Bom logic: Mối nguy hại cho các hệ thống điều khiển công nghiệp

Mới đây, các nhà nghiên cứu đã đưa ra cảnh báo bom logic (logic bom) có thể gây ra mối nguy hại nghiêm trọng tới hệ thống điều khiển công nghiệp (Industrial Control Systems - ICS), đặc biệt là các bộ điều khiển khả trình PLC (Programmable logic controllers).

Logic bomb là một phần mã được thiết kế để kích hoạt những tính năng độc hại khi gặp những điều kiện đặc biệt như ngày và giờ hoặc dữ liệu có giá trị nào đó (đã được thiết lập sẵn). Trước đây đã từng có một số phần mềm độc hại sử dụng bom logic (ví dụ như .Stuxnet và Sahamoon), tuy nhiên các chuyên gia của Viện quốc tế về Công nghệ Thông tin (IIIT Hyderabad) Ấn Độ và Đại học Công nghệ và Thiết kế Singapore cho rằng vẫn chưa có đủ nghiên cứu về mối đe dọa của bom logic đối với ICS. Do vậy, các nghiên cứu của họ tập trung vào các PLC và lập trình ladder, một ngôn ngữ lập trình được sử dụng để viết phần mềm cho các thiết bị PLC. Đó cũng là lý do tại sao mối nguy hại được phát hiện trong nghiên cứu này được đặt tên là “ladder logic boms”.

Các nhà nghiên cứu thấy rằng các PLC có lỗ hổng và họ đã cảnh báo về những mối đe dọa tiềm ẩn đối với những lỗ hổng này, bao gồm sâu worm và những tấn công kiểm soát pin tàng hình.

Trong một nỗ lực ngăn chặn tấn công, các nhà sản xuất PCL đã thực hiện những kỹ thuật được thiết kế để chặn phần mềm trái phép được tải lên thiết bị. Các nhà nghiên cứu đã phát hiện ra rằng không có sự kiểm tra bảo mật hay cơ chế xác thực nào đảm bảo ngăn chặn được những cập nhật trái phép tới PLC.

Kẻ tấn công có thể truy nhập vật lý vào PLC mục tiêu – trong một số trường hợp cấu hình tấn công có thể được thực thi qua mạng - có thể tải mã độc bom logic vào thiết bị và chiếm quyền điều khiển. Tin tặc có thể tải về hoặc đẩy lên những cấu hình logic sử dụng phần mềm chuyên dụng như Studio 5000 hoặc ControlLogix from Rockwell Automation.

Theo các nhà nghiên cứu, ladder logic bom rất nguy hiểm khi kẻ tấn công chỉ cần truy nhập được vào PLC mục tiêu 1 lần. Sau đó “quả bom” này có thể được kích hoạt từ bên ngoài bằng việc sử dụng một đầu vào đặc biệt hoặc có thể được kích hoạt ngay bên trong hệ thống bằng những chỉ dẫn hoặc một thiết lập ngày và giờ nhất định. Các chuyên gia cho biết ladder logic bom có thể sử dụng cho nhiều mục đích, bao gồm tấn công từ chối dịch vụ (denial-of-service - DoS), thay đổi hoạt động của PLC và chiếm dữ liệu. Những tấn công này đã được kiểm thử trong các môi trường ICS thực trên thế giới. Trong trường hợp tấn công DoS, tin tặc có thể bổ sung một mẩu mã độc logic khiến cho PLC ngừng hoạt động. Khi được kích hoạt, những "quả bom" có thể thiết lập một vòng lặp vô hạn (các lệnh) và làm vô hiệu hóa thiết bị. Ladder logic bomb cũng có thể được sử dụng để điều khiển dữ liệu như đọc số liệu của các bộ cảm biến nhằm che đậy những hoạt động bất hợp pháp hoặc gây lỗi cho các thiết bị .

Ngoài ra. những kẻ tấn công cũng có thể bí mật xâm nhập dữ liệu PLC nhạy cảm bằng cách sử dụng bộ nhớ đệm FIFO (First-In-First-Out) và bảng ghi dữ liệu trong các phần tử mảng (arrays) trên thiết bị. Những mối đe dọa này có thể không bị phát hiện trong một khoảng thời gian khi không có một tác động nào vào hoạt động bình thường của thiết bị.

Để ngăn chặn những kiểu tấn công này, các nhà nghiên cứu đã đề xuất cả biện pháp đối phó dựa vào mạng Internet và kiểm tra tập trung mã chạy (running code), trong đó bao gồm cả việc sử dụng chứng thực hoặc các chữ ký mật mã hóa cho các bản cập nhật logic.