Tin tặc thâm nhập, kiểm soát 1.000 công ty năng lượng

Các nhà máy năng lượng, khí đốt, mạng lưới điện đang trở thành mục tiêu cấp cao của những tổ chức tội phạm mạng - Ảnh: Getty / Bloomberg

Từ gián điệp mạng đến an ninh năng lượng

Theo Symantec, cuộc điều tra được thực hiện bởi nhóm chuyên gia công ty an ninh mạng Symantec. Nhóm này đã công bố về chiến dịch tấn công mạng mang tên "Energetic Bear" (Gấu năng lượng) do tổ chức tội phạm "ở Đông Âu, và mang nhiều dấu hiệu cho thấy có hậu thuẫn từ chính phủ".

Financial Times dẫn nguồn cựu nhân viên tình báo MI6 kiêm nhà sáng lập KCS Group Stuart Poole-Robb nhận định mức độ làm việc của các hacker cho thấy họ được một chính phủ hậu thuẫn. Ông cho rằng đó là "những người làm việc tại FAGCI (Cơ quan liên bang về thông tin viễn thông chính phủ dưới quyền Tổng thống LB Nga). Họ làm việc để hỗ trợ Nga".

Những phân tích ký tự và tên gọi trong mã nguồn mã độc "Gấu Năng lượng" là tiếng Nga. Tuy nhiên, đây mới chỉ là những phân tích ban đầu, do các tin tặc Trung Quốc cũng từng "gắp than bỏ tay người", hướng cuộc điều tra đến phía Nga khi thực hiện các chiến dịch gián điệp mạng nhắm vào ngành công nghiệp năng lượng.

CNN ví von Energetic Bear như cuộc "chiến tranh lạnh" trên không gian mạng giữa hai thế lực, Anh - Mỹ đối đầu Trung Quốc và Nga.

Điều tra từ Symantec cho thấy cách thức các tin tặc cấy mã độc vào những máy tính tại các nhà máy, công ty và các nhà sản xuất trang thiết bị cho ngành công nghiệp năng lượng, hệ thống quản lý mạng lưới điện, ống dẫn gas. Hầu hết các mục tiêu nằm ở Hoa Kỳ và Tây Ban Nha, số ít còn lại rải rác khắp châu Âu (Pháp, Ý, Đức...).

Energetic Bear lần đầu được cảnh báo vào năm 2012 bởi công ty an ninh mạng Crowdstrike. Khi đó, Crowstrike còn đặt ra mối nghi vấn liên quan giữa tin tặc thực hiện chiến dịch "Gấu Năng lượng" với các đơn vị tình báo Nga, phục vụ cho các doanh nghiệp khí đốt (gas) nhà nước như Gazprom và Rosneft. Đây cũng là lần đầu tiên chính phủ Nga bị cáo buộc liên quan tới tấn công mạng với mục đích gián điệp kinh tế. (Tham khảo báo cáo chi tiết của Crowstrike tại đây)

Đại sứ quán Nga tại Mỹ và các công ty năng lượng nước này chưa đưa ra phản hồi nào về thông tin trên.

Chiến dịch "Gấu Năng lượng" (Energetic Bear) được công ty an ninh mạng Crowstrike khám phá năm 2012 - Ảnh: Crowstrike

Vì sao đáng lo ngại?

Theo các chuyên gia, nếu ban đầu Energetic Bear được sử dụng hoàn toàn cho mục đích do thám, thì các cuộc tấn công mới, ghi nhận từ đầu năm nay, lại mang nguy cơ khác.

Giới phân tích nhận định vụ việc ở mức "rất nghiêm trọng", có thể đe dọa an ninh quốc gia. CNN minh họa qua một cuộc thâm nhập mạng vào hai công ty năng lượng hàng đầu như Exxon-Mobile hoặc BP, tin tặc có thể nắm được những địa điểm thăm dò có trữ lượng dầu hoặc khí thiên nhiên lớn, tạo cơ hội cho các đối thủ chiếm giữ nhanh hay khoan, khai thác trước.

Nguy hiểm hơn, nếu tin tặc đánh cắp được bản thiết kế lưới điện hay đường ống chính, chúng có thể phá hoại có chủ đích, dẫn đến một cuộc khủng hoảng kinh tế lan rộng vượt ra ngoài phạm vi tầm quốc gia. Hoặc vô hiệu hóa nguồn năng lượng khi xảy ra một cuộc chiến tranh.

Financial Times cho biết, "Gấu Năng lượng" cho phép theo dõi mức tiêu thụ năng lượng trong thời gian thực, hoặc gây tổn hại vật lý cho các hệ thống như tua-bin gió, ống dẫn khí gas hay các nhà máy năng lượng.

Đằng sau các hệ thống điều khiển ngành công nghiệp năng lượng đã có bóng dáng thâm nhập của tổ chức tội phạm mạng Dragonfly (Chuồn chuồn) - Ảnh minh họa: Symantec

Thâm nhập bằng cách nào?

Loại mã độc (malware) được sử dụng trong chiến dịch "Gấu năng lượng" tương đối giống với , loại mã độc được xem là "vũ khí mạng" hàng đầu do Mỹ và Israel phát triển, lây nhiễm và phá hoại các nhà máy làm giàu uranium của Iran từ năm 2007.

Hai công cụ RAT (Remote Access Trojans) được nhóm sử dụng chủ yếu gồm Backdoor.Oldrea (tạo cửa sau) và Trojan.Karagany. Nhóm tin tặc dùng chiêu thức "spear-phishing" (lừa đảo có mục tiêu xác định), gửi email giả mạo đính kèm tập tin nhiễm mã độc, hoặc điều hướng nạn nhân đến các website chứa mã khai thác lỗi, từ đó lây nhiễm mã độc vào máy tính. (Xem chi tiết tại blog Symantec).

Một khi đã thâm nhập vào máy tính, mã độc đánh cắp tài liệu, tài khoản và mật khẩu, chụp ảnh màn hình, tải thêm các mô-đun phụ để thực hiện các hoạt động khác. Ngoài việc thu thập dữ liệu mật, Symantec cảnh báo, trong trường hợp xấu nhất, tin tặc có thể chiếm quyền điều khiển, hay thậm chí phá hoại nguồn cung cấp năng lượng quốc gia.

Symantec đặt tên "Dragonfly" (Chuồn chuồn) cho nhóm tổ chức đứng sau chiến dịch tấn công mạng "Gấu Năng lượng". Nhóm này đã lây nhiễm mã độc thành công vào ba nhà sản xuất hàng đầu trong ngành công nghiệp hệ thống điều khiển. Dragonfly chèn mã độc vào các bản cập nhật phần mềm mà ba công ty này gửi đến các khách hàng. Khi khách hàng tải các bản cập nhật, hệ thống điều khiển công nghiệp của họ bị nhiễm mã độc.

Bản cập nhật phần mềm nhiễm mã độc của một trong ba công ty đã được hơn 250 hệ thống công nghiệp tải về.