Cảnh báo mối đe dọa ICS gia tăng, nhằm vào các cơ sở dầu khí
Diễn đàn - Ngày đăng : 16:21, 15/08/2019
Báo cáo “Mối đe dọa mạng dầu khí toàn cầu” được Dragos công bố tuần trước cho thấy các cuộc tấn công mạng nhằm vào các cơ sở dầu khí toàn cầu đang gia tăng và các mối đe dọa có thể gây ra hậu quả nghiêm trọng.
Cụ thể, nguy cơ bảo mật đối với hệ thống ICS trong dầu khí trên toàn cầu là rất cao và ngày càng tăng, sẽ có nhiều vụ xâm nhập vào mạng ICS không chỉ dùng cho mục đích thăm dò hay đánh cắp thông tin nữa mà để phá hoại các cơ sở dầu khí.
Tại Hội nghị Black Hat 2019, Dragos đã xác định một nhóm đe dọa mới có khả năng thực hiện tấn công ICS đang nhắm mục tiêu vào các cơ sở dầu khí. Được đặt tên là "Hexane", nhóm này đã hoạt động từ năm 2018 và nhằm mục tiêu vào các công ty viễn thông ở Trung Đông, Trung Á và châu Phi.
Sự gia tăng các mối đe dọa an ninh ICS đối với các công ty dầu khí cũng trùng khớp với sự gia tăng xung đột chính trị giữa các quốc gia khác nhau trên toàn cầu.
"Trong một năm rưỡi qua, khi căng thẳng gia tăng trên toàn thế giới, các doanh nghiệp dầu khí đã trở thành mục tiêu rất lớn cho các cuộc tấn công mạng", Sergio Caltagirone, Phó chủ tịch phụ trách thông tin tình báo tại Dragos cho biết.
Lấy ví dụ cho vấn đề này, báo cáo chỉ ra một nhóm tin tặc Iran được Dragos gọi là Magnallium đã tiến hành các cuộc tấn công nhằm vào các mục tiêu của Hoa Kỳ. Sau những căng thẳng gia tăng gần đây giữa Hoa Kỳ và Iran, Dragos đã xác định mục tiêu hoạt động của Magnallium là nhằm vào các tổ chức tài chính và chính phủ Hoa Kỳ cũng như các công ty dầu khí để truy cập vào các máy tính tại các tổ chức mục tiêu.
Ông Caltagirone cũng cho biết khả năng một cuộc tấn công mạng làm tê liệt hoạt động tại các cơ sở dầu khí cao hơn các công ty điện lực do quy trình lọc dầu thường liên quan đến các vật liệu dễ cháy và có khả năng dẫn đến các vụ nổ.
Trên thực tế, báo cáo chỉ ra "Dragos đánh giá với độ tin cậy vừa phải rằng tấn công ICS lớn đầu tiên gây phá hoại thiết bị và quy trình hoặc thậm chí là mất mạng sẽ xảy ra trong lĩnh vực dầu khí". Tuy nhiên, cho đến nay, các chiến dịch tấn công nhằm vào các công ty dầu khí mới chỉ dừng lại ở việc phá vỡ các hoạt động hoặc để đạt được các mục tiêu chính trị, kinh tế và an ninh quốc gia.
Thậm chí, trong một số trường hợp, theo Caltagirone, các nhóm đe dọa có thể chỉ muốn "gửi thông điệp" đến một quốc gia đối lập bằng cách chứng minh rằng họ có quyền truy cập vào hệ thống ICS của những cơ sở hạ tầng quan trọng.
Ngoài ra, sự gia tăng tấn công vào các cơ sở dầu khí cũng cho thấy khả năng xảy ra tấn công ICS giữa các quốc gia khác nhau. Đã gần 10 năm trôi qua kể từ tháng 6/2010 khi phát hiện ra sâu máy tính Stuxnet khét tiếng và nguy hiểm (được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính), vẫn còn nhiều bí ẩn xoay quanh câu chuyện này.Có rất nhiều hoài nghi rằng Mỹ và Cơ quan tình báo Mossad của Israel đã dùng Stuxnet để tấn công các chương trình hạt nhân của Iran. Israel cũng được cho là thủ phạm đứng sau vụ Stuxnet tấn công các máy tính ở Iran trong khi Tehran chỉ trích Tel Aviv và Washington đã sát hại hai nhà khoa học hạt nhân của nước này hồi tháng 11/2010 và tháng 1/2011.
Báo cáo của Dragos lưu ý rằng nhóm tin tặc được biết đến với tên Xenotime không chỉ xâm nhập các mạng ICS trong các cơ sở dầu khí mà còn có khả năng gây ra một sự kiện hủy diệt. Theo Dragos, Xenotime đã thăm dò mạng lưới của ít nhất 20 mục tiêu hệ thống điện khác nhau của Mỹ.
Trước đó vào năm 2018, Dragos đã báo cáo rằng họ đã thấy Xenotime nhắm mục tiêu vào các công ty dầu khí Bắc Mỹ. Hoạt động đó bao gồm phần lớn các loại thăm dò tương tự được thấy gần đây, nhưng trong một số trường hợp cũng bao gồm các nỗ lực để phá vỡ xác thực của các mạng đó.
Trong bối cảnh đó, Dragos khuyến nghị các công ty dầu khí cũng như các tổ chức khác sử dụng ICS cần thực hiện một số bước để chống lại các cuộc tấn công này, bao gồm phát triển các kế hoạch ứng phó sự cố, phân đoạn mạng để ngăn chặn chuyển động bên (lateral movement) và thu thập các bản ghi trong môi trường ICS.