Buzz
Sự bùng nổ của cryptojacking—kỹ thuật chiếm đoạt máy tính hoặc thiết bị di động của bạn để đào tiền điện tử một cách trái phép khi bạn truy cập một trang web bị nhiễm độc—đã thúc đẩy sự hấp dẫn ngày càng tăng của việc đào tiền. Nhưng khi những kẻ tấn công mở rộng công cụ của họ để tinh tế hóa số lượng thiết bị, công suất xử lý và điện năng cung cấp năng lượng cho hoạt động đào của họ, họ đã di chuyển ra khỏi trình duyệt theo cách có thể gây nguy hiểm.
Vào thứ Năm, công ty an ninh cơ sở hạ tầng quan trọng Radiflow thông báo rằng họ đã phát hiện ra phần mềm đào tiền điện tử trong mạng công nghệ vận hành (thực hiện giám sát và điều khiển) của một công ty cung cấp nước tại châu Âu—đây là trường hợp đầu tiên biết đến về phần mềm đào tiền được sử dụng chống lại một hệ thống kiểm soát công nghiệp.
Radiflow đang đánh giá phạm vi của tác động, nhưng cho biết cuộc tấn công đã tạo ra “tác động lớn” đối với hệ thống. Các nhà nghiên cứu lưu ý rằng phần mềm độc hại được thiết kế để chạy âm thầm trong nền, sử dụng càng nhiều công suất xử lý nhất có thể để đào tiền điện tử Monero mà không làm quá tải hệ thống và tạo ra vấn đề rõ ràng. Người đào còn được thiết kế để phát hiện và thậm chí vô hiệu hóa các công cụ quét bảo mật và các công cụ phòng thủ khác có thể phát hiện nó. Một cuộc tấn công phần mềm độc hại như vậy tăng sử dụng công suất xử lý và băng thông mạng, có thể làm treo, tạm dừng và thậm chí làm sập ứng dụng kiểm soát công nghiệp—có thể làm suy giảm khả năng quản lý nhà máy của một người điều khiển.
“Tôi nhận thức về nguy cơ của [phần mềm đào tiền] tồn tại trên các hệ thống kiểm soát công nghiệp mặc dù tôi chưa bao giờ thấy nó ở ngoại đồng,” nói Marco Cardacci, một tư vấn cho công ty RedTeam Security, chuyên về kiểm soát công nghiệp. “Nguy cơ lớn là các hệ thống kiểm soát công nghiệp yêu cầu sự sẵn có cao của bộ xử lý, và mọi ảnh hưởng đến nó có thể gây ra những lo ngại nghiêm trọng về an toàn.”
Đào Tiền Một Cách Tinh Tế
Giám đốc điều hành của Radiflow, Ilan Barda, cho biết công ty không hề nghĩ rằng họ có thể phát hiện ra một người đào tiền độc hại khi họ cài đặt sản phẩm phát hiện xâm nhập trên mạng của công ty cung cấp nước, đặc biệt là trên mạng nội bộ của nó, mà thông thường sẽ không được tiếp xúc với internet. “Trong trường hợp này, mạng nội bộ của họ có một số quyền truy cập hạn chế đến internet để giám sát từ xa, và đột nhiên chúng tôi bắt đầu thấy một số máy chủ liên lạc với nhiều địa chỉ IP bên ngoại,” Barda nói. “Tôi không nghĩ đây là một cuộc tấn công có mục tiêu, kẻ tấn công chỉ đang cố tìm kiếm công suất xử lý không sử dụng mà họ có thể sử dụng cho lợi ích của họ.”
Các nhà máy công nghiệp có thể chứng minh là môi trường hấp dẫn cho người đào tiền độc hại. Nhiều nhà máy không sử dụng nhiều công suất xử lý cho các hoạt động cơ bản, nhưng lại tiêu thụ nhiều điện năng, làm cho phần mềm đào tiền có thể dễ dàng che giấu cả CPU và tiêu thụ năng lượng của nó. Và các mạng nội bộ của các hệ thống kiểm soát công nghiệp thường chạy phần mềm lỗi thời, chưa được vá, vì triển khai hệ điều hành mới và các bản cập nhật có thể gây nên những vấn đề không mong muốn cho các nền tảng kế thừa quan trọng. Tuy nhiên, những mạng này thường không truy cập internet công cộng, và tường lửa, kiểm soát truy cập nghiêm ngặt và khoảng trống không khí thường mang lại sự bảo mật bổ sung.
Chuyên gia an ninh tập trung vào kiểm soát công nghiệp, như những nhà nghiên cứu tại Radiflow, cảnh báo rằng các hệ thống phòng thủ của nhiều hệ thống vẫn còn thiếu sót.
“Tôi cá nhân đã thấy rất nhiều mạng được cấu hình kém mà tuyên bố đã được cách ly không không.,” Cardacci của RedTeam Security nói. “Tôi hoàn toàn không nói rằng khoảng trống không khí không tồn tại, nhưng cấu hình sai xảy ra khá thường xuyên. Tôi có thể thấy rõ phần mềm độc hại có thể xâm nhập vào các bộ điều khiển quan trọng.”
Với nhiều công suất xử lý không sử dụng, những hacker muốn đào tiền—thường sử dụng các công cụ quét tự động—sẽ vui lòng khai thác những sai sót trong phòng thủ của hệ thống kiểm soát công nghiệp nếu nó mang lại quyền truy cập vào các CPU. Các kỹ thuật viên có thông tin từ bên trong cũng có thể chịu khuất phục; các báo cáo xuất hiện vào thứ Sáu cho biết một nhóm các nhà nghiên cứu Nga đã bị bắt gần đây vì được cho là đã sử dụng siêu máy tính tại một cơ sở nghiên cứu và nhà máy đầu đạn hạt nhân bí mật của Nga để đào Bitcoin.
“Sự sốt ruột của tiền điện tử đang lan rộng khắp mọi nơi,” nói Jérôme Segura, chuyên gia phân tích tình báo phần mềm độc hại hàng đầu tại công ty phòng thủ mạng Malwarebytes. “Nó thực sự đã thay đổi động lực cho nhiều điều khác nhau. Một lượng lớn các phần mềm độc hại mà chúng tôi đang theo dõi gần đây đã chuyển sang thực hiện một số hoạt động đào tiền, hoặc là như một mô-đun hoặc hoàn toàn chuyển sự chú ý. Thay vì đánh cắp thông tin đăng nhập hoặc hoạt động như phần mềm đòi tiền chuộc, nó đang thực hiện đào tiền.”
Nghiêm Trọng Hơn
Mặc dù việc đào tiền trong trình duyệt là một sự phát triển mới vào cuối năm 2017, nhưng phần mềm đào tiền độc hại chính nó không mới. Và ngày càng có nhiều cuộc tấn công xuất hiện liên tục. Cuối tuần này, ví dụ, kẻ tấn công đã tận dụng plugin web phổ biến Browsealoud, cho phép họ đánh cắp sức mạnh đào tiền từ người dùng trên hàng nghìn trang web phổ biến, bao gồm cả hệ thống tòa án liên bang Hoa Kỳ và Dịch vụ Y tế Quốc gia của Vương quốc Anh.
Các cuộc tấn công đào tiền truyền thống giống như sự cố của Browsealoud, nhắm vào các thiết bị cá nhân như máy tính hoặc điện thoại thông minh. Nhưng với giá trị của tiền điện tử đã tăng vọt, sự tinh vi của các cuộc tấn công cũng đã tăng lên theo cách đó.
The mining malware infiltrating the water treatment facility, for instance, was specifically crafted to internally propagate, traversing from the internet-connected remote monitoring server to others that were not intended to be exposed. 'It only needs to identify one vulnerability, even temporarily, and it will find a way to expand,' remarks Barda from Radiflow.
Experts suggest it's premature to accurately predict the extent of cryptojacking's proliferation, particularly given the cryptocurrency market's volatility. Nevertheless, the emergence of malicious mining in critical infrastructure raises concerns. While cryptojacking malware doesn't aim for existential threats—similar to a parasite not wanting to kill its host—it gradually wears down and degrades processors over time. In some cases, aggressively mining malware has been known to inflict physical damage on infected devices like smartphones.
There's also a plausible scenario where an assailant with more sinister motives than quick financial gains could exploit mining malware to induce physical destruction on critical infrastructure controllers—an infrequent yet growing form of attack.
“Chúng ta đã thấy kỹ thuật này với ransomware như NotPetya nơi nó được sử dụng như một lá chắn cho một cuộc tấn công nguy hiểm hơn,” Segura nói. “Mã độc đào tiền ảo có thể được sử dụng theo cùng một cách để tạo ra vẻ như có động cơ tài chính, nhưng thực tế mục tiêu là kích hoạt một sự kiện như thiệt hại vật lý mà chúng ta thấy ở Stuxnet. Nếu bạn chạy máy đào với hiệu suất 100%, bạn có thể gây hại.”
Một cuộc tấn công thảm họa như vậy vẫn chỉ là giả thuyết và có thể không thực tế. Tuy nhiên, các chuyên gia khuyến cáo các nhà máy kiểm tra và cải thiện liên tục bảo mật của họ, và đảm bảo rằng họ thực sự đã phân chia mạng nội bộ của mình, để không có sự cấu hình sai lầm hoặc lỗ hổng mà những kẻ tấn công có thể lợi dụng để xâm nhập.
"Nhiều trong những hệ thống này không được tăng cường và không được cập nhật với các bản vá mới nhất. Và chúng phải chạy liên tục 24/7, do đó việc khôi phục từ đợt tấn công đào tiền ảo, ransomware và các mối đe doạ malware khác trở nên khó khăn hơn nhiều trong mạng lưới hệ thống kiểm soát công nghiệp," Jonathan Pollet, người sáng lập Red Tiger Security, một công ty tư vấn về vấn đề an ninh mạng cho các khách hàng công nghiệp nặng như nhà máy điện và các doanh nghiệp dầu khí, nói. "Tôi hy vọng điều này tạo nên một tâm trạng cần gấp."
Tấn Công Đào Tiền Ảo
- Đào tiền ảo đã đi xa kể từ mùa thu, khi nó chỉ là một hoạt động quy mô nhỏ hơn nhiều
- Thậm chí những cài đặt thâm hại hơn cũng không sánh kịp với lo ngại về cơ sở hạ tầng quan trọng mà chúng ta đang thấy ngày nay
- Và phần mềm độc hại được sử dụng để thực hiện các cuộc tấn công vật lý thực tế có thể gây ra thiệt hại lớn mức độ quy mô
