FBI cảnh báo tin tặc Iran đang tấn công và gây rối loạn hệ thống nước, năng lượng tại Mỹ

FBI và các cơ quan phòng thủ mạng Mỹ vừa đưa ra cảnh báo khẩn cấp về việc các nhóm tin tặc liên kết với Iran đang gia tăng các cuộc xâm nhập vào các cơ sở xử lý nước và năng lượng quan trọng của Mỹ, thậm chí gây ra gián đoạn hoạt động trong một số trường hợp.

Cảnh báo này được đưa ra trong bối cảnh căng thẳng địa chính trị gia tăng giữa Mỹ, Israel và Iran. Theo các cơ quan chức năng, các hoạt động xâm nhập mạng của Iran nhắm vào cơ sở hạ tầng quan trọng đã bắt đầu từ tháng 3, với mục tiêu là làm gián đoạn các thiết bị công nghệ vận hành (OT), cụ thể là các bộ điều khiển logic khả lập (PLC) do Rockwell Automation/Allen-Bradley sản xuất.

Mục tiêu: Các thiết bị PLC công nghiệp

PLC là thiết bị phần cứng quan trọng được sử dụng để điều khiển và giám sát máy móc công nghiệp tại các nhà máy xử lý nước, địa điểm sản xuất thực phẩm, nhà máy lọc dầu, lưới điện và nhiều cơ sở thiết yếu khác. Trong nhiều năm qua, đây luôn là "miếng mồi ngon" của các nhóm tin tặc Iran.

Vào năm 2023, FBI đã quy trách nhiệm cho nhóm CyberAv3ngers (liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo - IRGC) về một loạt cuộc tấn công nhắm vào PLC dòng Vision Series của Unitronics. Tuy nhiên, các cuộc tấn công này không quá tinh vi; chúng chỉ đơn giản là sử dụng mật khẩu mặc định để đột nhập vào các hệ thống PLC có kết nối internet tại các cơ sở nước của Mỹ.

Một năm sau, cùng một nhóm này đã lây nhiễm các thiết bị PLC, giao diện người - máy (HMI) và các thiết bị OT khác bằng phần mềm độc hại tùy chỉnh, sử dụng quyền truy cập đó để điều khiển từ xa các hệ thống quản lý nước và nhiên liệu tại Mỹ và Israel.

Gia tăng tốc độ và quy mô tấn công

Theo một cảnh báo chung từ FBI, CISA, Cơ quan An ninh Quốc gia, Cơ quan Bảo vệ Môi trường và Bộ Năng lượng Mỹ, đợt tấn công thiết bị OT mới nhất cũng nhắm vào PLC, HMI và màn hình SCADA (hệ thống kiểm soát giám sát và thu thập dữ liệu).

"FBI đánh giá một nhóm tác nhân APT liên kết với Iran đang nhắm mục tiêu đến các PLC tiếp xúc với internet với ý định gây gián đoạn - bao gồm tương tác độc hại với các tệp dự án và thao túng dữ liệu hiển thị trên màn hình HMI và SCADA - đối với các tổ chức cơ sở hạ tầng quan trọng của Mỹ," cảnh báo chung cho biết.

Các cơ quan chính phủ Mỹ cho biết một số nạn nhân đã phải trải qua sự gián đoạn vận hành và thiệt hại tài chính, mặc dù FBI từ chối cung cấp chi tiết cụ thể về các sự cố này.

Sergey Shykevich, quản lý nhóm tình báo đe dọa tại Check Point Research, nhận định rằng advisory của FBI "xác nhận những gì chúng tôi quan sát thấy trong nhiều tháng: sự leo thang mạng của Iran đang tuân theo một kịch bản đã biết".

Ông cho biết thêm: "Các tác nhân đe dọa của Iran hiện đang di chuyển nhanh hơn, rộng hơn và nhắm mục tiêu vào cả cơ sở hạ tầng IT và OT. Đây không phải lần đầu tiên các tác nhân Iran nhắm mục tiêu vào công nghệ vận hành tại Mỹ nhằm mục đích gây gián đoạn, vì vậy các tổ chức không nên coi đây là mối đe dọa mới, mà là một mối đe dọa đang tăng tốc."

Khuyến nghị bảo mật

Để đối phó với mối đe dọa này, các chuyên gia khuyến cáo các công ty cần đảm bảo hệ thống được cập nhật bản vá, bật xác thực đa yếu tố (MFA) và quan trọng nhất là không để các hệ thống OT quan trọng tiếp xúc trực tiếp với internet.

Các cơ quan chính phủ Mỹ cũng đề xuất bất kỳ ai đang sử dụng PLC của Rockwell Automation/Allen-Bradley nên xem xét hướng dẫn của nhà sản xuất, bao gồm việc ngắt kết nối tất cả các thiết bị có kết nối internet.

Ngoài ra, các tổ chức cần kiểm tra nhật ký hệ thống để tìm lưu lượng đáng ngờ trên các cổng liên quan đến thiết bị OT, bao gồm 44818, 2222, 102 và 502, đặc biệt là lưu lượng có nguồn gốc từ các nhà cung cấp dịch vụ lưu trữ nước ngoài.