Lỗi phần mềm tại các trạm xăng cho phép hacker thay đổi giá, lấy trộm xăng rồi xoá dấu vết

    KON,  

    Hai nhà nghiên cứu bảo mật mới phát hiện ra các lỗ hổng trong phần mềm quản lý xăng. Các lỗ hổng này cho phép hacker điều khiển máy bơm xăng, đánh cắp các khoản thanh toán bằng thẻ tín dụng, và ăn cắp số thẻ.

    Thực trạng cho thấy, các trạm xăng đã bị trộm mất hàng triệu đô la mỗi năm. Hầu hết các vụ gian lận này xảy ra khi kẻ trộm sử dụng những chiếc thẻ tín dụng và thẻ ghi nợ bị đánh cắp để đổ xăng cho xe, dẫn đến các khoản bồi hoàn cho các trạm xăng.

    Tuy nhiên, các chủ sở hữu trạm xăng ở Mỹ và một số nơi khác có thể phải để mắt dè chừng một loại hình gian lận mới, sau khi hai nhà nghiên cứu an ninh ở Israel phát hiện ra nhiều lỗ hổng bảo mật trong một hệ thống tự động để kiểm soát giá xăng và các thông tin khác tại hàng ngàn trạm xăng trên khắp thế giới.

    Các lỗ hổng này cho phép kẻ tấn công điều khiển các máy bơm xăng, đánh cắp các khoản thanh toán bằng thẻ tín dụng và đánh cắp số thẻ, hoặc truy cập vào mạng phụ trợ để kiểm soát các camera giám sát và các hệ thống khác được kết nối với trạm xăng hoặc các cửa hàng tiện lợi. Kẻ tấn công cũng có thể đơn giản chỉ thay đổi giá xăng và đánh cắp xăng dầu.

    Ido Naor, một nhà nghiên cứu bảo mật cấp cao của Kaspersky Lab, và Amihai Neiderman, một cựu nghiên cứu của Azimuth Security, đã phát hiện ra các lỗ hổng sau khi màn hình máy tính trên một chiếc máy bơm xăng ở Israel gặp sự cố và vô tình để lộ địa chỉ IP vào tháng sáu năm ngoái, khi Naor đang đổ xăng. Hệ thống đó thuộc về một công ty của Israel mang tên Orpak Systems, chuyên sản xuất phần mềm quản lý xăng dầu. Hệ thống của Orpak được sử dụng bởi nhiều trạm xăng tại Israel. Ngoài ra, quân đội và các công ty lớn cũng sử dụng phần mềm này để theo dõi mức tiêu thụ khí đốt để đảm bảo rằng các nhân viên và binh lính không ăn trộm xăng dầu để phục vụ cho mục đích cá nhân.

    Công ty Orpak đã sản xuất cả hệ thống theo dõi xe RFID và các hệ thống quản lý xăng dầu. Tuy nhiên, hãng này không chỉ bán các hệ thống này cho Israel. Hệ thống của hãng đã được tải vào hơn 35000 trạm dịch vụ và 7 triệu xe tại 60 quốc gia. Năm ngoái, Orpak đã bị mua lại bởi Gilbarco Veeder-Root, một công ty sản xuất máy bơm xăng và các hệ thống bán lẻ cho các cửa hàng tiện lợi tại Mỹ và các nước khác trên thế giới.

    Các lỗ hổng bảo mật này nằm trong phần mềm tự động SiteOmat của công ty, vốn là một phần của hệ thống ForeSite cho các trạm xăng thương mại và hệ thống ForeHB cho việc quản lý xe.

    Hệ thống SiteOmat theo dõi lượng xăng lưu trữ trong các bình chứa ngầm dưới đất. Hệ thống cũng theo dõi cả nhiệt độ và áp suất của mỗi bể chứa theo thời gian thực. Nó cũng được dùng để điều chỉnh giá xăng dầu và triển khai các thanh toán bằng thẻ tại các quầy bơm xăng, cũng như theo dõi nhân viên nào bơm xăng, loại xăng nào được bơm và được bơm với lưu lượng bao nhiêu cho mỗi xe, và tổng số tiền phải trả cho mỗi lần giao dịch.

    Hệ thống này có một giao diện web rất dễ sử dụng để các chủ sở hữu của một hoặc nhiều trạm xăng có thể truy cập từ xa để điều khiển mỗi trạm xăng.

    "Nếu bạn có một mạng lưới, một chuỗi các trạm xăng khác nhau, các quản lý có thể đăng nhập vào các máy bơm nhiên liệu khác nhau và xem có bao nhiêu nhiên liệu mà họ sử dụng, cập nhật giá cả, và xem được bao nhiêu tiền mà mỗi máy bơm thu về mỗi ngày, tháng, tuần," Neiderman chia sẻ trong một bài phỏng vấn.

    Nhưng nếu các chủ sở hữu trạm xăng có thể truy cập dễ dàng thì các hacker cũng có thể làm điều tương tự. Sử dụng công cụ tìm kiếm Shodan để định vị các thiết bị và hệ thống kết nối internet, các nhà nghiên cứu đã có thể tìm thấy vài nghìn trạm xăng sử dụng hệ thống của Orpak để kết nối với Internet.

    Mặc dù giao diện web của hệ thống của Orpak lẽ ra phải được bảo vệ bằng mật khẩu, các nhà nghiên cứu đã tìm được bản hướng dẫn sử dụng trên website của Orpak có chứa mật khẩu mặc định. Sau khi phát hiện ra một hệ thống ở Tây Ban Nha không thay đổi mật khẩu mặc định, họ đã có thể tải tất cả các tập tin hệ thống từ trang web của trạm xăng và phân tích mã của Orpak.

    Một trong những vấn đề mà họ tìm thấy là một backdoor được nhúng trong mã nguồn của Orpak với một tên người dùng và mật khẩu được mã hoá. Điều này sẽ co phép các hacker từ xa có thể đánh lừa được bảo vệ mật khẩu của hệ thống và truy cập vào bất kỳ trạm xăng Orpak nào, dù chủ sở hữu có đổi mật khẩu mặc định hay không.

    Backdoor cũng cho phép truy cập vào bảng điều khiển web của Orpak. Từ đó, hacker có thể điều chỉnh giá xăng và một vài thiết lập khác. Tuy nhiên, hệ thống này thậm chí còn không đòi hỏi đặc quyền hành chính để điều chỉnh giá xăng dầu, theo những phát hiện của những nhà nghiên cứu. Bất cứ ai mà truy cập được vào hệ thống đều có thể điều chỉnh giá xăng dầu mà không cần xác nhận. Mặc dù hệ thống có theo dõi các thay đổi giá trong nhật ký, một lỗ hổng bảo mật nữa mà họ phát hiện ra cho phép hacker xoá được hết các dữ liệu, làm cho các chủ sở hữu trạm xăng khó có thể phát hiện được sự thay đổi giá cả.

    Sau khi được một chủ sở hữu trạm xăng ở Israel cho phép họ thử nghiệm với hệ thống, Neiderman và Naor đã có thể điều chỉnh giá xăng từ xa. Neiderman đã viết một mã để thay đổi giá tự động, và Naor đã kích hoạt nó bằng điện thoại khi ông ta đến trạm xăng.

     Ảnh chụp ghi lại kết quả hack thành công của Amihai Neiderman

    Ảnh chụp ghi lại kết quả hack thành công của Amihai Neiderman

    Họ cũng phát hiện ra rằng phần mềm Orpak lưu trữ thông tin người dùng như tên đăng nhập và mật khẩu ở một định dạng không được mã hoá, và sử dụng phần mềm không có mật mã và không được mã hoá. Điều này có nghĩa là những kẻ tấn công có thể ghi đè lên phần mềm Orpak bằng những phần mềm lậu.

    Tin mừng là không phải tất cả các trạm xăng Orpak đều kết nối với mạng Internet. Một số được bảo vệ bằng bộ định tuyến và chỉ có thể truy cập vào được bằng hệ thống mạng nội bộ của công ty. Nhưng nếu một công ty với nhiều trạm xăng mà chỉ có một hệ thống kết nối với internet, kẻ tấn công có thể chiếm quyền truy cập vào một hệ thống đó, và sau đó kiểm soát các trạm xăng khác, thậm chí còn kiểm soát được cả các hệ thống kết nối với mạng đó, chẳng hạn như hệ thống kinh doanh và camera giám sát.

    Các nhà nghiên cứu đã liên lạc với Orpak vào tháng 9 năm ngoái về các lỗ hổng bảo mật và đã nhận được hồi âm 1 tháng sau đó. Trong hồi âm, Orpak cho biết họ đang trong quá trình phân phối một phiên bản hệ thống bảo mật hơn, nhưng sau đó, công ty cũng không có động thái gì mới. Sau khi phát hiện ra rằng các nhà nghiên cứu có kế hoạch thảo luận về những phát hiện của họ tại một cuộc họp an ninh tại Matxcơva vào tháng 11, công ty đã yêu cầu một cuộc họp mặt trực tiếp với các nhà nghiên cứu, song cuộc họp đó chưa bao giờ thực sự diễn ra.

    "Ưu tiên hàng đầu của Orpak là bảo mật cho khách hàng, và chúng tôi rất cẩn trọng với những rủi ro mạng đang ngày càng lớn mà có thể gây ảnh hưởng đến ngành của chúng tôi," Aviv Tal, phó chủ tịch chiến lược và tiếp thị của Orpak viết trong một email. "Khi được thông báo về những rủi ro bảo mật tiềm ẩn, chúng tôi sẽ hành động để giải quyết các vấn đề bảo mật, liên hệ với khách hàng, và tiếp tục ghi nhận kịp thời bất cứ vấn đề nào cần thiết để bảo vệ khách hàng của chúng tôi."

    Theo một báo cáo mới đây của hãng truyền thông Nga, Rosbalt, Cơ quan An ninh Liên bang Nga gần đây đã phát hiện ra một vụ lừa đảo mới: một hacker người Nga và nhiều quản lý trạm xăng đã bòn rút một khối lượng xăng dầu với giá thành lên tới một trăm triệu ruble (khoarng 1,8 triệu USD) bằng thủ đoạn dùng mã độc, được phát triển bởi hacker.

    Tham khảo Motherboard

    Tin cùng chuyên mục
    Xem theo ngày