Một làn sóng tấn công mạng nghiêm trọng đang nhắm vào cơ sở hạ tầng mà hầu hết mọi người ít khi để ý tới. Các hệ thống đo mức bồn tự động, hay còn gọi là hệ thống ATG (Automatic Tank Gauge), đang trở thành mục tiêu hàng đầu của các tác nhân đe dọa. Việc tăng cường bảo mật hệ thống ATG là một yêu cầu cấp bách.
Hệ thống ATG được triển khai rộng rãi trên khắp các bang tại Hoa Kỳ. Chúng có vai trò quan trọng trong việc giám sát từ xa mức nhiên liệu, khối lượng chất lỏng, nhiệt độ, và phát hiện các rò rỉ tiềm ẩn trong các bồn chứa.
Những hệ thống này hoạt động âm thầm ở phía sau, đảm bảo vận hành liên tục tại các trạm xăng, trang trại, nhà máy hóa chất và các trung tâm vận chuyển. Nay, các tác nhân đe dọa đang chủ động nhắm mục tiêu vào chúng.
Vai trò và tầm quan trọng của hệ thống ATG
Hệ thống ATG là xương sống của nhiều ngành công nghiệp quan trọng. Chúng được triển khai rộng khắp trong các lĩnh vực Năng lượng, Hóa chất, Thực phẩm và Nông nghiệp, cũng như Giao thông vận tải.
Sự tự động hóa mà ATG mang lại là không thể thiếu. Nếu không có chúng, việc giám sát sẽ đòi hỏi sự kiểm soát thủ công liên tục, gây tốn kém và kém hiệu quả.
Tuy nhiên, chính khả năng kết nối mạng đã làm cho chúng trở nên hữu ích, lại đồng thời biến chúng thành mục tiêu. Kẻ tấn công đang khai thác thực tế là nhiều hệ thống này bị phơi nhiễm trực tiếp với internet, thường với các mật khẩu yếu hoặc mật khẩu mặc định vẫn còn.
Tình hình các cuộc tấn công mạng hiện tại
CISA, cùng với FBI, NSA, DOE, EPA, TSA, DOT và USDA, đã xác nhận hoạt động mạng độc hại đang diễn ra, nhắm mục tiêu vào các hệ thống ATG đặt tại Hoa Kỳ. Báo cáo của CISA công bố chi tiết về các cuộc tấn công này.
Các cơ quan này ghi nhận rằng các tác nhân đe dọa đang xâm nhập vào các thiết bị phơi nhiễm internet. Chúng chủ động sửa đổi các hệ thống này thông qua việc thực thi lệnh trực tiếp. Đến nay, chính phủ Hoa Kỳ chưa quy kết hoạt động này cho bất kỳ quốc gia hoặc nhóm đe dọa cụ thể nào.
Các cuộc tấn công này không chỉ là mối đe dọa lý thuyết. Kẻ tấn công đang thực sự giành quyền truy cập, chạy các lệnh và trong một số trường hợp, chiếm toàn quyền kiểm soát các hệ thống này. Điều này giống như việc chúng đang đứng trực tiếp trước phần cứng.
Một khi đã xâm nhập, chúng có thể thay đổi cài đặt mạng, điều chỉnh các chỉ số thể tích bồn, thay đổi điều khiển bơm, và vô hiệu hóa các cảnh báo mà người vận hành dựa vào để phát hiện sớm các sự cố nguy hiểm.
Hậu quả nghiêm trọng từ hệ thống ATG bị xâm nhập
Hậu quả từ việc một hệ thống ATG bị xâm nhập có thể vượt xa một vụ xâm nhập mạng thông thường. Một hệ thống ATG bị thỏa hiệp có thể tạo ra tình trạng mà các chuyên gia gọi là “denial of view”. Trong tình trạng này, người vận hành không thể nhìn thấy chính xác mức đổ đầy thực tế.
Nếu không được kiểm soát, tình trạng này có thể dẫn đến hư hại vật lý cho cơ sở hạ tầng bồn. Nó cũng có thể gây ra các mối nguy hiểm môi trường hoặc rò rỉ do hỏng hóc rơ le.
Kẻ tấn công có thể làm cho thiết bị báo cáo các chỉ số sai lệch. Chúng có thể ngăn chặn các báo động an toàn hoặc gây ra sự cố cho các thành phần theo những cách khó phát hiện. Chỉ đến khi thiệt hại thực sự xảy ra, người vận hành mới nhận ra vấn đề. Sự đơn giản của các điểm xâm nhập này đặc biệt đáng lo ngại, xét đến mức độ triển khai rộng rãi của các thiết bị ATG trong các ngành công nghiệp trọng yếu.
Các phương thức khai thác lỗ hổng bảo mật
Các phương pháp tấn công được mô tả trong khuyến nghị không quá phức tạp, nhưng lại cực kỳ hiệu quả. Các tác nhân đe dọa khai thác các lỗ hổng bảo mật liên quan đến bỏ qua xác thực và thông tin đăng nhập được mã hóa cứng (hardcoded credentials) để vượt qua giao diện quản lý thiết bị mà không cần đăng nhập hợp lệ.
Bỏ qua xác thực và thông tin đăng nhập cứng
Việc bỏ qua xác thực cho phép kẻ tấn công truy cập vào hệ thống mà không cần cung cấp thông tin đăng nhập hợp lệ. Điều này thường xảy ra do lỗi cấu hình, thiết kế phần mềm, hoặc sử dụng các quy trình xác thực yếu kém. Các thông tin đăng nhập cứng, như tên người dùng và mật khẩu mặc định không được thay đổi, cung cấp một cửa hậu dễ dàng cho kẻ tấn công.
Sử dụng các tài khoản mặc định này, đặc biệt nếu chúng có quyền quản trị, là một rủi ro bảo mật lớn. Chúng cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống một cách nhanh chóng và hiệu quả.
Thực thi lệnh hệ điều hành và SQL Injection
Một khi đã có chỗ đứng, kẻ tấn công sử dụng các kỹ thuật thực thi lệnh hệ điều hành và SQL Injection để chạy mã tùy ý. Mục tiêu là thao túng các cơ sở dữ liệu nền tảng quản lý dữ liệu bồn chứa.
Kỹ thuật SQL Injection cho phép kẻ tấn công chèn mã SQL độc hại vào các trường nhập liệu của ứng dụng. Điều này có thể dẫn đến việc truy xuất, sửa đổi hoặc xóa dữ liệu nhạy cảm trong cơ sở dữ liệu. Nó cũng có thể cấp quyền truy cập trái phép vào toàn bộ hệ thống.
Ví dụ về lệnh có thể bị thực thi sau khi khai thác thành công (lưu ý: đây là ví dụ minh họa về loại lệnh, không phải lệnh cụ thể từ vụ tấn công này):
ls -la /etc/passwd
cat /var/log/syslog
rm -rf /var/lib/atg/data.db
Leo thang đặc quyền
Từ đó, việc leo thang đặc quyền mang lại cho kẻ tấn công quyền kiểm soát quản trị viên toàn bộ. Quyền này áp dụng cho cả phần mềm thiết bị và hệ điều hành.
Khả năng chiếm quyền điều khiển ở cấp độ quản trị cho phép kẻ tấn công thực hiện bất kỳ hành động nào. Điều này bao gồm thay đổi cấu hình, cài đặt phần mềm độc hại, và xóa nhật ký hoạt động để che giấu dấu vết. Đây là mức độ kiểm soát cao nhất và nguy hiểm nhất.
Biện pháp giảm thiểu và phòng vệ tức thì cho bảo mật hệ thống ATG
CISA và các cơ quan đối tác đã vạch ra các bước rõ ràng mà chủ sở hữu và người vận hành ATG nên thực hiện ngay lập tức. Hành động khẩn cấp nhất là loại bỏ các hệ thống này khỏi việc phơi nhiễm trực tiếp với internet.
Cô lập hệ thống khỏi Internet
Cổng nối tiếp của ATG, thường mặc định là cổng TCP 8001, 9001 hoặc 10001, không bao giờ được phép truy cập công khai. Việc này là cực kỳ quan trọng để ngăn chặn các cuộc tấn công từ bên ngoài. Nếu cần truy cập từ xa, điều này phải được bảo vệ nghiêm ngặt.
Việc đặt hệ thống phía sau tường lửa (firewall), danh sách kiểm soát truy cập (Access Control List – ACL), hoặc VPN (Virtual Private Network) là bắt buộc. Điều này tạo ra một lớp bảo vệ bổ sung, hạn chế những ai có thể kết nối đến hệ thống.
Quản lý xác thực mạnh mẽ
Người vận hành cần thay đổi ngay lập tức mọi mật khẩu mặc định. Thiết lập các thông tin đăng nhập mạnh mẽ và duy nhất cho mỗi giao diện, bao gồm cả cổng nối tiếp. Mật khẩu nên có độ dài phức tạp và chứa sự kết hợp của chữ hoa, chữ thường, số và ký tự đặc biệt.
Khi có thể, cần bật xác thực đa yếu tố (MFA) chống lừa đảo (phishing-resistant). MFA bổ sung một lớp bảo mật bằng cách yêu cầu nhiều hơn một phương thức xác minh danh tính. Nó là một yếu tố then chốt để củng cố bảo mật hệ thống ATG.
Cập nhật và vá lỗi phần mềm định kỳ
Việc giữ phần mềm được vá và hoạt động với các nhà cung cấp dịch vụ được chứng nhận để áp dụng các bản cập nhật mới nhất từ nhà sản xuất là điều quan trọng không kém. Các bản vá bảo mật thường khắc phục các lỗ hổng bảo mật đã biết mà kẻ tấn công có thể khai thác. Việc trì hoãn cập nhật sẽ làm tăng rủi ro bảo mật.
Giám sát và ghi nhật ký nâng cao
Các tổ chức nên bật tính năng ghi nhật ký chi tiết và thường xuyên kiểm tra các nhật ký đó. Mục tiêu là tìm kiếm các dấu hiệu truy cập trái phép, hoạt động báo động bất thường, hoặc các thay đổi cấu hình không mong muốn. Điều này giúp phát hiện sớm các hoạt động đáng ngờ.
Việc phân tích nhật ký định kỳ là một phần không thể thiếu của chiến lược an ninh mạng. Nó cung cấp cái nhìn sâu sắc về các sự kiện trong hệ thống và là bằng chứng quan trọng trong quá trình ứng phó sự cố.
Quy trình báo cáo sự cố
Bất kỳ sự cố nghi ngờ nào cũng cần được báo cáo cho CISA qua email tại [email protected] hoặc gọi điện tới 888-282-0870. FBI cũng chấp nhận các khiếu nại thông qua Trung tâm Khiếu nại Tội phạm Internet tại www.ic3.gov.
Mối đe dọa đối với các hệ thống ATG là một lời nhắc nhở rằng các thiết bị kiểm soát công nghiệp đang nằm trong tầm ngắm của kẻ tấn công. Để chúng phơi nhiễm và không được bảo vệ không còn là một lựa chọn.
