‘Crash Override’: Phần Mềm Đã Làm Sập Mạng Điện

Lúc nửa đêm, một tuần trước Giáng sinh năm ngoái, những hacker đã tấn công một trạm truyền tải điện ở phía bắc thành phố Kiev, làm mất điện một phần của thủ đô Ukraine tương đương với một phần năm của công suất điện toàn bộ. Sự cố kéo dài khoảng một giờ—chẳng phải một thảm họa. Nhưng bây giờ, các nhà nghiên cứu an ninh mạng đã tìm thấy bằng chứng đáng báo động rằng sự cố mất điện có thể chỉ là một cuộc thử nghiệm. Các hacker dường như đã kiểm tra phiên bản phần mềm độc hại phá hủy lưới điện phức tạp nhất từng được quan sát trong tự nhiên.

Các công ty an ninh mạng ESET và Dragos Inc. dự kiến sẽ phát hành các phân tích chi tiết về một phần mềm đã được sử dụng để tấn công công ty điện Ukrenergo của Ukraine bảy tháng trước, điều họ nói đại diện cho một tiến triển nguy hiểm trong việc tấn công cơ sở hạ tầng quan trọng. Các nhà nghiên cứu mô tả phần mềm đó, mà họ lần lượt đặt tên là “Industroyer” hoặc “Crash Override,” như chỉ là trường hợp thứ hai biết đến về mã độc mục đích xây dựng để làm quấy rối hệ thống vật lý. Trường hợp đầu tiên, Stuxnet, được Mỹ và Israel sử dụng để phá hủy các máy ly tâm trong một nhà máy làm giàu uranium của Iran vào năm 2009.

Các nhà nghiên cứu nói rằng phần mềm mới này có thể tự động hóa các sự cố mất điện hàng loạt, giống như ở thủ đô Ukraine, và bao gồm các thành phần có thể thay thế, có thể cho phép nó được điều chỉnh cho các công ty điện khác nhau, dễ dàng tái sử dụng, hoặc thậm chí được triển khai đồng thời trên nhiều mục tiêu khác nhau. Họ lập luận rằng những tính năng đó cho thấy Crash Override có thể gây ra sự cố mất điện rộng lớn và kéo dài hơn nhiều so với sự cố mất điện ở Kiev.

“Tác động tiềm năng ở đây là to lớn,” nói nhà nghiên cứu an ninh của ESET, Robert Lipovsky. “Nếu đây không phải là một tín hiệu báo thức, tôi không biết điều gì có thể làm được.”

Sự linh hoạt của phần mềm độc hại có nghĩa là công cụ này không chỉ đe dọa đến cơ sở hạ tầng quan trọng của Ukraine, các nhà nghiên cứu nói, mà còn đe dọa đến các lưới điện khác trên thế giới, bao gồm cả của Mỹ. “Điều này làm kinh ngạc vì không có điều gì là độc đáo cho Ukraine,” nói Robert M. Lee, người sáng lập công ty an ninh Dragos và một nhà phân tích tình báo trước đây tập trung vào an ninh cơ sở hạ tầng quan trọng cho một cơ quan có tên ba chữ mà ông từ chối tiết lộ. “Họ đã xây dựng một nền tảng để có thể thực hiện các cuộc tấn công trong tương lai.”

Mất Điện

Sự cố mất điện vào tháng Mười Hai năm ngoái là lần thứ hai trong hai năm liên tiếp mà những hacker mà nhiều người tin tưởng—nhưng chưa được chứng minh—là Nga đã làm sập các yếu tố của lưới điện ở Ukraine. Cùng nhau, hai cuộc tấn công này tạo nên hai trường hợp xác nhận duy nhất về các cuộc mất điện do hacker gây ra trong lịch sử. Nhưng trong khi cuộc tấn công đầu tiên nhận được nhiều sự chú ý hơn so với cuộc tấn công sau đó, các thông tin mới về phần mềm được sử dụng trong cuộc tấn công sau đó cho thấy nó không chỉ là một cuộc tái phát đơn thuần.

Thay vì truy cập vào mạng lưới của các công ty điện ở Ukraine và thủ công tắt nguồn cho các trạm điện, như hacker đã làm vào năm 2015, cuộc tấn công năm 2016 đã được tự động hóa hoàn toàn, theo những nhà nghiên cứu của ESET và Dragos. Nó được lập trình để bao gồm khả năng 'nói' trực tiếp với thiết bị lưới, gửi lệnh trong các giao thức tối tân mà các bảng điều khiển sử dụng để chuyển đổi dòng điện. Điều đó có nghĩa là Crash Override có thể thực hiện các cuộc tấn công mất điện nhanh chóng hơn, với ít sự chuẩn bị hơn và với ít con người quản lý hơn, theo Rob Lee của Dragos.

“Nó linh hoạt hơn nhiều,” Lee nói. Anh ta so sánh cuộc tấn công Crash Override với cuộc tấn công Ukraine năm 2015, mà anh ấy ước tính cần hơn 20 người để tấn công ba công ty năng lượng khu vực. “Bây giờ những 20 người đó có thể nhắm vào mười hoặc mười lăm địa điểm hoặc thậm chí nhiều hơn, tùy thuộc vào thời gian.”

Giống như Stuxnet, những kẻ tấn công có thể lập trình các yếu tố của Crash Override để chạy mà không cần phản hồi từ các nhà điều hành, ngay cả trên một mạng lưới không kết nối với internet—như Lee mô tả là một chức năng 'bom logic,' có nghĩa là nó có thể được lập trình để tự động phát nổ vào một thời điểm đặt trước. Từ góc nhìn của hacker, anh ấy thêm vào, “bạn có thể tin tưởng rằng nó sẽ gây ra sự đánh cắp mà không cần sự tương tác của bạn.”

Cả hai công ty an ninh đều không biết phần mềm độc hại đã được lây nhiễm vào Ukrenergo như thế nào ban đầu. (ESET, từ phía mình, lưu ý rằng các email lừa đảo nhắm mục tiêu đã tạo điều kiện cần thiết cho cuộc tấn công mất điện vào năm 2015, và nghi ngờ rằng những hacker có thể đã sử dụng cùng kỹ thuật một năm sau.) Nhưng một khi Crash Override đã lây nhiễm vào các máy Windows trên mạng lưới của nạn nhân, theo những nhà nghiên cứu, nó tự động ánh xạ hệ thống điều khiển và định vị thiết bị mục tiêu. Chương trình cũng ghi lại các nhật ký mạng mà nó có thể gửi lại cho những người vận hành của nó, để họ có thể hiểu cách những hệ thống điều khiển đó hoạt động theo thời gian.

Từ điểm đó, những nhà nghiên cứu nói, Crash Override có thể triển khai bất kỳ trong số bốn mô-đun 'payload,' mỗi một liên lạc với thiết bị lưới qua một giao thức khác nhau. Trong cuộc tấn công tháng Mười Hai trên Ukrenergo, nó đã sử dụng các giao thức phổ biến ở Ukraine, theo phân tích của Lee. Nhưng thiết kế linh hoạt của phần mềm độc hại có nghĩa là nó có thể dễ dàng thích ứng với các giao thức phổ biến hơn ở các khu vực khác ở châu Âu hoặc ở Hoa Kỳ, tải xuống các mô-đun mới ngay lập tức nếu phần mềm độc hại có thể kết nối với internet.

Ngoài tính linh hoạt đó, phần mềm độc hại cũng có thể phá hủy toàn bộ tệp trên các hệ thống nó xâm nhập, để che đi vết tích sau khi cuộc tấn công hoàn thành.

Thiệt Hại Vật Lý?

Một đặc điểm đáng lo ngại nhưng ít được hiểu rõ hơn của chương trình, theo ESET, cho thấy một khả năng bổ sung mà hacker có thể tiềm ẩn sử dụng để gây hại vật lý cho thiết bị điện. Các nhà nghiên cứu của ESET nói rằng một khía cạnh của phần mềm độc hại tận dụng một lỗ hổng đã biết đến trong một bộ thiết bị của Siemens được biết đến là Siprotec digital relay. Thiết bị Siprotec đo lường sạc của các thành phần lưới, gửi thông tin đó trở lại cho những người vận hành của nó, và tự động mở cầu dao nếu nó phát hiện mức công suất nguy hiểm. Nhưng bằng cách gửi một đoạn dữ liệu được tạo ra cẩn thận đến thiết bị Siemens đó, phần mềm độc hại có thể tắt nó, khiến nó offline cho đến khi được khởi động lại thủ công. (Phần của Dragos, từ phía họ, không thể xác nhận độc lập rằng cuộc tấn công vào Siemens được bao gồm trong mẫu malware họ phân tích. Một phát ngôn viên của Siemens chỉ đến một bản cập nhật firmware mà công ty phát hành cho các thiết bị Siprotec của mình vào tháng 7 năm 2015, và gợi ý rằng những người sở hữu bộ điều khiển số hãy cập nhật nếu họ chưa làm vậy.)

Cuộc tấn công có thể chỉ được thiết kế để cắt đứt quyền truy cập vào cầu dao sau khi phần mềm độc hại mở chúng, ngăn chặn những người vận hành khỏi việc bật lại nguồn điện một cách dễ dàng, theo Mike Assante, một chuyên gia an ninh lưới điện và giảng viên tại Viện SANS. Nhưng Assante, người đã dẫn đầu một nhóm nghiên cứu vào năm 2007 đã chỉ ra cách một máy phát điện diesel khổng lồ có thể bị hỏng vĩnh viễn chỉ với lệnh số hóa, nói rằng cuộc tấn công Siprotec có thể còn có một chức năng phá hủy hơn. Nếu kẻ tấn công sử dụng nó kết hợp với việc quá tải sạc trên các thành phần lưới, nó có thể ngăn chặn tính năng tắt máy giữa những thành phần đó để tránh quá nhiệt, gây hại cho các máy biến áp hoặc thiết bị khác.

Assante cảnh báo rằng cuộc tấn công Siprotec vẫn cần được phân tích thêm để hiểu rõ hơn, nhưng vẫn nhìn thấy tiềm năng là đủ để gây lo ngại.

"Điều này chắc chắn là một vấn đề lớn," nói Assante. "Nếu có thể tắt máy biến áp số, bạn đang rủi ro quá tải nhiệt độ cho đường dây. Điều đó có thể làm cho đường dây chùng xuống hoặc tan chảy, và có thể làm hỏng biến áp hoặc thiết bị nằm trong dòng và đang được năng lượng."

ESET lập luận rằng Crash Override có thể điều này xa hơn, gây hủy hoại vật lý bằng cách thực hiện một cuộc tấn công tinh tế vào nhiều điểm trên lưới điện. Hạ bớt các thành phần của một lưới đồng loạt có thể gây ra điều họ mô tả là một sự cố "lan truyền" trong đó quá tải điện lan ra từ một khu vực này sang một khu vực khác.

Phạm vi không chắc chắn

Cả ESET và Dragos đều không sẵn sàng nói chắc chắn ai có thể đã tạo ra phần mềm độc hại, nhưng Nga là nghi phạm có khả năng. Trong ba năm, một loạt các cuộc tấn công mạng liên tục đã đổ bộ xuống cả cơ quan chính phủ và công nghiệp tư nhân của Ukraine. Thời điểm của những cuộc tấn công này trùng với cuộc xâm lược của Nga vào bán đảo Crimea và khu vực đông của Ukraine, được biết đến là Donbass. Đầu năm nay, Tổng thống Ukraine Petro Poroshenko tuyên bố trong một bài phát biểu sau cú đánh mạng thứ hai rằng các cuộc tấn công được thực hiện với "sự tham gia trực tiếp hoặc gián tiếp của các dịch vụ tình báo của Nga, đã mở cuộc chiến tranh mạng chống lại đất nước chúng tôi." Các nhà nghiên cứu khác tại Honeywell và Information Systems Security Partners có trụ sở tại Kiev đã lập luận rằng cú đánh mạng năm 2016 có lẽ đã được thực hiện bởi cùng nhóm hacker như cuộc tấn công năm 2015, mà đã được rộng rãi liên kết với một nhóm hacker được biết đến là Sandworm và được cho là có nguồn gốc từ Nga. Vào thứ Hai, Dragos cho biết họ tin rằng với "độ tin cậy cao", cuộc tấn công Crash Override là công việc của Sandworm, nhưng không cung cấp chi tiết về cách họ đến được kết luận đó.

Mặc dù có khả năng nguy hiểm của Crash Override và mối liên kết nghi ngờ với Nga, nhưng Rob Lee của Dragos lập luận rằng các nhà điều hành lưới điện ở Mỹ và châu Âu vẫn không nên hoảng sợ về những cuộc tấn công mạng tự động giết nguồn điện.

Anh ấy chú ý rằng, khác với Stuxnet, phần mềm độc hại mà Dragos và ESET phân tích không chứa bất kỳ sự khai thác "zero-day" rõ ràng nào để lây lan hoặc xâm nhập vào các mạng mới. Trong khi ESET cảnh báo rằng Crash Override có thể được điều chỉnh để ảnh hưởng đến các loại cơ sở hạ tầng quan trọng khác như giao thông vận tải, đường ống khí, hoặc cơ sở hạ tầng nước, Lee lập luận rằng điều đó sẽ đòi hỏi viết lại các phần khác của mã nguồn ngoài các thành phần modul của nó. Và anh ấy chỉ ra rằng nếu những người điều hành lưới điện theo dõi chặt chẽ các mạng hệ thống kiểm soát của họ - hầu hết trên toàn cầu có lẽ không làm như anh ấy nói - họ nên có thể phát hiện ra các quét thăm dò ồn ào của mã độc hại trước khi nó triển khai các bản tin của mình. "Nó trở nên rõ như ban tay đau," Lee nói.

Tuy nhiên, tất cả điều đó không nên làm cho các quan chức lưới điện ở Mỹ chủ quan. Phần mềm độc hại tấn công lưới điện Kiev đã được biến thành một cách tinh tế, linh hoạt và nguy hiểm hơn những gì cộng đồng an ninh mạng đã tưởng tượng. Và những đặc điểm đó cho thấy nó không phải là chuyện thoáng qua. "Theo phân tích của tôi, không có gì về cuộc tấn công này trông giống như nó là duy nhất," Lee kết luận. "Cách nó được xây dựng và thiết kế và chạy làm cho nó trông như là để sử dụng nhiều lần. Và không chỉ ở Ukraine."

¹Đã cập nhật vào ngày 13/6/2016 12:00 EST để bao gồm phản hồi từ Siemens.