Trong thế giới đang thay đổi nhanh chóng thì một vấn đề được đặt ra là cần phải xem xét, coi tấn công điều khiển học như một dạng xâm lược có vũ trang.
Trận tuyến của hệ thống điều khiển quá trình công nghệ
Trên thực tế, việc điều khiển các quy trình công nghệ, quá trình sản xuất và hoạt động của các hệ thống an toàn ngày càng phụ thuộc vào máy tính và các chương trình máy tính, do vậy việc bảo vệ hệ thống tự động quản lý các quá trình công nghệ ngày càng được chú trọng đặc biệt. Hệ thống tự động quản lý các quy trình công nghệ là một lĩnh vực mà thế giới ảo song hành với thế giới thực của chúng ta.
Vào giữa năm 2010, một kỹ sư thuộc chi nhánh Siemens tại Iran, tổ chức khai thác trang thiết bị công nghiệp tại các cơ sở hạt nhân, đã vô tình làm lây nhiễm mã độc vào máy tính điều khiển quá trình công nghệ qua một chiếc USB bị nhiễm sâu máy tính (và có thể không biết về sự lây nhiễm này). Virus đã vượt qua hệ thống chống virus và chống rootkit đã được hai tổ chức hàng đầu là Realtex và Jmicron cấp chứng nhận và ẩn náu trong hệ thống. Khi được chèn vào giữa hệ thống điều khiển và máy ly tâm làm giàu uranium, nó bắt đầu tấn công vào bộ chuyển đổi tần số điều khiển hoạt động của động cơ điện. Tác động này đã tạo ra dao động rung trên máy ly tâm, phá vỡ động cơ và gây nổ.
Stuxnet tấn công gần một phần ba số máy ly tâm làm giàu uranium tại nhà máy ở Natanz, cũng như làm sai lệch thời hạn khởi động nhà máy điện hạt nhân Bushehr. Mặc dù thực tế là các cơ quan chức năng Iran có xu hướng che giấu hậu quả cuộc tấn công của virus, nhưng các chuyên gia cho rằng, chương trình hạt nhân của Iran đã bị chậm lại tới gần một năm. Báo New York Times đánh giá, thiệt hại từ những ảnh hưởng của Stuxnet ở Iran có thể so sánh với những thiệt hại từ các cuộc không kích của lực lượng không quân Israel. May mắn là tai nạn nghiêm trọng đã kết thúc mà không có thương vong về người và ô nhiễm phóng xạ.
Với vụ nổ chuyến bay Spanair 5022 vào ngày 20/8/2008 gần sân bay Madrid Barajas, người ta cho rằng, nguyên nhân của thảm kịch này là do một loại virus tấn công vào hệ thống thông tin của hãng hàng không, làm cho hệ thống điều khiển kỹ thuật không phát hiện được các trục trặc kỹ thuật của máy bay.
Các chuyên gia cho rằng, virus Stuxnet đã được phát triển trong khoảng hơn nửa năm, bởi một nhóm từ 7 đến 10 chuyên gia có trình độ cao, tiêu tốn khoảng 3 triệu USD của người đặt hàng. Virus này được tạo ra để dành riêng tấn công các bộ điều khiển thuộc một loại hình nhất định. Cuộc tấn công virus đã được lập kế hoạch và nhằm cụ thể vào chương trình hạt nhân của Iran. Vốn chưa từng có tiền lệ, xét theo quan hệ giữa thiệt hại gây ra với phương tiện đầu tư, trong khi vẫn giữ được ẩn danh của kẻ tấn công, Stuxnet đã mở ra một thời kỳ mới, khi mà có thể thực hiện khủng bố không cần rời khỏi phòng làm việc.
Tấn công có chủ đích vào hệ thống thông tin
Tấn công có chủ đích, hay tấn công APT được sử dụng lần đầu tiên vào năm 2006. Các cuộc tấn công loại này được ghi nhận một năm trước đó bởi nhóm CERT, gồm các chuyên gia máy tính tại Hoa Kỳ và Anh. Loại tấn công này có đặc điểm là đặt mục tiêu vào một hệ thống thông tin nhất định của các tổ chức.
Chống lại các tấn công kiểu này vô cùng khó khăn, bởi vì các công cụ tấn công là “độc nhất”, được thiết kế đặc biệt để thâm nhập và làm thiệt hại cho một hệ thống thông tin cụ thể, có tính đến các đặc tính và các phương tiện bảo vệ của hệ thống đó. Ví dụ về APT là Stuxnet đã đề cập trên, cũng như DuQu và “Red October”.
Làm thế nào các virus độc hại vượt qua được sự bảo vệ của hệ thống thông tin? Như trong trường hợp của Stuxnet, virus tấn công nhằm vào cơ sở hạt nhân, còn Red October hướng vào các cơ quan ngoại giao của châu Âu và Trung Quốc. Trong cả hai trường hợp, các hệ thống thông tin được bảo vệ nghiêm ngặt, với các phương tiện phát hiện và cảnh báo hết sức tiên tiến, không chỉ để phát hiện phần mềm độc hại, mà cả các chương trình tiềm năng nguy hiểm, hay các nguy cơ tiềm ẩn của hệ điều hành và trình duyệt.
Một cuộc tấn công có chủ đích không phải là một “vũ khí sát thương” ngay lập tức, mà là loại “thuốc độc” tác động chậm. Quá trình xâm nhập có thể kéo dài nhiều tháng. Các thành phần của sản phẩm độc hại thẩm thấu vào hệ thống, ẩn dưới các chương trình thân thiện và lợi dụng các lỗ hổng về an toàn. Những kẻ tấn công có thể đã hành động theo phương pháp kỹ nghệ xã hội, ví dụ như trường hợp Stuxnet. Từng thành phần của mã độc hại không gây nên mối đe dọa và về nguyên tắc được “ngụy trang” dưới dạng bản cập nhật của hệ điều hành. Khi được cài vào hệ thống thông tin là mục tiêu tấn công, các bộ phận của APT đã phân tán trong đó bắt đầu phối hợp hoạt động theo mục tiêu chung, hoặc thực hiện các hành động phá hoại. Tương tự như một loại “ký sinh trùng”, trong các tấn công APT, mã độc có khả năng tự “củng cố” trong các hệ thống thông tin và hoạt động ngầm trong hệ thống đó, thậm chí có thể hoạt động trở lại trong trường hợp đã bị phát hiện và bị tiêu diệt.
Với loại mã độc Red October, công cụ APT đa thành phần đã được sử dụng dưới dạng các tiện ích mở rộng và tập tin độc hại. Các tập tin độc hại này có thể nhanh chóng tự điều chỉnh dưới các cấu hình hệ thống khác nhau. Trong thành phần của phần mềm độc hại có “môđun phục hồi”, được cài vào trong MS Office và Adobe Reader, chúng “phục sinh” những thành phần chính trong trường hợp bị các phương tiện chống virus phát hiện và tiêu diệt.
Ngoài ra, đã xuất hiện các môđun mật mã gián điệp chuyên dụng, lấy cắp thông tin từ nhiều hệ thống đã được bảo vệ bằng mật mã khác, (ví dụ sản phẩm mật mã Acid Cryptofiler, từ năm 2011 được sử dụng để bảo vệ thông tin tại NATO, EU, nghị viện châu Âu và Ủy ban châu Âu). Có những môđun mã độc chuyên xâm nhập vào thiết bị di động dựa trên nền Symbian, iOS và Windows Mobile để thu thập thông tin từ các thiết bị này.
Để phát hiện ra các loại tấn công phức tạp và được tiến hành trong khoảng thời gian dài, đã xuất hiện các thiết bị chuyên dụng. Bên cạnh “sự hoàn hảo”, các công cụ APT vẫn có một điểm yếu là buộc phải làm thay đổi hệ thống thông tin bị tấn công để hoàn thành mục tiêu đặt ra. Mặc dù các thay đổi đó rất tinh vi, nhưng với các phương tiện chuyên dụng, người ta vẫn có thể phát hiện và đánh giá chúng là các sản phẩm phá hoại và nguy hiểm. Phương tiện chống lại các mối đe dọa APT không quét “ảnh chụp tức thời” của hệ thống thông tin như hầu hết các công cụ chống virus, mà chúng phân tích những thay đổi xảy ra trong hệ thống trong một khoảng thời gian dài, xác định nguồn gốc của những thay đổi này và đánh giá mức độ rủi ro. Công việc phát hiện các tấn công APT không giống như một cuộc kiểm tra đơn giản hệ điều hành bằng cách quét các lỗ hổng trong đó. Đây là công việc đòi hỏi có công cụ thích hợp (máy quét APT hoặc máy dò) cùng kinh nghiệm về an toàn thông tin của các chuyên gia phân tích.
Người sử dụng máy tính thông thường có thể nghĩ rằng, APT không đe dọa tới mình, nhưng thực tế không phải như vậy. Có những ứng dụng của tấn công APT với mục đích đánh cắp thông tin và nhắm tới mục tiêu là các hệ thống ngân hàng hoặc hệ thống thanh toán của các tổ chức, doanh nghiệp cung cấp dịch vụ. Một trong những loại tấn công phổ biến được gọi là “spliting” (phân chia). Khi phần mềm độc hại “cố thủ” được ở trong hệ thống thông tin ngân hàng, nó sẽ tự động phân bổ một tỷ lệ phần trăm nhất định chi phí của mỗi giao dịch từ tài khoản khách hàng, nhỏ tới mức khách hàng khó nhận thấy. Còn nếu nhận thấy thì họ tiếp nhận điều này như một hoạt động của ngân hàng. Vì lý do này và cũng vì thiếu đặc trưng phá hoại được biểu hiện rõ ràng, loại “ký sinh” này có thể nằm vùng lâu dài trong một hệ thống thông tin và thu nhiều lợi ích cho chủ sở hữu của nó.
Ký sinh điều khiển học
Thuật ngữ “Ký sinh học” (Parasitology) được giới chuyên gia CNTT dùng cách đây chưa lâu. Sự khái quát hóa về loại virus máy tính độc hại như vậy là cần thiết, vì ngày nay thương mại điện tử, kinh doanh từ xa và tiếp thị kỹ thuật số đã xuất hiện nhiều nguy cơ gây hại, không chỉ giới hạn ở cài virus phá hoại và mã độc vào các hệ thống thông tin của đối thủ. Một sự thật là, ngay cả khái niệm hệ thống thông tin cũng đã thay đổi, khi ngày càng nhiều tổ chức, doanh nghiệp sử dụng dịch vụ điện toán đám mây riêng và công cộng. Google đã thống kê, vào năm 2014 có hơn 5 triệu tổ chức, doanh nghiệp sử dụng dịch vụ Gmail cho công việc kinh doanh và hơn một nửa số tổ chức, doanh nghiệp nằm trong danh sách Fortune 500 đã sử dụng các dịch vụ khác nhau của Google để kinh doanh.
Trong bối cảnh kinh doanh hiện đại, trang web đã trở thành phương tiện thu hút người tiêu dùng và người ta có thể thống kê số lần truy cập của khách hàng. Để cải thiện các chỉ số này, người ta xây dựng các công cụ tối ưu hóa tìm kiếm (SEO), để đưa trang web tổ chức/doanh nghiệp của mình lên vị trí dẫn đầu trong bảng xếp hạng của các công cụ tìm kiếm. Có doanh nhân nào lại không muốn nhìn thấy tổ chức/doanh nghiệp của mình trong top 5 khi gõ một truy vấn vào công cụ tìm kiếm?
Trang web trở thành một công cụ kinh doanh quan trọng và cũng là mục tiêu cho các cuộc tấn công được “đặt hàng” bởi đối thủ cạnh tranh. Đã qua thời kỳ người ta phá hoại trang web chỉ để lại trên trang chính của nó một câu nói không lịch sự. Thiệt hại kiểu này dễ dàng nhận thấy và có thể nhanh chóng khắc phục. Nhưng với trường hợp khi máy tìm kiếm không còn thấy trang web của bạn, hay tổ chức/doanh nghiệp của bạn xuất hiện trong top 10 hoặc thậm chí top 100? Làm thế nào điều đó sớm được phát hiện? Lỗi gây nên thiệt hại này có thể là do trojan tấn công trang web với chức năng antiSEO.
Kết luận
Trong thế giới đang thay đổi nhanh chóng thì một vấn đề được đặt ra là cần phải xem xét, coi tấn công điều khiển học như một dạng xâm lược có vũ trang.
Bởi vậy, nhiều chính trị gia trên thế giới đã đặt vấn đề: “Virus Stuxnet cho thấy, chúng ta cần có thái độ nghiêm túc như thế nào đối với các nguy cơ điều khiển học vì các sản phẩm tương tự có thể phá hủy cơ sở hạ tầng quan trọng. Trong trường hợp của Iran, virus có vẻ như nhằm chống lại chương trình hạt nhân. Tuy nhiên, những virus tương tự có thể phá hủy nền kinh tế vốn được điều khiển bởi máy tính”.... “Nếu cú đánh động chạm đến các yếu tố thiết yếu của nền kinh tế của chúng ta, chúng ta sẽ có thể coi nó là một cuộc tấn công. Nhưng nếu kết quả của tấn công là hành vi trộm cắp dữ liệu, thì đây có thể không phải là một cuộc tấn công. Giữa hai thái cực là vô số các phương án khác. Để xây dựng đường lối rõ ràng, chúng ta phải xác định ranh giới giữa phá hoại và tấn công hoặc giữa các hành vi trộm cắp dữ liệu và gián điệp”.
Những vấn đề nêu trên còn liên quan đến quy định về bảo vệ lẫn nhau của các nước thành viên một số tổ chức quốc tế. Chúng ta chỉ có thể hy vọng rằng chiến tranh trong không gian ảo sẽ không vượt qua giới hạn của nó và các quốc gia sẽ hợp sức trong việc ngăn chặn các loại ký sinh điều khiển học.
Trong bộ phim “hacker” (Blackhat, năm 2015), kẻ tấn công đã tải một loại virus vào bộ phận vi điều khiển máy bơm làm mát lò phản ứng tại nhà máy điện nguyên tử ở Trung Quốc, kết quả là máy bơm bị hỏng, lò phản ứng bị cháy và thảm họa đã xảy ra. Cơ sở của câu chuyện này là biến cố liên quan đến Stuxnet.
“Stuxnet không đánh cắp tiền, không gửi thư rác và không ăn cắp thông tin bí mật. Sản phẩm độc hại này được tạo ra để kiểm soát các quá trình sản xuất và theo nghĩa đen là quản lý các cơ sở sản xuất lớn. Cách đây chưa lâu chúng ta đã vật lộn với tội phạm điều khiển học và những kẻ lưu manh internet, còn bây giờ tôi e là thời đại của khủng bố điều khiển học, vũ khí điều khiển học và chiến tranh điều khiển học”. Eugene Kaspersky, Giám đốc điều hành của Kaspersky Lab đã bình luận như vậy về việc các sâu máy tính gây ra thiệt hại trong sản xuất tại một số quốc gia, trong đó nặng nhất là Iran. |
