Ransomware Mới Bí Ẩn Tấn Công Hệ Thống Kiểm Soát Công Nghiệp

Chỉ vài lần trong lịch sử hacking, đã xuất hiện một đoạn mã độc hại cố gắng can thiệp trực tiếp vào hệ thống kiểm soát công nghiệp, những máy tính kết nối giữa hệ thống số và hệ thống vật lý. Những loại mã độc hại hiếm hoi đó đã phá hủy các máy ly tâm làm giàu hạt nhân ở Iran và gây cắt điện ở Ukraine. Bây giờ, một mẫu mã độc hại đã xuất hiện sử dụng kiến thức cụ thể về hệ thống kiểm soát để tấn công chúng bằng một chiến thuật thô sơ và quen thuộc hơn: Tắt các quy trình phần mềm mục tiêu, mã hóa dữ liệu cơ bản và giữ nó làm con tin.

Trong tháng qua, các nhà nghiên cứu tại các công ty an ninh bao gồm Sentinel One và Dragos đã bối rối trước một đoạn mã gọi là Snake hoặc EKANS, mà họ hiện tin rằng nó được thiết kế đặc biệt để nhắm vào hệ thống kiểm soát công nghiệp, phần mềm và phần cứng được sử dụng trong mọi thứ từ nhà máy lọc dầu đến lưới điện đến các cơ sở sản xuất. Giống như ransomware khác, EKANS mã hóa dữ liệu và hiển thị một thông báo yêu cầu thanh toán để giải mã; tên gọi đến từ một chuỗi mà nó gieo trên máy tính nạn nhân để xác định rằng các tệp của nó đã bị mã hóa.

Nhưng EKANS cũng sử dụng một chiêu thức khác để làm tăng đau đớn: Nó được thiết kế để chấm dứt 64 quy trình phần mềm khác nhau trên máy tính nạn nhân, bao gồm nhiều quy trình cụ thể cho hệ thống kiểm soát công nghiệp. Điều này cho phép nó sau đó mã hóa dữ liệu mà những chương trình hệ thống kiểm soát đó tương tác. Mặc dù thô sơ so với malware khác được xây dựng đặc biệt cho mục đích phá hoại công nghiệp, nhưng nhắm mục tiêu có thể phá vỡ phần mềm được sử dụng để giám sát cơ sở hạ tầng, như đường ống dầu của một công ty hoặc robot của một nhà máy. Điều này có thể có hậu quả nguy hiểm, như ngăn nhân viên giám sát hoặc kiểm soát từ xa hoạt động của thiết bị.

Thực tế, EKANS là ransomware thứ hai tấn công vào hệ thống kiểm soát công nghiệp. Theo Dragos, một dạng ransomware khác được biết đến là Megacortex xuất hiện lần đầu mùa xuân năm ngoái đã bao gồm tất cả các tính năng chấm dứt quy trình của hệ thống kiểm soát công nghiệp giống như EKANS và thậm chí có thể là tiền bối của EKANS được phát triển bởi cùng một nhóm hacker. Nhưng do Megacortex cũng chấm dứt hàng trăm quy trình khác, tính năng hướng đến hệ thống kiểm soát công nghiệp của nó đã được bỏ qua nhiều.

Vẫn chưa rõ liệu trách nhiệm về ransomware nhắm mục tiêu công nghiệp này thuộc về các hacker được tài trợ bởi nhà nước—đang tìm cách tạo ra sự rối loạn và che đậy dấu vết của mình với một kế hoạch ransomware—hoặc là các tội phạm mạng thực sự tìm kiếm lợi nhuận. Nhưng Vitali Kremez, một nhà nghiên cứu tại Sentinel One đã công bố phát hiện về EKANS vào đầu tháng này cùng với một nhóm nghiên cứu được biết đến là Malware Hunter Team, cho rằng hệ thống kiểm soát công nghiệp là mục tiêu tự nhiên của những kẻ tấn công ransomware. Giống như bệnh viện và chính phủ, họ có nhiều thứ để mất nếu mất kết nối.

"Những máy hệ thống kiểm soát công nghiệp này là một số mục tiêu có giá trị cao nhất," nói Kremez. "Có rất nhiều sự cấp bách, và sự có sẵn dữ liệu ở trung tâm của sứ mệnh. Vì vậy, có rất nhiều động cơ để thanh toán cho những kẻ tấn công."

Các công ty công nghiệp chắc chắn đã gặp phải ransomware dành cho Windows thông thường trong quá khứ, như cuộc tấn công mạng đầy hủy hoại vào công ty nhôm Na Uy Hydro Norsk năm ngoái. Nhưng EKANS và Megacortex đi một bước xa hơn, vào bên trong hệ thống kiểm soát công nghiệp. Trong số hàng chục quy trình nó chấm dứt là những quy trình được sử dụng bởi phần mềm Proficy của GE—một chương trình "lịch sử dữ liệu" giữ hồ sơ thông tin vận hành trong cài đặt công nghiệp—cũng như cơ chế kiểm tra giấy phép trả tiền của khách hàng cho phần mềm tự động hóa Fanuc của GE, phần mềm giám sát và quản lý Thingworx, và một chương trình giao diện kiểm soát được bán bởi Honeywell.

"Bằng cách chấm dứt chức năng này, bạn không nhất thiết làm cho nhà máy ngừng lại đột ngột, nhưng bạn sẽ giảm khả năng nhìn thấy và hiểu biết môi trường của nạn nhân," nói Joe Slowik, một nhà nghiên cứu đã phân tích malware EKANS và Megacortex cho công ty an ninh ICS Dragos. Nhưng Slowik cũng lưu ý rằng không dễ dàng để dự đoán cách phần mềm Fanuc của GE xử lý sự cố của các kiểm tra giấy phép, điều đó phụ thuộc vào ngành và cài đặt cụ thể của khách hàng. Nếu phần mềm tự động hóa được cấu hình sao cho nó không thể hoạt động mà không có giấy phép, điều đó có thể dẫn đến hậu quả nghiêm trọng hơn. "Nếu việc tắt máy chủ kiểm tra giấy phép dẫn đến những người vận hành không thể vận hành máy móc cụ thể nào đó, điều đó có thể tạo ra tình huống mất kiểm soát có thể trở nên nguy hiểm," Slowik nói.

Sentinel One cho biết danh sách nạn nhân của EKANS có lẽ bao gồm Bapco, công ty dầu mỏ quốc gia của Bahrain. Công ty an ninh nhận được một bản sao của mã độc hại EKANS từ một khách hàng ở Trung Đông, người đã có được nó từ mạng lưới bị nhiễm bệnh của một tổ chức khác tại Bahrain, theo Kremez của Sentinel One. Ít nhất một phiên bản của thông báo chuộc của mã độc hại yêu cầu nạn nhân gửi email cho những kẻ đe dọa tại địa chỉ [email protected]. (Bapco không phản hồi yêu cầu bình luận của MYTOUR.) Nhưng Slowik của Dragos chỉ ra rằng phần mềm tự động hóa Fanuc bị nhắm mục bởi EKANS thường được sử dụng để quản lý thiết bị trong cơ sở sản xuất, không phải là công ty dầu mỏ. "Điều này ngụ ý có các nạn nhân khác," Slowik nói.

Dựa vào một phần là việc Bapco có vẻ là mục tiêu, công ty an ninh Israel Otorio tuần trước tuyên bố rằng EKANS thực sự là công việc của các hacker được nhà nước Iran tài trợ. Cuối cùng, Bapco bị tấn công bởi một loại malware hủy hoại Iran được biết đến là Dustman vào cuối tháng 12, chỉ vài ngày trước khi Mỹ ám sát tướng Qassem Soleimani tăng căng thẳng với Iran đến điểm đổ vỡ.

Tuy nhiên, báo cáo của Dragos vào thứ Hai phản đối phân tích đó, chỉ ra rằng không có bằng chứng nào kết nối các cuộc tấn công Dustman và EKANS. Slowik chỉ ra những đặc điểm chung của EKANS với Megacortex là bằng chứng cho thấy động cơ của nó là tội phạm chứ không phải chính trị. Megacortex lan rộ rộng rãi hơn EKANS, và đã được coi là ransomware tội phạm. Vì hai mẫu mã độc hại này dường như có cùng một người tạo ra, điều đó ngụ ý chúng có cùng một mục đích.

Nếu EKANS không phải là công việc của hacker được nhà nước—Iran hay không—điều đó làm cho nó trở nên quan trọng hơn theo một số tiêu chí. Cùng với Megacortex, nó sẽ đại diện cho malware hệ thống kiểm soát công nghiệp đầu tiên từ người tội phạm mạng không phải là nhà nước. Sau tất cả, trong quá khứ, malware ICS đã bị hạn chế trong tay các cơ quan tình báo có độ phức tạp cao, như NSA và các hacker tình báo Israel đã tạo ra Stuxnet để phá hoại chương trình làm giàu hạt nhân của Iran bắt đầu từ năm 2007, hoặc các hacker Sandworm của Nga đã sử dụng một công cụ tự động gọi là Industroyer hoặc Crash Override để tắt điện ở Kiev vào năm 2016.

EKANS có thể là dấu hiệu cho thấy các chiến thuật hack công nghiệp đang lan rộ đến tay những tên tội phạm thông thường. "Điều này ngụ ý sự sẵn sàng và khả năng gia tăng của các bên không thuộc quốc gia ảnh hưởng đáng kể hoặc làm hại cho các tổ chức cơ sở hạ tầng quan trọng," nói Slowik. Nếu ý tưởng về hacker Iran tiến hành chiến tranh mạng trên cơ sở hạ tầng vật lý của hàng xóm có thể làm kinh ngạc, thì khả năng các hacker tội phạm biến việc đánh sập những hệ thống đó thành một kinh doanh để kiếm lời có thể còn khủng khiếp hơn.

• Mark Warner đối đầu với Big Tech và gián điệp Nga
• Chris Evans đến Washington
• Tương lai đầy rẫy của quyền riêng tư trình duyệt
• Tôi nghĩ con tôi đang chết. Hóa ra chỉ là cúp
• Cách mua đồ đã qua sử dụng trên eBay—cách thông minh, an toàn
• 👁 Lịch sử bí mật của nhận diện khuôn mặt. Ngoài ra, tin tức mới nhất về trí tuệ nhân tạo
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để trở nên khỏe mạnh? Kiểm tra các chọn lựa của đội ngũ Gear chúng tôi cho những chiếc vòng đeo sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày dép và tất), và tai nghe tốt nhất