Tình báo Mỹ điều tra vụ mã độc tấn công mạng lưới điện quốc gia Ukraine

Thứ Ba, 12/01/2016, 16:25
Ngày 23-12-2015, Công ty điện lực miền Tây Ukraine Prykarpattyaoblenergo thông báo: một khu vực rộng lớn vùng này bị chìm trong bóng tối do mất điện, bao gồm thủ phủ Ivano-Frankivsk.


Sự cố mất điện tạm thời không xuất phát từ hành vi phá hoại vật chất – giống như trường hợp xảy ra vào tháng 11 trước đó khi chất nổ làm hư hại những đường dây truyền tải điện dẫn đến bán đảo Crimea – mà giới chức Ukraine đánh giá có thể là do cuộc tấn công mạng bằng mã độc. Cơ quan Tình báo SBU của Ukraine ngay lập tức lên tiếng chỉ trích Nga đứng đằng sau vụ việc và cuộc điều tra chính thức của giới chức Kiev bắt đầu vào tháng 1-2016. Tình báo Mỹ và các cơ quan an ninh mạng cũng vào cuộc tìm kiếm hung thủ đích thực.

Nhà máy điện Burshtyn TES ở khu vực Ivano-Frankivsh, Ukraine.

Cộng đồng tình báo Mỹ - bao gồm nhóm chuyên gia an ninh máy tính của Cục Tình báo trung ương (CIA), Cơ quan An ninh Quốc gia (NSA) và Bộ An ninh Nội địa (DHS) -  hiện đang xét nghiệm các mẫu mã độc được tìm thấy từ hệ thống mạng máy tính Công ty điện lực ở miền Tây Ukraine Prykarpattyaoblenergo gây sự cố mất điện cho gần 700.000 hộ dân và ít nhất 2 công ty khác của nước này trong vài giờ liền.

Cuộc điều tra của Đội Phản ứng khẩn cấp máy tính Ukraine (CERT-UA) cũng tìm thấy một số chi tiết dẫn đến việc phát hiện mã độc nằm trong hệ thống mạng Công ty Prykarpattyaoblenergo và họ nghi ngờ đây là nguyên nhân gây sự cố mất điện. Nếu sự thật đúng như vậy, đó là tín hiệu cho thấy các hệ thống kiểm soát công nghiệp (ICS), và đặc biệt là hệ thống mạng lưới điện, thật sự đang bị đe dọa trước những cuộc tấn công mạng mà giới chuyên gia an ninh đã lên tiếng cảnh báo từ nhiều năm qua.

Robert M. Lee, người sáng lập kiêm CEO công ty an ninh Dragos Security.

Các mẫu mã độc từng được sử dụng để tấn công một số hệ thống công nghiệp trong quá khứ có thể kể đến “Havex” lây nhiễm trong công nghệ của các hệ thống kiểm soát như thiết bị bơm nước và turbine; và “BlackEnergy” chọn mục tiêu là các nhà máy năng lượng. Theo cuộc điều tra riêng của Hãng tin AP công bố hồi tháng 12-2015, “hacker chuyên nghiệp nước ngoài” đủ sức kiểm soát mọi mạng lưới nhà máy điện lực trên thế giới khoảng chục lần trong thập niên qua.

Gần đây, tờ Wall Street Journal cũng tiết lộ một nhóm hacker Iran xâm phạm hệ thống mạng quản lý một đập nước ở thành phố New York (Mỹ) vào năm 2013. Công ty bảo mật ESET, đặt trụ sở tại Bratislava (Slovakia), cũng tuyên bố mã độc tìm thấy ở Ukraine chính là BlackEnergy. Trong khi đó Robert M. Lee, cựu chuyên gia chiến dịch mạng Không quân Mỹ và là người sáng lập kiêm Giám đốc điều hành Công ty an ninh Dragos Security, tuyên bố rằng ông có trong tay mẫu mã độc và nhận định “phần mềm độc hại BlackEnergy tồn tại từ năm 2007 và được nhiều hacker sử dụng song điều đó không có nghĩa là nó liên quan đến mọi cuộc tấn công”.

John Hultquist, Giám đốc phân tích gián điệp mạng của Công ty an ninh máy tính iSight Partners, cảnh báo “đây là sự kiện cực kỳ quan trọng” và vụ tấn công mã độc ở Ukraine báo hiệu điềm xấu cho mạng lưới truyền tải điện ở Mỹ.

Bởi vì, mã độc tìm thấy ở Công ty Prykarpattyaoblenergo cũng được sử dụng trong một chiến dịch xâm nhập tấn công một số cơ sở điện lực ở Mỹ năm 2014, mặc dù không gây tổn hại gì nhưng mã độc BlackEnergy đã được cộng đồng an ninh và tình báo nước này ghi nhận. Những vụ tấn công gây mất điện trên diện rộng là một trong số những kịch bản kinh khủng mà giới chức an ninh quốc gia Mỹ đang nỗ lực ngăn chặn để không xảy đến cho nước này.

Họ có cùng một mối lo sợ là các thành phố lớn khắp nước Mỹ có thể chìm trong bóng tối trong suốt nhiều tuần hay thậm chí nhiều tháng nếu các thiết bị sản xuất và phân phối điện bị mất kết nối mạng mà không thể nhanh chóng được thay thế. Trong số những vấn đề mà giới chuyên gia phân tích an ninh Mỹ muốn có câu trả lời trong trường hợp của Ukraine là chính xác thì nhóm hacker làm thế nào có thể xâm nhập hệ thống mạng Công ty Prykarpattyaoblenergo và bọn chúng hành động theo lệnh của ai?

Tuy nhiên, bộ máy an ninh Mỹ và giới chuyên gia công ty bảo mật tư nhân hiện nay tỏ ra rất cẩn thận khi đưa ra kết luận cuối cùng trong tình hình đối đầu địa chính trị căng thẳng hiện nay. Giới chuyên gia trong chính quyền Mỹ và ít nhất 3 công ty bảo mật hiện đang tiếp tục thu thập dữ liệu kỹ thuật nhằm xác định rõ sự cố ở Ukraine thật sự là do hacker tấn công hay chỉ là vấn đề cơ học, hoặc lỗi con người gây ra.

Trong khi đó, SANS Institut – nhóm nghiên cứu huấn luyện đội ngũ chuyên gia an ninh máy tính cho chính quyền Mỹ - tuyên bố trong một blog mới đây rằng “sự cố mất điện ở miền Tây Ukraine rất có thể do cuộc tấn công mạng gây ra”. Hiện thời, giới chức CIA vẫn chưa biết những ai đứng đằng sau sự cố ở Ukraine nhưng họ cho rằng “mọi hành vi xâm nhập đều thông qua Internet”.

Trang Thuần (tổng hợp)
.
.