Buzz
Chỉ vài lần trong lịch sử hacking, một đoạn mã độc hại đã được nhìn thấy cố gắng can thiệp trực tiếp vào hệ thống kiểm soát công nghiệp, các máy tính làm cầu nối giữa các hệ thống kỹ thuật số và vật lý. Những mẫu mã độc hại hiếm hoi đó đã phá hủy các máy tách chất làm giàu hạt nhân tại Iran và gây mất điện tại Ukraine. Bây giờ, một mẫu mã độc hại đã xuất hiện sử dụng kiến thức cụ thể về hệ thống kiểm soát để mục tiêu chúng với một chiến thuật thô sơ hơn và quen thuộc hơn: tắt chế độ xử lý phần mềm mục tiêu, mã hóa dữ liệu cơ bản và giữ nó làm con tin.
Trong tháng qua, các nhà nghiên cứu tại các công ty bảo mật như Sentinel One và Dragos đã đau đầu với một đoạn mã gọi là Snake hoặc EKANS, mà họ hiện tin rằng được thiết kế đặc biệt để nhắm vào hệ thống kiểm soát công nghiệp, phần mềm và phần cứng được sử dụng trong mọi thứ từ nhà máy lọc dầu đến lưới điện đến cơ sở sản xuất. Giống như ransomware khác, EKANS mã hóa dữ liệu và hiển thị thông báo yêu cầu thanh toán để giải phóng nó; tên gọi xuất phát từ một chuỗi mà nó cài đặt như một đánh dấu tập tin trên máy tính của nạn nhân để xác định rằng tệp của nó đã được mã hóa.
Tuy nhiên, EKANS cũng sử dụng một chiêu thức khác để tăng đau đớn: Nó được thiết kế để chấm dứt 64 quy trình phần mềm khác nhau trên máy tính nạn nhân, bao gồm nhiều quy trình cụ thể cho hệ thống kiểm soát công nghiệp. Điều này cho phép nó sau đó mã hóa dữ liệu mà những chương trình hệ thống kiểm soát đó tương tác với. Mặc dù thô sơ so với các phần mềm độc hại khác được xây dựng đặc biệt cho mục đích phá hoại công nghiệp, nhưng mục tiêu này vẫn có thể làm hỏng phần mềm được sử dụng để giám sát cơ sở hạ tầng, như đường ống dầu của một công ty hoặc robot trong một nhà máy. Điều này có thể gây ra hậu quả có thể nguy hiểm, như ngăn nhân viên theo dõi từ xa hoặc kiểm soát hoạt động của thiết bị.
Thực tế, EKANS là ransomware thứ hai tấn công vào hệ thống kiểm soát công nghiệp. Theo Dragos, một biến thể ransomware khác được biết đến là Megacortex xuất hiện lần đầu tiên vào mùa xuân năm ngoái bao gồm tất cả các tính năng chấm dứt quy trình hệ thống kiểm soát công nghiệp giống như EKANS và thực tế có thể là một phiên bản tiền nhiệm của EKANS được phát triển bởi những hacker giống nhau. Nhưng vì Megacortex cũng chấm dứt hàng trăm quy trình khác, nên các tính năng hướng đến hệ thống kiểm soát công nghiệp của nó đã bị lơ mơi khá nhiều.
Vẫn chưa rõ liệu trách nhiệm về ransomware nhắm vào công nghiệp có thuộc về hacker được tài trợ bởi nhà nước - muốn tạo ra sự đảo lộn và che đậy dấu vết của họ bằng một thủ đoạn ransomware - hay là tội phạm mạng thực sự muốn kiếm lời. Nhưng Vitali Kremez, một nghiên cứu viên tại Sentinel One, người đã công bố khám phá về EKANS vào đầu tháng này cùng với một nhóm nghiên cứu được biết đến là Malware Hunter Team, cho rằng hệ thống kiểm soát công nghiệp là mục tiêu tự nhiên của những kẻ tấn công ransomware. Giống như bệnh viện và chính phủ, họ có nhiều thứ không đồng đều để mất nếu họ mất kết nối.
"Những máy hệ thống kiểm soát công nghiệp này là một số mục tiêu có giá trị cao nhất," Kremez nói. "Có nhiều sự cần thiết và khả năng có sẵn dữ liệu là tâm huyết của nhiệm vụ. Vì vậy, có rất nhiều động cơ để trả tiền cho những kẻ tấn công."
Các công ty công nghiệp chắc chắn đã bị tấn công bởi ransomware tập trung vào Windows như là vụ tấn công mạng đắc hại lên công ty nhôm Na Uy Hydro Norsk vào năm ngoái. Nhưng EKANS và Megacortex đi một bước xa hơn, vào bộ phận kỹ thuật của hệ thống kiểm soát công nghiệp. Trong số hàng chục quy trình mà nó chấm dứt là những quy trình được sử dụng bởi phần mềm Proficy của GE - một chương trình "người lưu trữ dữ liệu" giữ hồ sơ thông tin vận hành trong môi trường công nghiệp - cũng như cơ chế kiểm tra giấy phép trả tiền của khách hàng cho phần mềm tự động hóa Fanuc của GE, phần mềm giám sát và quản lý Thingworx và một chương trình giao diện kiểm soát được bán bởi Honeywell.
"Bằng cách loại bỏ chức năng này, bạn không nhất thiết gây ra sự ngừng lại đột ngột của nhà máy, nhưng bạn sẽ giảm khả năng nhìn thấy và hiểu biết môi trường của nạn nhân," nói Joe Slowik, một nhà nghiên cứu đã phân tích malware EKANS và Megacortex cho công ty an ninh ICS Dragos. Nhưng Slowik cũng lưu ý rằng khó khăn để dự đoán cách phần mềm Fanuc của GE xử lý một sự cố về kiểm tra giấy phép, điều này phụ thuộc vào ngành và cài đặt cụ thể của khách hàng. Nếu phần mềm tự động hóa được cấu hình sao cho nó không thể hoạt động mà không có giấy phép, điều này có thể dẫn đến hậu quả nghiêm trọng hơn. "Nếu việc tắt máy chủ kiểm tra giấy phép dẫn đến việc người vận hành không thể vận hành máy móc cụ thể nào đó, điều đó có thể tạo ra tình huống mất kiểm soát có thể trở nên nguy hiểm," Slowik nói.
Sentinel One cho biết danh sách nạn nhân của EKANS có thể bao gồm Bapco, công ty dầu quốc gia của Bahrain. Công ty an ninh đã nhận được một bản sao của malware EKANS từ một khách hàng ở Trung Đông, người đã nhận được nó từ mạng lưới bị nhiễm bệnh của một tổ chức khác tại Bahrain, theo Kremez của Sentinel One. Và ít nhất một phiên bản của thông báo chuộc phí được hiển thị bởi malware yêu cầu nạn nhân gửi email cho những kẻ tống tiền tại địa chỉ [email protected]. (Bapco không trả lời yêu cầu bình luận của Mytour.) Nhưng Slowik của Dragos chỉ ra rằng phần mềm tự động hóa Fanuc bị nhắm vào bởi EKANS thường được sử dụng để quản lý thiết bị trong các cơ sở sản xuất, chứ không phải là công ty dầu. "Điều này ngụ ý rằng còn nhiều nạn nhân khác," Slowik nói.
Dựa trên một phần là việc Bapco có khả năng bị nhắm đến, công ty an ninh Israel Otorio đã tuyên bố tuần trước rằng EKANS thực sự là công việc của những hacker được tài trợ bởi Iran. Cuối cùng, Bapco, theo báo cáo, đã bị tấn công bằng một phần mềm độc hại wiper của Iran được biết đến là Dustman vào cuối tháng 12, chỉ vài ngày trước vụ ám sát tướng Iran Qassem Soleimani của Hoa Kỳ khiến tình hình căng thẳng với Iran đến mức bất ổn.
Nhưng báo cáo của Dragos vào thứ Hai đã mâu thuẫn với phân tích đó, chỉ ra rằng không có bằng chứng nào kết nối các cuộc tấn công Dustman và EKANS. Slowik chỉ ra những đặc điểm chung của EKANS với Megacortex làm bằng chứng cho việc động cơ của nó là tội phạm thay vì chính trị. Megacortex lan rộng rất rộng, và đã được coi là ransomware tội phạm. Vì hai mẫu malware này dường như có một người tạo ra chung, điều đó gợi ý chúng có cùng một ý định.
Nếu EKANS không phải là công việc của những hacker được tài trợ bởi nhà nước - Iran hoặc không - điều đó sẽ làm cho nó trở nên quan trọng hơn theo một số tiêu chí. Cùng với Megacortex, đó sẽ đại diện cho phần mềm độc hại hệ thống kiểm soát công nghiệp đầu tiên từ các tên tội phạm mạng không thuộc sự kiểm soát của nhà nước. Sau tất cả, malware ICS trong quá khứ đã bị giới hạn đến các cơ quan tình báo cực kỳ tinh vi, như NSA và các hacker tình báo Israel đã tạo ra Stuxnet để phá hủy chương trình làm giàu hạt nhân của Iran bắt đầu từ năm 2007, hoặc nhóm hacker Sandworm của Nga đã sử dụng công cụ tự động gọi là Industroyer hoặc Crash Override để tắt điện tại Kiev vào năm 2016.
EKANS có thể là dấu hiệu cho thấy các chiến thuật hacking công nghiệp đang lan rộ tới những tội phạm thông thường. "Nó ngụ ý một sự sẵn lòng và khả năng tăng lên của các đối tác không phải là nhà nước để ảnh hưởng đến hoặc làm hại các tổ chức cơ sở hạ tầng quan trọng," Slowik nói. Nếu như ý tưởng về các hacker Iran tiến hành chiến tranh mạng trên cơ sở hạ tầng vật lý của hàng xóm có thể làm lo sợ, thì khả năng các hacker tội phạm biến nó thành một doanh nghiệp làm hỏng hệ thống vì lợi nhuận có thể làm tăng lo ngại hơn.
Những điều tuyệt vời khác trên Mytour
- Mark Warner đối mặt với Big Tech và gián điệp Nga
- Chris Evans đến Washington
- Tương lai phân mảnh của quyền riêng tư trình duyệt
- Tôi nghĩ con cái tôi đang chết. Hóa ra chỉ là bệnh ho gà
- Cách mua đồ đã qua sử dụng trên eBay - một cách thông minh, an toàn
- 👁 Lịch sử bí mật của nhận diện khuôn mặt. Ngoài ra, tin tức mới nhất về trí tuệ nhân tạo
- 🏃🏽♀️ Muốn có những công cụ tốt nhất để khỏe mạnh? Kiểm tra những lựa chọn của đội ngũ Gear chúng tôi cho các bộ theo dõi sức khỏe tốt nhất, đồ chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất
