Các nhà nghiên cứu bảo mật của ESET chia sẻ những phát hiện về phần mềm độc hại Industroyer2, được thiết kế để tấn công vào lưới điện ở Ukraine. Một quan chức gọi đây là "thách thức lớn nhất đối với thế giới kể từ Thế chiến II."
Chiến sự giữa Nga và Ukraine đã làm leo thang một cuộc chiến tranh mạng. Hội nghị bảo mật Black Hat vừa diễn ra với những thông tin về phần mềm độc hại Industroyer2, được các nhà nghiên cứu bảo mật từ ESET kiểm tra, đây chính là nguồn cơn gây mất điện hàng loạt ở Ukraine.
Trở về căng thẳng giữa Nga và Ukraine vào năm 2022, ESET đã phát hiện ra một phiên bản mới của phần mềm độc hại mà nó đặt tên là Industroyer2. Lần này, cuộc tấn công đã được ngăn chặn để tránh những hậu quả thảm khốc. Hãy hình dung nếu nó được thực hiện thành công, về mặt lý thuyết, hơn 2 triệu người có thể đã bị bỏ lại trong bóng tối.
Nhà nghiên cứu Tình báo Đe dọa Chính tại ESET cho rằng đây là một cuộc tấn công mạng quan trọng giữa xung đột Nga - Ukraine ngay cả khi nó thất bại.
Nhóm Sandworm APT chịu trách nhiệm tạo và triển khai các cuộc tấn công này. Bộ Tư pháp Mỹ trước đó đã buộc tội 6 thành viên của cơ quan tình báo quân sự GRU của Nga vì các hoạt động liên quan đến nhóm Sandworm APT.
Anton Cherepanov, Nhà nghiên cứu phần mềm độc hại cao cấp tại ESET, nhấn mạnh rằng việc thiếu bảo mật của giao thức là rất quan trọng đối với cuộc tấn công. Industroyer2 hoàn toàn không khai thác bất kỳ lỗ hổng nào, nó khai thác giao thức theo dự định sử dụng.
Cả Industroyer và Industroyer2 đều triển khai cùng với hàng loạt phần mềm độc hại khác, một số giúp làm lây lan trên mạng bị nhiễm, còn số khác là ransomware giả nhằm ngụy trang chức năng thực của các phần mềm này. Lipovsky đưa ra giả thuyết, những kẻ tấn công có thể đã triển khai phần mềm tống tiền giả sau khi các nhà nghiên cứu phát hiện ra phần mềm độc hại này một cách rõ ràng.
Phần quan trọng trong cả hai cuộc tấn công Industroyer là việc sử dụng chức năng làm rối loạn hệ thống máy móc, đến mức không thể khởi động được. Chính điều này cản trở việc phát hiện ra mục đích thực sự của phần mềm độc hại và khiến việc giảm thiểu cuộc tấn công trở nên khó khăn hơn khi nó bắt đầu.
Mặc dù cả hai phiên bản Industroyer đều không thành công hoàn toàn, chúng vẫn là một mối đe dọa lớn và không nên đánh giá thấp.
Hiện tại chính phủ Ukraine đang tích cực theo dõi các biện pháp bảo vệ ngành công nghiệp đặc biệt là lĩnh vực năng lượng. Vẫn còn những điều may mắn cho Ukraine. Phần mềm Industroyer2 đã mã hóa thời gian kích hoạt là 5:58 chiều, cho nên có khả năng các máy trạm bị nhiễm vẫn được bật nhưng không được giám sát tích cực khi mọi người chuẩn bị kết thúc ngày làm việc.
Những kẻ tấn công cũng đã bỏ lỡ một điều quan trọng khác. Thứ sáu cuối tuần vốn là một ngày làm việc ngắn, cho nên vào thời điểm phần mềm được kích hoạt, hầu hết các máy trạm bị nhiễm đã được tắt.
Chiến sự giữa Nga và Ukraine đã làm leo thang một cuộc chiến tranh mạng. Hội nghị bảo mật Black Hat vừa diễn ra với những thông tin về phần mềm độc hại Industroyer2, được các nhà nghiên cứu bảo mật từ ESET kiểm tra, đây chính là nguồn cơn gây mất điện hàng loạt ở Ukraine.
Industroyer2 đã thực hiện một cuộc tấn công lớn
Industroyer được các nhà nghiên cứu ESET phát hiện từ năm 2013, xuất phát từ một phần mềm độc hại có tên BlackEnergy - gây ra "sự cố mất điện đầu tiên do một cuộc tấn công mạng gây ra". Khoảng 1 năm sau, một cuộc tấn công lưới điện thứ hai đã đánh sập nguồn điện ở các thành phố khắp Ukraine. Tuy nhiên, cuộc tấn công mới đã ghi nhận sự tham gia của phần mềm độc hại Industroyer, vốn được thiết kế cho mục tiêu gây ra thiệt hại vật lý cho phần cứng công nghiệp.Trở về căng thẳng giữa Nga và Ukraine vào năm 2022, ESET đã phát hiện ra một phiên bản mới của phần mềm độc hại mà nó đặt tên là Industroyer2. Lần này, cuộc tấn công đã được ngăn chặn để tránh những hậu quả thảm khốc. Hãy hình dung nếu nó được thực hiện thành công, về mặt lý thuyết, hơn 2 triệu người có thể đã bị bỏ lại trong bóng tối.
Nhà nghiên cứu Tình báo Đe dọa Chính tại ESET cho rằng đây là một cuộc tấn công mạng quan trọng giữa xung đột Nga - Ukraine ngay cả khi nó thất bại.
Nhóm Sandworm APT chịu trách nhiệm tạo và triển khai các cuộc tấn công này. Bộ Tư pháp Mỹ trước đó đã buộc tội 6 thành viên của cơ quan tình báo quân sự GRU của Nga vì các hoạt động liên quan đến nhóm Sandworm APT.
Industroyer2 hoạt động như thế nào?
Một phần quan trọng của Industroyer và Industroyer2 là việc sử dụng các giao thức công nghiệp có thể giao tiếp với bộ ngắt mạch và các cơ chế khác được tìm thấy trong các trạm biến áp điện. Industroyer ban đầu được trang bị đến 4 giao thức nhưng Industroyer2 hiện chỉ sử dụng giao thức IEC-104 - giao thức này được sử dụng trong nhiều lưới điện, nhưng nó dễ bị xâm nhập, vì nó được "tạo ra từ nhiều thập kỷ trước mà không tập trung vào bảo mật."Anton Cherepanov, Nhà nghiên cứu phần mềm độc hại cao cấp tại ESET, nhấn mạnh rằng việc thiếu bảo mật của giao thức là rất quan trọng đối với cuộc tấn công. Industroyer2 hoàn toàn không khai thác bất kỳ lỗ hổng nào, nó khai thác giao thức theo dự định sử dụng.
Cả Industroyer và Industroyer2 đều triển khai cùng với hàng loạt phần mềm độc hại khác, một số giúp làm lây lan trên mạng bị nhiễm, còn số khác là ransomware giả nhằm ngụy trang chức năng thực của các phần mềm này. Lipovsky đưa ra giả thuyết, những kẻ tấn công có thể đã triển khai phần mềm tống tiền giả sau khi các nhà nghiên cứu phát hiện ra phần mềm độc hại này một cách rõ ràng.
Phần quan trọng trong cả hai cuộc tấn công Industroyer là việc sử dụng chức năng làm rối loạn hệ thống máy móc, đến mức không thể khởi động được. Chính điều này cản trở việc phát hiện ra mục đích thực sự của phần mềm độc hại và khiến việc giảm thiểu cuộc tấn công trở nên khó khăn hơn khi nó bắt đầu.
Mặc dù cả hai phiên bản Industroyer đều không thành công hoàn toàn, chúng vẫn là một mối đe dọa lớn và không nên đánh giá thấp.
Hiện tại chính phủ Ukraine đang tích cực theo dõi các biện pháp bảo vệ ngành công nghiệp đặc biệt là lĩnh vực năng lượng. Vẫn còn những điều may mắn cho Ukraine. Phần mềm Industroyer2 đã mã hóa thời gian kích hoạt là 5:58 chiều, cho nên có khả năng các máy trạm bị nhiễm vẫn được bật nhưng không được giám sát tích cực khi mọi người chuẩn bị kết thúc ngày làm việc.
Những kẻ tấn công cũng đã bỏ lỡ một điều quan trọng khác. Thứ sáu cuối tuần vốn là một ngày làm việc ngắn, cho nên vào thời điểm phần mềm được kích hoạt, hầu hết các máy trạm bị nhiễm đã được tắt.
Theo VN review
