Share this post

Các tiện ích công cộng vẫn nằm trong tầm ngắm của những kẻ tấn công mạng. Tuần trước, Hiệp hội Điện Delta-Montrose (DMEA) tiết lộ rằng họ đã phát hiện ra một lỗ hổng mạng nội bộ vào ngày 7 tháng 11 năm 2021. Đầu năm nay, hợp tác xã điện vùng nông thôn Alabama, Wiregrass Electric HTX, cũng đã trải qua một cuộc tấn công ransomware. Đây là một phần của làn sóng tấn công đang diễn ra vào các tiện ích công cộng và có khả năng sẽ tiếp tục gia tăng theo thời gian.

Những gì chúng tôi đã thấy trong thời gian qua là sự hội tụ và liên kết nguy hiểm của các tác nhân đe dọa chống lại các tiện ích công cộng của chúng tôi. Đây rõ ràng là những mục tiêu có giá trị cao đối với tội phạm có tổ chức (tống tiền tài chính) và các quốc gia tìm cách thúc đẩy chính sách của họ thông qua các mối đe dọa mà chúng có thể tận dụng thành công chống lại các tiện ích công cộng.

Một số cuộc tấn công rất nguy hiểm. Vào năm 2015, chúng ta đã chứng kiến ​​một cuộc tấn công mạng nguy hiểm do quốc gia do nhà nước bảo trợ đã làm mất điện hàng trăm nghìn ngôi nhà ở Ukraine. Đây là những mối đe dọa rất thực tế mà các tiện ích công cộng phải đối mặt ngày nay. Nhiều tác nhân đe dọa quốc gia-nhà nước có khả năng đã cất giữ cẩn thận những Ngày Không có cần thiết để khởi động các cuộc tấn công trong tương lai nhằm vào cơ sở hạ tầng tiện ích công cộng.

Cuộc tấn công ransomware của Hiệp hội Điện tử DMEA
Chỉ trong tháng trước, DMEA đã phát hiện ra một nỗ lực có chủ đích nhằm truy cập các phần của hệ thống mạng nội bộ của mình bởi một bên thứ ba trái phép. Kết quả là DMEA mất 90% chức năng mạng nội bộ và một phần dữ liệu của họ, chẳng hạn như tài liệu, bảng tính và biểu mẫu đã lưu, bị hỏng. Nó cũng ảnh hưởng đến điện thoại và email của DMEA.

May mắn thay, lưới điện DMEA và mạng cáp quang vẫn không bị ảnh hưởng bởi sự cố. Một số nguồn tin tức đã lưu ý rằng cuộc tấn công dường như được gây ra bởi ransomware định hướng tệp, mặc dù chưa có loại ransomware cụ thể nào được gọi ra. Nếu ransomware, thì động cơ rõ ràng là tài chính và nhiều khả năng là tội phạm có tổ chức.

DMEA có sẵn một cuốn sách hướng dẫn tốt để phản hồi và họ đã được hưởng lợi từ sự chuẩn bị này. DMEA đã tham gia ngay lập tức với các chuyên gia an ninh mạng và các nguồn lực quan trọng khác của chính phủ để hỗ trợ điều tra phạm vi vụ việc và hiểu rõ hơn về tác động đối với DMEA và tư cách thành viên của DMEA. Cuộc điều tra đó vẫn đang tiếp tục vào thời điểm này.

Việc khôi phục mạng và hoạt động bình thường sẽ mất thời gian của DMEA. DMEA ước tính rằng các khoản thanh toán cho thành viên có thể bắt đầu trong tuần đầu tiên hoặc lâu hơn vào tháng 12. Điều này bao gồm thanh toán qua SmartHub, Kiosk thanh toán. Họ cũng mong đợi sẽ tiếp tục thanh toán thành viên trong khoảng thời gian gần như tương tự. DMEA đã đình chỉ tất cả các khoản phí phạt và ngắt kết nối đối với việc không thanh toán cho đến hết ngày 31 tháng 1 năm 2022.

Cuộc tấn công bằng Ransomware của Hợp tác xã Điện Wiregrass ở nông thôn Alabama
Gần đây, năm nay, Wiregrass Electric HTX đang khôi phục sau một cuộc tấn công ransomware yêu cầu cả thông tin tài khoản thành viên và hệ thống thanh toán phải được thực hiện ngoại tuyến để bảo trì. Trong thời gian bảo trì này, việc ngắt kết nối của các tài khoản trả trước đạt đến số dư bằng 0 đã bị tạm dừng. Khắc phục sự cố yêu cầu phải xem xét chi tiết mọi máy chủ, mọi máy tính xách tay và mọi máy tính.

Sự hội tụ của các cuộc tấn công vào các tiện ích công cộng – Bước đi xuyên thời gian
Chúng ta hãy đi đến con số 0 để hiểu được vị trí của chúng ta. Lịch sử có lẽ soi sáng bản thiết kế cho tương lai. Quay trở lại tháng 3 năm 2007, Bộ Năng lượng của chính phủ Hoa Kỳ đã tài trợ một cuộc thử nghiệm được gọi là Thử nghiệm Máy phát điện Aurora. Mục đích của thử nghiệm là để chứng minh cách thức một cuộc tấn công mạng được nhắm mục tiêu cẩn thận có thể phá hủy vật lý các thành phần bên trong lưới điện. Đoạn video này, được một dịch vụ tin tức lớn có được bởi Đạo luật Tự do Thông tin, sau đó đã được đăng trên youtube và chiếu thử nghiệm.

Một máy phát điện 27 tấn 2,25 megawatt đã được lắp đặt trong một buồng thử nghiệm tại Phòng thí nghiệm Quốc gia Idaho. Để bắt đầu thử nghiệm, một kỹ thuật viên đã nhập 21 dòng mã độc thông qua một rơ le kỹ thuật số. Đến lượt nó, mã này đã mở một cầu dao trong hệ thống bảo vệ của máy phát điện, sau đó nhanh chóng đóng nó lại, tạo ra lỗi đồng bộ hóa không thể khôi phục. Ban đầu, bạn có thể thấy các bộ phận lỏng lẻo và bay ra khỏi máy phát điện.

Trong video, bạn có thể thấy sự rung lắc khi vỏ bị nứt và thiết bị bốc khói, bùng cháy và sau đó ngừng hoạt động. Thử nghiệm Aurora là một bằng chứng ban đầu cho những gì Chính phủ mong đợi sẽ thấy trong tương lai khi internet phát triển và khi các đối thủ hiện tại và trong tương lai xuất hiện. Vâng, nó ở đây bây giờ. Không ai phải ngạc nhiên.

Nhiều kỹ thuật sẽ được sử dụng ngày nay dựa trên nhiều nguyên tắc giống nhau. Stuxnet đã phát triển những thứ này hơn nữa, mặc dù không nhằm phục vụ một cuộc tấn công vào một công trình công cộng, mà thay vào đó là một cuộc tấn công vào hàng nghìn máy ly tâm của Iran trong một khu phức hợp ngầm được bảo vệ cao.

Thời gian trôi qua, các tiện ích vẫn tiếp tục được chú ý. Vào năm 2017, các tác nhân đe dọa đã tăng cường trở lại. Đáng xấu hổ thay, một kẻ đe dọa mới, Xenotime, dường như chuyên xâm phạm các hệ thống an toàn công nghiệp.

Xenotime, như một số người trong chúng ta có thể nhớ lại, là tác nhân đe dọa đằng sau các cuộc tấn công phần mềm độc hại Trisis / Triton năm 2017 và có thể là nguyên nhân của những người khác. Vào năm 2017, Xenotime đã nổi lên khi Dragos và FireEye cùng công bố chi tiết về cuộc tấn công Trisis / Triton, trong đó họ nhắm mục tiêu vào hệ thống thiết bị an toàn Triconex của Schneider Electric. Phần mềm độc hại được sử dụng đã khiến nhiều hệ thống công nghiệp tại một cơ sở ở Trung Đông, được cho là ở Ả Rập Xê Út, phải đóng cửa.

Xenotime dường như nhắm mục tiêu vào công nghệ an toàn công nghiệp Triconex do Schneider Electric SE thực hiện trong một cuộc tấn công dường như được nhà nước bảo trợ. Công ty bảo mật máy tính Symantec tuyên bố rằng phần mềm độc hại, được gọi là “Triton”, đã khai thác một lỗ hổng trong máy tính chạy hệ điều hành Microsoft Windows.

Hãy rõ ràng giòn. Mục tiêu của hệ thống an toàn công nghiệp là cung cấp sự an toàn. Điều này được thực hiện bằng cách cung cấp khả năng điều khiển không có lỗi, chịu được lỗi đối với các hệ thống công nghiệp, thường thông qua việc sử dụng các mô-đun điều khiển và lệnh hoàn toàn dư thừa. Nói một cách đơn giản, các mục tiêu của Xenotime tập trung xung quanh sự xâm phạm của hệ thống an toàn — điều này ngụ ý rằng thiệt hại đáng kể và thiệt hại về nhân mạng được coi là mục tiêu hoặc có khả năng là bụi phóng xạ từ cuộc tấn công. Hệ thống an toàn ở đó để bảo vệ con người, sự thỏa hiệp của các hệ thống này được thiết kế để có thể gây tổn thương cho con người. Khi những thứ này bị xâm phạm, sự cố dẫn đến có thể dẫn đến sự phá hủy trên diện rộng, vụ nổ và các mối nguy hiểm khác tùy thuộc vào cơ sở hạ tầng được kiểm soát an toàn.

Các tác nhân đe dọa hàng ngày và hàng tháng, một số quốc gia-nhà nước hỗ trợ, tiếp tục điều chỉnh thời gian và nguồn lực của họ chống lại các tiện ích công cộng trên toàn thế giới. Mức độ phức tạp và khả năng của những mối đe dọa này, cho dù do ransomware thúc đẩy, hoặc bởi phần mềm tinh vi được thiết kế để làm tổn hại cơ sở hạ tầng kiểm soát quy trình chung cho nhiều tiện ích, tiếp tục tăng lên.

DNS là một phần thiết yếu trong phòng thủ của bạn
Nó đang khó khăn ở ngoài đó bây giờ.

Bạn cần một ngăn xếp bảo mật đầy đủ cho các đám mây, tài nguyên tại chỗ, IoT và các thành phần kiểm soát quy trình liên quan và nhân viên từ xa của bạn – một phần quan trọng của ngăn xếp này là bảo mật DNS.

DNS nằm trong chuỗi tiêu diệt trong phần lớn các cuộc tấn công. Không sớm thì muộn, các công cụ phần mềm độc hại phải tiếp cận lại để ra lệnh & kiểm soát và DNS được sử dụng như một kênh giao tiếp bí mật cho mục đích này. Trong một số trường hợp, những kẻ tấn công sử dụng các miền và địa chỉ IP độc hại mà có thể đã có danh tiếng và có thể được xác định bởi thông tin tình báo về mối đe dọa. Trong nhiều trường hợp khác, hành vi của các truy vấn DNS, trong ngữ cảnh, có thể cung cấp các manh mối quan trọng mà bạn cần để xác định và ngăn chặn cuộc tấn công.

DNS phổ biến và thường xuyên được sử dụng như một kỹ thuật của kẻ tấn công để xâm nhập phần mềm độc hại và xâm nhập dữ liệu. Các công nghệ và kiểm soát bảo mật tiêu chuẩn như tường lửa thế hệ tiếp theo, IPS và các cổng thường không kiểm tra DNS để phát hiện các thông tin liên lạc độc hại. Phần lớn thời gian chúng không thể ngăn chặn các cuộc tấn công cụ thể như xâm nhập dữ liệu DNS. Quan trọng nhất, họ không thể phát hiện ra sự tinh vi của các địa chỉ và miền độc hại mới được tạo.

Infoblox BloxOne Threat Defense cho phép các nhóm bảo mật và công nghệ thông tin của các tiện ích công cộng có khả năng tận dụng DNS để cải thiện tình hình bảo mật của họ. Bảo mật DNS cung cấp khả năng hiển thị cao nhất đối với hoạt động độc hại để những kẻ tấn công mạng có thể được phát hiện và tắt sớm trong chuỗi sự kiện tiêu diệt.

Phần thưởng cho Báo cáo Tư pháp
Vấn đề đã được hiểu rõ và Feds đã tăng cường giúp đỡ Nhà nước và các chính quyền địa phương thường kiểm soát các tiện ích công cộng này. Tại thời điểm này, chương trình Khen thưởng cho Công lý (RFJ) của Bộ Ngoại giao Hoa Kỳ đưa ra phần thưởng lên tới 10 triệu đô la cho các báo cáo về hoạt động độc hại của chính phủ nước ngoài đối với cơ sở hạ tầng quan trọng của Hoa Kỳ bao gồm nhiều loại tiện ích công cộng. Xem trang web của RFJ để biết thêm thông tin về cách thức hoạt động của nó.

Related Post

8 THáNG TáM, 2022

SÁU LẦN được vinh danh...

Chia sẽ nhận định của mình, ông Danny Allan – Chief Technology Officer...

26 THáNG NăM, 2022

Trường Sĩ quan Thông tin...

Trường Sĩ quan Thông tin nhiều hoạt động hưởng ứng Ngày Khoa học...

26 THáNG NăM, 2022

Trường Sĩ quan Thông tin...

Trường Sĩ quan Thông tin tổ chức Lễ ký kết thỏa thuận hợp tác với...