Các nhà điều tra đang nỗ lực khắc phục hậu quả sau cuộc tấn công mạng gây ảnh hưởng nghiêm trọng đến hệ thống nhiên liệu Colonial Pipeline của Mỹ.

12345

Ảnh hưởng của cuộc tấn công vào Colonial Pipeline là cực kỳ nghiêm trọng

Theo BBC, Colonial Pipeline đang được coi là một trong những vụ tấn công mạng nghiêm trọng nhất trong lịch sử vào các cơ sở hạ tầng quan trọng của Mỹ. Đường ống vận chuyển gần một nửa nguồn cung cấp nhiên liệu của bờ biển phía đông và giá nhiên liệu dự kiến sẽ tăng nếu tình trạng ngừng hoạt động kéo dài.

Làm thế nào mà một đường ống dẫn nhiên liệu có thể bị tấn công?

Đối với nhiều người, hình ảnh của ngành dầu khí là những đường ống, máy bơm và chất lỏng đen ngòm. Tuy nhiên trên thực tế, hoạt động hiện đại của Colonial Pipeline sử dụng nhiều công nghệ kỹ thuật số tối tân. Các cảm biến áp suất, bộ điều nhiệt, van và máy bơm được sử dụng để giám sát và quản lý dòng chảy của dầu diesel, xăng và nhiên liệu phản lực qua hàng trăm dặm đường ống.

12345

Colonial thậm chí còn có một robot thông minh (máy đo kiểm tra đường ống) công nghệ cao chạy qua đường ống để kiểm tra các điểm bất thường. Tất cả công nghệ hoạt động này được kết nối với một hệ thống trung tâm.

Chuyên gia an ninh mạnh Jon Niccolls từ CheckPoint giải thích khi có kết nối, sẽ có nguy cơ bị tấn công mạng. Ông nói rằng “tất cả các thiết bị được sử dụng để vận hành một đường ống hiện đại đều được điều khiển bởi máy tính, thay vì được điều khiển bởi con người. Nếu chúng được kết nối với mạng nội bộ của một tổ chức và tổ chức đó bị tấn công mạng, thì bản thân đường ống đó rất dễ bị tấn công gây hại”.

Những kẻ tấn công đã xâm nhập như thế nào?

Các chuyên gia cho biết các cuộc tấn công trực tiếp vào công nghệ vận hành là rất hiếm vì các hệ thống này thường được bảo vệ tốt hơn. Vì vậy, nhiều khả năng tin tặc đã truy cập được vào hệ thống máy tính của Colonial thông qua bộ phận quản trị của doanh nghiệp.

Niccolls cho biết “một số cuộc tấn công lớn nhất mà chúng tôi từng thấy đều bắt đầu bằng email. Chẳng hạn, một nhân viên có thể đã bị lừa tải xuống một số phần mềm độc hại. Chúng tôi cũng đã thấy các ví dụ gần đây về việc tin tặc sử dụng điểm yếu hoặc sự xâm phạm phần mềm bên thứ ba. Tin tặc sẽ sử dụng bất kỳ cơ hội nào họ có được để đạt được chỗ đứng trong hệ thống mạng”.

12345

Các tin tặc có thể đã ở trong mạng của Colonial trong nhiều tuần hoặc thậm chí vài tháng trước khi phát động cuộc tấn công đòi tiền chuộc.

Vào tháng 2, một tin tặc cũng đã truy cập được vào hệ thống nước ở Florida và cố gắng bơm vào một lượng hóa chất “nguy hiểm”. Nhưng may mắn một công nhân đã nhìn thấy nó xảy ra trên màn hình của mình và ngăn chặn cuộc tấn công theo dõi.

Với cách thức tấn công tương tự vào mùa đông 2015-2016, tin tặc ở Ukraine có thể đánh sập các công tắc kỹ thuật số trong một nhà máy điện, gây ra sự cố ảnh hưởng đến hàng trăm nghìn người.

Làm thế nào để ngăn chặn cuộc tấn công?

Cách đơn giản nhất để bảo vệ công nghệ hoạt động là giữ nó ở chế độ ngoại tuyến, hoàn toàn không có liên kết với internet. Nhưng điều này đang trở nên khó khăn hơn đối với các doanh nghiệp khi họ ngày càng dựa vào các thiết bị được kết nối để nâng cao hiệu quả.

Chuyên gia an ninh mạng Kevin Beaumont nói “các tổ chức sẽ đảm bảo các hệ thống quan trọng được chạy trên các mạng riêng biệt không liên kết với hệ thống có kết nối ra bên ngoài. Tuy nhiên, bản chất của thế giới đang thay đổi đồng nghĩa sẽ có nhiều thứ phụ thuộc vào kết nối hơn”.

Những kẻ tấn công là ai?

Cục Điều tra Liên bang Mỹ – FBI đã xác nhận DarkSide, một băng đảng tấn công đòi tiền chuộc tương đối mới nhưng hiếu chiến được cho là có trụ sở tại Nga chịu trách nhiệm cho cuộc tấn công này.

Việc các nhóm tội phạm tấn công vào “cơ sở hạ tầng quan trọng của quốc gia” là điều bất thường – nhưng các chuyên gia như Andy Norton từ tổ chức phòng vệ mạng Armis nói rằng đó là một xu hướng ngày càng tăng. Ông cho biết “những gì chúng ta đang thấy bây giờ là các băng đảng ransomware đang trưởng thành. Ở những nơi có dịch vụ công quan trọng, thì càng có nhiều khả năng họ sẽ phải trả tiền chuộc”.

Giống như nhiều nhóm ransomware, DarkSide chạy một chương trình liên kết cho phép “đối tác” sử dụng phần mềm độc hại của mình để tấn công mục tiêu, đổi lấy phần trăm lợi nhuận từ tiền chuộc.

Các dịch vụ quan trọng có thể được bảo vệ như thế nào?

Các chuyên gia từ lâu lo ngại về việc cơ sở hạ tầng quan trọng của quốc gia bị tấn công. Tháng trước, liên minh toàn cầu Ransomware Task Force gọi đây là “nguy cơ an ninh quốc gia”. Nhóm nói rằng các chính phủ cần phải có hành động khẩn cấp để ngăn chặn việc trả tiền chuộc một cách bí mật.

Họ cũng muốn gây áp lực lên các quốc gia như Nga, Iran và Triều Tiên, những quốc gia thường xuyên bị cáo buộc bao che các nhóm ransomware.

Nhưng Norton nói rằng các tổ chức cũng cần phải chịu trách nhiệm. Ông cho biết “các tổ chức phải triển khai loại hình an ninh mạng phù hợp và tương xứng và các cơ quan quản lý cần có nhiều cơ hội hơn để thực thi điều này”.