Phát hiện Malware nguy hiểm có thể cúp điện trên mạng lưới điện

Phát hiện Malware nguy hiểm có thể ngắt điện trên mạng lưới điện

Tháng 12 năm ngoái, một cuộc tấn công vào mạng lưới điện của Ukraina đã xảy ra gây ra sự cố mất điện ở khu vực phía bắc Kiev (thủ đô của Ukraina), các khu vực xung quanh và gây mất điện cho hàng chục ngàn khách hàng trong một giờ và 15 phút vào lúc nữa đêm.

Giờ đây, các nhà nghiên cứu bảo mật đã phát hiện ra thủ phạm đứng đằng sau cuộc tấn công vào các hệ thống kiểm soát công nghiệp.

Malware can take down Electric Power Grids 1
Malware can take down Electric Power Grids 1

 

Nhà sản xuất phần mềm bảo mật ESET của Thụy Điển và công tu an ninh hạ tầng quan trọng Dragos của Mỹ nói rằng: Họ đã phát hiện ra một Malware (phần mềm mã độc) mới nhắm vào các hệ thống kiểm soát công nghiệp quan trọng và có khả năng gây mất điện.

Malware mang tên “Industroyer” hay “CrashOverRide” có thể được sử dụng trong vụ tấn công vào tháng 12 nằm 2016 nhằm chống lại Ukrenergo của Ukrainia. Các công ty bảo mật nói rằng đây là một bước tiến mới nguy hiểm hơn trong việc tấn công hạ tầng quan trọng.

“Chức năng của “CRASHOVERRIDE” không chỉ là phần mềm gián điệp mà thực sự của mã độc này là các cuộc tấn công gây mất điện”. Đọc thêm phân tích của công ty Dragos về malware này.

 

Theo các nhà nghiên cứu. CrashOverRide là mối đe dọa lớn nhất được thiết kế để phá vỡ các hệ thống kiểm soát công nghiệp, sau khi Stuxnet là phần mềm độc hại đầu tiên bị cáo buộc là do Mỹ và Israel sử dụng để phá hoại cơ sở hạ tầng hạt nhân của Iran hồi năm 2009.

 

Phần mềm mã độc này không khai thác bất kì lỗi phần mềm nào

Không giống như Stuxnet, malware CrashOverRide không khai tác bất kì lỗ hổng “Zero day” nào của phần mềm để thực hiện tấn công. Thay vào đó, nó dựa vào bốn giao thức truyền thông công nghiệp được sử dụng trên thế giới trong hạ tầng cung cấp điện, các hệ thống điều khiển vận chuyển và các hệ thống cơ sở hạ tầng quna trong khác.

Malware CrashOverRide/ Industroyer có thể kiểm soát các thiết bị chuyển mạch điện và các thiết đóng ngắt mạch, được thiết kế từ nhiều thập kỉ trước. Cho phép Hacker đơn giản chỉ là tắt bộ phân phối điện, gây ra các lỗi cascading và gây thiệt hại nghiêm trọng cho thiết bị.

Malware can take down Electric Power Grids 2
Malware can take down Electric Power Grids 2

 

Malware Industroyer là một Backdoor dùng để cài được 4 thành phần payload quan trọng đầu tiên để kiểm soát các thiết bị chuyển mạch và các bộ phận ngắt mạch. Sau đó nó thực hiện kết nối đến một máy chủ từ xa để nhận lệnh từ Hacker.

“Các tài liệu của Industroyer cho thấy kiến thức sâu rộng và sự am hiểu về các hệ thống kiểm soát công nghiệp của tác giả”. Các nhà nghiên cứu ESET giải thích.

“Malware có chứa một vài tính năng được thiết kế để cho phép nó tự xóa toàn bộ dấu vết sau khi hoàn thành nhiệm vụ”.

Kể từ khi có 4 Malware được phát hiện là nhằm vào các hệ thống kiểm soát công nghiệp. Bao gồm: Stuxnet, Havex, BlackEnergy, và CrashOverRide, Stuxnet và CrashOverRide chỉ được thiết kế để phá hoại. Trong khi đó BlackEnergy và Havex được dùng để điều khiển gián điệp.

 

Malware có thể gây ra mất điện lâu và lâu hơn.

Phân tích gần đầy về Malware cho thấy CrashOverRide có thể gây ra tình trạng cúp điện trầm trọng hơn, tinh vi và kéo dài hơn so với cuộc tấn công vào Ukrainia tháng 12 năm 2016.

Robert M. Lee giám đốc điều hành của Dragos cho biết CrashOverRide là phân mềm độc hại có thể gây ra tình trạng cúp điện kéo dài đến vài ngày trong một phần của lưới điện một quốc gia, nhưng nó không đủ khả năng để cúp điện toàn bộ một quốc gia.

 

Malware can take down Electric Power Grids 3
Malware can take down Electric Power Grids 3

 

Malware này bao gồm các thành phần plugin có thể hoán chuyển cho nhau, cho phép CrashOverRide thay đổi các tiện ích điện khác nhau hoặc thậm chí thực hiện các cuộc tấn công đồng thời vào nhiều mục tiêu.

“CrashOverRide không phải là malware duy nhất và thay vào đó nó thúc đẩy kiến thức về các haotj động của lưới điện và truyền thông mạng để gây ra các tác động. Theo cách đó, nó có thể được tái lập ngay lập tức ở châu Âu, một phần Trung Đông và chây Á”

CrashOverRide có thể mở rộng và thêm vào một chút thiết kế như đưa vào chồng giao thức với giao thức DNP3 (Distributed Network Protocol 3) để tấn công vào hệ thống lưới điện Bắc Mỹ.

Theo các nhà nghiên cứu, Malware có thể được sửa đổi để nhắm và các loại mục tiêu với những hạ tầng quan trọng, như giao thông, đường ống dẫn khí gas hay khí đốt, hoặc hệ thống nước.

Các công ty bảo mật đã cảnh bảo các nhà chức tránh chính phủ và công ty điện lưới về mối nguy hiểm, cùng với một số lời khuyên để giúp họ phòng chống lại các mối đe dọa này.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *