Hạ tầng trọng yếu bị tấn công: Lỗ hổng bảo mật được ưa chuộng

70% cuộc tấn công nhắm vào hạ tầng trọng yếu

Theo báo cáo mới nhất từ IBM X-Force - bộ phận phân tích và ứng phó sự cố mạng của IBM, các tổ chức vận hành cơ sở hạ tầng trọng yếu chiếm tới 70% tổng số cuộc tấn công mà đơn vị này ghi nhận trong năm qua. Đáng chú ý, hơn 25% trong số đó được thực hiện thông qua việc khai thác các lỗ hổng bảo mật.

Michelle Alvarez, Giám đốc phân tích chiến lược mối đe dọa tại IBM X-Force, cho biết: “Chúng tôi ghi nhận xu hướng ngày càng nhiều cuộc tấn công tập trung vào danh tính người dùng trong các lĩnh vực, bao gồm cả hạ tầng trọng yếu. Tuy nhiên, việc khai thác lỗ hổng vẫn là phương thức được ưa chuộng, do các tổ chức này thường phụ thuộc vào công nghệ cũ và có chu trình vá lỗi chậm trễ.”

Bà nhấn mạnh: “Các hệ thống phòng thủ đang bị quá tải với khối lượng bản vá tồn đọng, và các nhóm tấn công chắc chắn sẽ tiếp tục tận dụng điều đó cho đến khi có sự thay đổi".

Khi hệ thống thiết yếu bị “phơi bày” trên Internet

Các chuyên gia bảo mật đều đồng thuận việc các hệ thống trọng yếu bị cấu hình sai và phơi bày công khai trên Internet đang trở thành mối đe dọa nghiêm trọng.

Dray Agha - Quản lý cấp cao tại hãng bảo mật Huntress nhận định: “Tin tặc đang tập trung nhiều hơn vào việc khai thác lỗ hổng để xâm nhập một cách âm thầm. Dù tấn công danh tính vẫn rất phổ biến, nhưng hiện nay nhiều nhóm tin tặc đã bắt đầu từ việc chiếm quyền truy cập trước rồi mới tấn công vào hạ tầng.”

James Lei - Giám đốc điều hành tại công ty kiểm thử bảo mật ứng dụng Sparrow cũng chỉ ra rằng: “Chúng tôi nhận thấy một sự chuyển dịch rõ rệt trong cách tiếp cận của tin tặc: từ việc khai thác email, tài khoản sang tận dụng lỗ hổng trong các hệ thống đáng lẽ không bao giờ nên được trực tiếp công khai".

Các thiết bị như VPN, tường lửa, máy chủ web lỗi thời, cũ kỹ cùng với hệ thống OT (công nghệ vận hành) và thiết bị IoT không được bảo mật đúng cách, đang là cửa ngõ chính để kẻ xấu xâm nhập.

Không cần khai thác, chỉ cần… đăng nhập

Một thực tế đáng báo động là rất nhiều hệ thống quan trọng, như thiết bị xử lý nước, máy chẩn đoán y khoa, hay bảng điều khiển trong các nhà máy, đang được truy cập công khai trên Internet mà không có xác thực hoặc chỉ sử dụng mật khẩu mặc định.

James Lei giải thích thêm: “Trong các trường hợp này, tin tặc thậm chí không cần sử dụng mã khai thác phức tạp - chúng chỉ cần đăng nhập như một người dùng bình thường. Điều đáng lo không chỉ là lỗ hổng kỹ thuật cụ thể, mà là cách toàn bộ hệ thống đang bị phơi bày và thiếu kiểm soát truy cập".

Mã khai thác được giao dịch công khai trên "dark web"

Theo báo cáo từ IBM, 4 trong 10 lỗ hổng (CVE) được nhắc đến nhiều nhất trên dark web (web đen) có liên quan đến các nhóm tấn công tinh vi, bao gồm cả các cơ quan tình báo quốc gia.

“Các đoạn mã khai thác cho những lỗ hổng này được rao bán và chia sẻ công khai trên các diễn đàn ngầm, tiếp tay cho các cuộc tấn công vào lưới điện, hệ thống y tế và công nghiệp,” đại diện IBM X-Force nhận định.

Đáng chú ý, 5/10 lỗ hổng này ảnh hưởng đến thiết bị biên (edge devices) - những thành phần then chốt trong mạng lưới vận hành - và đều nằm trong danh sách "Lỗ hổng bị khai thác tích cực" (KEV) của Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA).

Thiết bị cũ - đích ngắm lý tưởng

Theo ông Scott Caveza - kỹ sư cao cấp tại Tenable, nhiều thiết bị trọng yếu ít được vá lỗi do lo ngại gián đoạn vận hành, đặc biệt là trong các hệ thống công nghiệp hoặc y tế.

Michelle Alvarez bổ sung rằng nhiều hệ thống điều khiển công nghiệp và hệ điều hành cũ thường được duy trì lâu dài không cập nhật, dẫn đến nguy cơ bị kiểm soát từ xa hoặc làm gián đoạn dịch vụ thiết yếu.

Danh sách các vụ tấn công đang ngày một dài.

Số lượng các vụ tấn công mạng vào hạ tầng trọng yếu bằng cách khai thác lỗ hổng đang gia tăng nhanh chóng:

Volt Typhoon: Bị phát hiện đã xâm nhập nhiều mạng lưới tại Mỹ trong các lĩnh vực như truyền thông, năng lượng, giao thông, nước sạch... Thường bắt đầu bằng việc khai thác lỗ hổng thiết bị từ Fortinet, Citrix và Cisco.

MOVEit Transfer (2023): Một lỗ hổng zero-day trong phần mềm chuyển tệp doanh nghiệp bị ransomware khai thác, gây ảnh hưởng đến nhiều tổ chức y tế và chính phủ - ví dụ điển hình về tấn công chuỗi cung ứng.

CyberAv3ngers: Tấn công vào hệ thống xử lý nước tại Mỹ thông qua giao diện HMI công khai và cấu hình yếu. Một số cơ sở bị tin tặc điều khiển máy bơm nước và còi báo động.

Colonial Pipeline (2021): Cuộc tấn công khởi đầu bằng một tài khoản VPN bị xâm nhập không sử dụng xác thực đa yếu tố. Hậu quả: Làm gián đoạn việc cung cấp nhiên liệu trên diện rộng tại Bờ Đông nước Mỹ.

Phòng thủ kiểu cũ không còn phù hợp

Trước tình hình ngày càng nghiêm trọng, giới chuyên gia kêu gọi thay đổi toàn diện tư duy bảo vệ hạ tầng trọng yếu.

Andy Norton - Giám đốc rủi ro an ninh mạng tại Armis - đánh giá: “Các công cụ phòng thủ truyền thống, đơn lẻ và phân mảnh không còn đủ sức đối phó với các rủi ro hiện đại - đặc biệt là khi nhiều mối đe dọa đã được tích hợp trí tuệ nhân tạo (AI).”

Ông cho rằng thay vì chỉ phản ứng sau khi sự cố xảy ra, các tổ chức cần chuyển sang thế chủ động, bằng cách:

- Theo dõi sát sao hệ thống mạng,
- Cập nhật bản vá kịp thời,
- Bảo vệ điểm đầu vào (như xác thực đa yếu tố),
- Thực hiện săn tìm những mối đe dọa thường xuyên.

Mark Hughes - Giám đốc toàn cầu mảng an ninh mạng tại IBM - nhấn mạnh: “Doanh nghiệp cần thoát khỏi tư duy ngăn chặn tức thời, và chuyển sang chiến lược phòng ngừa dài hạn. Tăng cường xác thực, vá các điểm yếu trong xác thực đa yếu tố và triển khai truy vết mối đe dọa theo thời gian thực là những bước cần thiết".

Sự gia tăng các cuộc tấn công nhắm vào hạ tầng trọng yếu - đặc biệt thông qua khai thác lỗ hổng - là một hồi chuông cảnh tỉnh rõ ràng cho các tổ chức vận hành các dịch vụ thiết yếu.

Trong thời đại mà hệ thống vận hành xã hội ngày càng kết nối, bảo vệ các “cột trụ sống còn” như điện, nước, giao thông và y tế cần trở thành ưu tiên số một. Các tổ chức không chỉ cần công nghệ, mà cần tư duy bảo mật chủ động, xuyên suốt và toàn diện để bảo vệ sự an toàn và ổn định quốc gia.

“

Tài liệu tham khảo:
1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
2. https://www.csoonline.com/article/1306501/china-backed-volt-typhoon-preparing-wave-of-attacks.html
3. https://www.csoonline.com/article/1248857/moveit-carnage-continues-with-over-2600-organizations-and-77m-people-impacted-so-far.html
4. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-335a