Tin tặc APT nhắm vào các hệ thống ICS/SCADA bằng phần mềm độc hại chuyên biệt

An toàn thông tin - Ngày đăng : 14:35, 15/04/2022

Chính phủ Hoa Kỳ mới đưa ra cảnh báo về việc các tác nhân có sự bảo trợ của nhà nước đang triển khai phần mềm độc hại chuyên biệt để chiếm quyền truy cập vào các hệ thống kiểm soát công nghiệp (ICS), các thiết bị điều khiển giám sát và thu thập dữ liệu (SCADA).

Nhiều cơ quan của Hoa Kỳ cho biết: "Các tác nhân APT đã phát triển những công cụ tùy chỉnh để nhắm mục tiêu vào các thiết bị ICS/SCADA. Các công cụ này cho phép chúng quét, xâm nhập và kiểm soát các thiết bị bị ảnh hưởng sau khi đã thiết lập quyền truy cập ban đầu vào mạng công nghệ vận hành (OT)".

Theo cảnh báo từ Bộ Năng lượng Hoa Kỳ (DoE), Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cơ quan An ninh Quốc gia (NSA) và Cục Điều tra Liên bang (FBI), các công cụ tùy chỉnh được thiết kế đặc biệt để tách bộ điều khiển lập trình (PLC) của Schneider Electric, PLC của OMRON Sysmac NEX và các máy chủ kiến trúc hợp nhất truyền thông nền tảng mở (OPC UA).

Hơn nữa, các tác nhân giấu tên được cho là có khả năng khai thác lỗ hổng đã biết (CVE-2020-15368) để xâm nhập vào các máy trạm kỹ thuật dựa trên Windows thông qua các mạng CNTT và OT. Chúng sử dụng một phương thức khai thác gây tổn hại đến trình điều khiển bo mạch chủ của ASRock.

Các cơ quan cho biết, mục đích của chúng là lợi dụng quyền truy cập vào các hệ thống ICS để nâng cao các đặc quyền, di chuyển bên trong các mạng này và phá hoại các tính năng quan trọng trong các môi trường khí tự nhiên hóa lỏng (LNG) và năng lượng điện.

Từ đầu năm 2022, công ty an ninh mạng công nghiệp Dragos đã theo dõi phần mềm độc hại dưới tên "PIPEDREAM" và mô tả nó như một "khung tấn công mô-đun ICS mà tin tặc có thể lợi dụng để gây gián đoạn, làm suy yếu và thậm chí có thể phá hủy tùy theo mục tiêu và môi trường."

Giám đốc điều hành Robert M. Lee của Dragos cho rằng, tác nhân mềm độc hại có sự bảo hộ của nhà nước và được gọi là CHERNOVITE và cho rằng bộ công cụ phá hoại vẫn chưa được sử dụng vào các cuộc tấn công trong thực tế.  

Các tính năng của PIPEDREAM có một mảng 5 thành phần để hoàn thành các mục tiêu của mình, cho phép nó tiến hành do thám, chiếm quyền điều khiển các thiết bị mục tiêu, giả mạo logic thực thi của bộ điều khiển và làm gián đoạn các PLC, dẫn đến "mất an toàn, tính sẵn sàng và kiểm soát môi trường công nghiệp".

Phần mềm độc hại đa năng này cũng lợi dụng CODESYS, một môi trường phát triển của bên thứ ba dành cho các ứng dụng điều khiển lập trình và đã được phát hiện có chứa tới 17 lỗ hổng bảo mật khác nhau trong năm qua.

Dragos cảnh báo: "Tác nhân độc hại có những khả năng lập trình lại, có thể vô hiệu hóa những điều khiển an toàn và những bộ điều khiển tự động hóa máy rồi từ đó vô hiệu hóa hệ thống tắt khẩn cấp và cuối cùng là điều khiển môi trường hoạt động đến các điều kiện không an toàn".

Công ty tình báo mối đe dọa Mandiant cũng đã phát hiện và báo cáo về mối đe dọa này và họ gọi là "bộ công cụ định hướng tấn công hệ thống điều khiển công nghiệp (ICS) mới" nhắm vào các thiết bị tự động hóa máy móc của Schneider Electric và Omron.

Phần mềm độc hại do nhà nước tài trợ, được đặt tên là INCONTROLLER, được thiết kế để "tương tác với các thiết bị công nghiệp cụ thể được nhúng trong các loại máy móc khác nhau và được sử dụng trong nhiều ngành" bằng các giao thức mạng công nghiệp như OPC UA, Modbus và CODESYS.

Điều này cho thấy, vẫn chưa rõ bằng cách nào mà các cơ quan chính phủ cũng như Dragos và Mandiant tìm thấy phần mềm độc hại. Phát hiện được đưa ra một ngày sau khi công ty an ninh mạng ESET của Slovakia trình bày chi tiết việc sử dụng phiên bản nâng cấp của phần mềm độc hại Industroyer trong một cuộc tấn công mạng thất bại nhắm vào một nhà cung cấp năng lượng giấu tên ở Ukraine vào tuần trước.

Mandiant cho biết: "INCONTROLLER (hay còn gọi là PIPEDREAM) đại diện cho một khả năng tấn công mạng đặc biệt hiếm gặp và nguy hiểm. Nó giống như Triton đã cố gắng vô hiệu hóa hệ thống an toàn công nghiệp vào năm 2017; Industroyer gây ra sự cố mất điện ở Ukraine vào năm 2016 và Stuxnet đã phá hoại chương trình hạt nhân của Iran vào khoảng năm 2010".

Để giảm thiểu các mối đe dọa tiềm ẩn, bảo vệ các thiết bị ICS và SCADA, các cơ quan khuyến khích các tổ chức thực thi xác thực đa yếu tố cho việc truy cập từ xa, thay đổi mật khẩu định kỳ và liên tục quan sát các chỉ số và hành vi độc hại./.

Hạnh Tâm