Nhận dạng mã độc tấn công các hệ thống lưới điện

Các cuộc tấn công mạng vào lưới điện

Vào tháng 12 năm 2016, lưới điện của Ukraine đã bị gián đoạn trong vòng một giờ và kết quả điều tra chỉ ra rằng nguyên nhân là do một cuộc tấn công mạng. 

Đây là sự cố về điện thứ hai sau sự cố điện vào tháng 12 năm 2015 gây mất điện trong vòng 6 tiếng và ảnh hưởng tới gần 250000 người.

Các phân tích chỉ ra rằng mã độc trong các cuộc tấn công này ngày càng tinh vi và nguy hiểm. Đây là mã độc có cấu trúc với nhiều thành phần và có khả năng triển khai các tấn công tự động chống lại các hệ thống điều khiển công nghiệp dùng để quản lý lưới điện. Bộ công cụ này không khai thác các lỗ hổng phần mềm như các mã độc truyền thống mà tận dụng các giao thức và tiêu chuẩn truyền thông trong các hệ thống điều khiển công nghiệp tại châu Âu, Trung Đông và châu Á. Các kẻ tấn công có thể sử dụng chung một công cụ đối với các mục tiêu trong khu vực này và thực hiện ở đâu đó.

Mã độc Industroyer/CrashOverride

Hiện tại, mã độc này đã được phát hiện và được đặt tên là Industroyer bởi các hãng ESET và Crash Override bởi công ty Dragos. Mã độc cũng xuất hiện trong cảnh báo Alert (TA17 – 163A) ngày 12/6/2017 của tổ chức US-CERT

Mã Industroyer

Mã độc Industroyer thực chất là một bộ công cụ phần mềm như mô tả trên hình 2. Bộ công cụ này bao gồm:

– Hai cửa hậu (backdoor) được thiết kế đặc biệt cho phép kẻ tấn công sử dụng chiếm quyền điều khiển hệ thống. Ngay khi cả cửa hậu bị phát hiện và vô hiệu hóa, cửa hậu thứ hai sẽ tiếp tục kích hoạt việc truy cập vào hệ thống.

– Một thành phần quét cổng (post scanner) để vẽ bản đồ các mạng bị nhiễm mã độc trong giai đoạn do thám

– Phần quan trọng của mã độc này là 4 mô đun tương ứng các giao thức điểu khiển công nghiệp tiêu chuẩn bao gồm IEC 60870-5-101, IEC 60870-5-104, IEC 61850 và OPC DA (OLE for Process Control Data Access).

Các chuyên gia tại ESET cho biết Industroyer/CrashOverride là nguy cơ lớn nhất đối với hệ thống điều khiển công nghiệp. 

Cách thức lây nhiễm của Industroyer/Override

Theo ESET, các tấn công vào mạng điều hành của các hệ thống công nghiệp trong đó có mạng lưới điện không diễn ra trực tiếp mà thường thông qua hệ thống công nghệ thông tin của chính bản thân tổ chức quản lý. 

Các bước lây nhiễm được mô tả như hình 3.

Các bước lây nhiễm

 

Một khi đã thâm nhập được vào OT, Industroyer bắt đầu tìm kiếm các bộ điều khiển logic khả trình. Khi xác định được định danh các bộ điều khiển này, mã độc sẽ đợi để kích hoạt tấn công khi có cơ hội, ví dụ như vào ban đêm, khi các quản trị viên OT thường phản ứng chậm với các sự cố. Sau đó, Industroyer sẽ triển khai tấn công từ chối dịch vụ vào các bộ điều khiển làm gián đoạn hoạt động của các đối tượng này. Dựa vào các lỗ hổng của 4 giao thức điều khiển nêu trên, Industroyer sẽ gửi các gói tin giả mạo làm quá tải các PLC/RTU.

Các giải pháp phòng chống Industroyer/ Crash Override

Mô hình giải pháp

Theo các cung cấp dịch vụ bảo mật IT/OT Cyberbit, có 4 giải pháp chính đối phó với Insustroyer bao gồm:

– Sử dụng giải pháp phát hiện tấn công từ các đầu cuối sử dụng các thuật toán phân tích bằng học máy (machine learning) để nhận biết các hành vi xâm lược của Industroyer. 

– Do Industroyer cần có thời gian để do thám mạng trước khi tấn công, nhà quản trị có thể sử dụng các hệ thống phát hiện thâm nhập trước để ngăn chặn từ trước các nguy cơ này.

– Sử dụng phân tích giải pháp gói sâu (DPI: Deep Packet Inspection) để phân tích mạng OT và các đường truyền: Trong trường hợp Industroyer đã tiếp cận được OT.

– Sử dụng Trung tâm điều hành an toàn bảo mật đa lớp cho toàn mạng IT/OT 

Theo Cao Minh Thắng 

(Tạp chí Tự động hóa ngày nay)

 

 

 

Trả lời

Thư điện tử của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *