Nhóm tin tặc TEMP.Isotope và các hoạt động tấn công mạng công nghiệp

[nktung]

Tổng quan về nhóm TEMP.Isotope​

TEMP.Isotope là mật danh do FireEye đặt cho một nhóm APT được biết đến nhiều hơn dưới tên Dragonfly (Symantec) hay Energetic Bear (CrowdStrike). Đây là một nhóm tin tặc hoạt động ít nhất từ năm 2010, chuyên thực hiện các chiến dịch gián điệp mạng nhắm vào các lĩnh vực hạ tầng trọng yếu, đặc biệt là hệ thống điều khiển công nghiệp (ICS/SCADA) và năng lượng. Trong giai đoạn 2011–2014, Dragonfly đã tấn công chuỗi cung ứng phần mềm ICS và các công ty năng lượng tại châu Âu và Bắc Mỹ. Đến khoảng cuối 2015, nhóm tái xuất hiện với chiến dịch “Dragonfly 2.0” kéo dài đến 2017, cho thấy sự gia tăng hoạt động rõ rệt trong năm 2017.
TEMP.Isotope/Dragonfly sử dụng nhiều chiến thuật APT tinh vi để xâm nhập và lưu lại trong mạng nạn nhân. Chúng bao gồm tấn công spear-phishing có chủ đích, tấn công watering hole (chèn mã độc vào website mà đối tượng quan tâm thường truy cập), lợi dụng các công cụ/quy trình hợp pháp và thậm chí trojan hóa phần mềm hợp pháp nhằm che giấu hoạt động. Mục tiêu chính của nhóm thường là thu thập thông tin tình báo về hệ thống ICS – chẳng hạn cách vận hành nhà máy điện – đồng thời thiết lập khả năng truy cập vào hệ thống OT (Operational Technology). Symantec cho biết Dragonfly tỏ ra quan tâm đến việc tìm hiểu cấu trúc vận hành của các cơ sở năng lượng và có tiềm năng thực sự để chiếm quyền điều khiển hoặc phá hoại hệ thống mà chúng xâm nhập.​

Mục tiêu và phạm vi cuộc tấn công (10/2017)​

Vụ tấn công phát hiện vào tháng 10/2017 là đỉnh điểm của chiến dịch Dragonfly 2.0 do TEMP.Isotope thực hiện, nhắm vào hàng loạt tổ chức thuộc lĩnh vực hạ tầng trọng yếu. Theo cảnh báo TA17-293A của ICS-CERT (CISA) thời điểm đó, các đối tượng nạn nhân bao gồm các công ty năng lượng (điện lực, dầu khí), nhà máy điện hạt nhân, hệ thống cấp nước, hàng không và sản xuất công nghiệp quan trọng tại Bắc Mỹ, châu Âu và Trung Đông. Cơ quan an ninh đã xác định nạn nhân cụ thể ở Mỹ cùng nhiều nước khác như Thổ Nhĩ Kỳ, Israel, Ireland và Anh. Đáng chú ý, cả mạng CNTT doanh nghiệp lẫn mạng OT công nghiệp của các đơn vị này đều bị nhắm tới. Nhóm tấn công ban đầu xâm nhập các mạng “vệ tinh” (staging target) kém an ninh hơn – điển hình là các nhà thầu, nhà cung cấp có liên kết với mục tiêu chính – rồi từ đó đánh ngang sang hệ thống ICS/SCADA nội bộ của các công ty năng lượng lớn. Mục tiêu sau cùng của TEMP.Isotope là nắm được quyền truy cập sâu trong mạng vận hành công nghiệp của nạn nhân, thu thập dữ liệu kỹ thuật ICS và sẵn sàng cho các hoạt động gián điệp hoặc phá hoại về sau.

Kỹ thuật tấn công chính​

Cuộc tấn công diễn ra theo một chuỗi nhiều giai đoạn hết sức bài bản, sử dụng kết hợp nhiều kỹ thuật tinh vi nhằm xâm nhập và mở rộng hiện diện trong hệ thống mục tiêu. Dưới đây là các phương thức chính được TEMP.Isotope triển khai trong chiến dịch này:​

• Mở đầu bằng trinh sát: Nhóm APT đã nghiên cứu kỹ mục tiêu từ trước, thu thập thông tin công khai (OSINT) về cơ cấu mạng và hệ thống ICS của nạn nhân. Họ truy lùng trên website của tổ chức các tài liệu tưởng chừng vô hại nhưng ẩn chứa dữ liệu kỹ thuật quan trọng. Ví dụ, tin tặc đã tìm hiểu một bức ảnh trên trang nhân sự của một công ty, rồi phóng to để thấy rõ model thiết bị điều khiển công nghiệp và trạng thái vận hành hiển thị trên màn hình phía sau nhân viên trong ảnh. Ngoài ra, từ các mạng “bàn đạp” đã xâm nhập, chúng tiếp tục dò tìm cổng VPN, cổng email, website nội bộ... của các công ty năng lượng lớn để xác định điểm truy cập từ xa và tài khoản liên kết có thể lợi dụng.​
• Tấn công Spear-Phishing có chủ đích: Đây là phương thức xâm nhập chủ yếu. TEMP.Isotope sử dụng các email giả mạo (được gửi từ tài khoản hợp pháp đã chiếm trước đó) gửi tới nhân viên của mục tiêu. Nội dung email được thiết kế liên quan đến hệ thống điều khiển công nghiệp hoặc vận hành nhà máy, ví dụ như hồ sơ ứng viên kỹ sư SCADA, thư mời hội thảo, tài liệu kỹ thuật... để tạo độ tin cậy. Email thường đính kèm file Microsoft Word độc hại có sử dụng macro hoặc tính năng lây nhiễm tinh vi có tên là Temple Injection qua giao thức SMB nhằm đánh cắp hash mật khẩu Windows của nạn nhân ngay khi mở file. Kỹ thuật này khai thác chức năng tự động của MS Word: file Word tham chiếu đến một tài nguyên từ xa khiến Windows tự động gửi hash NTLM của người dùng đến máy chủ của kẻ tấn công để xác thực. Tin tặc sau đó giải mã hash này để lấy mật khẩu rõ, rồi dùng tài khoản hợp lệ để đăng nhập trá hình vào hệ thống mục tiêu. Trong một biến thể khác, email đính kèm file PDF “mồi”, không chứa mã độc nhưng có một đường link ẩn. Khi người dùng mở PDF, tài liệu hiển thị thông báo lỗi tải tài liệu và gợi ý bấm vào link – thực chất trỏ tới trang web do hacker kiểm soát để dụ tải mã độc xuống.​
• Tấn công Watering Hole: Song song với spear-phishing, nhóm TEMP.Isotope còn tiến hành cài bẫy trên các website đáng tin cậy mà giới kỹ sư và nhân viên ngành năng lượng hay truy cập. Có bằng chứng cho thấy khoảng một nửa số website watering hole mà nhóm sử dụng là các trang tin, diễn đàn, tạp chí chuyên ngành ICS/SCADA và hạ tầng công nghiệp. Tin tặc khai thác lỗ hổng hoặc sử dụng thông tin xác thực đánh cắp để chèn một đoạn mã độc vào các trang này (ví dụ chỉnh sửa tệp header.php trên máy chủ). Mã độc thêm vào sẽ tự động redirect trình duyệt của người truy cập đến một máy chủ C2 ẩn do kẻ tấn công kiểm soát (thông qua chuỗi URL rút gọn như bit.ly, TinyURL), thường trỏ tới một địa chỉ IP dịch vụ SMB (cổng 445) để thu thập tiếp hash chứng thực Windows của nạn nhân. Chính bằng chiêu thức watering hole này, TEMP.Isotope đã âm thầm thu được nhiều cặp tên đăng nhập/mật khẩu trong ngành năng lượng, tạo tiền đề xâm nhập sâu hơn. (Khoảng giữa 2016–2017, Symantec ghi nhận các website kỹ thuật bị chèn mã độc redirect và Backdoor.Goodor được cài vào máy nạn nhân vài ngày sau khi họ truy cập trang bị nhiễm).​
• Khai thác và cấy cửa hậu: Với thông tin đăng nhập thu thập được, tin tặc đăng nhập hợp lệ vào hệ thống của mục tiêu (nhất là khi nạn nhân không sử dụng xác thực đa yếu tố). Ngay sau khi có quyền truy cập, chúng tiến hành tải và cài mã độc để thiết lập chỗ đứng. Các công cụ được tải xuống ban đầu thường có phần mở rộng giả (.txt, .jpg) nhằm qua mặt hệ thống phát hiện, sau đó mới được đổi đuôi thành .exe và thực thi. Chẳng hạn, trong một trường hợp, kẻ tấn công tải tệp INST.txt từ máy chủ, đổi tên thành INST.exe rồi thực thi nó trên máy nạn nhân. Quá trình này đã âm thầm kích hoạt việc tải và chạy tiếp ntdll.exe trong bộ nhớ của máy bị nhiễm. Symantec phân tích mẫu INST.exe này và xác định nó chính là Backdoor.Goodor – một cửa hậu cho phép điều khiển máy nạn nhân từ xa thông qua PowerShell. Bên cạnh Goodor, nhóm còn triển khai các backdoor khác trong giai đoạn này như Dorshel, Karagany.B và Heriplor. Các backdoor này thường được tùy biến từ phần mềm hợp pháp hoặc ngụy trang thành chương trình phổ biến (ví dụ Backdoor.Dorshel được nhóm nhúng vào các ứng dụng Windows chuẩn thông qua công cụ Shellter; Trojan.Karagany.B được cài xuống dưới vỏ bọc bản cập nhật Flash Player giả mạo). Mục đích là để duy trì quyền truy cập liên tục (ngay cả khi nạn nhân đổi mật khẩu) và tạo cầu nối liên lạc với hạ tầng C2 bên ngoài.​
• Di chuyển ngang và leo thang đặc quyền: Sau khi có chỗ đứng, TEMP.Isotope bắt đầu mở rộng kiểm soát ra toàn bộ mạng nội bộ. Chúng sử dụng các thông tin xác thực đã đánh cắp để di chuyển ngang qua các máy chủ và miền Windows khác nhau. Nhóm này tận dụng nhiều công cụ hợp pháp có sẵn trong hệ thống (gọi là kỹ thuật “living-off-the-land”) để tránh bị phát hiện và phân tích – ví dụ: chạy PowerShell và công cụ dòng lệnh PsExec để thực thi từ xa, dùng Mimikatz/SecretsDump để trích xuất thêm hash mật khẩu từ bộ nhớ hoặc Cơ sở dữ liệu SAM/NTDS, và dùng các tiện ích như Hydra, CrackMapExec để dò quét mật khẩu trên mạng. Một loạt tài khoản người dùng local đã được nhóm tạo trên các máy chủ bị chiếm quyền, ngụy trang dưới tên giống tài khoản dịch vụ hoặc quản trị hợp pháp (ví dụ: account giả tên giống dịch vụ backup, quản trị mail). Ngay khi tạo, những tài khoản này được thêm vào nhóm Administrators để có quyền cao nhất. Thậm chí, nhóm đã cài một web shell (một mã JSP độc hại) vào máy chủ ứng dụng nội bộ để tạo tài khoản, vô hiệu tường lửa máy chủ và tự động mở cổng RDP 3389 cho phép truy cập từ xa vào hệ thống từ Internet. Để che giấu hành vi đăng nhập, tin tặc còn thiết lập một tác vụ theo lịch (Scheduled Task) tên “reset” để tự động đăng xuất tài khoản của chúng mỗi 8 giờ – giả lập hành vi người dùng bình thường và tránh bị phát hiện online liên tục.​
• Trinh sát nội bộ & thu thập dữ liệu ICS: Hoàn tất kiểm soát, kẻ tấn công chuyển sang hành động mục tiêu – chủ yếu là do thám mạng OT và đánh cắp dữ liệu nhạy cảm. Chúng tập trung quét các máy chủ file nội bộ của nạn nhân, tìm kiếm các tài liệu có từ khóa liên quan ICS/SCADA. Kết quả điều tra cho thấy tin tặc đã thu thập được nhiều sơ đồ kỹ thuật ICS (như “SCADA WIRING DIAGRAM.pdf”, “SCADA PANEL LAYOUTS.xlsx”) cũng như tài liệu cấu hình hệ thống điều khiển từ các máy chủ file của doanh nghiệp. Theo ICS-CERT, những file đánh cắp còn bao gồm bản vẽ giao diện vận hành HMI của một nhà máy năng lượng mà nhóm tái dựng được từ các mảnh dữ liệu thu thập. Các thông tin này cực kỳ giá trị, giúp tin tặc hiểu rõ kiến trúc và quy trình vận hành công nghiệp của mục tiêu – tiền đề cho những chiến dịch leo thang sau này. Ngoài ra, nhóm còn cài công cụ ScreenUtil (scr.exe) để chụp màn hình các máy quan trọng, ghi lại hình ảnh giao diện SCADA mà người vận hành đang thấy. Tất cả dữ liệu sau đó được chúng nén lại và chuẩn bị truyền ra ngoài. Trước khi rời hệ thống, tin tặc thực hiện dọn dẹp: xóa file tạm, log sự kiện Windows và dấu vết các công cụ đã dùng, thậm chí xóa một số khóa Registry để xóa sạch hơn nữa dấu hiệu đã tồn tại.​

Các loại mã độc và hạ tầng điều khiển (C2)​

Nhóm TEMP.Isotope đã triển khai nhiều loại mã độc tùy chỉnh trong chiến dịch 2017, chủ yếu là các backdoor/cửa hậu cho phép kiểm soát hệ thống từ xa và thu thập thông tin. Các mã độc đáng chú ý gồm:​

• Backdoor.Goodor: Cửa hậu này được cài vào máy nạn nhân thông qua tải xuống bí mật (thường bằng script PowerShell). Goodor cung cấp cho kẻ tấn công khả năng điều khiển từ xa máy bị nhiễm, bao gồm thực thi lệnh tùy ý và triển khai thêm payload khác. Mẫu Goodor được Symantec phát hiện trong chiến dịch đã ẩn mình dưới tiến trình ntdll.exe của Windows, gây khó cho việc nhận diện.​
• Backdoor.Dorshel: Mã độc này được nhóm sử dụng bằng cách trojan hóa vào các ứng dụng hợp pháp. Họ dùng bộ công cụ Shellter để tiêm mã Dorshel vào các file cài đặt phần mềm Windows chính thống, rồi phát tán chúng để lây nhiễm. Dorshel hoạt động như một cửa hậu cho phép truy cập từ xa và thường ngụy trang dưới vỏ bọc phần mềm hợp lệ nhằm qua mặt phần mềm diệt virus.​
• Trojan.Karagany.B: Đây là một biến thể nâng cấp của trojan Karagany từng được Dragonfly sử dụng trước đây. Trong chiến dịch 2016–2017, Karagany.B được cài vào nạn nhân thông qua màn kịch cập nhật Flash Player giả – file cài install_flash_player.exe xuất hiện trên máy nạn nhân ngay sau khi họ truy cập một URL nhất định, sau đó trojan Karagany.B lặng lẽ được cài đặt. Karagany.B cho phép tin tặc thực thi từ xa các lệnh và đánh cắp dữ liệu trên máy nạn nhân. Đây là malware ít phổ biến trên thị trường chợ đen, hầu như chỉ thấy xuất hiện trong các cuộc tấn công vào ngành năng lượng.​
• Trojan.Heriplor: Được xem là “dấu hiệu nhận diện” của riêng Dragonfly, Heriplor là một cửa hậu tùy chỉnh không bán công khai, từng dùng trong chiến dịch 2011–2014 và tái xuất hiện ở Dragonfly 2.0. Heriplor cho phép kiểm soát hệ thống từ xa một cách âm thầm. Việc Heriplor chỉ được tìm thấy trong các cuộc tấn công vào ngành năng lượng và không được chia sẻ bởi nhóm nào khác càng khẳng định tính độc nhất của nhóm TEMP.Isotope.​

Các mã độc trên thường thiết lập kết nối với máy chủ C2 bên ngoài để nhận lệnh và gửi dữ liệu về cho kẻ tấn công. Trong vụ 2017, hạ tầng C2 của TEMP.Isotope khá đa dạng: nhóm sử dụng cả máy chủ do chính họ kiểm soát lẫn máy chủ của các công ty đối tác đang làm ăn với công ty mục tiêu, làm proxy trung gian. Ví dụ, một domain C2 được sử dụng là imageliners.com – đóng giả trang đăng nhập, lưu trữ trên một máy chủ bị chúng chiếm dụng – để thu thập thông tin đăng nhập do nạn nhân nhập vào. Bên cạnh đó, có hai địa chỉ IP (cổng 445) cũng được ghi nhận phục vụ việc thu thập hash qua SMB từ các máy nạn nhân (trong kỹ thuật watering hole và link độc hại). Việc sử dụng hạ tầng IP/domain linh hoạt (kết hợp cả dịch vụ rút gọn URL như bit.ly) giúp nhóm che giấu nguồn gốc và phân tán hoạt động C2, gây khó khăn cho việc lần ra toàn bộ mạng lưới máy chủ điều khiển của chúng.​

Chuỗi tấn công và thời gian ẩn nấp​

Diễn biến cuộc tấn công cho thấy TEMP.Isotope thực hiện theo chuỗi kill-chain 6 giai đoạn: Từ Trinh sát → Vũ khí hóa (tạo tài liệu/email độc hại) → Phát tán (gửi email, cài mã watering hole) → Khai thác (đánh cắp thông tin xác thực, chèn backdoor) → Cài cắm (tạo tài khoản, lịch, web shell) → Hành động mục tiêu (thu thập dữ liệu ICS, mở rộng kiểm soát).
Đây là một chiến dịch xâm nhập kéo dài và có chủ đích cao chứ không phải tấn công nhất thời. Theo đánh giá của DHS (Mỹ), từ ít nhất tháng 5/2017 đến cuối năm 2017, chiến dịch này liên tục diễn ra với nhiều mục tiêu tuần tự, và tới tháng 10/2017 vẫn đang tiếp diễn. Mỗi đơn vị bị xâm nhập có thể đã bị nhóm hacker hiện diện trong hệ thống suốt nhiều tuần hoặc tháng mà không bị phát hiện. Chẳng hạn, Symantec chỉ ra rằng trong một trường hợp, tin tặc kiên nhẫn chờ 11 ngày sau khi nạn nhân truy cập website gài bẫy rồi mới cài backdoor Goodor vào máy – cho thấy chúng chủ trương ẩn mình kỹ lưỡng. Nhóm cũng rất chú trọng duy trì truy cập lâu dài: tạo tài khoản hợp lệ để quay lại bất cứ khi nào, cài cửa hậu và lên lịch trình để tự động kết nối lại C2 khi máy nạn nhân khởi động. Các log hệ thống cũng bị xóa hoặc sửa đổi để xóa dấu vết. Thực tế điều tra cho thấy nhóm TEMP.Isotope đã neo lại bên trong mạng nhiều nạn nhân trong thời gian dài, âm thầm thu thập nhiều thông tin nhạy cảm về ICS trước khi bị phát hiện và ngăn chặn.​

Tác động và hậu quả thực tế​

Mặc dù chiến dịch 2017 của TEMP.Isotope không gây ra sự cố phá hoại vật lý tức thì (không có nhà máy điện nào bị tắt điện hay quá trình công nghiệp nào bị dừng hẳn do cuộc tấn công này), nhưng hậu quả tiềm tàng của nó rất nghiêm trọng. Như đã nêu, nhóm Dragonfly đã đạt được quyền truy cập sâu vào các mạng OT của cơ sở hạ tầng năng lượng – ví dụ như hệ thống SCADA của lưới điện, nhà máy phát điện, v.v. Điều này đồng nghĩa với việc kẻ tấn công nắm trong tay khả năng gây gián đoạn hoặc phá hủy hệ thống bất cứ lúc nào tùy ý, chỉ cần họ muốn. Các chuyên gia đánh giá chiến dịch Dragonfly 2.0 thực chất là giai đoạn do thám và chuẩn bị cho khả năng phá hoại sau này: tin tặc thu thập sơ đồ, thông số kỹ thuật, tài khoản truy cập... của hệ thống ICS mục tiêu, tương tự cách thức các cuộc tấn công Stuxnet hoặc Shamoon đã làm trước khi triển khai phá hoại.
Về mặt gián điệp, vụ tấn công đã lấy cắp nhiều dữ liệu nhạy cảm của các công ty nạn nhân: từ cấu trúc mạng, tài liệu vận hành, bản vẽ thiết kế ICS, đến thông tin tài khoản của nhân viên và đối tác. Những dữ liệu này có giá trị tình báo cao, có thể được sử dụng cho nhiều mục đích xấu (bán cho bên thứ ba, phục vụ chiến dịch tấn công khác hoặc làm con bài trong xung đột). Ngoài ra, các doanh nghiệp bị xâm nhập chắc chắn phải chịu thiệt hại về chi phí ứng phó (điều tra, cách ly hệ thống, khôi phục an ninh) cũng như uy tín bị ảnh hưởng. Tuy nhiên, chưa có báo cáo công khai nào về thiệt hại tài chính trực tiếp hay sự cố an toàn công nghiệp xảy ra do chiến dịch này. Mức độ ảnh hưởng chủ yếu dừng ở mất an ninh thông tin và nguy cơ tiềm ẩn cho vận hành sau này.​

Chỉ báo IOC và kỹ thuật MITRE ATT&CK liên quan​

Cuộc điều tra đã công bố nhiều chỉ báo xâm nhập (IOC) giúp nhận diện chiến dịch TEMP.Isotope. Dưới đây là một số ví dụ tiêu biểu:​

• Tên miền độc hại: imageliners.com (dùng làm trang giả mạo đăng nhập thu thập tài khoản đăng nhập); các URL rút gọn chuyển hướng đến domain C2 (ví dụ: bit.ly/2m0x8IH → tinyurl.com/h3sdqck → trang độc hại).​
• Địa chỉ IP C2: gồm máy chủ lừa xác thực SMB để thu hash NTLM từ nạn nhân và máy chủ lưu trữ mã độc giai đoạn sau.​
• Hash/Mã băm tệp tin: Các hash MD5 của tệp INST.exe (Backdoor.Goodor) và các payload khác đã được liệt kê trong gói IOC của US-CERT. (Ví dụ: MD5 của INST.exe được Symantec nêu là trùng khớp mẫu Backdoor.Goodor.​
• Tên tập tin và khóa Registry đáng ngờ: Các file shortcut .lnk trong hệ thống với tên bất thường (như SETROUTE.lnk, notepad.exe.lnk, Document.lnk) trỏ icon tới máy chủ bên ngoài – dấu hiệu kỹ thuật “Shortcut Icon Hijack” để thu thập chứng thực người dùng liên tục. Hoặc sự xuất hiện của file .jsp lạ trong thư mục ứng dụng (ví dụ symantec_help.jsp trong thư mục cài Symantec Endpoint Protection Manager) chứa mã thực thi cmd – dấu hiệu web shell đặt cửa hậu. Ngoài ra, các khóa Registry hệ thống bị chỉnh sửa (hoặc xóa bỏ) không rõ lý do cũng là IOC (nhóm Dragonfly từng xóa một số khóa để dọn dấu vết).​

Về MITRE ATT&CK, các kỹ thuật mà TEMP.Isotope sử dụng tương ứng với nhiều kỹ thuật trong khung ATT&CK (phiên bản Enterprise và ICS). Một số ví dụ nổi bật gồm:​

• Spear Phishing (ID: T1566.001 – Spearphishing Attachment): Gửi email đính kèm file DOC/PDF độc hại để lừa nạn nhân mở, cài cắm mã thu thập thông tin. Đây là kỹ thuật Initial Access chủ đạo.​
• Watering Hole (T1189 – Drive-by Compromise): Xâm nhập website bên thứ ba và chèn mã độc để khi nạn nhân truy cập sẽ bị chuyển hướng tới máy chủ của hacker. Kỹ thuật này cho phép Execution mã từ xa và thu thập thông tin mà không cần tương tác trực tiếp với nạn nhân.​
• Credential Dumping (T1003 – OS Credential Dumping): Sử dụng công cụ như Mimikatz, SecretsDump để trích xuất hash mật khẩu và lấy xác thực từ máy chủ Domain Controller hoặc từ bộ nhớ LSASS. Đây là kỹ thuật thuộc giai đoạn Credential Access, giúp mở rộng quyền truy cập trong mạng Windows.​
• Account Manipulation (T1098 – Create Account): Tạo tài khoản người dùng mới trong hệ thống và thêm vào nhóm quản trị nhằm duy trì hiện diện. Nhóm Dragonfly đã tạo nhiều tài khoản giả mạo giống tài khoản dịch vụ hợp lệ để ẩn mình trong danh sách người dùng.​
• Remote Services & Lateral Movement (T1021 – Remote Services / T1563 – Remote Desktop): Kẻ tấn công kích hoạt RDP (cổng 3389) và sử dụng tài khoản đánh cắp để đăng nhập từ xa, di chuyển ngang sang các máy chủ khác. Việc mở cổng RDP trên diện rộng cũng là một dấu hiệu bất thường để nhận biết (trên máy nạn nhân đã bị mở firewall cho cổng 3389).​
• Discovery (T1083 – File and Directory Discovery / T1018 – Remote System Discovery): Nhóm tiến hành quét và liệt kê các share mạng nội bộ, đặc biệt tập trung vào thư mục chứa tài liệu ICS/SCADA. Họ cũng chạy script liệt kê thông tin hệ thống và người dùng trong domain (net user, net group) để hiểu rõ môi trường.​
• Collection & Exfiltration (T1113 – Screen Capture, T1560 – Archive Data): Dragonfly chụp màn hình các hệ thống điều khiển (sử dụng công cụ scr.exe/ScreenUtil) và nén toàn bộ dữ liệu thu thập thành file nén trước khi trích xuất. Việc nén file là kỹ thuật phổ biến để chuẩn bị dữ liệu đưa ra ngoài an toàn.​

Những kỹ thuật kể trên cho thấy chiến dịch TEMP.Isotope có mức độ phủ rộng toàn bộ chuỗi ATT&CK, từ khâu xâm nhập cho đến thu thập và duy trì kiểm soát. Điều này phù hợp với bản chất APT dai dẳng và có tổ chức cao của nhóm Dragonfly.​

Bài học và khuyến nghị bảo mật​

Vụ tấn công tháng 10/2017 do TEMP.Isotope thực hiện mang đến nhiều bài học đắt giá về an ninh mạng cho khối hạ tầng trọng yếu, đặc biệt là trong việc bảo vệ hệ thống ICS/SCADA trước các mối đe dọa tinh vi cấp quốc gia. Dưới đây là một số khuyến nghị quan trọng rút ra từ sự việc này:​

• Tăng cường bảo vệ xác thực và tài khoản: Cần áp dụng xác thực đa yếu tố (MFA) cho mọi dịch vụ truy cập từ xa (VPN, email, RDP...). Như đã thấy, kẻ tấn công đã khai thác triệt để những nơi không có MFA để đăng nhập chỉ với mật khẩu đánh cắp. Bên cạnh đó, cần chính sách mật khẩu mạnh và thay đổi định kỳ để hạn chế rủi ro lộ hash.​
• Quản lý chặt chẽ bên thứ ba và chuỗi cung ứng: Các nhà thầu, đối tác kết nối vào mạng doanh nghiệp phải tuân thủ yêu cầu an ninh tương đương. TEMP.Isotope đã lợi dụng các mục tiêu vệ tinh kém an toàn làm bàn đạp. Do đó, doanh nghiệp cần đánh giá rủi ro an ninh của đối tác, áp dụng nguyên tắc Zero Trust – không tin tưởng mặc định – ngay cả với kết nối nội bộ.​
• Giám sát lưu lượng mạng, đặc biệt giữa IT và OT: Cần triển khai giải pháp IDS/IPS và giám sát nhật ký để phát hiện kịp thời các dấu hiệu bất thường như máy trạm nội bộ kết nối ra ngoài qua cổng SMB 445, hoặc download file thực thi lạ, hay máy chủ đột ngột mở cổng RDP. Việc phân tách mạnh mẽ mạng IT (doanh nghiệp) và mạng OT (sản xuất) là cực kỳ quan trọng – sử dụng firewall lớp mạng giữa IT/OT, hạn chế tối đa lưu lượng và tài khoản có thể đi xuyên hai mạng. Bất kỳ lưu lượng nào từ mạng OT ra Internet cũng phải bị cảnh báo và kiểm soát chặt chẽ.​
• Bảo vệ hệ thống ICS/SCADA theo chiều sâu: Đối với môi trường công nghiệp, không nên ỷ lại vào “bảo mật nhờ che giấu” (security through obscurity). Thay vào đó, cần cập nhật bản vá thường xuyên cho các máy chủ ICS, sử dụng các giải pháp whitelisting ứng dụng để chặn thực thi trái phép, và giám sát hành vi trên mạng OT nhằm phát hiện sớm hoạt động lạ (vd: có tiến trình lạ chụp màn hình HMI, hoặc có file .lnk trỏ icon ra IP bên ngoài...). Các tài liệu nhạy cảm về ICS (sơ đồ mạng, cấu hình thiết bị) cần được mã hóa và giới hạn truy cập theo nguyên tắc quyền tối thiểu; tránh đăng tải lên các trang web công khai hoặc lưu trữ trên vùng dễ truy cập từ mạng văn phòng.​
• Đào tạo nhận thức và quy trình ứng phó sự cố: Nhân viên, đặc biệt là kỹ sư vận hành và IT trong ngành hạ tầng, cần được huấn luyện về nhận biết email lừa đảo và an ninh ICS. Các bài tập mô phỏng phishing định kỳ sẽ giúp nâng cao cảnh giác. Đồng thời, doanh nghiệp nên xây dựng sẵn kế hoạch ứng phó sự cố (IR) cho kịch bản tấn công vào ICS – bao gồm quy trình cách ly hệ thống, điều tra pháp chứng số, khôi phục vận hành an toàn và thông báo cho cơ quan chức năng (như ICS-CERT) kịp thời.​

Cuộc tấn công TEMP.Isotope tháng 10/2017 là lời cảnh tỉnh rằng các hệ thống công nghiệp trọng yếu đang trở thành mục tiêu hàng đầu của các nhóm APT. Việc hiểu rõ kỹ thuật tấn công của đối phương và triển khai các biện pháp phòng thủ nhiều lớp, từ con người đến quy trình và công nghệ, là chìa khóa để bảo vệ an toàn cho hạ tầng ICS/SCADA trước những mối đe dọa ngày càng tinh vi trong tương lai.

Nguồn tham khảo
​

---

Dragonfly, TEMP.Isotope, DYMALLOY, Berserk Bear, TG-4192, Crouching Yeti, IRON LIBERTY, Energetic Bear, Ghost Blizzard, BROMINE, Group G0035 | MITRE ATT&CK®
https://attack.mitre.org/groups/G0035/
Dragonfly: Western energy sector targeted by sophisticated attack group | SECURITY.COM
https://www.security.com/threat-intelligence/dragonfly-energy-sector-cyber-attacks
Dragonfly Hackers Gain Access to Global Energy Operations | Fortra's Digital Guardian​