Cơn ác mộng tấn công mạng có thể so sánh với một thảm họa tự nhiên

Các tác nhân đe dọa ngày nay đang lây nhiễm sang nhiều thiết bị hơn ngoài phạm vi thông thường của các hệ thống CNTT thông thường. Các mạng botnet mạnh mẽ có thể cho phép những kẻ tấn công thực hiện các cuộc tấn công mạng ảnh hưởng đến cuộc sống con người theo cách mà chỉ một thảm họa của tự nhiên mới có thể làm được.

Các nhà nghiên cứu gần đây đã phát hiện ra rằng các tác nhân đe dọa sử dụng các kế hoạch khéo léo để nhắm mục tiêu vào các hệ thống công nghiệp. Trong một kế hoạch như vậy, những kẻ tấn công đã quảng cáo công cụ bẻ khóa phần mềm cho Bộ điều khiển Logic Lập trình (PLC) và Giao diện Người-Máy (HMI).

Kỳ vọng là các kỹ sư sẽ tải xuống phần mềm và cố gắng khôi phục mật khẩu bị mất. Tuy nhiên, một khi được thực thi, phần mềm độc hại – có tên là “Sality” – sẽ lây nhiễm vào hệ thống và biến nó thành một bot để người điều hành sử dụng tùy ý.

Các cuộc tấn công tương tự nhằm vào máy tính thường xuyên xảy ra, nhưng các nhà điều hành đằng sau Sality đặc biệt tập trung vào các hệ thống công nghiệp. Brian Contos, CSO của Phosphorus Cybersecurity, cho rằng chúng ta sẽ còn thấy nhiều cuộc tấn công nữa nhắm vào các thiết bị kết nối internet bên ngoài hệ thống CNTT truyền thống.

“Nếu ai đó hạ gục lưới điện, điều đó sẽ ảnh hưởng đến mọi thứ. Có thể trong vòng ba đến sáu tuần, bạn sẽ thấy bạo loạn và cướp bóc lớn,”

Brian Contos, CSO của Phosphorus Cybersecurity, cho biết.

“Nếu ai đó muốn thuê một mạng botnet, nó không quan trọng nếu nó được làm bằng máy tính xách tay và máy chủ, máy ảnh và máy in. Điều quan trọng duy nhất là nó có địa chỉ IP, kết nối internet và nó có thể làm những gì kẻ tấn công muốn, ”Contos nói với Cybernews.

Chúng tôi đã ngồi lại để thảo luận về loại botnet nào mà chúng tôi có khả năng gặp trong tương lai và cách những kẻ tấn công có thể khai thác các thiết bị rơi vào danh mục Internet of things (XIoT) mở rộng. Nếu xét đến cùng cực, tác động có thể gây ra hậu quả thảm khốc.

Bạn có thể giải thích thêm về cách các tác nhân đe dọa đã sử dụng phần mềm bẻ khóa mật khẩu PLC và HMI bị trojanized như Sality vào các mục tiêu công nghiệp? Nó hoạt động như thế nào, và mục đích của việc tấn công các thiết bị như vậy là gì?

Từ góc độ hoạt động, không có nhiều sự khác biệt giữa cuộc tấn công vào PLC hay thiết bị CNTT truyền thống. Giống như bất kỳ người dùng nào có thể bị mất mật khẩu, người dùng PLC có thể thử sử dụng Google để tìm giải pháp. Những kẻ tấn công biết mọi người sẽ quên mọi thứ và google nó, và chắc chắn, có một công cụ trực tuyến nói rằng nó sẽ cung cấp một bản crack nếu được tải xuống – nhưng trên thực tế, nó ẩn chứa phần mềm độc hại.

Những kẻ tấn công phân phối phần mềm độc hại để tối ưu hóa công cụ tìm kiếm mũ đen (SEO). Google và các công cụ tìm kiếm khác sẽ xếp hạng các trang web dựa trên số lượng các trang web khác trỏ đến nội dung nào đó. Nếu bạn google “Bradley Cooper”, một diễn viên nổi tiếng và một triệu trang web đang trỏ đến một trang web cụ thể, điều đó sẽ xếp hạng cao hơn một trang web chỉ có mười máy chủ trỏ đến trang web đó.

SEO mũ đen hoạt động bằng cách sử dụng một mạng botnet. Kẻ tấn công có thể có hàng nghìn hoặc hàng chục nghìn thiết bị nói, “hãy truy cập trang web này nếu bạn google Bradley Cooper”. Và bây giờ, đột nhiên, một trang web độc hại được xếp hạng thực sự cao. Và khi bạn truy cập trang web đó, nó sẽ cố gắng lây nhiễm phần mềm độc hại cho bạn.

Điều thú vị là PLC và HMI thường được kết hợp với những thứ như dầu khí, năng lượng và sản xuất năng lượng. Và có rất nhiều thứ mà tội phạm mạng có thể làm với các thiết bị sản xuất bị nhiễm virus. Có thể chúng có thể làm nhiễm độc nguồn cung cấp nước hoặc phá vỡ chuỗi cung ứng của một công ty dược phẩm.

Trong lịch sử, chi tiêu bảo mật tập trung nhiều hơn vào CNTT và ít hơn vào XIoT, [which is] mọi thứ từ máy quay video và máy in đến các thiết bị mạng và hệ thống điều khiển công nghiệp. Đó là trở thành ‘mới’ mới trong an ninh mạng.

Có rất nhiều thiết bị XIoT và chúng không được bảo mật tốt. Đồng thời, chúng có sức mạnh, khả năng, cổng và giao thức tương tự như máy tính xách tay hoặc máy chủ, nhưng không có nhược điểm khó chịu là có một loạt các biện pháp kiểm soát bảo mật bảo vệ chúng.

“>

Tội phạm mạng hiện đại rất chuyên biệt. Những kẻ tấn công triển khai phần mềm độc hại hiếm khi giống những người đã viết ra nó. Bạn có nghĩ rằng có những thị trường nơi các tác nhân đe dọa mua và bán phần mềm độc hại nhắm mục tiêu rõ ràng đến các thiết bị XIoT không?

Khi nói đến XIoT, chúng ta biết đến các tổ chức quốc gia-nhà nước đã phát triển các công cụ đặc biệt để nhắm mục tiêu các thiết bị XIoT. Không phải Nga là quốc gia duy nhất làm được điều này, nhưng họ đã phát triển một công cụ có tên Fronton được thiết kế đặc biệt để khám phá, xâm nhập và điều khiển các thiết bị XIoT.

Tội phạm mạng cũng nhận thấy rằng chúng có thể tận dụng các công cụ tương tự để kiếm lời. Ví dụ: nếu ai đó muốn thuê một mạng botnet, nó không quan trọng nếu nó được tạo ra từ máy tính xách tay và máy chủ, máy ảnh và máy in. Điều quan trọng duy nhất là nó có địa chỉ IP, kết nối internet và nó có thể làm những gì kẻ tấn công muốn, có thể là gửi lưu lượng truy cập hoặc phân phối phần mềm độc hại.

Hầu hết các thiết bị XIoT sử dụng Linux, Android, VxWorks và các hệ điều hành khác. Chúng là những thiết bị đã biết có các cổng và khả năng tương tự. Thay vì xâm phạm 50.000 thiết bị tại nhà sản xuất này trên các máy chủ và máy tính để bàn, kẻ đe dọa có thể xâm phạm 150.000 thiết bị bằng cách đưa vào tất cả các XIoT của họ.

Hãy nghĩ về một sòng bạc. Tôi đoán họ có hàng chục nghìn máy quay video được kết nối. Hoặc lấy một chuỗi khách sạn. Họ có bao nhiêu máy in trên tất cả các khách sạn khác nhau của họ? Một lần nữa, hàng chục nghìn, dễ dàng, và có thể nhiều hơn nữa. Vâng, nhiều thiết bị chỉ đang ngồi và chờ đợi để được tận dụng cho một cuộc tấn công.

Các tác nhân đe dọa đã nhận thấy điều này. Họ cũng nhận thấy rằng những thiết bị này khá dễ xâm phạm và kiểm soát. Vì hầu hết các tổ chức không theo dõi chúng, những kẻ tấn công có thể duy trì sự kiên trì trong sáu tháng hoặc lâu hơn vì mọi người không chú ý đến những gì các thiết bị này đang làm. Chúng không được quản lý. Miễn là máy in in và máy ảnh ghi lại, không ai đang tìm kiếm xem có vấn đề gì hay không. Chúng tôi nhận thấy sự gia tăng đáng kể phần mềm độc hại nhắm vào XIoT bởi các tác nhân đe dọa quốc gia-nhà nước và tội phạm mạng có động cơ tài chính.

Gần đây, các mạng botnet như Mēriscon bọ ngựa đã thực hiện các cuộc tấn công phá kỷ lục. Bạn có nghĩ rằng các tin tặc tìm kiếm lợi nhuận hoặc các tổ chức được nhà nước bảo trợ vận hành các mạng botnet lớn không?

Dường như là vậy. Gần đây, các nhà chức trách đã tháo dỡ mạng botnet RSOCKS ở một số quốc gia châu Âu. Điều thú vị về lần gỡ xuống đặc biệt này là hầu hết các thiết bị đều là hệ thống điều khiển công nghiệp. Có một số máy ảnh, máy in và các thiết bị IoT truyền thống. Nhưng nó gần như hoàn toàn là các hệ thống điều khiển công nghiệp – và các nhà điều hành mạng botnet đã không làm điều đó để tác động tiêu cực đến các nhà cung cấp hệ thống điều khiển công nghiệp.

Có vẻ như các nhà khai thác đã sử dụng nó cho tội phạm mạng truyền thống. Các quốc gia đủ thông minh để biết về điều này. Rất nhiều người là tội phạm mạng vào ban ngày là những người được nhà nước bảo trợ vào ban đêm, hoặc ngược lại. Họ có quyền truy cập vào cùng các công cụ và mạng lưới mọi người, và họ hiểu các quy trình. Có một số giao thoa như vậy ở nhiều nơi trên thế giới.

“Chúng không được quản lý. Miễn là máy in in và camera ghi lại, không ai tìm xem có vấn đề gì không. Chúng tôi đang thấy sự gia tăng đáng kể về phần mềm độc hại nhắm vào XIoT bởi các tác nhân đe dọa quốc gia và tội phạm mạng có động cơ tài chính , “

Contos nói.

Những người phát triển các công cụ này cho tội phạm mạng cũng là những người phát triển một số công cụ này cho các cuộc tấn công có động cơ chính trị. Các mối đe dọa từ nhà nước quốc gia, không liên quan đến ransomware hoặc DDoS, thường nghiêm trọng hơn. Một số người thực hiện thỏa hiệp đang xâm nhập vào các tổ chức thông qua CNTT truyền thống, giống như một chiến dịch lừa đảo. Họ vào được, nhưng họ không ở trong hệ thống CNTT. Những kẻ tấn công cố tình tìm kiếm các thiết bị XIoT, chẳng hạn như công tắc, máy in hoặc PLC. Họ làm điều này bởi vì những kẻ tấn công biết rằng họ có thể duy trì sự bền bỉ và tránh bị phát hiện ở đây.

Một trong những lý do khiến những kẻ tấn công tập trung vào các thiết bị XIoT là nhiều trong số chúng có mật khẩu mặc định. Nếu mật khẩu đã được thay đổi, đó là một thập kỷ trước, vì vậy chúng rất dễ đoán. Một điều khác là nhiều người trong số họ có phần mềm cuối đời hoặc cũ. Trên thực tế, khoảng 25% thiết bị XIoT có chương trình cơ sở cuối vòng đời. Đó là một vấn đề lớn, bởi vì chúng chứa đầy lỗ hổng.

Đối với 75% còn lại, tuổi trung bình của chương trình cơ sở là sáu năm. Hãy tưởng tượng nếu bạn không cập nhật hệ điều hành trên điện thoại thông minh của mình trong sáu năm. Tôi không nghĩ rằng nó thậm chí sẽ hoạt động. Và chúng ta đang nói về các thiết bị quan trọng trong các tổ chức: có rất nhiều thiết bị trong số đó. Một tổ chức với 10.000 người có khoảng 30.000 đến 50.000 thiết bị XIoT.

Hầu hết các công ty thậm chí không biết những gì họ có. Tôi nghĩ rằng bảo mật XIoT ngày nay giống như bảo mật CNTT trong những năm 90. Vào thời điểm đó, chúng tôi không có ý tưởng hay về nơi mà công cụ của chúng tôi đang ở: chúng tôi có hàng tồn kho khủng khiếp, quản lý bản vá, giảm lỗ hổng bảo mật và cập nhật chương trình cơ sở. Các bản cập nhật phần mềm tốt nhất là lẻ tẻ và quản lý thông tin xác thực không tồn tại.

Các tổ chức quốc gia-nhà nước và tội phạm mạng biết điều này. Họ biết các lỗ hổng, các vấn đề về mật khẩu và phần sụn. Họ biết mình không bị giám sát và có rất nhiều thiết bị này. Vì vậy, tại sao không tấn công họ?

Sau khi Nga xâm lược Ukraine, người ta lo ngại rằng Moscow sẽ tiến hành một cuộc tấn công quy mô lớn vào các công ty cơ sở hạ tầng quan trọng. Bạn có nhận thấy mức độ đe dọa ngày càng tăng ảnh hưởng đến các công ty trong lĩnh vực công nghiệp?

Tất nhiên. Mọi người chú ý bất cứ khi nào có điều gì đó lớn, như Nga xâm lược Ukraine, xảy ra. Tuy nhiên, thời gian trôi qua, họ quên đi điều đó. Đó là bản chất của con người. Nhưng tôi sẽ nói điều này: trong 20 năm qua, các tổ chức vận hành các hệ thống kiểm soát công nghiệp, cho dù đó là sản xuất, dầu khí, điện và năng lượng, nước hay giao thông, đã hiểu biết về an ninh hơn nhiều.

Và đó là vì những thứ như Nga và Ukraine và các sự cố mạng lớn trong quá khứ. Rủi ro là có thật, và các tổ chức biết rằng họ phải thực hiện các biện pháp mà họ có thể chưa tính đến trước đây. Tôi nghĩ nhìn chung chúng ta giỏi trong việc ứng phó với các sự cố và thực hiện các thay đổi, hơn là tưởng tượng những rủi ro có thể xảy ra. Tuy nhiên, tôi đã thấy các tổ chức có cái nhìn chủ động hơn so với trước đây.

Tôi đã từng chứng kiến ​​những sự cố trong đó các hệ thống quan trọng, cho dù là hệ thống viễn thông, chăm sóc sức khỏe hay tài chính, đã bị xâm nhập và bị giữ để tống tiền. Ví dụ, ở Brazil, những kẻ tấn công tắt nguồn trong một giờ, sau đó bật lại và đòi tiền nếu công ty muốn tiếp tục hoạt động. Những kẻ xấu lợi dụng tổ chức không chuẩn bị. Một kịch bản ác mộng thực tế sẽ là các tác nhân đe dọa tống tiền các công ty cơ sở hạ tầng quan trọng.

Hình ảnh của Shutterstock.

Theo dõi dòng suy nghĩ của mình, bạn có thể mô tả những kịch bản ác mộng đó sẽ như thế nào không?

Đó là khi kẻ tấn công có thể phá vỡ chuỗi cung ứng ở cấp độ quốc gia. Những thứ như cửa hàng tạp hóa, làm rối loạn thông tin liên lạc và giao thông cũng như làm gián đoạn các dịch vụ khẩn cấp. Thật là một thời điểm tuyệt vời để đến và xâm lược, phải không? Bởi vì bây giờ bị điếc, mù và có thể hơi sợ hãi vì bạn không có điện trong một hoặc hai tuần trước. Khi điều đó xảy ra, mọi người sẽ có một chút tuyệt vọng. Họ không biết phải làm gì.

Bây giờ bạn chơi xa hơn một chút. Nếu ai đó hạ gục lưới điện, điều đó sẽ ảnh hưởng đến mọi thứ. Có thể trong vòng ba đến sáu tuần, bạn sẽ thấy bạo loạn và cướp bóc lớn. Các dịch vụ khẩn cấp như cảnh sát, xe cứu thương và sở cứu hỏa đều quá tải. Các chính phủ sẽ phải điều động quân đội để cố gắng giữ hòa bình. Trong tâm trí tôi, đó là một sự sụp đổ. Có lẽ điều duy nhất tôi có thể liên tưởng đến nó là một thảm họa thiên nhiên lớn.

Sự phân chia của kịch bản ác mộng có thể rất kinh khủng. Chúng tôi chưa thấy bất cứ điều gì như vậy và tôi không dự đoán chúng tôi sẽ xảy ra, ít nhất là không trên quy mô lớn. Nhưng tôi nghĩ rằng thần thánh đã ra khỏi bình khi tội phạm mạng nhận ra rằng chúng có thể bắt đầu theo đuổi các thiết bị XIoT. Một lần nữa, các quốc gia cũng biết rằng họ cũng có thể làm được điều này, và tôi nghĩ rằng chúng ta sẽ bắt đầu thấy nhiều hơn những điều như vậy đang xảy ra.

Chỉ một vài năm trước, các cuộc thảo luận về việc khai thác các thiết bị XIoT hiếm khi được thảo luận trong các hội nghị về hack, và bây giờ tôi nghe nói về nó ở khắp mọi nơi. Có cách khai thác XIoT mới này hoặc có cách để xâm phạm điểm truy cập không dây này hoặc cuộc tấn công máy in này. Đó là điều bí truyền, rất gần đây: nhưng bây giờ, đây là trạng thái chính của cuộc trò chuyện. Và nếu những người này và các công ty bảo mật đang nói về nó, họ đang làm như vậy là có lý do: họ lo lắng về nó và biết rằng các mối đe dọa đang ở bên ngoài.


Thêm từ Cybernews:

Vấn đề tự miễn dịch của Internet: Làm thế nào các hacker có đạo đức đối mặt với việc bị truy tố cho đến ngày nay

Reddit trao thưởng cho hacker anh hùng $ 10k tiền thưởng

Nomad đã biết về một lỗ hổng dẫn đến vụ trộm 190 triệu đô la trước hai tháng – báo cáo

Samsung ra mắt chương trình tự sửa chữa

Snapchat không thể vá lỗi lâu năm, khiến hàng triệu người bị đánh cắp dữ liệu

Đặt mua đến bản tin của chúng tôi

Thế giới bản tin | Vina Aspire News

Nguồn : https://cybernews.com/security/nightmare-cyberattack-is-comparable-to-a-natural-disaster-interview/

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Để lại một câu trả lời

Địa chỉ email của bạn sẽ không được công bố.

may lam kem nguyen lieu lam kem - nguyen lieu lam yogurt bột lm kem may ao thun may ba lo theo yeu cau san xuat moc khoa gia re may o thun quảng co dịch vụ bốc xếp Sản xuất đồ bộ