Vào ngày 29 tháng 12 năm 2025, một cuộc tấn công mạng phối hợp đã nhắm mục tiêu vào hơn 30 trang trại gió và năng lượng mặt trời, cùng với một nhà máy nhiệt điện kết hợp lớn và một cơ sở sản xuất. Sự kiện này diễn ra trong điều kiện thời tiết mùa đông khắc nghiệt, khi nhiệt độ giảm sâu và bão tuyết đe dọa sự ổn định năng lượng của quốc gia. Các hoạt động này có mục đích hoàn toàn phá hủy, được thiết kế để gây hư hại cơ sở hạ tầng quan trọng thay vì đánh cắp thông tin.
Những đợt tấn công phối hợp này đánh dấu hoạt động phá hoại được ghi nhận đầu tiên bởi một nhóm tấn công tinh vi, thể hiện sự leo thang đáng kể trong các mối đe dọa chống lại cơ sở hạ tầng năng lượng châu Âu.
Mục Tiêu Tấn Công: Các Trạm Biến Áp và Thiết Bị Tự Động Hóa Công Nghiệp
Cuộc tấn công tập trung vào các trạm biến áp, đóng vai trò là điểm kết nối giữa các nguồn năng lượng tái tạo và mạng lưới phân phối. Các thiết bị tự động hóa công nghiệp tại những địa điểm này trở thành mục tiêu chính của những kẻ tấn công. Sự lựa chọn mục tiêu này nhấn mạnh nỗ lực gây gián đoạn hoạt động.
Hệ thống bị nhắm mục tiêu bao gồm:
- Remote Terminal Units (RTUs): Các thiết bị quan trọng quản lý hoạt động điều khiển từ xa (telecontrol), cho phép vận hành hệ thống từ xa.
- Human-Machine Interfaces (HMIs): Giao diện hiển thị trạng thái và cho phép tương tác với hệ thống điều khiển, là điểm trọng yếu để giám sát hoạt động.
- Rơ le bảo vệ (Protection Relays): Thiết bị bảo vệ chống lại các hư hại điện và đảm bảo an toàn cho hệ thống điện. Việc nhắm mục tiêu vào các rơ le có thể gây ra lỗi nghiêm trọng.
- Thiết bị truyền thông: Bao gồm các router và switch mạng, đóng vai trò xương sống trong việc kết nối các hệ thống điều khiển và giám sát.
Phương Thức Xâm Nhập và Triển Khai Mã Độc Wiper
Sau khi thiết lập quyền truy cập vào mạng nội bộ, những kẻ tấn công đã tiến hành trinh sát chi tiết trong nhiều tuần trước khi thực hiện kế hoạch phá hoại của mình. Quá trình này được thực hiện thông qua việc làm hỏng firmware và triển khai một loại mã độc wiper tùy chỉnh vào sáng ngày 29 tháng 12.
Các kênh liên lạc giữa các trang trại và nhà điều hành hệ thống phân phối đã bị gián đoạn, mặc dù việc sản xuất điện vẫn tiếp tục không bị ảnh hưởng. Điều này cho thấy mục tiêu chính của cuộc tấn công mạng là phá vỡ khả năng kiểm soát và giám sát hoạt động, gây ra tình trạng hỗn loạn và mất kiểm soát.
Cơ Chế Hoạt Động của Mã Độc Wiper
Mã độc được triển khai đồng nhất trên nhiều mục tiêu, sau khi kẻ tấn công có được quyền truy cập đặc quyền thông qua việc xâm nhập cơ sở hạ tầng kéo dài. Hoạt động của mã độc wiper tập trung vào việc phá hủy dữ liệu không thể phục hồi trên các mạng mục tiêu, làm tê liệt hệ thống và gây thiệt hại lâu dài.
Sau khi thiết lập chỗ đứng thông qua các tài khoản bị xâm nhập và thông tin hoạt động bị đánh cắp, những kẻ tấn công đã chuẩn bị các chuỗi tấn công tự động một phần, sẵn sàng kích hoạt đồng thời. Sự phối hợp này cho phép thực hiện một cuộc tấn công mạng quy mô lớn và đồng bộ.
Nhận Diện Nhóm Tấn Công và Sự Thay Đổi Chiến Thuật
Các nhà phân tích từ Cert.pl đã xác định cơ sở hạ tầng tấn công được sử dụng trong hoạt động này, cho thấy sự trùng lặp đáng kể với cơ sở hạ tầng liên quan đến các nhóm đe dọa được biết đến. Các nhóm này bao gồm: “Static Tundra” (theo Cisco), “Berserk Bear” (theo CrowdStrike), “Ghost Blizzard” (theo Microsoft), và “Dragonfly” (theo Symantec).
Nghiên cứu của họ nhấn mạnh khả năng mạnh mẽ của những kẻ tấn công đối với các thiết bị công nghiệp và trọng tâm lịch sử của chúng vào lĩnh vực năng lượng. Phân tích công khai chỉ ra rằng đây là chiến dịch phá hoại đầu tiên được công khai quy cho nhóm hoạt động này, báo hiệu một sự thay đổi chiến thuật quan trọng trong các hoạt động của chúng. Thay vì tập trung vào gián điệp, chúng chuyển sang các hoạt động phá hoại trực tiếp cơ sở hạ tầng năng lượng.
Bạn có thể tìm hiểu thêm về báo cáo sự cố chi tiết từ Cert.pl tại Cert.pl Incident Report: Energy Sector 2025.
Phòng Ngừa và Phát Hiện Xâm Nhập trong Bối Cảnh Tấn Công Kỹ Thuật Cao
Khi được triển khai vào nhà máy nhiệt điện kết hợp, việc thực thi mã độc wiper đã bị chặn bởi công nghệ phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) đã được cài đặt sẵn trên hệ thống của tổ chức. Điều này minh chứng cho tầm quan trọng của các giải pháp bảo mật tiên tiến trong việc ngăn chặn các cuộc tấn công mạng tinh vi.
Công ty trong lĩnh vực sản xuất cũng phải đối mặt với một cuộc tấn công mạng phối hợp tương tự, mặc dù mục tiêu cụ thể khác với các mục tiêu năng lượng. Điều này cho thấy sự linh hoạt và khả năng mở rộng mục tiêu của nhóm tấn công, cũng như khả năng thích nghi với các môi trường hoạt động khác nhau.
Mô hình tấn công này thể hiện sự lập kế hoạch tinh vi, với mã độc đóng vai trò là payload cuối cùng sau nhiều tuần chuẩn bị rộng rãi và trinh sát mạng bí mật trong môi trường mục tiêu. Các mối đe dọa mạng như vậy đòi hỏi một chiến lược phòng thủ nhiều lớp và khả năng phát hiện liên tục để bảo vệ hiệu quả cơ sở hạ tầng năng lượng và các hệ thống quan trọng khác.
Hướng Dẫn Kiểm Tra và Đề Xuất Phòng Ngừa
Để tăng cường khả năng phòng thủ chống lại các cuộc tấn công tương tự, các tổ chức nên thực hiện kiểm tra định kỳ và giám sát chặt chẽ các hoạt động hệ thống. Dưới đây là một số ví dụ về lệnh CLI có thể được sử dụng để phát hiện các dấu hiệu xâm nhập:
# Kiểm tra log hệ thống cho các hoạt động đáng ngờ liên quan đến firmware hoặc thay đổi thiết bị
sudo journalctl -u systemd-udevd --since "2025-12-28 00:00:00" | grep -i "firmware update\|flash write\|device error\|systemd-udevd\[[0-9]*\]: Process '/usr/sbin/udevadm trigger --type=subsystems --action=add' failed"
# Kiểm tra các kết nối mạng bất thường hoặc trạng thái cổng không mong muốn
netstat -tulpen | grep -v ESTABLISHED | grep -E "(LISTEN|SYN_SENT|FIN_WAIT|CLOSE_WAIT|UNCONN)" | awk '{print $7, $NF}' | sort | uniq -c | sort -nr
# Liệt kê các tiến trình lạ hoặc có mức sử dụng tài nguyên cao bất thường, có thể là dấu hiệu mã độc
ps aux --sort=-%cpu | head -n 15
# Kiểm tra các tập tin mới hoặc đã sửa đổi gần đây trong các thư mục quan trọng (ví dụ: /bin, /sbin, /usr/bin)
find /bin /sbin /usr/bin -type f -mtime -7 -print0 | xargs -0 ls -alt
