Triton - Malware Nguy Hiểm Có Thể Trực Tiếp Gây Chết Người

Là một trong những chuyên gia ứng cứu khẩn cấp sự cố an ninh mạng nhiều kinh nghiệm, Julian Gutmanis, nhà tư vấn bảo mật người Úc, đã được các công ty nhờ đến rất nhiều lần để giúp xử lý những hậu quả từ các cuộc tấn công mạng. Nhưng khi Julian Gutmanis được mời đến một nhà máy hoá dầu ở Saudi Arabia vào mùa hè năm 2017, anh phát hiện ra một thứ khiến máu mình dường như đông lại.

Hacker đã triển khai một phần mềm hay malware độc hại, cho phép chúng chiếm quyền kiểm soát hệ thống điều khiển an toàn trong nhà máy. Những bộ điều khiển vật lý và phần mềm liên quan đến chúng là tuyến phòng ngự cuối cùng chống lại các thảm hoạ đe dọa sự tồn vong của mọi người trong nhà máy. Hệ thống bảo vệ sẽ được tự động kích hoạt nếu phát hiện ra tình trạng nguy hiểm nhằm khôi phục các quá trình hoạt động về mức an toàn hoặc tắt toàn bộ bằng cách kích hoạt những thứ như van khoá và các cơ chế giải phóng áp lực.

Malware giúp hacker có thể kiểm soát hệ thống bảo vệ từ xa. Nếu những kẻ xâm nhập tắt hoặc can thiệp vào chúng, sau đó sử dụng các phần mềm khác để khiến trang thiết bị trong nhà máy gặp sự cố, hậu quả sẽ vô cùng thảm khốc. May mắn thay, trong mã độc có một lỗ hổng có thể giúp các chuyên gia an ninh mạng đánh trả các hacker trước khi chúng kịp làm bất kỳ điều gì có hại. Nó kích hoạt một phản ứng phòng vệ trong một hệ thống an toàn vào tháng 06/2017, đưa cả nhà máy vào trạng thái tạm ngừng. Sau đó, vào tháng 08/2017, nhiều hệ thống khác cũng bị tấn công, khiến nhà máy phải ngừng hoạt động một lần nữa.

Trong lần tạm ngừng đầu tiên, người ta cho rằng nguyên nhân xuất phát từ vấn đề nào đó về mặt cơ khí; nhưng sau lần tạm ngừng thứ hai, chủ nhà máy đã nghi ngờ và mời các nhà điều tra đến làm việc. Họ đã phát hiện ra malware và đặt tên nó là "Triton" (hoặc là "Trisis") vì nó gợi nhớ đến mô hình kiểm soát an toàn Triconex do Schneider Electric (Pháp) sản xuất.

Trong trường hợp xấu nhất, mã độc có thể khiến hệ thống thải ra khí gas hydrogen sulfide độc hại, hoặc gây ra những vụ nổ lớn, đe doạ tính mạng của những người trong nhà máy và cả ở khu vực xung quanh đó. Gutmanis nhớ lại: việc đối phó với con malware tại nhà máy hoá dầu, vốn đã được khởi động lại sau sự cố thứ hai, là một trải nghiệm đau đầu. Anh cho biết: “Chúng tôi biết rằng không thể lệ thuộc vào sự toàn vẹn của các hệ thống an toàn. Tình hình rất tồi tệ”.

Với việc tấn công nhà máy, những tên hacker đã làm một điều mà sau này chúng không thể nào thay đổi được nữa. Đây là lần đầu tiên thế giới an ninh mạng thấy một mã độc được thiết kế đặc biệt để đe dọa tính mạng con người. Những hệ thống đảm bảo an toàn không chỉ có trong các nhà máy hoá dầu; chúng còn là tuyến phòng thủ cuối cùng trong mọi thứ, từ các hệ thống giao thông vận tải đến các nhà máy xử lý nước, đến các nhà máy điện hạt nhân.

Việc phát hiện ra Triton đã làm dấy lên nhiều câu hỏi xoay quanh việc làm thế nào mà các hacker có thể xâm nhập vào các hệ thống quan trọng đó. Nó còn xuất hiện trong bối cảnh các cơ sở vật chất công nghiệp đang tiến hành tích hợp khả năng kết nối trên tất cả các loại thiết bị - một hiện tượng được biết đến dưới tên gọi "Internet of Things" trong ngành công nghiệp. Những kết nối cho phép công nhân có thể giám sát từ xa các trang thiết bị và nhanh chóng thu thập dữ liệu để giúp quá trình điều hành hiệu quả hơn, nhưng nó cũng cho các hacker thêm nhiều mục tiêu tiềm tàng.

Những hacker đằng sau Triton đang tìm kiếm những nạn nhân mới. Dragos, một công ty chuyên về an ninh mạng công nghiệp, và là nơi Gutmanis hiện đang làm việc, cho biết đã thấy chứng cứ trong năm 2018, rằng nhóm hacker từng phát triển malware và chèn vào nhà máy ở Saudi đang sử dụng một số phương thức tương tự để nghiên cứu các mục tiêu bên ngoài phạm vi Trung Đông, bao gồm cả Bắc Mỹ. Và họ đang tạo ra những chủng mã độc mới nhằm can thiệp vào một loạt các hệ thống trang thiết bị an toàn khác.

Báo động đỏ

Tin tức về sự tồn tại của Triton được tiết lộ vào tháng 12/2017, tuy nhiên danh tính của chủ sở hữu nhà máy vẫn được giữ bí mật. Gutmanis và các chuyên gia khác tham gia cuộc điều tra ban đầu từ chối nêu tên công ty vì lo sợ làm vậy sẽ khiến các mục tiêu trong tương lai e dè trong việc chia sẻ thông tin về các vụ tấn công mạng với riêng các nhà nghiên cứu bảo mật.

Trong những năm qua, các công ty an ninh mạng đã chạy đua để giải mã malware Triton - và để tìm ra ai đứng đằng sau nó. Các nghiên cứu vẽ nên một viễn cảnh đáng lo ngại về một vũ khí mạng tinh vi được xây dựng và triển khai bởi một nhóm hacker cương quyết và kiên trì - những kẻ mà danh tính vẫn chưa được xác định chắc chắn.

Các hacker có vẻ như đã xâm nhập mạng IT của công ty hoá dầu từ năm 2014. Từ đó, chúng đã tìm ra cách để vào mạng lưới riêng của nhà máy, chủ yếu thông qua một lỗ hổng trong một tường lửa kỹ thuật số được thiết lập lỏng lẻo với hi vọng có thể chặn được truy cập chưa được phép. Sau đó, chúng vào một máy trạm kỹ thuật, có thể bằng cách triển khai một lỗ hổng chưa được vá trong mã viết cho Windows của chúng, hoặc bằng cách can thiệtp  hệ thống hội nhập của nhân viên.

Vì máy trạm liên kết với các hệ thống trang thiết bị an toàn, nên các hacker có thể biết được cơ cấu của các bộ phận điều khiển phần cứng của hệ thống, cũng như phiên bản firmware - phần mềm được nhúng và bộ nhớ một thiết bị và kiểm soát cách nó giao tiếp với những thứ khác. Nhiều khả năng chúng sẽ mua một cỗ máy giống hệt do Schneider sản xuất và dùng nó để kiểm tra malware mới phát triển. Điều đó giúp việc nhại lại giao thức, hoặc một bộ các quy tắc số mà máy trạm kỹ thuật dòng để tương tác với các hệ thống an toàn. Hacker còn tìm thấy một lỗ hổng zero-day - một lỗi trước đó chưa biết đến, trong firmware của mô hình Triconex. ĐIều này cho phép chúng chèn mã độc vào bộ nhớ của các hệ thống an toàn, đảm bảo chúng có thể truy cập các thiết bị điều khiển bất kỳ khi nào.

Vì vậy, những kẻ xâm nhập có thể ra lệnh cho các hệ thống trang thiết bị an toàn ngừng kích hoạt chính chúng và sau đó sử dụng một con malware khác để gây ra tình hình không an toàn trong nhà máy.

Kết quả có thể sẽ rất nghiêm trọng. Thảm hoạ công nghiệp tồi tệ nhất thế giới cho đến lúc này cũng có liên quan đến một vụ rò rỉ khí gas độc hại. Tháng 12/1984, một nhà máy thuốc trừ sâu của Union Carbide ở Bhopal, Ấn Độ, đã thải ra một đám mây khói độc khổng lồ, giết chết hàng nghìn người và khiến nhiều người khác bị thương. Nguyên nhân của vụ việc là do hoạt động bảo trì không hiệu quả và là lỗi của con người. Nhưng thời điểm đó, những hệ thống an toàn tại nhà máy cũng không hoạt động được cho thấy tuyến phòng ngự cuối cùng của nó đã thất bại.

Nhiều báo động đỏ hơn!

Chỉ có một số rất ít những trường hợp các hacker sử dụng không gian mạng để gây tình hình phức tạp trong đời thực. Trong số có có Stuxnet, khiến hàng trăm máy ly tâm tại một nhà máy hạt nhân của Iran xoay không thể kiểm soát được và tự phá huỷ chính nó vào năm 2010; hay CrashOverride, được các hacker Nga sử dụng vào năm 2016 để đánh vào mạng lưới điện của Ukraine.

Tuy nhiên, ngay cả những người bi quan nhất về vấn đề thảm hoạ mạng cũng không dám nghĩ đến ngày một malware như Triton xuất hiện. Joe Slowik, một cựu sỹ quan thông tin chiến trường thuộc Hải quân Mỹ, hiện đang làm việc ở Dragos, cho biết: “Nhắm vào các hệ thống an toàn là vượt quá những chừng mực đạo đức và về mặt kỹ thuật, rất khó để làm điều đó”

Các chuyên gia khác cũng bị sốc khi họ nghe tin về mã độc giết người. Bradford Hegrat, một nhà tư vấn tại Accenture, chuyên về an ninh mạng công nghiệp cho biết: “Ngay cả với Stuxnet và các malware khác, chúng chưa bao giờ có ý định làm hại con người trắng trợn như vậy”. Không hề trùng hợp khi malware Triton xuất hiện giữa thời điểm hacker đến từ các quốc gia như Nga, Iran, và Triều Tiên đang tăng cường dò xét các khu vực cơ sở hạ tầng trọng yếu đóng vai trò quan trọng đối với sự vận hành mượt mà của nền kinh tế hiện đại, như các công ty dầu và gas, điện dân dụng, và các mạng lưới vận tải.

Trong bài phát biểu hồi năm 2018, Dan Coats, Giám đốc tình báo quốc gia Mỹ, đã cảnh báo về mối nguy hiểm của những cuộc tấn công mạng gây nguy hiểm lên các cơ sở hạ tầng trọng yếu của đất nước đang ngày một tăng cao. Ông đã so sánhsánh điều này với những hoạt động trao đổi trực tuyến giữa các nhóm khủng bố mà các cơ quan tình báo Mỹ phát hiện trước vụ tấn công Trung tâm Thương mại Thế giới hồi năm 2001. Coats nói: “Chúng ta đã chậm trễ gần 2 thập kỷ, và tôi muốn nói rằng đèn cảnh báo đang nhấp nháy đỏ một lần nữa. Hiện nay, cơ sở hạ tầng kỹ thuật số phục vụ quốc gia về cơ bản đang bị tấn công”

Ban đầu, Triton được cho là tác phẩm của Iran, vì Iran và Ả-rập Saudi là những đại kình địch. Nhưng chuyện không đơn giản như vậy. Trong một bản báo cáo xuất bản hồi tháng 10/2018, FireEye, một công ty an ninh mạng được mời điều tra từ rất sớm trong vụ việc Triton, đã chỉ về một nghi phạm khác – Nga.

Các hacker đứng sau Triton đã thử nghiệm trước những yếu tố trong mã độc được sử dụng trong quá trình xâm nhập để khiến chúng khó bị các chương trình antivirus phát hiện hơn. Các nhà nghiên cứu của FireEye nhận thấy một tập tin số mà các hacker để sót lại trên mạng lưới của công ty hoá dầu, và họ đã có thể lần theo đến các tập tin khác xuất hiện trong cùng đợt thử nghiệm. Các tập tin chứa nhiều tên gọi được viết bằng các ký tự Cyrillic, cũng như một địa chỉ IP được dùng để tiến hành các phi vụ có liên quan đến malware.

Địa chỉ IP đó được ghi danh cho Viện nghiên cứu khoa học Trung ương về Hoá học và Cơ khí tại Moscow, một tổ chức chính phủ với các ban tập trung vào an toàn cơ sở hạ tầng trọng yếu và an toàn công nghiệp. FireEye còn cho biết đã tìm thấy bằng chứng cho thấy có sự tham gia của một giáo sư trong viện, nhưng không nêu tên người này. Dù sao đi nữa, bản báo cho cho thấy FireEye không tìm thấy bằng chứng cụ thể nào khẳng định chắc chắn viện đã phát triển ra Triton.

Các nhà nghiên cứu vẫn đang tìm hiểu về nguồn gốc của malware, nên sẽ còn nhiều giả thuyết khác xoay quanh những người đứng sau Triton xuất hiện trong tương lai. Trong khi đó, Gutmanis muốn giúp các công ty học được những bài học quan trọng từ trải nghiệm của mình tại nhà máy ở Saudi. Trong một bài thuyết trình tại hội thảo an ninh công nghiệp S4X19 hồi tháng 01/2019, anh đã nêu ra một số điểm như vậy, bao gồm việc nạn nhân của đợt tấn công Triton đã bỏ qua nhiều cảnh báo khi chương trình antivirus phát hiện ra malware, và họ không để ý thấy những lưu lượng dữ liệu bất thường trong các mạng lưới của mình. Các công nhân tại nhà máy còn đặt những khoá vật lý dùng để điều khiển các thiết lập trong các hệ thống Triconex ở nơi dễ dàng cho phép phần mềm máy tính truy xuất từ xa.

Nếu điều đó khiến công ty Saudi trông có vẻ yếu kém về mặt an ninh, nhưng Gutmanis khẳng định không phải. Anh giải thích: “Tôi đã đi đến nhiều nhà máy tại Mỹ nhưng không nơi đâu cẩn thận trong các biện pháp an ninh mạng như tổ chức này”. Các chuyên gia khác nhận định rằng Triton cho thấy các hacker thuộc chính phủ sẵn sàng theo đuổi cả những mục tiêu khó tấn công và khó tiếp cận trong các cơ sở công nghiệp. Các hệ thống trang thiết bị an toàn được tuỳ biến cực mạnh để đảm bảo an toàn cho nhiều loại quy trình khác nhau, do đó tạo ra một con malware để kiểm soát được chúng đòi hỏi rất nhiều thời gian và tính cần mẫn. Ví dụ, bộ điều khiển Triconex của Schneider Electric có hàng tá các model khác nhau, và mỗi model lại được nạp những phiên bản firmware khác nhau.

Việc các hacker bỏ rất nhiều công sức để phát triển Triton là một hồi chuông cảnh tỉnh đối với Schneider và các nhà sản xuất các hệ thống trang thiết bị an toàn khác - như công ty Emerson của Mỹ và Yokogawa của Nhật Bản. Schneider đã được khen ngợi khi công khai chia sẻ những thông tin chi tiết về cách các hacker đã nhắm vào model Triconex của họ tại nhà máy ở Saudi, và cũng nêu rõ lỗi zero-day mà họ đã tiến hành vá sau sự cố. Nhưng trong bài thuyết trình hồi tháng 01/2019, Gutmanis chỉ trích công ty không thông tin đầy đủ cho các nhà điều tra ngay sau khi cuộc tấn công xảy ra.

Schneider phản hồi rằng họ đã hợp tác đầy đủ với công ty sở hữu nhà máy bị tấn công, cũng như Cục an ninh nội địa Mỹ và các cơ quan tham gia điều tra Triton. Họ đã tuyển thêm nhiều người từ sau sự kiện đó để giúp phản ứng với các biến cố trong tương lai, và còn tăng cường bảo mật firmware và các giao thức sử dụng trong các thiết bị của mình.

Andrew Kling, một giám đốc của Schneider, cho biết một bài học quan trọng từ vụ việc Triton là các công ty công nghiệp và các nhà sản xuất trang thiết bị cần phải tập trung hơn vào các lĩnh vực có khả năng không bị nhắm đến bởi các hacker, nhưng lại có thể gây ra thảm hoạ nếu bị can thiệp. Các lĩnh vực bao gồm các ứng dụng phần mềm hiếm khi được sử dụng và các giao thức cũ điều hành quá trình giao tiếp giữa máy móc với nhau. Kling cho biết: “Có lẽ nhiều người nghĩ rằng không ai thèm tấn công vào một giao thức mập mờ chưa từng được nhắc đến, nhưng họ cần phải hỏi rằng, nếu chúng làm điều đó thì hậu quả gì sẽ xảy ra?”

Một tương lai analog?

Trong suốt thập kỷ qua, các công ty đã trang bị kết nối Internet và cảm biến cho mọi loại trang thiết bị công nghiệp. Dữ liệu thu thập về được sử dụng cho nhiều mục đích, từ dự báo bảo trì - có nghĩa là sử dụng các mô hình machine learning để dự đoán tốt hơn khi nào các trang thiết bị cần đươc bảo dưỡng - đến tinh chỉnh các quá trình sản xuất. Ngoài ra, các thiết bị còn được trang bị khả năng điều khiển các quy trình từ xa thông qua những thứ như smartphone và tablet.

Tất cả những điều này khiến việc kinh doanh hiệu quả và năng suất hơn nhiều, giải thích tại sao các công ty dự kiến sẽ tiêu khoảng 42 tỷ USD trong năm 2019 vào các trang thiết bị Internet công nghiệp, như các cảm biến thông minh và các hệ thống điều khiển tự động. Nhưng đi cùng với đó là những nguy cơ: số lượng trang thiết bị được kết nối càng nhiều, các hacker càng có nhiều mục tiêu để nhắm đến.

Để ngăn cản những kẻ tấn công, các công ty công nghiệp thường dựa vào một chiến thuật được gọi là "defense in depth" (phòng thủ theo chiều sâu) - tạo ra nhiều lớp bảo mật, bắt đầu với các tường lửa để phân cách các mạng công ty khỏi Internet. Các lớp khác được thêm vào để ngăn hacker truy cập vào các mạng lưới nhà máy và sau đó là các hệ thống điều khiển công nghiệp.

Các giải pháp phòng thủ còn bao gồm các công cụ antivirus để phát hiện malware, và các phần mềm trí tuệ nhân tạo có khả năng phát hiện những hành vi bất thường bên trong các hệ thống IT. Cuối cùng, tuyến phòng thủ tối thượng là các hệ thống trang thiết bị an toàn và các giải pháp an toàn vật lý. Các hệ thống trọng yếu nhất thường có nhiều giải pháp backup vật lý nhằm bảo vệ chúng khỏi bị phá hoại dẫn đến ngừng hoạt động bởi bất kỳ yếu tố nào.

Chiến thuật đã chứng minh được tiềm năng của nó. Nhưng với sự trỗi dậy của các hacker chính phủ, những kẻ không thiếu tiền, thời gian và động lực để nhắm vào các cơ sở hạ tầng trọng yếu, cũng như sự phổ biến của các hệ thống kết nối Internet, có lẽ quá khứ không còn là kẻ dẫn lối đáng tin cậy cho tương lai.

Nga cho thấy đã sẵn sàng vũ khí hoá phần mềm và triển khai chúng chống lại các mục tiêu vật lý ở Ukraine - nơi được Nga sử dụng như một khu vực thử nghiệm các công cụ vũ trang mạng. Và cuộc tấn công Triton tại Ả-rập Saudi cho thấy các hacker sẽ sẵn sàng bỏ ra nhiều năm thử nghiệm và thăm dò để tìm ra những cách đục thủng mọi lớp phòng thủ.

May mắn là những kẻ tấn công nhà máy ở Saudi đã bị đánh chặn, và chúng ta đã biết được khá nhiều về cách thức hoạt động của chúng. Nhưng đó là một lời nhắc nhở rằng, giống như mọi nhà phát triển khác, các hacker cũng mắc lỗi. Nếu lỗi mà chúng vô tình đưa ra, thay vì kích hoạt một quy trình ngừng kích hoạt an toàn, lại ngừng kích hoạt các hệ thống an toàn của nhà máy ngay khi một lỗi do con người, hoặc các sai sót khác, khiến một trong những quy trình trọng yếu trong nhà máy rơi vào tình trạng hỗn loạn. Kết quả sẽ cực kỳ thảm khốc dù chính các hacker không hề có ý định gây ra điều đó.

Các chuyên gia tại những tổ chức như Phòng thí nghiệm quốc gia Idaho Mỹ đang hối thúc các công ty đánh giá lại toàn bộ các hoạt động của họ sau sự cố Triton và những mối đe doạ mạng - vật lý khác, đồng thời tinh giảm mạnh hoặc loại bỏ những con đường trong không gian ảo mà các hacker có thể lợi dụng để tiếp cận với các quy trình trọng yếu.

Có lẽ các doanh nghiệp sẽ e ngại với những khoản chi phí cần thiết để thực hiện điều đó, nhưng Triton là một lời nhắc nhở rằng những mối đe đoạ đang ngày càng tăng cao. Gutmanis nghĩ rằng nhiều đợt tấn công hơn, thông qua những con malware giết người nguy hiểm nhất thế giới, là điều không thể tránh khỏi. Anh nhận định: “Dù đây là lần đầu tiên, nhưng tôi sẽ ngạc nhiên nếu nó đã là lần cuối cùng”