Dự đoán mối đe dọa ICS trong năm 2021
Tháng 10/2016, các chuyên gia Kaspersky đã phát hiện sự gia tăng nỗ lực lây nhiễm các phần mềm độc hại trên máy tính của khách hàng trong hệ thống mạng điều khiển công nghiệp (ICS) của họ. Phần mềm độc hại được sử dụng trong các cuộc tấn công đó là một bản sửa đổi cụ thể của phương thức khai thác lỗ hổng bảo mật có từ năm 2015.
Phân tích sâu hơn về vụ việc, các chuyên gia đã tìm ra các tin nhắn lừa đảo được ngụy trang dưới dạng thư có nội dung kinh doanh được sử dụng để phân phối việc khai thác. Các email được sử dụng trong các cuộc tấn công này được tạo ra để trông hợp pháp nhất có thể, đánh lừa người dùng khi nhận được chúng sẽ mở các tệp đính kèm độc hại đi kèm mà không cần suy nghĩ nhiều.
Trên đây chỉ là một minh chứng cho việc tin tặc từ lâu đã phát hiện ra lợi thế của việc tấn công nhắm mục tiêu đến các mạng điều khiển công nghiệp. Năm 2021, an toàn, an ninh mạng điều khiển công nghiệp có thể sẽ đối mặt với các vấn đề sau:
Sự lây nhiễm ngẫu nhiên
Các trường hợp lây nhiễm sẽ có xu hướng ít ngẫu nhiên hơn hoặc hệ thống đã bị theo dõi trong một khoảng thời gian và có thể bị tấn công bất cứ khi nào. Tin tặc đã dành nhiều năm để lập hồ sơ các máy tính bị lây nhiễm ngẫu nhiên được kết nối với mạng điều khiển công nghiệp hoặc có quyền truy cập định kỳ vào chúng. Quyền truy cập vào các máy tính như vậy khả năng cao sẽ được bán lại cho các nhóm tin tặc phức tạp. Chúng thường có kế hoạch cụ thể để kiếm tiền từ các cuộc tấn công vào các cơ sở công nghiệp đã có.
Trong vài năm trở lại đây, các nhóm tin tặc chuyên tấn công các doanh nghiệp hoạt động trong lĩnh vực công nghiệp với mục đích đánh cắp tiền, thông qua các kế hoạch cụ thể hoặc các cuộc tấn công nâng cao để có quyền truy cập vào hệ thống tài chính và kế toán của nạn nhân. Qua nhiều năm hoạt động, chúng đã hiểu được quy trình kinh doanh của các doanh nghiệp công nghiệp, tiếp cận được với lượng lớn thông tin kỹ thuật về tài sản mạng và công nghệ vận hành. Các chuyên gia cho rằng, tin tặc đã có đủ thời gian cùng cơ hội để phát triển các kịch bản mới và độc đáo về các cuộc tấn công vào hệ thống mạng điều khiển công nghiệp hay các thiết bị hiện trường. Đây được coi là các kế hoạch kiếm tiền tinh xảo.
Việc kết thúc hỗ trợ cho Windows 7, Windows Server 2008 và đặc biệt là rò rỉ mã nguồn của Windows XP là mối lo ngại bảo mật còn rất phổ biến trên các mạng điều khiển công nghiệp, đe dọa đáng kể đến an ninh của các doanh nghiệp. Khả năng cao có một kịch bản giống như WannaCry sẽ lặp lại trong tương lai gần, khiến các doanh nghiệp công nghiệp có thể sẽ là nạn nhân bị ảnh hưởng nặng nề nhất.
Tấn công Ransomware
Phần mềm độc hại ngày càng trở nên tinh vi hơn về mặt kỹ thuật. Tin tặc sẽ tiếp tục sử dụng các kỹ thuật nâng cao và tấn công có chủ đích (APT). Chúng sẽ cẩn thận khám phá và thăm dò hệ thống mạng của tổ chức mục tiêu để xác định vị trí các hệ thống có giá trị, dễ bị tấn công nhất, sau đó chiếm đoạt tài khoản của quản trị viên và thực hiện các cuộc tấn công chớp nhoáng bằng các công cụ quản trị tiêu chuẩn.
Do các doanh nghiệp công nghiệp luôn có xu hướng trả tiền chuộc, nên đây sẽ là mục tiêu ưa thích của tội phạm mạng trong thời gian tới. Trong trường hợp từ chối trả tiền chuộc, rủi ro có thể xảy ra là xuất hiện các cuộc tấn công hỗn hợp liên quan đến việc đánh cắp tài liệu để tiết lộ hoặc bán chúng trên thị trường chợ đen.
Những ý tưởng được thực hiện trong các cuộc tấn công có mục tiêu vào các doanh nghiệp công nghiệp sử dụng phần mềm tống tiền Snake sẽ thu hút sự chú ý nhiều hơn nữa.
Rất có thể sẽ xuất hiện các cuộc tấn công được ngụy trang dưới dạng tống tiền, nhưng theo đuổi các mục tiêu hoàn toàn khác nhau hay một sự lặp lại của kỹ thuật sử dụng mã độc tống tiền ExPert (Petya).
Hoạt động gián điệp mạng
Tội phạm mạng cũng đã tìm ra một số bí mật trong phạm vi mạng OT không được bảo vệ cũng như trong các mạng văn phòng. Mạng OT thậm chí có thể dễ dàng bị xâm nhập hơn vì chúng có chu vi và bề mặt tấn công riêng.
Cấu trúc liên kết mạng Internet và các vấn đề kiểm soát truy cập khác trong mạng OT có thể khiến chúng trở thành một lỗ hổng hấp dẫn để xâm nhập vào trong các mạng của công ty và là bàn đạp để tấn công vào các tổ chức và cơ sở liên quan khác.
Trong khi toàn cầu đang chịu tác động của biến động kinh tế vĩ mô và địa chính trị, các quốc gia độc lập công nghệ sẽ đều có mục tiêu tấn công không chỉ bao gồm các đối thủ truyền thống, mà còn là các đối tác chiến lược. Các mối đe dọa có thể đến từ nhiều hướng từ các cuộc tấn công như vậy.
Tấn công APT
Số lượng các nhóm APT sẽ tiếp tục tăng lên và ngày càng xuất hiện nhiều tác nhân mới, bao gồm cả các nhóm tấn công các lĩnh vực công nghiệp khác nhau. Hoạt động của các nhóm này sẽ liên quan với các cuộc xung đột cục bộ, bao gồm cả những cuộc xung đột trong giai đoạn nóng, với các cuộc tấn công mạng vào các doanh nghiệp công nghiệp và các cơ sở khác được sử dụng như một công cụ chiến tranh, cùng với phương tiện tự động và thông tin sai lệch do truyền thông điều khiển.
Ngoài việc đánh cắp dữ liệu và các hoạt động manh nha khác, một số nhóm có khả năng bắt đầu hoạt động kinh doanh nghiêm túc hơn vào năm 2021 như Stuxnet, Black Energy, Industroyer và Triton.
Hậu quả của COVID
Trong bối cảnh nền kinh tế suy giảm, bế tắc, tăng trưởng chậm hơn và các doanh nghiệp nhỏ bị đóng cửa, giới tin tặc chắc chắn sẽ gia tăng, khi những người đã có kỹ năng sẽ tìm kiếm việc làm thay thế và các nhóm được liên kết với các chính phủ quốc gia cũng sẽ được tăng cường.
Sự hiện diện trực tuyến của các dịch vụ, tiện ích cùng sự gia tăng số hóa của chính phủ và các dịch vụ công sẽ khiến chúng càng dễ trở thành mục tiêu bị tấn công hơn. Tin tặc có nhiều cơ hội tấn công vào các chức năng của chính quyền trung ương, địa phương và các hệ thống hỗ trợ. Ví dụ: tin tặc có thể sử dụng dịch vụ web của chính phủ hoặc thành phố để xâm nhập cơ sở hạ tầng nội bộ của nạn nhân, sau đó sử dụng các kênh liên lạc và chuỗi cung ứng kết nối các tổ chức chính phủ, thành phố và thậm chí cả tư nhân để đạt được mục tiêu cuối cùng. Tin tặc tấn công vào các chức năng của chính quyền trung ương và địa phương cũng như các hệ thống hỗ trợ.
Ví dụ: kẻ đe dọa có thể sử dụng dịch vụ web của chính phủ hoặc thành phố là điểm vào, xâm phạm cơ sở hạ tầng nội bộ của nạn nhân và sử dụng các kênh liên lạc và chuỗi cung ứng kết nối các tổ chức chính phủ, thành phố và thậm chí cả tư nhân để đạt được mục tiêu cuối cùng của họ (chẳng hạn như đóng cửa hệ thống giao thông).
Sự hạn chế của làm việc tại chỗ khiến thiết bị mới không được lắp đặt và cấu hình đã làm chậm sự cố gắng của nhiều doanh nghiệp công nghiệp trong việc tăng cường an ninh ngoại vi của họ. Cùng với số lượng ngày càng tăng và sự đa dạng của các cuộc họp từ xa đã làm giảm mức độ bảo vệ phạm vi của các hệ thống điều khiển mạng công nghiệp. Trong trường hợp này, sự an toàn của các cơ sở công nghiệp sẽ phụ thuộc phần lớn vào hiệu suất của các giải pháp điểm cuối và nhận thức an ninh của nhân viên. Đồng thời, các cuộc tấn công mạng nhằm vào các công ty công nghiệp đang đến thời điểm chín muồi. Kết quả là mặc dù các cuộc tấn công vào hệ thống điều khiển mạng công nghiệp đã giảm, nhưng số lượng các sự cố nghiêm trọng sẽ vẫn còn gia tăng.
Việc cắt giảm nhân sự tại chỗ, những người có thể nhanh chóng chuyển hệ thống và cài đặt sang kiểm soát thủ công trong trường hợp tấn công mạng thành công trên mạng công nghiệp có thể tạo điều kiện cho phần mềm độc hại lây lan rộng hơn và dẫn đến hậu quả nghiêm trọng hơn.
Phạm Dũng (tổng hợp)