Cách Tin Tặc Tấn Công Lưới Điện Lực Hoạt Động, và Khi Bạn Nên Hoảng Sợ

Vào năm 2017, dường như lưới điện có lẽ nên được mô tả như là một môi trường đang rầy rật với những kẻ xâm nhập kỹ thuật số. Chỉ trong vòng bốn tháng qua, tin đồn về tin tặc Nga xâm nhập vào một nhà máy điện hạt nhân đã xuất hiện, nhóm này có thể đã tiếp xúc trực tiếp với hệ thống kiểm soát của một công ty năng lượng Mỹ, nhóm tin tặc Kremlin khác sử dụng một hình thức mới của phần mềm độc hại tự động để gây ra mất điện ở Ukraine - và bây giờ, trong tuần này, tin đồn về tin tặc Bắc Hàn đã xâm nhập vào một công ty năng lượng Mỹ. Khi đọc những tiêu đề đó, bạn có thể bị tha thứ nếu nghĩ rằng các cú mất điện do tin tặc là một sự kiện gần như hàng tuần, chứ không phải là một sự kiện xảy ra chỉ hai lần trong lịch sử.

Nhưng thực tế là mặc dù mối đe doạ từ tin tặc lưới điện có thể là thực tế, không phải mọi xâm nhập vào lưới đều đòi hỏi trạng thái báo động Defcon 1. Phản ứng với tất cả chúng với một tâm trạng hoảng sợ tương đương như là sự nhầm lẫn giữa một vụ cướp mugging trên đường với một cuộc tấn công bằng tên lửa liên lục địa. Điều được công khai gọi là một "xâm phạm" của một công ty năng lượng có thể biến đổi từ một thứ gì đó ít phức tạp hơn so với một nhiễm malware điển hình đến một dự án tự nhiên được tài trợ bởi quốc gia kéo dài nhiều tháng hoặc nhiều năm. Những sự cố đó cũng có thể có hậu quả vô cùng khác nhau, từ việc đánh cắp dữ liệu đến một thất bại cơ sở hạ tầng có thể gây ra thảm họa.

Đúng là những năm gần đây đã chứng kiến sự "tăng đột ngột" trong các nỗ lực tấn công hacker vào các hệ thống kiểm soát công nghiệp như lưới điện, nước và sản xuất, theo Rob Lee, một cựu nhân viên NSA người giờ là giám đốc của công ty bảo mật tập trung vào cơ sở hạ tầng quan trọng Dragos, Inc. Nhưng Lee nói rằng quan trọng là phải giữ được sự cân nhắc: Trong số hàng trăm nhóm tin tặc có nguồn lực mạnh mẽ mà Dragos theo dõi trên toàn cầu, Lee nói rằng có khoảng 50 nhóm đã tập trung vào các công ty có hệ thống kiểm soát công nghiệp. Trong số đó, Dragos chỉ phát hiện ra có sáu hoặc bảy nhóm đã xâm nhập vào mạng "hoạt động" của các công ty - các điều khiển thực tế của cơ sở hạ tầng vật lý. Và thậm chí trong những trường hợp đó, Lee nói rằng chỉ có hai nhóm như vậy đã được biết đến đã kích hoạt sự cố thực sự ảnh hưởng đến vật cảnh vật lý: Nhóm Phương trình, tin rằng là nhóm NSA đã sử dụng phần mềm độc hại Stuxnet để phá hủy các máy tách chất làm giàu uranium của Iran, và nhóm Sandworm đứng sau cú mất điện ở Ukraine.

Vì vậy, khi tin đồn rằng tin tặc chỉ đơn giản là "xâm nhập" vào một công ty năng lượng - như nhóm tin tặc Bắc Hàn vừa làm gần đây - hãy nhìn vào đó với những con số đó trong tâm trí, và đừng coi đó như là giả định rằng Stuxnet hoặc Sandworm sẽ xuất hiện ngay lập tức. "Đây là một thế giới nơi mà con người có thể chết," Lee nói. "Nếu chúng ta nói rằng đó là một vấn đề lớn, nó phải là một vấn đề lớn."

Vì vậy, dưới đây là hướng dẫn của MYTOUR về các mức độ khác nhau của việc tấn công vào lưới điện, để giúp bạn điều chỉnh cảm giác hoảng loạn của mình đến mức phù hợp cho các thâm nhập vào lưới điện sắp tới. Và sẽ còn nhiều hơn nữa.

Khi các cơ quan chính phủ hoặc báo chí cảnh báo rằng tin tặc đã xâm nhập vào một doanh nghiệp điện, trong đa số các trường hợp, những kẻ xâm nhập đó chưa thể xâm nhập vào các hệ thống điều khiển luồng điện thực sự, như cầu dao, máy phát điện và biến áp. Thay vào đó, họ đang hack vào các mục tiêu phổ biến hơn: tài khoản email doanh nghiệp, trình duyệt và máy chủ web.

Những xâm nhập này, thường bắt đầu từ các email spearphishing, hoặc các cuộc tấn công "điểm uống nước" lây nhiễm người dùng mục tiêu bằng cách nắm đặc trang web họ thường xuyên ghé thăm, không nhất thiết khác biệt từ hacker tập trung vào tội phạm truyền thống hoặc gián điệp. Quan trọng nhất, chúng không tạo ra phương tiện gây thiệt hại hoặc qu disruption vật lý nào. Trong một số trường hợp, tin tặc có thể đang thực hiện thăm dò để tấn công trong tương lai, nhưng không tạo ra rủi ro đối với các hệ thống điều khiển nhạy cảm.

Trong tuần này, ví dụ, một bản báo cáo rò rỉ từ công ty an ninh FireEye đã đặt ra cảnh báo khi tiết lộ rằng tin tặc Bắc Hàn đã nhắm vào các cơ sở hạ tầng năng lượng của Hoa Kỳ. Một bản tin tiếp theo từ trang tin an ninh Cyberscoop khẳng định rằng ít nhất một trong những nỗ lực đó đã xâm nhập thành công vào một công ty điện ở Hoa Kỳ. Nhưng một bài đăng blog của FireEye sau đó cho biết các chuyên gia phân tích của họ chỉ tìm thấy bằng chứng cho thấy tin tặc đã gửi một loạt các email spearphishing đến những nạn nhân dự kiến của mình - một hoạt động hack khá thông thường và không có vẻ đã đến gần bất kỳ hệ thống điều khiển nhạy cảm nào.

"Chúng tôi không nhận thấy các nhóm nghi ngờ Triều Tiên sử dụng bất kỳ công cụ hoặc phương pháp nào được thiết kế đặc biệt để xâm phạm hoặc kiểm soát các hệ thống mạng điều khiển công nghiệp (ICS) quy định nguồn cung cấp điện," tuyên bố của FireEye nói. "Hơn nữa, chúng tôi không phát hiện ra bằng chứng cho thấy các nhóm liên quan đến Triều Tiên có khả năng tiếp cận bất kỳ khả năng như vậy vào thời điểm này."

Không thể phủ nhận rằng Bắc Hàn có tham vọng chi phối hệ thống lưới Hoa Kỳ, và việc họ đã thực hiện bước đầu tiên là quan trọng. Nhưng trong lúc này, những cuộc tấn công đó - và bất kỳ cuộc tấn công nào khác dừng lại ở mức xâm phạm IT - nên được coi là dự báo tồi tệ, thay vì một mối đe dọa nguy cấp về mất điện do tin tặc.

Những tin tặc đang thăm dò trong hệ thống IT của một công ty năng lượng nên làm nổi loạn. Những tin tặc đang thăm dò trong các hệ thống công nghệ vận hành, hoặc những gì một số chuyên gia an ninh gọi là OT, là một tình huống nghiêm trọng hơn nhiều. Khi tin tặc xâm phạm OT, hoặc đạt được cái gọi là tiếp cận vận hành, họ đã chuyển từ các hệ thống máy tính tồn tại trong gần như mọi tập đoàn hiện đại đến các hệ thống điều khiển chuyên biệt và tùy chỉnh hơn cho thiết bị điện, một bước lớn hướng tới việc chi phối cơ sở hạ tầng vật lý.

Trong một chiến dịch hack gần đây, ví dụ, Symantec tiết lộ rằng một nhóm tin tặc mà họ đặt tên là DragonFly 2.0 - có thể là cùng một nhóm Nga được báo cáo vào mùa hè trước đã xâm nhập vào một cơ sở điện hạt nhân ở Mỹ - đã đạt được tiếp cận vận hành tới "một vài" công ty năng lượng ở Mỹ. Những kẻ xâm phạm đã đi xa đến nỗi chụp màn hình giao diện giữa con người và máy cho các hệ thống điện, có thể là để họ có thể nghiên cứu và chuẩn bị để bắt đầu bật công tắc thực sự để thực hiện một cuộc tấn công lưới toàn diện.

"Bằng chứng về một cố gắng lừa dối và có thể là nhiễm độc là một bước trong cầu thang," nói Mike Assante, một chuyên gia an ninh lưới điện và giảng viên tại Viện SANS, tổ chức đào tạo tập trung vào an ninh. "Scraps từ HMI là một vài bậc trên thang tiếp cận," Assante nói, so sánh với cuộc tấn công Dragonfly 2.0 gần đây.

Lý thuyết, các hệ thống OT được "cách ly" từ hệ thống IT, không có kết nối mạng nối giữa hai hệ thống. Nhưng ngoại trừ các nhà máy điện hạt nhân, nơi có quy định chặt chẽ về việc tách rời hệ thống vận hành khỏi mạng ngoại vi, bức tường này thường xuyên linh hoạt hơn so với những gì nên có, theo Galina Antova, một trong những người sáng lập công ty an ninh hệ thống kiểm soát công nghiệp Claroty. Cô nói rằng Claroty chưa bao giờ phân tích cài đặt của một cơ sở điều khiển công nghiệp và không tìm thấy một cách "nhẹ nhàng" để tiếp cận hệ thống OT. "Chỉ cần ánh xạ mạng, chúng tôi có thể thấy lối đi từ IT đến OT," cô nói. "Có cách để tiếp cận."

Nhưng Lee của Dragos đối lập rằng với tỷ lệ nhỏ những tin tặc thực sự có thể vượt qua khoảng cách đó, đó chẳng qua là một sự phân biệt không đáng kể. Điều này một phần là vì trong khi hệ thống IT có một số tiêu chuẩn hóa, hệ thống OT lại được tùy chỉnh và kỳ lạ hơn, làm cho chúng ít quen thuộc hơn. "Họ có thể thực hành và đào tạo để họ có thể hoàn toàn xâm phạm các mạng IT," Lee nói. "Nếu họ muốn tiếp cận các mạng vận hành, điều đó sẽ lạ lùng và họ sẽ phải học nó."

Ngay cả khi kẻ xâm nhập có tiếp cận "cầm tay trên công tắc" vào hệ thống điều khiển lưới, theo Lee nói, việc sử dụng tiếp cận đó một cách hiệu quả khó khăn hơn nhiều so với những gì có vẻ như. Trên thực tế, anh ta cho rằng tất cả các hành động trước khi bật công tắc chỉ là một giai đoạn chuẩn bị chỉ chiếm khoảng 20% công việc của những kẻ hack.

Vượt ra khỏi sự mơ hồ của bất kỳ thiết bị thiết lập nào mà một công ty tiện ích có thể có, Lee chỉ ra rằng quá trình vận hành vật lý của nó có thể đòi hỏi sự hiểu biết thực sự để thao tác, cũng như thêm một số tháng nỗ lực và nguồn lực - không chỉ là việc mở một số cầu chì để gây ra một tình trạng mất điện. Ngay cả sau khi tin tặc có quyền truy cập vào những kiểm soát đó, "Tôi có thể tự tin nói rằng họ vẫn chưa ở giai đoạn tắt nguồn," Lee nói. "Họ có thể tắt một số [cầu] chì, nhưng họ không hiểu tác động. Họ có thể bị hệ thống an toàn dừng lại. Họ không biết."

Trong vụ mất điện ở Ukraine vào cuối năm 2015, trường hợp xác nhận đầu tiên của tin tặc gây ra một sự cố mất điện, ví dụ, những kẻ xâm nhập đã mở thủ công hàng chục cầu chì tại ba cơ sở khác nhau trên khắp đất nước, sử dụng quyền truy cập từ xa vào hệ thống kiểm soát các trạm phân phối điện - trong nhiều trường hợp bằng cách đơn giản là chiếm đoạt điều khiển chuột của các nhà điều hành trạm. Các nhà phân tích đã phản ứng lại cuộc tấn công tin rằng nó có thể cần mất mấy tháng để lên kế hoạch và một nhóm có thể lên đến vài chục người làm việc theo phối hợp. Tuy nhiên, sự cố mất điện mà nó gây ra chỉ kéo dài vỏn vẹn sáu giờ, cho khoảng một phần tư triệu người Ukraine.

Bản đồ đường dây và kích thước của một cuộc tấn công nhắm vào lưới điện Mỹ.

Một số tin tặc lưới có vẻ đang đầu tư công sức để lên kế hoạch cho một cuộc tấn công rộng lớn, gây nhiễm điện năng hơn. Cuộc tấn công mất điện thứ hai ở Ukraine đã sử dụng một loại malware được biết đến là Crash Override, hoặc Industroyer, có khả năng tự động hóa quá trình gửi lệnh hủy bỏ đến thiết bị lưới và được xây dựng để được điều chỉnh cho các thiết lập của các quốc gia khác nhau để có thể triển khai rộng rãi trên nhiều mục tiêu khác nhau.

Mẫu mã của phần mềm độc hại tấn công lưới cực kỳ tiên tiến này là đáng lo ngại. Nhưng nó cũng hiếm khi xuất hiện. Và có khoảng cách lớn giữa một mẫu mã malware Black Swan và hàng chục sự cố xâm nhập lưới thường chỉ là spearphishing. Không có cuộc xâm nhập lưới điện nào là điều tốt. Nhưng tốt hơn là nhận ra sự khác biệt giữa một buổi diễn tập và sự kiện chính - đặc biệt là khi có thêm những sự kiện như vậy phía trước.