Lịch sử các vụ tấn công mạng nhắm vào hạ tầng OT

[nktung]

Trong thập kỷ qua, các hệ thống công nghệ vận hành (OT – Operational Technology) đã trở thành mục tiêu trọng điểm trong các chiến dịch tấn công mạng quy mô lớn có chủ đích. Các cuộc tấn công này không chỉ nhằm thu thập thông tin mà còn can thiệp, làm gián đoạn hoặc phá hủy trực tiếp hệ thống vật lý, từ đó để lại hậu quả nghiêm trọng cho các lĩnh vực như năng lượng, công nghiệp và an ninh quốc gia. Dưới đây là tổng hợp các sự kiện tiêu biểu trong giai đoạn 2014–2022, kèm theo phân tích kỹ thuật cho từng sự cố.

Tháng 7/2014 – PEACEPIPE: Mã độc phát tán qua chuỗi cung ứng​

Vào giữa năm 2014, nhóm được gọi là Koala Team đã xâm nhập vào các website của nhà cung cấp công nghệ OT, từ đó cài cắm mã độc có tên PEACEPIPE vào các bản update phần mềm OT, được khách hàng tải về. Phương thức tấn công thông qua chuỗi cung ứng này đã tạo điều kiện để mã độc xâm nhập sâu vào các hệ thống OT của doanh nghiệp mà không cần tấn công trực tiếp. PEACEPIPE có khả năng thu thập thông tin hệ thống, mở backdoor và hỗ trợ điều khiển từ xa. Đây là một trong những ví dụ sớm cho thấy rủi ro từ việc thiếu kiểm soát bảo mật trong chuỗi cung ứng phần mềm OT.​

Tháng 10/2014 – BlackEnergy2: Khai thác giao diện HMI qua Internet​

Chỉ vài tháng sau, nhóm Sandworm đã tận dụng điểm yếu trong các hệ thống HMI (Human-Machine Interface) kết nối internet để triển khai mã độc BlackEnergy2. Những HMI này thường không có biện pháp xác thực mạnh hoặc bị phơi bày trực tiếp trên mạng công cộng. Sau khi xâm nhập, BlackEnergy2 cho phép tin tặc giành quyền kiểm soát thiết bị OT từ xa, trích xuất cấu hình mạng, thông tin SCADA và đánh giá khả năng phá hoại. Đây là bước tiền đề cho các chiến dịch tấn công phá hoại lớn hơn trong tương lai.​

Tháng 12/2015 – BlackEnergy3 và KillDisk: Gây mất điện trên diện rộng tại Ukraine​

Trong một trong những cuộc tấn công mạng gây hậu quả vật lý rõ ràng nhất từ trước đến nay, nhóm Sandworm tiếp tục triển khai các công cụ tấn công BlackEnergy3 kết hợp với KillDisk để gây ra sự cố mất điện nghiêm trọng tại Ukraine. Sau khi giành quyền kiểm soát hệ thống SCADA của các công ty điện lực, KillDisk được sử dụng để xoá sạch ổ đĩa và ghi đè, khiến các thiết bị không thể khởi động. Hậu quả là hơn 230.000 người dân Ukraine bị mất điện trong nhiều giờ đồng hồ – sự kiện đánh dấu bước chuyển từ trinh sát mạng sang phá hoại hạ tầng thực.​

Tháng 12/2016 – INDUSTROYER: Mã độc chuyên biệt cho hệ thống công nghiệp​

Vào cuối năm 2016, Sandworm một lần nữa gây chấn động khi sử dụng một công cụ tấn công cực kỳ tinh vi: INDUSTROYER. Đây là mã độc đầu tiên được biết đến có khả năng tương tác trực tiếp với các giao thức công nghiệp tiêu chuẩn như IEC 104, OPC, và IEC 61850 – vốn là nền tảng của các hệ thống điều khiển phân tán (DCS) trong công nghiệp năng lượng. INDUSTROYER không chỉ gửi lệnh điều khiển giả mạo mà còn giả lập hành vi thiết bị hợp lệ để tránh bị phát hiện. Cuộc tấn công đã khiến một phần lớn thủ đô Kiev mất điện, tiếp tục chứng minh năng lực phá hoại OT ở mức độ toàn bộ hệ thống.

Tháng 10/2017 – TEMP.Isotope: Trinh sát thông tin OT quy mô lớn​

Thay vì phá hoại, nhóm TEMP.Isotope tập trung vào trinh sát thông tin trong OT qua một chiến dịch kéo dài. Tin tặc thu thập sơ đồ mạng, thông số thiết bị, thông tin về hệ thống điều khiển và dữ liệu nhạy cảm khác, nhằm phục vụ cho các cuộc tấn công có chủ đích trong tương lai. Hình thức này tuy không gây ảnh hưởng ngay lập tức nhưng lại là mối đe dọa âm thầm, vì nó cho phép kẻ tấn công chuẩn bị "vũ khí mạng" một cách có hệ thống và chính xác hơn về sau.

Tháng 11/2017 – TRITON: Mã độc nhắm vào hệ thống an toàn công nghiệp (SIS)​

Trong một diễn biến đặc biệt nghiêm trọng, nhóm TEMP.Veles triển khai mã độc TRITON (còn gọi là TRISIS) nhằm vào hệ thống Safety Instrumented System (SIS) tại một nhà máy hóa dầu ở Trung Đông. SIS là lớp bảo vệ cuối cùng giúp ngăn các tai nạn công nghiệp nghiêm trọng như cháy nổ hay rò rỉ hóa chất. TRITON cố gắng sửa đổi logic SIS, khiến hệ thống an toàn có thể bị vô hiệu hóa. Nếu thành công, cuộc tấn công này có thể gây thiệt hại cả về người và tài sản, mở ra "kỷ nguyên đen tối", nơi tấn công mạng có thể lấy tính mạng của con người.​

Tháng 5/2018 – VPNFILTER: Tấn công vào thiết bị mạng có khả năng trinh sát OT​

Một chiến dịch tấn công quy mô lớn liên quan đến mã độc VPNFILTER được phát hiện vào giữa năm 2018. Mã độc này lây nhiễm vào hàng trăm ngàn router và thiết bị IoT công nghiệp, có khả năng giám sát lưu lượng mạng OT, đánh cắp thông tin cấu hình SCADA, và thiết lập kênh điều khiển từ xa. VPNFILTER được cho là có liên hệ với nhóm APT28. Đặc biệt, mã độc còn có khả năng “tự hủy” để xóa sạch dấu vết trên thiết bị bị lây nhiễm.

Tháng 4/2022 – INDUSTROYER2: Biến thể nâng cấp nhắm vào ngành năng lượng​

Sau nhiều năm, Sandworm được cho là đã trở lại với biến thể nâng cấp INDUSTROYER2, lần này nhắm trực tiếp vào các công ty điện lực tại Ukraine trong bối cảnh chiến sự đang leo thang. INDUSTROYER2 được thiết kế lại để phù hợp với cấu trúc mạng cụ thể của mục tiêu, sử dụng lại một số thành phần của phiên bản trước nhưng thay đổi cách tương tác với giao thức IEC-104 để tránh bị phát hiện bởi các hệ thống phát hiện mối đe dọa cũ.

Tháng 10/2022 – Tấn công gây mất điện tại Ukraine​

Sandworm tiến hành một chiến dịch tấn công OT với kỹ thuật hoàn toàn mới. Mặc dù chi tiết về hành vi mã độc chưa được tiết lộ đầy đủ, cuộc tấn công đã gây gián đoạn hệ thống cung cấp điện tại Ukraine, đánh dấu khả năng phát triển liên tục của các kỹ thuật phá hoại hạ tầng công nghiệp. Điều này cho thấy mối đe dọa đối với OT không chỉ đến từ phần mềm cũ mà còn từ các kỹ thuật tấn công mới được tùy biến cho từng mục tiêu.

Để đối phó, các tổ chức vận hành hệ thống OT cần triển khai biện pháp phòng thủ chuyên biệt, giám sát theo ngữ cảnh OT, tăng cường tách biệt mạng IT–OT và đặc biệt chú trọng đến việc phát hiện các hành vi bất thường liên quan đến giao thức công nghiệp.


Tổng hợp từ Internet.