Nhà máy điện ở Ukraine lại bị hack một lần nữa

Cuộc điều tra về vụ mất điện khiến nhiều người dân ở Ukreaine sống trong bóng tối suốt một giờ đồng hồ liền vào tháng trước đã đưa ra kết luận rằng, đó thực chất là một vụ tấn công mạng. Đây là vụ hack thứ hai nhằm vào nhà máy điện ở Ukreaine sau lần đầu tiên sập mạng lưới điện ảnh hưởng tới hơn 230.000 hộ dân, và được cho là do chính phủ Nga gây ra.

Cuộc tấn công gần đây xảy ra tại một nhà máy truyền tải điện, khác với vụ năm 2015 hướng tới nhà máy sản xuất điện, và không gây hậu quả lớn như trước (mặc dù nó đã có thể tồi tệ hơn rất nhiều – bởi sự gián đoạn của nhà máy truyển tải điện có thể có tác động tới một vùng rộng lớn hơn nhà máy sản xuất).

Tuy nhiên, từ đây ta có thể suy luận ra rằng cả hai vụ tấn công này và hàng loạt những sự cố an ninh mạng khác xảy ra tại Ukraine là do một cá nhân, hoặc một tổ chức nào đó đang sử dụng đất nước này làm “phòng thí nghiệm”, và sau này sẽ tiến hành thực hiện hack ở các cơ sở hạ tầng khác quan trọng hơn trên thế giới.

Vụ việc xảy ra vào tháng trước, thời điểm gần như chính xác 1 năm sau “sự cố” năm ngoái, đã khiến mạng lưới nhà máy điện Pivnichna ngoài thủ đô Kiev tê liệt và nhiều hộ dân của thành phố này và các vùng lân cận mất điện chỉ vài phút trước nửa đêm ngày 17/12. May mắn thay, chỉ chưa đầy 45’ sau là điện đã có trở lại vào lúc gần 1h sáng ngày hôm sau.

Những nhà nghiên cứu về an ninh của Ukraine tham gia vào cuộc điều tra cho biết, họ tin rằng cuộc tấn công được thực hiện bởi chính những tên tin tặc đã ngắt nguồn điện ở đây vào một năm trước. Họ cũng tin rằng các hacker này cũng chịu trách nhiệm cho một loạt những vụ xâm phạm bảo mật khác nhằm vào các mục tiêu của chính phủ, bao gồm cả hệ thống tàu điện xuyên quốc gia và trang web của bộ Tài chính, đều xảy ra vào cùng một khoảng thời gian.

Cơ quan tình báo của Ukraine cho rằng vụ hack năm 2015 là do phía Nga gây ra, mặc dù vậy họ lại không cung cấp bất kỳ một bằng chứng gì về việc này. Hiện chưa có bên nào đứng ra nhận trách nhiệm về sự cố mất điện gần đây.

UkrEnergo, nhà máy điện quốc gia chịu trách nhiệm về trạm Pivnichna và nhiều trạm khác, thông báo với khách hàng sự việc xảy ra vào ngày 17/12 hiện chưa rõ là do bị hack hay do thiết bị gặp vấn đề, tuy nhiên các nhà nghiên cứu lại xác nhận chắc chắn là do bị đột nhập vào hệ thống điều khiển.

Những tên tấn công có vẻ như đang thử nhiệm những kỹ thuật mới của chúng, Oleksii Yasynskyi, người đứng đầu hệ thống quản lý bảo mật thông tin của Ukraine, đồng thời trực tiếp tham gia điều tra vụ việc của UkrEnergo. Mục tiêu cuối cùng của chúng là phá hủy nhà máy.

Yasynskyi sẽ sớm cùng Marina Krotofil, nhà nghiên cứu người Ukraine thuộc phòng bảo mật Honeywell Industrial Cyber Security Lab, công bố các kết quả mà họ tìm được tại Florida. Dẫu vậy, phải tới cuối năm nay mới có thể hoàn tất cuộc điều tra.

“Vẫn còn nhiều điều chưa rõ ràng và sẽ mất nhiều tháng để tìm hiểu rõ,” Krotofil chia sẻ với tờ Motherboard. “Chúng tôi vẫn chưa biết liệu những tên tin tặc này có sử dụng những phương thức cũ hay không vì còn phải so sánh, tuy nhiên các chiến thuật thì vẫn như vậy.”

Trong vụ việc vào năm 2015, những tên hacker đã thực hiện một cuộc tấm công vào 3 nhà máy phân phối điện, khiến nhiều gia đình phải sống trong bóng tối từ 3 đến 6 tiếng. Chúng đã ghi đè lên phần mềm của RTU – bộ phận điều khiển của các máy sản xuất điện. Điều này đã khiến các thiết bị này bị ngừng hoạt động và ngăn chặn các kỹ sư phục hồi điện từ xa. Các tên này cũng sử dụng một phần mềm độc hại có tên KillDisk – có tác dụng ghi đè lên những tệp tin quan trọng của hệ thống trên những cỗ máy vận hành, khiến chúng bị lỗi và không thể hoạt động được.

Lần này, Krotofil nói, những tên hacker chỉ đơn giản là làm những RTU bị “sập nguồn”, khiến việc khôi phục điện đơn giản hơn nhiều sau khi RTU được bật lại, và không phá hủy hệ thống vận hành.

“Vụ tấn công không để lại những hậu quả nghiêm trọng,” Krotofil cho biết. “Chúng đã có thể gây hại nhiều hơn, tuy nhiên rõ ràng mục đích của chúng không phải vậy. Đây giống như là một hành động phô diễn sức mạnh hơn.”

Krotofil nói rằng vụ hack gần đây là một phần của các cuộc tấn công giả mạo diễn ra từ tháng 7 năm ngoái và nhằm vào nhiều tổ chức của chính phủ. Khi đột nhập thành công, các tên hacker lặng lẽ quan sát, thăm dò hệ thống trong nhiều tháng trời trước khi tiết lộ sự hiện diện của mình trong hàng loạt cuộc tấn công diễn ra vào tháng 12.

Một số cuộc tấn công nhằm vào bộ Tài chính, bộ Ngân khố và Quỹ trợ cấp lương hưu chỉ được biết vào ngày 6/12 năm ngoái khi trang web của họ bị DDoS (tấn công từ chối dịch vụ). Các trang này không thể truy cập vào được trong hai ngày liền, theo nhiều báo cáo của các tờ báo địa phương, điều này dẫn tới các bộ và các sở không thể thực hiện các thanh toán được.

Các bài báo còn cho biết rằng những tên tin tặc còn xâm nhập vào mạng lưới và làm hỏng nhiều thiết bị, cũng như phá hủy cả cơ sở dữ liệu quan trọng của bộ Ngân khố và Quỹ trợ cấp lương hưu. Chính vì vậy mà hàng trăm triệu lương của người Ukraine đã bị trì hoãn hoặc bị cắt hoàn toàn.

Một người có liên quan đến vụ điều tra nhưng xin giấu tên vì không được thẩm quyền cho phép tiết lộ thông tin cho biết, vụ tấn công nhằm vào bộ Tài chính là do nhân viên của họ gửi, tuy nhiên người này lại không biết rằng trong email lại có chứa tệp đính kèm độc hại.

Thư “nhử” được làm một cách hoàn hảo đến mức, nguồn tin chia sẻ với Motherboard, những người trong bộ Tài chính bắt buộc phải mở nó. “100% tất cả mọi người sẽ mở tệp tin đính kèm này mà không nghi ngờ gì, bởi tựa đề của nó liên quan đến công việc và được làm giả một cách hết sức cẩn thận.”

Vào ngày 14/12, Sở giao thông đường sắt – cơ quan chịu trách nghiệm điều khiển hệ thống tàu của Ukraine, cũng đã bị hack. Cuộc tấn công bao gồm 2 giai đoạn, đầu tiên là tấn công từ chối giao dịch bán vé qua mạng của hành khách, và cuộc đột nhập vào hệ thống kiểm soát việc xếp lịch và phân phối tàu của nhà ga.

Yasynskyi cũng nói rằng những tên tin tặc này cũng làm việc theo một quy trình nhất định. Ban đầu, chúng truy cập vào và tạo lập một backdoor trên hệ thống nhằm giúp họ thâm nhập vào đây trong những lần sau để rồi sau đó “cướp” quyền kiểm soát hệ thống và tài khoản chủ, giúp chúng tồn tại trong mạng lưới hoạt động mà không bị phát hiện. Các tên hacker này giám sát hệ thống trong yên lặng suốt nhiều tháng, phân tích các trạm vận hành và dò xét lượng truy cập của nó cũng như nghiên cứu về các hoạt động của người điều khiển để chúng có thể bắt chước họ, sử dụng những công cụ của họ mà không ai biết.

Nếu như không phát hiện được sự chiếm quyền của các tên này trong giai đoạn ban đầu, chúng có thể “ẩn mình” suốt nhiều tháng liền vì hành vi của chúng rất đỗi bình thường và khó phát hiện, Krotofil nói.

Một điểm khác biệt của vụ tấn công lần này so với năm 2015 là chiến thuật lây nhiễm hệ thống của những tên hacker này. Trong năm 2015, tin tặc sử dụng những chuỗi các lệnh macro được cài đặt trong tệp đính kèm của email để gài mã độc cho phép chúng truy cập từ xa vào những máy tính bị lây nhiễm. Tuy nhiên trong năm 2016, macro mà chúng sử dụng phức tạp và cao siêu hơn nhiều, Krotofil và Yasynskyi nói.

Khoảng 30% chuỗi lệnh có tác dụng làm việc phân tích đoạn code trở nên khó khăn hơn, và 69% tập trung vào việc “che giấu” sự độc hại của đoạn mã. Chỉ có 1% trong số chuỗi lệnh mới thực hiện công việc trao quyền truy cập vào hệ thống máy chủ từ xa cho kẻ xấu mà thôi. Những tên hacker này, Krotofil và Yasynskyi nói, đang càng ngày càng giỏi hơn trong việc ngụy trang “tung tích” của mình.

Các nhà nghiên cứu suy luận rằng những vụ hack này cho thấy Ukraine “đang biến thành phòng thí nghiệm cho những kỹ thuật tấn công mạng mới” – thứ mà các tên tin tặc sẽ sử dụng ở những mục tiêu khác một khi đã thành công.

“Ukraine sử dụng các trang thiết bị và hệ thống bảo mật như những chính phủ khác trên thế giới,” Krotofil cho biết. “Nếu những tên tấn công học cách lách qua công cụ bảo vệ và phòng thủ ở các cơ sở hạ tầng tại Ukraine, thì chúng hoàn toàn có thể nhắm tới các nước phương tây.”

Theo Motherboard