Vụ Tấn Công Đường Ống Colonial Là Một Cấp Độ Mới Cao Của Ransomware

Trong nhiều năm qua, ngành công nghiệp an ninh mạng đã cảnh báo rằng các hacker do nhà nước có thể đóng cửa một phần lớn cơ sở hạ tầng năng lượng Mỹ trong một hành động tấn công mạng chủ yếu mang tính địa chính trị. Nhưng bây giờ, có vẻ như các hacker tội phạm trực tuyến tập trung vào lợi nhuận đã gây ra một sự cố mà các hacker quân sự và các cơ quan tình báo chưa bao giờ dám thực hiện, đó là đóng cửa một đường ống vận chuyển gần một nửa nhiên liệu được tiêu thụ trên Bờ Đông của Hoa Kỳ.

Vào thứ Bảy, công ty Colonial Pipeline, quản lý một đường ống vận chuyển xăng, dầu diesel và khí tự nhiên dài 5.500 dặm từ Texas đến New Jersey, đã phát đi một tuyên bố xác nhận thông tin rằng các hacker muốn đòi tiền đã tấn công vào mạng của họ. Nhấn mạnh rằng để ngăn chặn mối đe doạ, Colonial Pipeline cho biết họ đã tắt một số phần của hoạt động của đường ống. Sự kiện này đại diện cho một trong những cuộc làm phiền lớn nhất của cơ sở hạ tầng quan trọng của Mỹ bị hacker làm phiền trong lịch sử. Đây cũng là một minh họa khác về việc đến đâu đối với sự nghiêm trọng của đại dịch ransomware toàn cầu.

"Đây là ảnh hưởng lớn nhất đối với hệ thống năng lượng ở Hoa Kỳ từ một cuộc tấn công mạng, hoàn toàn dừng lại," nói Rob Lee, CEO của công ty an ninh tập trung vào cơ sở hạ tầng quan trọng Dragos. Ngoài ảnh hưởng tài chính đối với Colonial Pipeline hoặc nhiều nhà cung cấp và khách hàng của nhiên liệu mà nó vận chuyển, Lee chỉ ra rằng khoảng 40% điện năng ở Mỹ năm 2020 được sản xuất bằng cách đốt cháy khí tự nhiên, nhiều hơn bất kỳ nguồn năng lượng nào khác. Điều đó có nghĩa, ông lập luận, rằng mối đe doạ từ các cuộc tấn công mạng vào một đường ống là mối đe doạ lớn đối với lưới điện dân dụ. "Bạn có khả năng thực sự ảnh hưởng đến hệ thống điện rộng lớn bằng cách cắt nguồn cung khí tự nhiên. Điều này là một vấn đề lớn," ông thêm. "Tôi nghĩ Quốc hội sẽ có câu hỏi. Một nhà cung cấp bị tấn công bằng ransomware từ một hành động tội phạm, đây thậm chí không phải là một cuộc tấn công được tài trợ bởi nhà nước, và nó đã ảnh hưởng đến hệ thống như thế này?"

Tuyên bố ngắn gọn của Colonial Pipeline cho biết họ đã "tiến hành một cuộc điều tra về tính chất và phạm vi của sự cố này, cuộc điều tra đang diễn ra." Reuters đưa tin rằng các chuyên viên phản ứng từ công ty an ninh FireEye đang hỗ trợ công ty, và các nhà điều tra nghi ngờ rằng một nhóm ransomware được biết đến là Darkside có thể chịu trách nhiệm. Theo một báo cáo của công ty an ninh Cybereason, Darkside đã xâm phạm hơn 40 tổ chức nạn nhân và yêu cầu giữa 200.000 và 2 triệu đô la tiền chuộc từ họ.

Sự đóng cửa của Colonial Pipeline đến trong bối cảnh một đợt bùng phát của dịch ransomware: Hacker đã tàn phá và tống tiền các bệnh viện số, đánh hack cơ sở dữ liệu của cảnh sát và đe dọa công bố thông tin của các điệp viên cảnh sát, và làm tê liệt các hệ thống thành phố ở Baltimore và Atlanta.

Hầu hết các nạn nhân của ransomware không bao giờ công bố cuộc tấn công của họ. Nhưng Lee cho biết công ty của ông đã thấy một sự gia tăng đáng kể trong các hoạt động ransomware nhắm vào các hệ thống kiểm soát công nghiệp và cơ sở hạ tầng quan trọng, khi các hacker tập trung vào những mục tiêu nhạy cảm và có giá trị cao nhất để đưa ra rủi ro. "Những tên tội phạm bắt đầu nghĩ về việc tấn công vào lĩnh vực công nghiệp, và trong bảy hoặc tám tháng gần đây, chúng tôi đã chứng kiến một sự gia tăng đáng kể trong các trường hợp," nói Lee. "Tôi nghĩ chúng ta sẽ thấy nhiều hơn."

Thực tế, các nhóm ransomware ngày càng chú ý đến những nạn nhân trong ngành công nghiệp trong những năm gần đây. Hydro Norsk, Hexion và Momentive đều bị tấn công ransomware vào năm 2019, và nghiên cứu an ninh năm ngoái phát hiện ra Ekans, loại ransomware đầu tiên được thiết kế tùy chỉnh để làm tê liệt hệ thống kiểm soát công nghiệp. Thậm chí việc tập trung vào một nhà điều hành đường ống dẫn khí cũng không hẳn là chưa từng có: Cuối năm 2019, tin tặc đã cài ransomware trên mạng của một công ty đường ống dẫn khí tự nhiên ở Hoa Kỳ mà Cơ quan An ninh và Hạ tầng Cơ bản cảnh báo vào đầu năm 2020—tuy không phải là có quy mô như Colonial Pipeline.

Trong vụ tấn công ransomware đường ống dẫn khí trước đó, CISA cảnh báo rằng tin tặc đã tiếp cận cả hệ thống IT và hệ thống "công nghệ vận hành" của công ty ống dẫn khí nhắm vào—mạng máy tính chịu trách nhiệm kiểm soát thiết bị vật lý. Trong trường hợp của Colonial Pipeline, vẫn chưa rõ liệu tin tặc đã chồng lấp khoảng cách đó để tấn công vào các hệ thống có thể đã cho phép họ can thiệp vào trạng thái vật lý của đường ống hoặc tạo điều kiện vật lý có thể nguy hiểm. Chỉ việc có quyền truy cập rộng lớn vào mạng IT có thể là lý do đủ để công ty đóng cửa hoạt động của đường ống như một biện pháp an toàn, theo Joe Slowik, một nhà nghiên cứu tình báo đe dọa cho công ty an ninh Gigamon từng dẫn đầu Đội phản ứng sự cố và an ninh máy tính tại Bộ Năng lượng Hoa Kỳ. "Người điều hành đã làm đúng theo cách này như một phản ứng với sự kiện," Slowik nói. "Khi bạn không thể đảm bảo kiểm soát tích cực trên môi trường và nhìn thấy rõ vào quá trình vận hành, thì bạn cần phải đóng nó lại."

Các xâm nhập ransomware có thể đạt tới những hệ thống công nghệ vận hành đó hiện diện hiếm hơn so với những cái chỉ nhắm vào các mạng IT. Nhưng Lee nói rằng Dragos đã thấy một số lượng ngày càng tăng các nhóm ransomware cố gắng xâm nhập vào các hệ thống OT kiểm soát thiết bị công nghiệp và sản xuất, với mục tiêu là làm tê liệt toàn bộ hoạt động của nạn nhân. Tổ chức ngày càng kết nối những mạng nhạy cảm hơn với internet để tăng cường hiệu suất và tự động hóa từ xa, và một loạt các lỗ hổng trong các VPN mà các công ty sử dụng để kết nối từ xa với những mạng này đã khiến chúng trở nên mở lên hơn. 

"Những băng đảng này xác định, đây là một loạt thiết bị trực tuyến, đây là các lỗ hổng mang lại quyền truy cập cho chúng tôi, và đây là các dải địa chỉ IP của một loạt các công ty công nghiệp lớn," nói Lee. "Tuyệt vời, hãy đi săn lớn."

Trong khi đó, phản ứng trước mối đe doạ ransomware ngày càng cao không ngừng sóng. Một đối tác công tư đã phát hành các đề xuất tháng trước, nhưng bất kỳ giải pháp đề xuất nào cũng đòi hỏi sự tham gia từ nhiều cơ quan chính phủ và phải đối mặt với thực tế rằng nhiều nhóm hacker tấn công mạnh mẽ nhất dường như đặt ở các quốc gia như Nga, nơi chính phủ hiếm khi truy cứu trách nhiệm—và thường hợp tác với—những hacker trong nước.

Điều đó để lại cho các nhà cung cấp cơ sở hạ tầng quan trọng ở Hoa Kỳ không có sự lựa chọn nào khác ngoài việc tăng cường phòng thủ chống lại một đợt tấn công của những hacker tội phạm tổ chức lỏng lẻo—với những dự định làm hỏng chỉ càng ngày càng tăng.

More Great MYTOUR Stories

• 📩 Thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Thiên chiến tranh với máy làm kem của McDonald đã bị hack
• Nó bắt đầu như một trò chơi hầm lạnh được cung cấp năng lượng bởi trí tuệ nhân tạo. Nó trở nên đen tối hơn
• Đừng đánh giá thấp thách thức của việc xây dựng một PC
• Nhựa đang rơi từ trên trời xuống. Nhưng nó đến từ đâu?
• NFTs và trí tuệ nhân tạo đang làm đảo lộn khái niệm về lịch sử
• 👁️ Khám phá AI như chưa bao giờ với cơ sở dữ liệu mới của chúng tôi
• 🎮 MYTOUR Games: Nhận các mẹo, đánh giá và nhiều hơn nữa
• 💻 Nâng cấp công việc của bạn với đội ngũ Gear yêu thích laptop, bàn phím, phương án gõ và tai nghe chống ồn của chúng tôi