Cảnh báo CVE liên quan đến hoạt động xâm nhập vào môi trường công nghiệp cho thấy một chiến dịch tấn công mạng không dựa vào kỹ thuật mới mà khai thác các hệ thống đã tồn tại điểm yếu từ trước. Cách tiếp cận này biến các lỗ hổng CVE chưa được xử lý thành bàn đạp để đi sâu từ mạng IT sang OT.
Hoạt động xâm nhập từ IT sang OT
Nhóm tấn công được theo dõi với các định danh Sandworm, APT44, Seashell Blizzard và Voodoo Bear. Tác nhân này được gán cho GRU Unit 74455 và có lịch sử hoạt động gắn với phá hoại hạ tầng.
Điểm đáng chú ý của chiến dịch là việc chuyển hướng từ mạng IT đã bị xâm nhập sang hệ thống OT điều khiển hạ tầng vật lý. Đây là dạng tấn công mạng có mục tiêu rõ ràng vào môi trường công nghiệp thay vì chỉ dừng ở mức chiếm quyền hệ thống thông thường.
Theo phân tích telemetry đã được ẩn danh từ 10 khách hàng công nghiệp tại 7 quốc gia, dữ liệu ghi nhận trong giai đoạn tháng 7/2025 đến tháng 1/2026 cho thấy 29 sự kiện liên quan đến hoạt động của tác nhân này. Nguồn phân tích gốc có thể tham khảo tại Nozomi Networks.
Chiến dịch khai thác các lỗ hổng CVE đã biết
Điểm gây rủi ro bảo mật cao là chiến dịch này không dùng khai thác zero-day. Thay vào đó, nó tận dụng các chuỗi khai thác đã được biết từ lâu như EternalBlue, DoublePulsar và WannaCry. Các kỹ thuật này đều thuộc nhóm lỗ hổng CVE và cơ chế khai thác công khai, có thể vá từ nhiều năm trước.
Việc tiếp tục bị ảnh hưởng bởi các chuỗi khai thác này cho thấy sự chậm trễ trong cập nhật bản vá, thiếu phân tách mạng và tồn tại các hệ thống chưa được xử lý triệt để sau khi đã từng bị xâm nhập. Đây là mô hình điển hình của một cảnh báo CVE nhưng vẫn bị bỏ ngỏ trong vận hành thực tế.
Chuỗi khai thác được ghi nhận
- EternalBlue: Khai thác giao thức SMB để thực thi mã từ xa.
- DoublePulsar: Backdoor từng được sử dụng để duy trì hiện diện sau khai thác.
- WannaCry: Mã khai thác liên quan đến lỗ hổng SMB và lan truyền theo kiểu worm.
Không có dấu hiệu cho thấy chiến dịch này cần công cụ mới. Tác nhân chỉ cần đi qua những cửa đã mở từ trước để tiến sâu hơn vào hệ thống bị tấn công.
IOC và hành vi tấn công quan sát được
Dữ liệu quan sát cho thấy các hệ thống bị xâm nhập đã phát ra cảnh báo an ninh với độ tin cậy cao trong nhiều tuần hoặc nhiều tháng trước khi tác nhân xuất hiện. Trung bình, các hệ thống bị ảnh hưởng đã có tín hiệu cảnh báo trong 43 ngày. Điều này cho thấy không phải xâm nhập âm thầm, mà là một chuỗi sự kiện đã có thể phát hiện xâm nhập sớm nếu được xử lý.
Sau khi thiết lập chỗ đứng trong mạng, tác nhân không giữ trạng thái yên lặng. 17 máy bị nhiễm đã thực hiện các cuộc tấn công di chuyển ngang sang 923 mục tiêu nội bộ. Trong một trường hợp cực đoan, một máy chủ bị chiếm quyền đã nhắm tới 405 hệ thống nội bộ.
Tổng thể cho thấy mức độ phát hiện tấn công có thể tăng đột biến khi một điểm xâm nhập không được cô lập kịp thời. Một sự kiện nhiễm đơn lẻ cũng đã làm số lượng cảnh báo tăng 12 lần.
IOC hành vi nổi bật
- Di chuyển ngang từ một máy bị xâm nhập sang hàng trăm mục tiêu nội bộ.
- Nhắm vào hệ thống OT thay vì chỉ máy trạm IT.
- Tăng đột biến cảnh báo sau khi sự cố được phát hiện.
- Gia tăng mức độ tấn công khi bị quan sát hoặc chặn một phần.
Ảnh hưởng lên hệ thống OT và ICS
Chiến dịch này nhắm trực tiếp vào các thành phần điều khiển công nghiệp như engineering workstations, HMI, RTU, PLC và IED. Đây là các tài sản vận hành quan trọng vì chúng điều phối thiết bị vật lý trong nhà máy, trạm điện và hạ tầng vận tải.
Trong một điểm bị ảnh hưởng, có tới 286 engineering workstations bị nhắm mục tiêu. Ở một điểm khác, 95 HMI cũng nằm trong phạm vi tấn công. Sự hiện diện của các mục tiêu này cho thấy mục tiêu không phải chỉ là chiếm quyền điều khiển một máy lẻ, mà là mở đường tới hệ thống bị xâm nhập ở tầng vận hành.
Việc tấn công vào các thành phần ICS làm tăng đáng kể nguy cơ bảo mật vì ảnh hưởng có thể vượt ra ngoài mất dữ liệu, chuyển thành gián đoạn vận hành hoặc tác động vật lý.
Mẫu hành vi và nhịp hoạt động
Dữ liệu cho thấy hoạt động có xu hướng lặp lại theo lịch khá ổn định, đạt đỉnh vào thứ Tư khoảng 2:00 PM giờ Moscow. Nhịp này cho thấy chiến dịch được tổ chức tập trung và có kỷ luật vận hành rõ ràng.
Sau khi bị phát hiện, tác nhân thường không rút lui mà leo thang. Trong các môi trường bị ảnh hưởng, số lượng cảnh báo tăng lên, kiểu tấn công mới xuất hiện, nhiều hệ thống bị nhắm tới hơn và trọng tâm dịch chuyển mạnh hơn vào hệ thống OT.
Phần lớn nạn nhân ghi nhận mức leo thang đồng thời trên 4 đến 6 trong 7 chỉ số đo lường. Điều này cho thấy nếu chỉ phát hiện mà không cô lập triệt để, tình hình có thể xấu hơn.
Yêu cầu xử lý và cô lập trong an ninh mạng
Trong bối cảnh cảnh báo CVE đã tồn tại từ lâu, ưu tiên là xử lý triệt để thay vì chỉ ghi nhận sự kiện. Các hệ thống có quyền truy cập vào operational technology cần được cô lập nhanh khi phát hiện dấu hiệu bất thường.
Nguyên tắc chính là chuyển từ phát hiện xâm nhập sang cô lập ngay lập tức. Việc chậm xử lý có thể khiến tác nhân tận dụng chính các foothold cũ để mở rộng phạm vi hoạt động trong mạng nội bộ.
Biện pháp phòng thủ được nêu trong phân tích
- Xóa bỏ các giao thức cũ không còn cần thiết.
- Thực thi phân đoạn mạng giữa IT và OT.
- Đảm bảo các compromise trước đó được xử lý triệt để.
- Giám sát chặt các engineering workstations và ICS management systems.
- Coi các cảnh báo như EternalBlue hoặc Cobalt Strike là tín hiệu chiến lược, không phải nhiễu nền.
Ưu tiên bảo vệ tài sản OT
Các engineering workstation và hệ thống quản trị ICS cần được xem là tài sản trọng yếu. Chúng nên được tách khỏi truy cập Internet công cộng và được giám sát sát sao để giảm rủi ro an toàn thông tin.
Trong chiến dịch này, vấn đề cốt lõi không nằm ở kỹ thuật mới mà ở việc các lỗ hổng CVE đã biết vẫn còn tồn tại trong môi trường vận hành. Khi nền tảng bảo vệ cơ bản không được thực hiện đầy đủ, các chuỗi khai thác cũ vẫn đủ để dẫn tới remote code execution, di chuyển ngang và xâm nhập sâu vào OT.
Do đó, việc cập nhật bản vá, phân tách mạng, và kiểm tra lại mọi dấu hiệu xâm nhập trước đó là các bước bắt buộc để giảm nguy cơ bị khai thác tiếp từ cùng một điểm yếu.
