Phân tích kỹ thuật vụ tấn công vào công ty điện lực Ukraina và bài học
Các giai đoạn tấn công vào hệ thống điều khiển công nghiệp ICS
Trong pha Attack Development & Tuning, kẻ tấn công phát triển (develop) phương án tấn công vào hệ thống ICS cụ thể, thông qua việc âm thầm thu thập dữ liệu từ hệ thống đó. Các dữ liệu bao gồm: sơ đồ mạng WAN truyền dẫn, hãng thiết bị, phiên bản phần mềm điều khiển, chụp ảnh màn hình HMI, phiên bản firmware của thiết bị. Từ các thông tin này, kẻ tấn công phát triển bộ firmware để cài đặt vào các thiết bị chuyển đổi giao thức nhằm vô hiệu hóa việc bật điện từ xa (sau khi đã cắt điện ở trạm).
Pha Validation thực hiện test phương án tấn công trên một hệ thống Lab giả lập tương tự hệ thống thật (bao gồm cả phần cứng và phần mềm), để đảm bảo rằng việc tấn công có khả năng sẽ thành công cao. Sở dĩ cần tạo Lab vì hệ thống điều khiển công nghiệp có tính đặc thù cao, những thao tác trên hệ thống này cần được tính toán kỹ lưỡng để đảm bảo không bị lỗi và tránh bị phát hiện.
Trong pha ICS attack, kẻ tấn công thực hiện 3 bước:
1. Bước đầu tiên là xâm nhập (deliver) vào trung tâm điều khiển ICS bằng cách sử dụng công cụ remote-admin có sẵn. Công cụ này thường được người vận hành sử dụng để quản trị từ xa hệ thống điều khiển ICS. Nguy hiểm hơn, công cụ này còn giúp kẻ tấn công khóa khả năng điều khiển chuột và bàn phím máy HMI.
2. Bước tiếp theo, hắn cài đặt (install) mã độc KillDisk để sau khi xong việc sẽ xóa dữ liệu trên toàn bộ các máy tính.
3. Và bước cuối cùng là thực hiện tấn công (ICS excecue attack). Trên máy HMI, kẻ tấn công ra lệnh cắt điện 27 trạm biến áp của 3 công ty điện lực, gây mất điện cho 225.000 khách hàng. Đồng thời, hắn tắt các hệ thống điện dự phòng UPS. Tiếp theo hắn upload firmware lên các thiết bị converter, để đội vận hành không thể ra lệnh bật điện từ xa. Sau đó hắn cho chạy mã độc KillDisk để xóa dữ liệu trên các máy tính. Cùng lúc đó, hệ thống tổng đài hotline của các công ty điện lực cũng bị tấn công DoS bởi hàng ngàn cuộc gọi tự động, khiến khách hàng không thể gọi điện tới báo tình hình.
Các bước tấn công hệ thống điều khiển điện lưới tại Ukraina
Bài học rút ra cho các công ty điện lực.
Kẻ tấn công đã dành không dưới 6 tháng để thu thập thông tin từ các công ty điện. Những kẻ đó đã lựa chọn mục tiêu là những công ty điện có những đặc điểm chung về:
- Loại hệ thống và cấu hình.
- Có thể điều khiển các trạm biến áp tập trung tại một nơi.
- Thời gian (ước tính) để khắc phục sự cố.
- Những điều kiện cần thiết để vụ tấn công diễn ra thành công.
- Mức độ rủi ro bị phát hiện khi hành động.
- Khả năng leo thang xâm nhập.
Trở lại với công ty điện Kyivoblenergo, một số điểm yếu được chỉ ra:
- Nhân viên công ty đã mở email lừa đảo dẫn đến bị nhiễm mã độc Black Energy 3.
- Công ty điện đã để lộ thông tin chi tiết hệ thống ICS. Kẻ tấn công dễ dàng tra cứu để thông tin về hãng sản xuất và các phiên bản phần mềm, từ đó xây dựng Lab để thử nghiệm xâm nhập.
- Kết nối VPN từ mạng máy tính công ty đến hệ thống ICS không có tính năng xác thực 2 lớp.
- Hệ thống tường lửa bảo vệ ICS đã cho phép kết nối VPN từ xa và điều khiển hệ thống này, thay vì chỉ cho phép người vận hành tại chỗ mới có thể điều khiển được.
- Không có hệ thống giám sát mạng để phát hiện xâm nhập.
Cách thức kẻ tấn công xâm nhập và tấn công hệ thống ICS
Qua sự việc này, để phòng chống những cuộc tấn công tương tự, các công ty điện lực cần:
- Cần phải đào tạo cho nhân viên những kiến thức về bảo mật, đặc biệt là về bảo mật email, mạng xã hội.
- Cần bảo mật thông tin về hệ thống ICS đang vận hành.
- Có giải pháp cách ly hoàn toàn hệ thống mạng ICS khỏi hệ thống mạng Internet.
- Thiết lập các chính sách bảo mật nghiêm ngặt khi đấu nối mới/truy cập từ xa đến hệ thống ICS.
- Trang bị hệ thống giám sát mạng và nhân sự trực bảo mật để kịp thời phát hiện xâm nhập từ bên ngoài.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://whitehat.vn/threads/phan-tich-ky-thuat-vu-tan-cong-vao-cong-ty-dien-luc-ukraina-va-bai-hoc.12515/
Thế giới bản tin | Vina Aspire News
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://vina-aspire.com/phan-tich-ky-thuat-vu-tan-cong-vao-cong-ty-dien-luc-ukraina-va-bai-hoc/