Phân tích kỹ thuật vụ tấn công vào công ty điện lực Ukraina và bài học.

Giới thiệu ​ Trên whitehat đã đăng bài viết  Nguy cơ hack cơ sở hạ tầng nhìn từ Ukraine  của tác giả Phan Châu. Bài viết xoay quanh nhữn...

Giới thiệu
[​IMG]
Trên whitehat đã đăng bài viết Nguy cơ hack cơ sở hạ tầng nhìn từ Ukraine của tác giả Phan Châu. Bài viết xoay quanh những vụ hack lưới điện cuối năm 2015 và 2016 khiến hàng trăm nghìn người dân Ukraine phải sống trong bóng tối nhiều giờ giữa đêm mùa đông lạnh giá. Quốc gia này dường như đang bị hacker dùng làm nơi thử vũ khí số bí mật chuẩn bị cho cuộc chiến tranh mạng trong tương lai, nhằm tấn công vào các cơ sở hạ tầng trọng yếu của đối phương. Bài viết này đề cập chi tiết hơn về mặt kỹ thuật của vụ việc, từ đó rút ra các bài học cho những công ty điện lực.

upload_2019-7-28_17-46-16.png
Hình 1. Sơ đồ lưới điện phân phối. Nguồn. icon.com.vn

Sơ đồ trên minh họa lưới điện phân phối. Các trạm biến áp khi bị sự cố sẽ gây mất điện cho các khách hàng ở nhánh phân phối.
Vào ngày 23 tháng 12 năm 2015, Kyivoblenergo, một công ty phân phối điện trong khu vực, đã báo cáo về việc mất điện trên diện rộng. Việc ngừng hoạt động là do một bên thứ ba nhập bất hợp pháp vào máy tính của công ty và hệ thống thu thập và điều khiển SCADA. Bắt đầu từ khoảng 3:35 p.m. giờ địa phương, 7 trạm biến áp 110 kV, 23-35 kV mất điện trong 3 giờ. Việc ngừng hoạt động ban đầu được cho là đã ảnh hưởng đến khoảng 80.000 khách hàng. Liên tiếp sau đó là một loạt các cuộc tấn công khác làm mất điện khoảng 27 trạm, ảnh hưởng đến 225.000 khách hàng (gần bằng dân số quận Ba Đình Hà Nội).
Cần lưu ý là tác động của sự cố mất điện được xác định bằng: số lượng khách hàng ảnh hưởng, số lượng thiết bị hạ tầng điện bị ảnh hưởng  thời gian để khôi phục hoàn toàn sự cố. Các công ty điện lực khi đánh giá rủi ro cần xác định rõ các số liệu trên.
Mô tả chiến thuật và kỹ thuật
Các cuộc tấn công có chủ đích (APT), về cơ bản là giống nhau ở các bước thực hiện. Trên diễn đàn đã có bài viết mô tả chi tiết về các bước này.
Qua phân tích cho thấy kẻ gian đã sử dụng phối hợp nhiều kỹ thuật khác nhau, ở nhiều môi trường khác nhau, một cách rất bài bản:
- Gửi email đính kèm file office có chứa biến thể của mã độc Black Energy 3 đến hệ thống mạng của công ty điện lực. Khi người dùng mở email, mã độc sẽ cho phép kẻ tấn công xâm nhập từ xa vào máy tính của công ty.
- Sau khi xâm nhập thành công vào mạng máy tính, kẻ tấn công dò quét các để tìm ra máy/tài khoản của đội vận hành/điều độ hệ thống.
- Sau khi đã “nằm vùng” trong máy tính của người vận hành, kẻ tấn công truy cập tới trung tâm giám sát vận hành. Trung tâm này được trang bị hệ thống điều khiển công nghiệp (ICS) để điều khiển hệ thống điện. Hệ thống ICS bao gồm SCADA, UPS, HMI, các thiết bị chuyển đổi giao thức serial-to-ethernet. Đây là những hệ thống chuyên dụng dùng để thu thập thông tin, điều khiển hoạt động các máy biến áp, điều khiển hệ thống lưu điện dự phòng, thông qua giao diện người-máy HMI.
- Khi mất điện, khách hàng thường sẽ gọi tới công ty điện lực để báo trợ giúp. Để ngăn chặn các cuộc gọi này kẻ tấn công đã làm quá tải hệ thống điện thoại hỗ trợ, ngắt đứt mọi liên lạc giữa công ty điện lực và khách hàng. Điều này làm cho tình hình càng trở nên rối ren, gây ra tâm lý hoang mang, sợ hãi. Đây là đặc điểm của những kẻ tấn cống khủng bố tin học (cyber terrorist).
Phân tích chi tiết phương thức tấn công vào hệ thống điều khiển công nghiệp
Năm 2015, hai tác giả nổi tiếng của tạp chí SANS là Michael Assante (người vừa mất ngày 10/7/2019 vì bệnh ung thư) và Robert M. Lee đã công bố tài liệu có tên The ICS Cyber Kill Chain, mô tả các bước tấn công chi tiết vào ICS, bao gồm 2 giai đoạn. Trong đó giai đoạn 1 tương tự với tài liệu Cyber Kill Chain của hãng Lockheed Martin, còn giai đoạn 2 chỉ ra các hành động tấn công vào hệ thống ICS.

upload_2019-7-28_17-47-1.png upload_2019-7-28_17-47-35.png

Hình 2. Các giai đoạn tấn công vào hệ thống điều khiển công nghiệp ICS

Trong pha Attack Development & Tuning, kẻ tấn công phát triển (develop) phương án tấn công vào hệ thống ICS cụ thể, thông qua việc âm thầm thu thập dữ liệu từ hệ thống đó. Các dữ liệu bao gồm: sơ đồ mạng WAN truyền dẫn, hãng thiết bị, phiên bản phần mềm điều khiển, chụp ảnh màn hình HMI, phiên bản firmware của thiết bị. Từ các thông tin này, kẻ tấn công phát triển bộ firmware để cài đặt vào các thiết bị chuyển đổi giao thức nhằm vô hiệu hóa việc bật điện từ xa (sau khi đã cắt điện ở trạm).
Pha Validation thực hiện test phương án tấn công trên một hệ thống Lab giả lập tương tự hệ thống thật (bao gồm cả phần cứng và phần mềm), để đảm bảo rằng việc tấn công có khả năng sẽ thành công cao. Sở dĩ cần tạo Lab vì hệ thống điều khiển công nghiệp có tính đặc thù cao, những thao tác trên hệ thống này cần được tính toán kỹ lưỡng để đảm bảo không bị lỗi và tránh bị phát hiện.
Trong pha ICS attack, kẻ tấn công thực hiện 3 bước:
- Bước đầu tiên là xâm nhập (deliver) vào trung tâm điều khiển ICS bằng cách sử dụng công cụ remote-admin có sẵn. Công cụ này thường được người vận hành sử dụng để quản trị từ xa hệ thống điều khiển ICS. Nguy hiểm hơn, công cụ này còn giúp kẻ tấn công khóa khả năng điều khiển chuột và bàn phím máy HMI.
- Bước tiếp theo, hắn cài đặt (install) mã độc KillDisk để sau khi xong việc sẽ xóa dữ liệu trên toàn bộ các máy tính.
- Và bước cuối cùng là thực hiện tấn công (ICS excecue attack). Trên máy HMI, kẻ tấn công ra lệnh cắt điện 27 trạm biến áp của 3 công ty điện lực, gây mất điện cho 225000 khách hàng. Đồng thời, hắn tắt các hệ thống điện dự phòng UPS. Tiếp theo hắn upload firmware lên các thiết bị converter, để đội vận hành không thể ra lệnh bật điện từ xa. Sau đó hắn cho chạy mã độc KillDisk để xóa dữ liệu trên các máy tính. Cùng lúc đó, hệ thống tổng đài hotline của các công ty điện lực cũng bị tấn công DoS bởi hàng ngàn cuộc gọi tự động, khiến khách hàng không thể gọi điện tới báo tình hình.
upload_2019-7-28_17-48-4.png

Hình 3. Các bước tấn công hệ thống điều khiển điện lưới tại Ukraina

Bài học rút ra cho các công ty điện lực.
Kẻ tấn công đã dành không dưới 6 tháng để thu thập thông tin từ các công ty điện. Những kẻ đó đã lựa chọn mục tiêu là những công ty điện có những đặc điểm chung về:
- Loại hệ thống và cấu hình.
- Có thể điều khiển các trạm biến áp tập trung tại một nơi.
- Thời gian (ước tính) để khắc phục sự cố.
- Những điều kiện cần thiết để vụ tấn công diễn ra thành công.
- Mức độ rủi ro bị phát hiện khi hành động.
- Khả năng leo thang xâm nhập.
Trở lại với công ty điện Kyivoblenergo, một số điểm yếu được chỉ ra:
- Nhân viên công ty đã mở email lừa đảo dẫn đến bị nhiễm mã độc Black Energy 3.
- Công ty điện đã để lộ thông tin chi tiết hệ thống ICS. Kẻ tấn công dễ dàng tra cứu để thông tin về hãng sản xuất và các phiên bản phần mềm, từ đó xây dựng Lab để thử nghiệm xâm nhập.
- Kết nối VPN từ mạng máy tính công ty đến hệ thống ICS không có tính năng xác thực 2 lớp.
- Hệ thống tường lửa bảo vệ ICS đã cho phép kết nối VPN từ xa và điều khiển hệ thống này, thay vì chỉ cho phép người vận hành tại chỗ mới có thể điều khiển được.
- Không có hệ thống giám sát mạng để phát hiện xâm nhập.

upload_2019-7-28_17-48-24.png

Hình 4. Cách thức kẻ tấn công xâm nhập và tấn công hệ thống ICS

Qua sự việc này, để phòng chống những cuộc tấn công tương tự, các công ty điện lực cần:
- Cần phải đào tạo cho nhân viên những kiến thức về bảo mật, đặc biệt là về bảo mật email, mạng xã hội.
- Cần bảo mật thông tin về hệ thống ICS đang vận hành.
- Có giải pháp cách ly hệ thống mạng ICS khỏi hệ thống mạng Internet.
- Thiết lập các chính sách bảo mật nghiêm ngặt khi đấu nối mới/truy cập từ xa đến hệ thống ICS.
- Trang bị hệ thống giám sát mạng và nhân sự trực bảo mật để kịp thời phát hiện xâm nhập từ bên ngoài.

Tham khảo
Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS ICS
The Industrial Control System Cyber Kill Chain, SANS
Nguy cơ hack cơ sở hạ tầng nhìn từ Ukraine
Cyber kill chain, Lockheed Martin

nguồn: https://whitehat.vn

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Anotador,1,AutoIT,17,Ấn Độ,1,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,108,Bất Động Sản Tại Tiền Giang,4,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,ceh,1,Châu Tinh Trì,2,Checked,6,Chiến tranh,2,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Cổ Trang,11,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,2,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,13,ebook free,286,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,77,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,10,Hacking and Security,6,Hacking Tools,36,Hài hước,8,Hành Động,9,He Thong Site Phim,25,Hijacking,6,Hình Sự,5,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,Hồng Kông,3,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,27,Khóa Học kiếm tiền online với accesstrade,1,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,1,Khoa Huyễn,6,khuyến mãi,5,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,33,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,25,Kinh Dị - Ma,6,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lồng Tiếng,6,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,77,Pen-Test,6,Pentest Box,9,phanmem,22,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,58,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đang Cập Nhập,5,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoàn Thành,7,Phim Hoạt Hình,2,Phim Hot,2,Phim Hồng Kông,20,Phim HQ,15,Phim Kinh Dị,8,Phim lẻ,7,Phim Mới 2007,1,Phim Mới 2010,1,Phim Mới 2011,4,Phim Mới 2012,2,Phim Mới 2013,2,Phim Mới 2014,6,Phim Mới 2015,4,Phim Nhật Bản,4,Phim SD,12,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,32,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,prc,79,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,rút gọn link,1,sach,47,Sách,33,Sách Nghệ Thuật Sống,12,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,Thành Long,1,them,1,Thiết Kế Web,28,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,5,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,100,tiki,3,TIL,8,Tin Tức,52,Tình Cảm - Tâm Lý,16,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,Trinh Thám - Hình Sự,8,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,9,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,TVB,3,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,3,Việt Nam,14,Virus,4,Võ Thuật,12,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
wWw.NhutTruong.Com: Phân tích kỹ thuật vụ tấn công vào công ty điện lực Ukraina và bài học.
Phân tích kỹ thuật vụ tấn công vào công ty điện lực Ukraina và bài học.
https://images.techhive.com/images/article/2016/01/hacker-hacked-power-grid-100638396-primary.idge.jpg
wWw.NhutTruong.Com
https://www.nhuttruong.com/2019/07/phan-tich-ky-thuat-vu-tan-cong-vao-cong.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2019/07/phan-tich-ky-thuat-vu-tan-cong-vao-cong.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow Đây là nội dung quý hiếm để tránh google quét chết link Vui lòng đăng nhập Facebook hoặt Tweet để like và share để hiện link Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy