Tấn công kênh bên: Mối đe dọa đối với các hệ thống điều khiển công nghiệp

Tấn công kênh bên và những nguy cơ tiềm ẩn đối với ICS

Hệ thống điều khiển công nghiệp (Industrial Control System - ICS) là tổ hợp các phương tiện kỹ thuật, các chương trình phần mềm và con người thực hiện điều khiển quy trình công nghệ sản xuất tại cơ sở công nghiệp. Các ICS được ứng dụng rộng rãi trong các lĩnh vực sản xuất công nghiệp, năng lượng, giao thông...

Trong những năm gần đây, các hệ thống này đang trở thành mục tiêu của giới tội phạm sử dụng công nghệ cao. Điển hình là các cuộc tấn công vào cơ sở hạt nhân của Iran, nhà máy hoá chất của Đức và mạng lưới điện của Ukraina. Các cuộc tấn công vào các ICS có đặc điểm chung là có độ phức tạp cao, được chuẩn bị công phu và việc thực hiện được tiến hành qua nhiều giai đoạn, với hậu quả xảy ra rất nặng nề. Điều này là do cấu trúc phức tạp và các đặc điểm khác biệt của ICS so với các hệ thống công nghệ thông tin thông thường.

Ông Demos Andreou, một kỹ sư trưởng tại công ty quản lý năng lượng Eaton, đã tiến hành phân tích các thiết bị bảo vệ thường được sử dụng trong lĩnh vực năng lượng, đặc biệt trong các trạm phân phối điện. Theo đó, các cuộc tấn công kênh bên (side channel attack) có thể được sử dụng để trích xuất dữ liệu từ một hệ thống dựa trên thông tin thu được bằng cách quan sát các hoạt động vật lý. Đây là loại tấn công dễ thực hiện trong các loại tấn công mạnh chống lại quá trình triển khai mã hóa. Mục tiêu của loại tấn công này là phân tích các nguyên tố, các giao thức, module và các thiết bị trong mỗi hệ thống.

Có một số phương pháp tấn công kênh bên, nhưng nghiên cứu của Andreou đã xem xét các cuộc tấn công, phân tích thời gian và năng lượng. Chúng dựa vào phân tích thời gian cần để thực hiện các tính toán khác nhau và các thay đổi có thể đo lường về mức tiêu thụ điện năng khi thiết bị được nhắm mục tiêu thực hiện các hoạt động mã hóa tương ứng.

Nhà nghiên cứu cho biết cả hai kiểu tấn công dựa vào thời gian và phân tích điện năng có thể được triển khai nhằm vào các thiết bị ICS. Tuy nhiên, do các cuộc tấn công dựa vào thời gian dễ dàng bị phát hiện và ngăn chặn nên ông tập trung nghiên cứu tấn công phân tích điện năng.

Trong khi các cuộc tấn công kênh bên đã được biết đến trong một thời gian dài, nhưng chỉ có một số tài liệu nghiên cứu mô tả tác động của chúng đối với các hệ thống công nghiệp. Điều đáng chú ý là các cuộc tấn công kênh bên Meltdown và Spectre cũng ảnh hưởng đến ICS, nhưng những phương pháp này chỉ liên quan đến phần mềm và chúng dựa vào việc thực hiện suy đoán (speculative execution) mà giúp tăng tốc độ thực thi trong các CPU hiện đại.

Trong một cuộc phỏng vấn với SecurityWeek, ông Andreou cho biết mục đích của ông là nâng cao nhận thức về các rủi ro, chỉ ra rằng các cuộc tấn công không chỉ là lý thuyết, và rằng chúng có thể được thực hiện ngay cả với các nguồn lực hạn chế.

Kịch bản thực hiện tấn công

Là một phần trong công việc của mình tại Eaton, Andreou tiến hành nghiên cứu về sự tuân thủ và kiểm thử thâm nhập của các mạng, hệ thống điều khiển công nghiệp. Andreou cùng cộng sự giúp Eaton đảm bảo rằng các sản phẩm của mình an toàn và mạng khách hàng không bị xâm phạm bởi các mối đe dọa mạng.

Các cuộc tấn công phân tích điện năng tiêu thụ dựa trên sự thay đổi mức tiêu thụ điện năng của các chất bán dẫn trong chu kỳ đồng hồ, lượng thời gian giữa hai xung được hiển thị bởi một máy đo dao động. Các tín hiệu tạo thành một hồ sơ năng lượng, có thể cung cấp đầu mối về cách dữ liệu đang được xử lý.

Ví dụ, có thể xác định một ký tự của một mật khẩu tại một thời điểm bằng cách theo dõi mức điện năng khi ký tự đúng được nhập so với một ký tự không chính xác. Khóa mã hóa cũng có thể được trích xuất bằng cách sử dụng kỹ thuật tương tự.

Andreou cho biết ông đã tiến hành thử nghiệm thành công trên các thiết bị bảo vệ từ ba nhà cung cấp lớn và tin rằng các sản phẩm từ các công ty khác cũng bị ảnh hưởng nếu các bộ vi xử lý họ sử dụng dễ bị xâm phạm bởi kiểu tấn công này.

Trong khi các thiết bị được thử nghiệm có tuổi đời từ 5-10 tuổi, nhà nghiên cứu cho biết các sản phẩm mới hơn có thể có các lỗ hổng tương tự, vì các loại tấn công này gần đây chỉ mang tính lý thuyết và các nhà cung cấp không có biện pháp để giảm thiểu rủi ro. Sự sẵn có của phần mềm nguồn mở và phần cứng rẻ tiền đã làm cho việc tấn công kênh bên dễ dàng hơn nhiều.

Andreou chỉ ra rằng kẻ tấn công mà có quyền truy cập vật lý vào các thiết bị bảo vệ có thể sử dụng một máy đo dao động và một thiết bị phần cứng chuyên dụng chạy phần mềm nguồn mở để có tìm được một khóa mã hóa. Theo nhà nghiên cứu này, phần cứng cần thiết cho các cuộc tấn công như vậy tốn khoảng 300 USD.

Trong trường hợp các thiết bị bảo vệ được phân tích, kẻ tấn công có thể tìm được khóa mã hóa và sử dụng nó để thực hiện các thay đổi cấu hình. Do các hệ thống này được sử dụng để bảo vệ lưới điện nên việc thay đổi các thiết lập của chúng có thể gây hậu quả nghiêm trọng.

Một tác nhân độc hại có thể khiến hệ thống bị lỗi hoặc gửi dữ liệu sai về hệ thống điều hành. Các thiết bị này là phân tán và chúng được điều khiển bởi một hệ thống chủ (master system). Ngoài ra, tin tặc còn có thể thay đổi cấu hình mà không áp dụng ngay tại thời điểm đó. Ví dụ, một số thiết bị bảo vệ được phân tích có các thiết lập khác nhau theo các mùa khác nhau và tin tặc có thể đảm bảo rằng những thay đổi họ thực hiện sẽ chỉ có hiệu lực khi một mùa nhất định bắt đầu, điều này sẽ che giấu cuộc tấn công.

Các cuộc tấn công phân tích điện năng tiêu thụ có thể gây ra một mối đe dọa nghiêm trọng vì chúng thực sự rất khó có thể phát hiện được, vì một thiết bị bị tấn công dường như có thể tiếp tục thực hiện các hoạt động bình thường của nó ngay cả sau khi nó đã bị xâm nhập.

Tiến hành các cuộc tấn công như vậy trong một kịch bản thế giới thực không phải là một nhiệm vụ dễ dàng, nhưng không phải là không thể. Andreou đã chỉ ra rằng không khó để có được quyền truy cập vật lý vào các thiết bị như vậy vì chúng thường không được giám sát. Các mối đe dọa từ bên trong, các chuyên gia tư vấn và trung tâm sửa chữa có thể có nhiều cơ hội để khởi động một cuộc tấn công.

Mặt khác, cuộc tấn công phải được khởi động - tức là mức tiêu thụ điện năng phải được đo lường - chính xác khi thiết bị thực hiện một hoạt động mà liên quan đến khóa mật mã được nhắm mục tiêu. Điều này đòi hỏi phải có kỹ thuật đảo ngược thiết bị và biết trước thời gian loại sản phẩm nào được nhắm mục tiêu. Để tiến hành một cuộc tấn công có thể mất nhiều giờ, hầu hết trong số đó bao gồm các chuẩn bị vật lý (mở thiết bị được nhắm mục tiêu, kết nối các cảm biến,…).