Việt Nam cần cảnh giác với tấn công OT (Kỳ 1)
An toàn thông tin - Ngày đăng : 10:26, 28/11/2019
Nỗi kinh hoàng tấn công công nghệ vận hành (OT)
OT (Operational Technology), tạm dịch là “công nghệ vận hành”, được định nghĩa như một hệ thống các phần mềm và phần cứng nhằm quản lý, giám sát các thiết bị vật lý, máy móc, cũng như quy trình và các phân đoạn sản xuất trong quá trình vận hành của doanh nghiệp (DN).
Mạng OT hỗ trợ cơ sở hạ tầng, như sản xuất, tiện ích và quốc phòng, cũng như xây dựng cơ sở hạ tầng vận hành các hệ thống cơ sở hạ tầng chính như: hệ thống chiếu sáng, thang máy, hệ thống sưởi ấm và làm mát. Hệ thống OT giám sát và đảm bảo sự an toàn của các hoạt động này. Ví dụ, mạng OT có thể giám sát một công tắc và kích hoạt tắt máy nếu vượt quá một giá trị nhất định.
Từ trước tới nay, kiến trúc OT chủ yếu hoạt động trên một cơ sở hạ tầng riêng và biệt lập. Tuy nhiên gần đây, do chịu tác động của cách mạng chuyển đổi số, nên các thiết bị công nghiệp bắt đầu được kết nối nhờ CNTT (IT). Điều này vô hình chung tạo tiền đề cho tin tặc và những kẻ tấn công có chủ đích (ATP) có cơ hội để thực hiện mục đích.
Một ví dụ rõ ràng từ mã độc NotPetya (còn được gọi là Nyetya) là phần mềm độc hại xuất hiện lần đầu thông qua bản cập nhật phần mềm cho M.E.Doc, một phần mềm kế toán được sử dụng rộng rãi ở Ukraine.
Cuối tháng 6/2017, virus NotPetya đã đánh gục toàn bộ máy tính trên đất Ukraine. Bề ngoài giống như là một virus tống tiền nhưng ngay cả khi trả tiền chuộc cũng không có tác dụng. Khắp nơi trên cả nước, người Ukraine tự hỏi không biết họ còn đủ tiền mặt để mua đồ ăn và xăng cho đến khi qua cơn khủng hoảng hay không… Nhưng chưa dừng lại ở đó, virus này đã lây lan khắp thế giới.
Trong cơn dịch đó, có một ca lây nhiễm "định mệnh" đối với Maersk (Tập đoàn Đan Mạch hoạt động đa quốc gia trong các lĩnh vực vận tải, hậu cần, năng lượng). Tại một chi nhánh ở thành phố cảng Odessa bên bờ Biển Đen, một giám đốc tài chính của Maersk Ukraine đã nhờ các quản trị viên tin học cài phần mềm kế toán M.E.Doc lên một chiếc máy tính nhiễm mã độc. Đó là điểm tựa duy nhất cho NotPetya. Nó chỉ cần có thế, toàn bộ hệ thống CNTT của Maersk bị hạ gục trên phạm vi toàn cầu.
18 trong số 76 bến tàu của Maersk, từ Los Angeles tới Algeciras ở Tây Ban Nha, tới Rotterdam ở Hà Lan, tới Mumbai ở Ấn Độ đồng loạt: Cổng không mở, cần trục đứng yên, hàng chục nghìn xe tải phải quay đầu rời khỏi những bến tàu bất động.
Khoảng 150 máy chủ điều khiển tên miền của Maersk được lập trình để đồng bộ hóa dữ liệu với nhau, sao cho, trên lý thuyết, mỗi máy có thể được coi như một bản sao lưu cho các máy khác. Nhưng chiến lược sao lưu phi tập trung này không tính đến một kịch bản: tất cả các máy chủ điều khiển miền đồng thời bị xóa sạch dữ liệu.
Sau một cuộc tìm kiếm điên cuồng, bao gồm cả việc gọi điện thoại cho hàng trăm quản trị viên tin học của nhiều trung tâm dữ liệu trên khắp thế giới, các quản trị viên tuyệt vọng của Maersk cuối cùng cũng tìm được một máy chủ điều khiển miền duy nhất còn sống sót, ở một văn phòng xa xôi, tận Ghana.
Ngay trước khi NotPetya tấn công đã xảy ra mất điện khiến cho chiếc máy tính ở Ghana bị ngoại tuyến, và nó bị ngắt kết nối với cả hệ thống mạng. Nhờ vậy, nó chứa bản sao lưu duy nhất của dữ liệu điều khiển miền không bị ảnh hưởng bởi phần mềm độc - tất cả nhờ mất điện.
Tính từ ngày 27/6/2017, công ty chỉ mất 10 ngày để xây dựng lại toàn bộ hệ thống với 4000 máy chủ và 45.000 máy tính cá nhân. Việc phục hồi hoàn toàn kéo dài hơn: một số nhân viên tiếp tục làm việc suốt ngày đêm gần hai tháng để xây dựng lại hệ thống phần mềm của Maersk.
Bản thân công ty bị giảm 20% lượng vận tải biển trong cuộc khủng hoảng NotPetya. Nhưng ngoài thiệt hại trong kinh doanh và do ngừng hoạt động cùng với chi phí xây dựng lại hệ thống mạng, Maersk còn phải đền bù nhiều khách hàng chi phí lưu trữ hoặc vận chuyển hàng hóa bằng đường khác.
Một khách hàng Maersk tiết lộ nhận được một ngân phiếu bảy chữ số để thanh toán chi phí thuê máy bay gửi hàng vào phút chót. Ước lượng ở Davos, NotPetya làm tiêu tốn của Maersk khoảng từ 250 - 300 triệu USD.
Thiệt hại rộng hơn mà sự đình trệ của Maersk gây ra đối với chuỗi cung ứng toàn cầu, vốn phụ thuộc vào việc giao đúng hẹn sản phẩm và các thành phần sản xuất, thì khó đo đếm được. Và tất nhiên, Maersk cũng chỉ là một nạn nhân.
Công ty dược phẩm Merck, phải tạm ngừng sản xuất một số loại thuốc vì NotPetya, báo với cổ đông rằng công ty mất 870 triệu USD vì phần mềm độc đó. FedEx, có công ty con ở châu Âu là TNT Express bị tê liệt bởi vụ tấn công và mất hàng tháng để khôi phục một phần dữ liệu.
Gã khổng lồ xây dựng Saint-Gobain của Pháp cũng mất cỡ chừng ấy. Reckitt Benckiser, nhà sản xuất bao cao su Durex của Anh, mất 129 triệu USD, và Mondelēz, công ty mẹ của hãng socola Cadbury, mất 188 triệu USD. Và không biết bao nhiêu nạn nhân không được kể đến, không có cổ đông, phải âm thầm tính thiệt hại.
Chỉ khi bắt đầu nhân rộng câu chuyện của Maersk - tưởng tượng cùng một sự tê liệt, cùng những cuộc khủng hoảng liên tiếp, cùng quá trình hồi phục tơi tả - cho hàng tá nạn nhân khác của NotPetya và vô số các ngành công nghiệp khác, chúng ta mới thấy hiện ra quy mô thực sự của tội ác trong cuộc chiến tranh mạng.
Những bóng ma trong phòng máy chủ của M.E.Doc ở một xó tại Kiev gieo rắc hỗn loạn trong những phòng họp dát vàng trong các cơ quan nhà nước ở thủ đô, trong những cảng biển khắp nơi trên thế giới, trong trụ sở trang nghiêm của Maersk bên cảng Copenhagen, và khắp nền kinh tế toàn cầu.
Tuy nhiên, hầu như tất cả mọi người nghiên cứu NotPetya thống nhất ở một điểm: nó có thể tái diễn, thậm chí ở mức độ lớn hơn. Các tập đoàn toàn cầu có quá nhiều liên kết, bảo mật thông tin thì quá phức tạp, những mặt có thể bị tấn công thì quá rộng để có thể an toàn trước những tin tặc (hacker) được chính phủ đào tạo và chỉ muốn tung ra thứ mã độc làm rung chuyển thế giới tiếp theo.
Thách thức không ngừng gia tăng
Kể từ báo cáo Công nghệ vận hành (Operational Technology) Hệ thống điều khiển công nghiệp (Industrial Control System - ICS) cuối cùng được phát hành năm 2017, phần lớn các tổ chức đã hoàn thiện hệ thống bảo mật của mình trong hai năm qua và đang áp dụng các chiến lược nhằm giải quyết việc hội tụ OT/IT (tích hợp các hệ thống công nghệ thông tin được sử dụng cho điện toán tập trung dữ liệu với các hệ thống công nghệ vận hành được sử dụng để giám sát các sự kiện, quy trình và thiết bị và điều chỉnh các hoạt động của doanh nghiệp và công nghiệp).
Mặc dù giảm đáng kể so với năm 2017 nhưng thông qua những nghiên cứu bảo mật của các hãng hàng đầu thế giới cho thấy vẫn còn một con số đáng ngại củng cố thực tế rằng ngay cả khi các tổ chức đặt ưu tiên cho an ninh mạng OT, các cuộc tấn công mạng và vi phạm dữ liệu tiếp tục gia tăng đồng thời liên tục tiến hóa khi OT & CNTT hội tụ và tổ chức áp dụng các khả năng của thiết bị di động và không dây.
Các thách thức về an ninh mạng đang mở rộng khi ranh giới của ICS trở nên rộng hơn, đan xen và phụ thuộc lẫn nhau, trao đổi thông tin với vô số các hệ thống và quy trình khác. Những thách thức trong lĩnh vực này bao gồm các thiết bị di động và không dây, thứ mà mọi người đánh giá thấp mức độ ảnh hưởng tới rủi ro toàn hệ thống. Một số ứng dụng di động thay thế các ứng dụng trạm kỹ thuật nên được đánh giá ở mức độ rủi ro cao hơn. Ngoài ra, giao tiếp không dây đang được sử dụng rộng rãi hơn để truyền dữ liệu từ các mạng cảm biến. Điều này càng làm tăng điểm tấn công và khiến tổ chức phải chịu những hậu quả nghiêm trọng nếu vi phạm xảy ra.
Mục tiêu của những kẻ tấn công mạng không chỉ nhắm đến là các lỗ hổng bảo mật để trục lợi mà còn vì mục đích xấu như khủng bố hoặc cố tình gây tổn hại tới đất nước, thậm chí phá hoại để gây khủng hoảng toàn cầu. Những thiệt hại từ cuộc tấn công vào Maersk cho thấy rõ điều đó Việc đảm bảo an ninh mạng hệ thống điều khiển công nghiệp ngày càng có tầm quan trọng và đang trở thành trọng điểm đảm bảo an toàn an ninh thông tin của mỗi quốc gia.
Chúng ta nhận thấy sự cấp bách cũng như một nhu cầu đang phát triển khi ngày càng có nhiều công ty công nghiệp trên khắp thế giới đang tìm kiếm sự giúp đỡ trong việc chống lại các mối đe dọa mạng đang gia tăng về số lượng, sự dai dẳng và sức mạnh. An ninh mạng hệ thống điều khiển công nghiệp là ưu tiên hàng đầu và các tổ chức đang củng cố hệ thống an ninh mạng của mình bằng các công nghệ bảo mật OT tiên tiến có thể cung cấp khả năng hiển thị và kiểm soát sâu rộng xuyên suốt OT và CNTT