 5 năm 2021, với việc Tổng thống Joe Biden tuyên bố tình trạng khẩn cấp do thiếu nhiên liệu máy bay và hoảng loạn mua xăng và dầu sưởi. Đây là sau khi đường ống bị đóng cửa tất cả các hoạt động do cuộc tấn công mạng.
Các tin tặc đã làm tê liệt các hoạt động của Đường ống Thuộc địa như thế nào? Qua ransomware. Suy đoán là những kẻ tấn công đã ở trong mạng của đường ống trong nhiều tuần mà không được chú ý.
Sau khi truy cập vào mạng của đường ống bằng mật khẩu bị rò rỉ và tên người dùng được tìm thấy trên dark web, những kẻ tấn công đã tiêm phần mềm độc hại vào hệ thống CNTT của đường ống, mã hóa mạng thanh toán của họ và bắt họ làm con tin. Sau đó, họ đã đi xa hơn để đánh cắp khoảng 100 gigabyte dữ liệu và yêu cầu một khoản tiền chuộc được trả bằng Bitcoin để đổi lấy việc giải mã.
Làm thế nào mà tên người dùng và mật khẩu nói trên bị rò rỉ trên dark web? Không ai chắc chắn. Nhưng một thủ phạm có thể là lừa đảo, nhắm mục tiêu vào một nhân viên của Đường ống Thuộc địa.
Mặc dù cuộc tấn công này không ảnh hưởng đến các hệ thống cơ học được vận hành bằng kỹ thuật số, nhưng tác động của ransomware có thể tàn khốc hơn nếu Colonial Pipeline mạo hiểm hoạt động thêm bất chấp cuộc tấn công mạng.
2. Hệ thống cấp nước Oldsmar (Florida)
Trong trường hợp của hệ thống cấp nước Oldsmar, tin tặc đã kiểm soát ảo cơ sở hạ tầng xử lý hóa chất thông qua TeamViewer, một phần mềm chia sẻ màn hình được sử dụng bởi nhóm kỹ thuật.
Khi vào bên trong, kẻ tấn công đi thẳng vào hệ thống kiểm soát xử lý của cơ sở và tăng mức natri hydroxit thêm vào nước lên mức độc hại – chính xác là từ 100 đến 11,100 phần triệu (ppm).
Nếu các nhân viên làm nhiệm vụ không nhận thấy sự gia tăng vô lý này của mức độ hóa học và đưa nó xuống mức bình thường, các tin tặc có nghĩa là đã thực hiện hành vi giết người hàng loạt.
Làm cách nào những kẻ tấn công này có được thông tin đăng nhập TeamViewer để truy cập từ xa vào giao diện người-máy?
Chắc hẳn họ đã khai thác hai lỗ hổng trong hệ thống kiểm soát của Oldsmar. Đầu tiên, tất cả nhân viên sử dụng cùng một ID TeamViewer và mật khẩu để truy cập vào hệ thống bị tấn công. Thứ hai, phần mềm của hệ thống đã lỗi thời vì nó hoạt động trên Windows 7, mà Microsoft cho biết dễ bị tấn công bởi phần mềm độc hại hơn do hỗ trợ ngừng hoạt động.
Các tin tặc chắc hẳn đã bị ép buộc xâm nhập hoặc đánh hơi hệ thống lỗi thời bằng cách sử dụng phần mềm độc hại.
3. Trạm điện Ucraina
Khoảng 225.000 người đã rơi vào bóng tối sau khi hệ thống lưới điện Ukraine bị tấn công mạng vào tháng 12 năm 2015. Lần này, những kẻ tấn công đã sử dụng BlackEnergy, một phần mềm độc hại điều khiển hệ thống đa năng, để đạt được mục đích của chúng.
Nhưng làm thế nào họ tìm ra cách đưa phần mềm độc hại này vào một hệ thống công nghiệp lớn như vậy?
Các tin tặc trước đó đã thực hiện một chiến dịch lừa đảo lớn trước cuộc tấn công. Email lừa đảo đã đánh lừa nhân viên nhấp vào một liên kết khiến họ cài đặt một plugin độc hại được ngụy trang dưới dạng Macro.
Plugin này đã cho phép bot BlackEnergy lây nhiễm thành công hệ thống lưới điện thông qua truy cập cửa sau. Sau đó, các tin tặc đã có được thông tin xác thực VPN cho phép nhân viên điều khiển hệ thống lưới điện từ xa.
Khi vào bên trong, các tin tặc đã mất thời gian để theo dõi các quá trình. Và khi đã sẵn sàng, họ đăng xuất nhân viên ra khỏi tất cả các hệ thống, nắm quyền kiểm soát bộ xử lý kiểm soát giám sát và thu thập dữ liệu (SCADA). Sau đó, chúng vô hiệu hóa nguồn điện dự phòng, đóng cửa 30 trạm biến áp điện và sử dụng các cuộc tấn công từ chối dịch vụ để ngăn chặn báo cáo cúp điện.
4. Cuộc tấn công Triton
Triton là một tập lệnh phần mềm độc hại chủ yếu nhắm vào các hệ thống điều khiển công nghiệp. Vào năm 2017, một nhóm tin tặc đã tiêm nhiễm nó vào nơi mà các chuyên gia cho là một nhà máy điện hóa dầu ở Ả Rập Xê Út.
Cuộc tấn công này cũng diễn ra theo mô hình lừa đảo và có thể có khả năng ép mật khẩu để có được quyền truy cập cửa hậu ban đầu vào các hệ thống kiểm soát trước khi đưa phần mềm độc hại vào.
Sau đó, các tin tặc đã có được quyền truy cập điều khiển từ xa vào máy trạm của hệ thống công cụ an toàn (SIS) để ngăn chúng báo cáo lỗi một cách chính xác.
Tuy nhiên, có vẻ như những kẻ tấn công chỉ đang tìm hiểu cách hệ thống hoạt động trước khi thực hiện một cuộc tấn công thực sự. Trong khi các tin tặc di chuyển xung quanh và chỉnh sửa hệ thống điều khiển, toàn bộ nhà máy đã đóng cửa, nhờ một số hệ thống an toàn đã kích hoạt két an toàn dự phòng.
5. Cuộc tấn công Stuxnet
Stuxnet là một loại sâu máy tính chủ yếu nhắm vào các bộ điều khiển logic có thể lập trình (PLC) trong các cơ sở hạt nhân. Loại sâu này được phát triển bởi nhóm nghiên cứu chung của Mỹ và Israel, di chuyển qua USB flash với mối quan hệ với Hệ điều hành Windows.
Stuxnet hoạt động bằng cách tiếp quản các hệ thống điều khiển và điều chỉnh các chương trình hiện có để gây ra thiệt hại trong PLC. Năm 2010, nó được sử dụng làm vũ khí mạng chống lại một cơ sở làm giàu Uranium ở Iran.
Sau khi lây nhiễm hơn 200.000 máy tính trong cơ sở, con sâu này đã lập trình lại các hướng dẫn quay trên máy ly tâm Uranium. Điều này khiến chúng quay đột ngột và tự hủy trong quá trình này.
6. Nhà máy chế biến thịt JBS
Vì lợi nhuận sắp xảy ra, tin tặc sẽ không miễn trừ các ngành công nghiệp chế biến thực phẩm khỏi các cuộc thám hiểm của họ. Động cơ tài chính đã thúc đẩy các tin tặc tấn công các hoạt động tại JBS, nhà máy chế biến thịt lớn nhất thế giới, vào tháng 6 năm 2021.
Do đó, công ty đóng cửa tất cả các hoạt động trên khắp Bắc Mỹ và Úc. Điều này xảy ra vài tuần sau cuộc tấn công của Colonial Pipeline.
Cuộc tấn công vào nhà máy công nghiệp JBS diễn ra như thế nào?
Giống như trường hợp của Colonial Pipeline, những kẻ tấn công đã lây nhiễm ransomware vào hệ thống chế biến thịt của JBS. Sau đó, họ đe dọa sẽ xóa thông tin nổi tiếng nếu công ty không trả tiền chuộc bằng tiền điện tử.
Các cuộc tấn công mạng công nghiệp theo một khuôn mẫu
Mặc dù mỗi cuộc tấn công này đều có một kế hoạch hành động, nhưng một mô hình mà chúng ta có thể suy ra là tin tặc phải vi phạm các giao thức xác thực để có được quyền truy cập ban đầu. Họ đạt được điều này bằng cách ép buộc, lừa đảo hoặc đánh hơi.
Sau đó, họ cài đặt bất kỳ phần mềm độc hại hoặc vi rút nào vào hệ thống công nghiệp mục tiêu để giúp họ đạt được mục tiêu của mình.
Các cuộc tấn công mạng vào các cơ sở công nghiệp đang tàn phá
Tấn công mạng ngày càng gia tăng và trở nên sinh lợi đáng sợ trên internet. Như bạn đã thấy, nó không chỉ ảnh hưởng đến tổ chức được nhắm mục tiêu mà còn lan rộng đến những người hưởng lợi từ sản phẩm của nó. Bản thân các hoạt động cơ học không dễ bị tấn công mạng, nhưng các công nghệ kỹ thuật số kiểm soát đằng sau chúng khiến chúng dễ bị tấn công.
Điều đó nói lên rằng ảnh hưởng của hệ thống điều khiển kỹ thuật số đối với các quy trình kỹ thuật là có giá trị. Các ngành công nghiệp chỉ có thể tăng cường tường lửa của họ và tuân theo các quy tắc bảo mật nghiêm ngặt, kiểm tra và cân bằng để ngăn chặn các cuộc tấn công mạng.
Đọc tiếp
Giới thiệu về tác giả
