Các hệ thống cấp nước tại Hoa Kỳ và Châu Âu đang đối mặt với áp lực ngày càng tăng từ các cuộc tấn công mạng tinh vi. Tin tặc liên tục tìm thấy những phương thức xâm nhập dễ dàng vào các hạ tầng trọng yếu này.
Mối đe dọa ngày càng gia tăng với hạ tầng nước
Các nhóm tin tặc được hậu thuẫn bởi nhà nước và các nhóm liên kết đã âm thầm khai thác các hệ thống điều khiển kết nối internet và các thông tin đăng nhập yếu để truy cập vào hạ tầng xử lý nước và nước thải. Đây là những hệ thống mà hàng triệu người dân phụ thuộc hàng ngày.
Mối đe dọa này đã vượt ra ngoài các sự cố đơn lẻ. Từ năm 2024 đến 2026, các cuộc tấn công vào hệ thống nước đã chuyển từ hoạt động gây rối mang tính cơ hội sang một yếu tố chiến lược trong cạnh tranh giữa các quốc gia.
Các quốc gia như Iran, Nga và Trung Quốc đã sử dụng quyền truy cập vào hạ tầng nước như một công cụ chiến lược. Mục đích không phải là gây ra sự hủy diệt hàng loạt, mà là để gửi tín hiệu, thử nghiệm giới hạn và chuẩn bị cho các xung đột lớn hơn trong tương lai.
Các nhà phân tích tại DomainTools đã lưu ý trong một báo cáo rằng những cuộc xâm nhập này được thúc đẩy bởi một học thuyết chung: nhắm mục tiêu vào các tiện ích dân sự mang lại đòn bẩy chiến lược.
Báo cáo cảnh báo rằng các hệ thống nước hiện đang bị coi là điểm áp lực, được sử dụng để tạo ra sự sợ hãi, kiểm tra ngưỡng phản ứng khẩn cấp và định vị các tác nhân đe dọa cho các cuộc gián đoạn trong tương lai.
Phương thức tấn công và lỗ hổng phổ biến
Các cuộc tấn công này chủ yếu dựa vào các lỗi bảo mật cơ bản. Các tác nhân đe dọa liên tục khai thác bộ điều khiển logic lập trình (PLC) có thể truy cập qua internet, mật khẩu yếu hoặc mặc định, tài khoản vận hành dùng chung, phân đoạn mạng IT/OT kém và các công cụ truy cập từ xa bị lộ.
Những lỗ hổng này không đòi hỏi mã độc tiên tiến, chỉ cần sự kiên nhẫn và một cánh cửa mở vào hệ thống không được bảo vệ.
Các cơ quan liên bang Hoa Kỳ, bao gồm CISA, FBI, NSA và EPA, đã cảnh báo rằng nhiều tiện ích vẫn đang đối mặt với rủi ro cao. Ngành nước bao gồm khoảng 170.000 hệ thống trên toàn quốc, nhiều hệ thống hoạt động với ngân sách hạn chế, công nghệ lỗi thời và các biện pháp bảo mật tự nguyện thay đổi đáng kể giữa các cơ sở.
Ví dụ về các cuộc tấn công
Một ví dụ điển hình đến từ các tác nhân liên kết với Iran. Vào tháng 12 năm 2024, CISA đã xác nhận rằng một nhóm có tên CyberAv3ngers, có liên hệ với IRGC của Iran, đã nhắm mục tiêu vào các PLC dòng Vision của Unitronics, vốn thường được sử dụng trong các hệ thống nước và nước thải của Hoa Kỳ.
Những kẻ tấn công đã sử dụng thông tin đăng nhập mặc định của nhà sản xuất để xâm nhập – không cần kỹ thuật đặc biệt.
Đến tháng 4 năm 2026, một cảnh báo chung từ CISA, FBI, NSA và EPA đã xác nhận rằng các tác nhân liên kết với Iran vẫn hoạt động, khai thác các PLC bị lộ trên internet trên các cơ sở nước, năng lượng và chính phủ.
Cảnh báo này đã chỉ ra lưu lượng truy cập độc hại nhắm vào các cổng điều khiển công nghiệp và việc sử dụng Dropbear SSH để truy cập từ xa sau khi xâm nhập thành công.
Các chiến dịch tấn công và hậu quả tiềm ẩn
Các nhóm tin tặc liên quan đến Nga đã tiến xa hơn. Vào tháng 1 năm 2024, những kẻ tấn công đã truy cập vào một giao diện công nghiệp từ xa tại một cơ sở ở Muleshoe, Texas, khiến một bể chứa nước của thành phố bị tràn trong khoảng 30 đến 45 phút.
Nhóm Cyber Army of Russia Reborn đã nhận trách nhiệm, và các nhà điều tra đã liên kết nhóm này với Sandworm, một đơn vị mạng liên quan đến quân đội Nga.
Vào tháng 4 năm 2025, những kẻ tấn công đã chiếm quyền kiểm soát một con đập ở Bremanger, Na Uy, mở một cửa xả lũ và xả nước trong khoảng bốn giờ.
Ba Lan cũng báo cáo các vụ xâm nhập tại năm nhà máy xử lý nước vào năm 2025. Những kẻ tấn công đã sử dụng mật khẩu yếu và tìm thấy các hệ thống điều khiển bị lộ trực tuyến.
Sau khi xâm nhập, chúng có khả năng thay đổi các thông số định lượng hóa chất – một khả năng cực kỳ đáng lo ngại với tiềm năng gây hại thực sự cho sức khỏe cộng đồng.
Chiến lược xâm nhập dài hạn
Nhóm Volt Typhoon của Trung Quốc đã đi theo một con đường lặng lẽ hơn. Thay vì tạo ra sự gián đoạn rõ ràng, chúng đã xâm nhập vào môi trường IT của các hệ thống nước và nước thải trên nhiều lĩnh vực quan trọng của Hoa Kỳ, nhắm đến quyền truy cập dài hạn và định vị chiến lược.
Theo các cơ quan an ninh, mục tiêu là có sẵn các phương án khi một cuộc khủng hoảng địa chính trị leo thang thành xung đột công khai.
Các chuyên gia nhấn mạnh rằng các sự cố do tội phạm thực hiện hoặc không rõ nguồn gốc cũng cần được xem xét nghiêm túc, vì chúng phơi bày những điểm yếu tương tự mà một tác nhân nhà nước có thể khai thác với kế hoạch chi tiết hơn nhiều.
Các điểm vào tiềm năng và cách phòng chống
Các cổng thanh toán, quyền truy cập của nhà cung cấp, kho lưu trữ GIS và các máy chủ liên quan đến SCADA đều có thể cung cấp quyền truy cập hữu ích hoặc thông tin tình báo.
Báo cáo của DomainTools khuyến nghị các tiện ích nước thực hiện các bước ngay lập tức để giảm thiểu rủi ro phơi nhiễm.
Các biện pháp này bao gồm:
- Loại bỏ PLC và HMI khỏi quyền truy cập trực tiếp qua internet.
- Thay thế mật khẩu mặc định và mật khẩu dùng chung.
- Thực thi xác thực đa yếu tố (MFA).
- Cải thiện giám sát mạng OT.
- Phân tách mạng IT khỏi các mạng điều khiển vận hành.
Việc báo cáo các sự cố cho CISA và phối hợp với các đối tác liên bang để hỗ trợ an ninh mạng cũng được khuyến khích mạnh mẽ.
Chỉ số Compromise (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngoài ý muốn. Chỉ làm rõ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Mặc dù không có danh sách IOC cụ thể được cung cấp trong nội dung gốc, nhưng các kỹ thuật tấn công phổ biến đã được mô tả, bao gồm việc sử dụng mật khẩu yếu/mặc định, khai thác PLC kết nối internet và sử dụng Dropbear SSH cho truy cập từ xa.
Để bảo vệ hệ thống nước và nước thải, các tổ chức nên tích cực giám sát các kết nối bất thường, các nỗ lực đăng nhập không thành công và các dấu hiệu truy cập trái phép vào các thiết bị điều khiển công nghiệp (ICS).
Việc phân tích lưu lượng mạng, kiểm tra nhật ký hệ thống và triển khai các giải pháp phát hiện xâm nhập (IDS/IPS) có thể giúp xác định sớm các hoạt động đáng ngờ.
Các khuyến nghị bảo mật từ các cơ quan như CISA (ví dụ: Cảnh báo về các mối đe dọa mạng đối với các hệ thống nước, tháng 4 năm 2026) cung cấp thông tin chi tiết hơn về các chỉ số cần theo dõi.
