Nguyễn Tiến Đạt
Intern Writer
Các cơ quan an ninh mạng và tình báo Hoa Kỳ vừa đưa ra cảnh báo về một chiến dịch tấn công mạng quy mô lớn do các nhóm tin tặc liên kết với Iran thực hiện, nhắm trực tiếp vào hệ thống công nghệ vận hành (OT) trong các cơ sở hạ tầng trọng yếu của Mỹ.
Theo thông tin từ Cục Điều tra Liên bang Mỹ (FBI), các cuộc tấn công đã gây ra tình trạng suy giảm chức năng của các bộ điều khiển logic lập trình (PLC), thao túng dữ liệu hiển thị và trong một số trường hợp đã dẫn đến gián đoạn hoạt động cũng như thiệt hại tài chính đáng kể.
Chiến dịch lần này được cho là đã nhắm vào các thiết bị PLC của Rockwell Automation và Allen-Bradley, đặc biệt là các dòng CompactLogix và Micro850 đang được triển khai rộng rãi trong nhiều lĩnh vực thiết yếu.
Sau khi xâm nhập thành công, hacker triển khai phần mềm Dropbear (SSH) nhằm duy trì quyền truy cập từ xa thông qua cổng 22. Điều này cho phép chúng trích xuất các tệp cấu hình dự án, đồng thời thao túng dữ liệu hiển thị trên giao diện người-máy (HMI) và hệ thống SCADA.
Đáng chú ý, nhiều nhóm tin tặc như Cyber Av3ngers, MuddyWater hay các thực thể như Homeland Justice, Handala Hack được cho là không hoạt động độc lập mà nằm trong một hệ sinh thái phối hợp, có liên hệ với Bộ Tình báo và An ninh Iran (MOIS).
Theo thông tin từ Cục Điều tra Liên bang Mỹ (FBI), các cuộc tấn công đã gây ra tình trạng suy giảm chức năng của các bộ điều khiển logic lập trình (PLC), thao túng dữ liệu hiển thị và trong một số trường hợp đã dẫn đến gián đoạn hoạt động cũng như thiệt hại tài chính đáng kể.
Nhắm vào “bộ não” của hệ thống công nghiệp
PLC được xem là thành phần cốt lõi trong việc điều khiển các quy trình công nghiệp, từ hệ thống cấp thoát nước, năng lượng cho đến các cơ sở vận hành của chính phủ. Việc các thiết bị này bị tấn công không chỉ gây ảnh hưởng đến dữ liệu mà còn có thể tác động trực tiếp đến hoạt động vật lý ngoài thực tế.Chiến dịch lần này được cho là đã nhắm vào các thiết bị PLC của Rockwell Automation và Allen-Bradley, đặc biệt là các dòng CompactLogix và Micro850 đang được triển khai rộng rãi trong nhiều lĩnh vực thiết yếu.
Phương thức tấn công tinh vi
Các tác nhân đe dọa được cho là đã lợi dụng việc nhiều thiết bị PLC được kết nối trực tiếp với internet mà không có lớp bảo vệ thích hợp. Chúng sử dụng các công cụ hợp pháp như phần mềm Studio 5000 Logix Designer để thiết lập kết nối với hệ thống mục tiêu.Sau khi xâm nhập thành công, hacker triển khai phần mềm Dropbear (SSH) nhằm duy trì quyền truy cập từ xa thông qua cổng 22. Điều này cho phép chúng trích xuất các tệp cấu hình dự án, đồng thời thao túng dữ liệu hiển thị trên giao diện người-máy (HMI) và hệ thống SCADA.
Leo thang trong bối cảnh căng thẳng địa chính trị
Các chuyên gia nhận định chiến dịch này là một phần trong làn sóng leo thang tấn công mạng liên quan đến căng thẳng giữa Iran, Mỹ và Israel. Không chỉ dừng lại ở phá hoại kỹ thuật, các hoạt động còn bao gồm tấn công từ chối dịch vụ (DDoS), chiến dịch rò rỉ dữ liệu và thao túng thông tin trên không gian mạng.Đáng chú ý, nhiều nhóm tin tặc như Cyber Av3ngers, MuddyWater hay các thực thể như Homeland Justice, Handala Hack được cho là không hoạt động độc lập mà nằm trong một hệ sinh thái phối hợp, có liên hệ với Bộ Tình báo và An ninh Iran (MOIS).
Xu hướng mới: Kết hợp công cụ thương mại và nhà nước
Một điểm đáng lo ngại là sự kết hợp giữa các công cụ tấn công mạng thương mại (MaaS) và hoạt động do nhà nước bảo trợ. Các phần mềm độc hại như CastleRAT, ChainShell hay Tsundere cho thấy mức độ tinh vi ngày càng cao, đồng thời gây khó khăn trong việc truy vết và xác định thủ phạm.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview