Phản ứng ngành công nghiệp trước vụ hacker Iran tấn công hệ thống ICS trong cơ sở hạ tầng trọng yếu

Chính phủ Mỹ vừa đưa ra cảnh báo nghiêm trọng về việc các nhóm hacker liên quan đến Iran đang nhắm vào và tấn công các hệ thống điều khiển công nghiệp (ICS) cũng như công nghệ vận hành (OT) tại các tổ chức cơ sở hạ tầng trọng yếu.

Theo bản tư vấn chung từ CISA, FBI và một số cơ quan khác, tin tặc đã tập trung vào các bộ điều khiển logic khả lập (PLC) do Rockwell Automation sản xuất, đồng thời nhấn mạnh rằng các thiết bị từ các nhà cung cấp khác cũng đang gặp rủi ro. Cả Rockwell và Siemens đã lần lượt đưa ra các cảnh báo để khách hàng kịp thời phòng vệ.

Feedback Friday

Các cuộc tấn công này đã gây ra gián đoạn vận hành và thiệt hại tài chính thông qua việc can thiệp vào các giao diện người-máy (HMI) và hệ thống thu thập dữ liệu giám sát và điều khiển (SCADA) có lỗ hổng bảo mật. Các tác nhân đe dọa đã nhắm vào các PLC tiếp xúc trực tiếp với internet và lạm dụng các phần mềm lập trình hợp pháp như Studio 5000 Logix Designer của Rockwell để đạt được mục đích. Các ngành nghề bị nhắm mục tiêu bao gồm dịch vụ chính phủ, xử lý nước và năng lượng.

Dưới đây là những phân tích và phản hồi từ các chuyên gia hàng đầu trong ngành an ninh mạng về sự việc này.

Mối đe dọa từ các thiết bị OT tiếp xúc với Internet

Markus Mueller, Field CISO tại Nozomi Networks, nhận định rằng cảnh báo này không gây ngạc nhiên trong bối cảnh địa chính trị hiện nay.

"Cảnh báo này không gây ngạc nhiên. Chúng tôi đã quan sát thấy các nhóm đe dọa liên kết với nhà nước nhắm vào các thiết bị OT tiếp xúc với công cộng trong những năm gần đây bất cứ khi nào có hoạt động địa chính trị gia tăng. Chiến dịch nổi tiếng nhất trong số này là các hoạt động năm 2023-24 do CyberAv3ngers thực hiện nhắm vào các thiết bị Unitronics."

Markus Mueller

Mueller lo ngại rằng việc tiếp xúc công khai các thiết bị OT này tạo ra một bề mặt tấn công khổng lồ mà kẻ thù có động cơ và có năng lực có thể khai thác. Ông cũng lưu ý rằng nhiều tổ chức vẫn chưa nhận ra hoặc đánh giá thấp rủi ro khi để hàng nghìn thiết bị loại này vẫn đang kết nối trực tiếp với internet.

Thao túng dữ liệu và Logic điều khiển

Denis Calderone, CTO của Suzu Labs, chỉ ra mức độ tinh vi của cuộc tấn công khi tin tặc sử dụng chính phần mềm kỹ thuật của nhà sản xuất để tương tác với bộ điều khiển.

"Hãy nghĩ xem điều đó có ý nghĩa gì cho một nhà khai thác nhà máy xử lý nước hoặc một kỹ sư nhà máy điện. Nếu màn hình hiển thị của bạn cho thấy mức áp suất, lưu lượng hoặc liều hóa chất bình thường nhưng các giá trị thực tế lại khác, bạn đang đưa ra các quyết định vận hành dựa trên dữ liệu giả. Đó chính là cách mà hư hỏng thiết bị và sự cố an toàn xảy ra."

Calderone cũng cảnh báo rằng vấn đề không chỉ giới hạn ở Rockwell. Các chỉ số bị xâm phạm trong bản tư vấn bao gồm lưu lượng trên cổng 102 (giao thức S7comm của Siemens) và cổng 502 (Modbus), chứng tỏ đây là vấn đề của toàn ngành chứ không chỉ của một nhà cung cấp.

Cần ngắt kết nối và Áp dụng Zero Trust

Damon Small, Thành viên Hội đồng quản trị của Xcape, đã dùng những từ ngữ mạnh mẽ để mô tả mức độ nghiêm trọng của việc để PLC tiếp xúc với internet.

"Sự gián đoạn có chủ đích đối với các tiện ích nước và năng lượng của Mỹ là kết quả tất yếu của việc coi cơ sở hạ tầng quốc gia trọng yếu như một điểm phát sóng Wi-Fi công cộng. Một bộ điều khiển logic khả lập (PLC) tiếp xúc với Internet không phải là một thiết kế kỹ thuật tồi - nó là một vũ khí động năng được bố trí sẵn."

Damon Small

Small khuyến cáo các nhóm phải ngay lập tức ngắt mọi PLC khỏi Internet công cộng và cô lập chúng sau một cổng gateway Zero Trust hoặc VPN đã xác thực. Đối với các thiết bị Rockwell CompactLogix và Micro850, người vận hành nên đặt công tắc chế độ bộ điều khiển về vị trí RUN để chặn các thay đổi logic từ xa.

Duncan Greatwood, CEO của Xage Security, đồng tình rằng việc ngắt kết nối tài sản khỏi internet chỉ là một phản ứng tạm thời. Ông nhấn mạnh sự cần thiết của việc thiết lập một nền tảng linh hoạt bảo vệ mọi tương tác, thay vì chỉ phản ứng với các mối đe dọa nhất thời. Ông cũng chỉ ra hạn chế của việc vá lỗi trong môi trường OT, nơi các hệ thống thường không thể được vá thường xuyên mà không gây rủi ro gián đoạn vận hành.

Tầm nhìn chiến lược và Khuyến nghị

Steve Povolny, Phó Chủ tịch Chiến lược AI & Nghiên cứu Bảo mật tại Exabeam, mô tả môi trường ICS tại Mỹ vẫn là những mục tiêu cấu trúc mong manh, thường chạy trên phần cứng cũ kỹ và firmware lỗi thời.

"Từ góc độ chiến lược, việc này rất quan trọng vì xâm phạm ICS có thể làm gián đoạn trực tiếp cơ sở hạ tầng trọng yếu và tạo ra hậu quả thực tế vượt ra ngoài các sự cố mạng truyền thống. Các nhà máy xử lý nước, hệ thống phân phối điện, vận hành đường ống và các lớp điều khiển sản xuất là những mục tiêu bất đối xứng độc đáo."

Các chuyên gia đều nhất trí rằng các biện pháp giảm thiểu quan trọng nhất bao gồm: xác định chính xác tài sản OT, loại bỏ việc tiếp xúc trực tiếp với internet, phân đoạn mạng OT khỏi mạng kinh doanh và đầu tư vào giám sát liên tục cả tín hiệu IT và OT. Việc áp dụng kiến trúc Zero Trust và kiểm soát nghiêm ngặt quyền truy cập vào các bộ điều khiển PLC được coi là chìa khóa để bảo vệ cơ sở hạ tầng quan trọng trước các cuộc tấn công mạng ngày càng tinh vi này.