Tấn công mạng lưới điện - một loại hình chiến tranh mới

Lưới điện thông minh tiềm ẩn nhiều nguy cơ

Các nước công nghiệp tiên tiến sử dụng mạng lưới điện thông minh, được hiện đại hóa, áp dụng kỹ thuật số và công nghệ truyền thông để tối ưu việc sản xuất, truyền dẫn, phân phối điện năng giữa nhà sản xuất và hộ tiêu thụ, hợp nhất cơ sở hạ tầng điện với cơ sở hạ tầng thông tin liên lạc nhằm nâng cao hiệu quả, độ tin cậy, tính kinh tế và bền vững trong sản xuất và phân phối điện.

Mạng lưới điện Ukraine-một nạn nhân của tấn công mạng. Nguồn: plymouth.ac.uk

Lưới điện thông minh có rất nhiều lợi điểm, tuy nhiên, tấm huy chương nào cũng có hai mặt. Vào đầu những năm 2000, giới chuyên môn lưu ý rằng, các hệ thống năng lượng được kết nối với internet trở thành mục tiêu của các nhóm khủng bố và các chính phủ thù địch. Các chuyên gia đã cảnh báo nguy cơ tin tặc có thể thậm nhập vào mạng lưới điện quốc gia hoặc của doanh nghiệp thông qua các bộ chuyển đổi điện AC trong điều hòa nhiệt độ, được lắp đặt theo yêu cầu khách hàng giúp các công ty điện lực có thể theo dõi mức tiêu thụ điện, và sẽ tắt chúng nếu lượng tiêu thụ điện tăng quá cao.

Theo đó, các đơn vị vận hành trung tâm mạng điện khu vực sẽ gửi lệnh tắt thiết bị qua tần số radio tới các trạm tiếp sóng khắp thành phố trước khi truyền tới điều hòa nhiệt độ. Những tín hiệu này không được mã hóa và có thể bị can thiệp bởi thiết bị phát sóng mạnh hơn - cách tin tặc có thể thao túng hệ thống điện văn phòng, các khu vực lân cận hoặc cả một vùng rộng lớn. Nếu kích hoạt tất cả các hệ thống điện vào giờ cao điểm, mạng điện cả khu vực sẽ bị ảnh hưởng nghiêm trọng.

Mạng lưới điện-mục tiêu tiềm năng của các haker. Nguồn: computerworld.com

Cuối năm 2017, một chuyên gia Hà Lan phát hiện có 17 lỗ hổng trong bộ biến tần giúp chuyển đổi điện năng từ pin mặt trời được sử dụng trên mạng lưới điện mà khi được kết nối Internet sẽ dễ dàng bị tin dụng. Tin tặc có thể chiếm quyền điều khiển từ xa và thay đổi dòng điện, tấn công mạng lưới điện thông qua công nghệ pin mặt trời, do thiết bị năng lượng trên lưới điện cần phải cân bằng giữa cung và cầu, nếu hệ thống quá tải có thể dẫn đến việc ngắt điện.

Tấn công điện lưới quốc gia được xem là mô hình nguy hiểm nhất khi các dịch vụ thiết yếu (giao thông, chăm sóc y tế, sưởi ấm, cung cấp nước, làm tê liệt các nhà máy, ngân hàng, và dịch vụ công cộng…) ngừng hoạt động. Tại Mỹ, nếu sự cố điện xảy ra, ước tính một bệnh viện (quy mô 200 giường bệnh) sẽ tổn thất khoảng 1 triệu USD, chưa kể phải huy động thêm nhân lực về các công tác hỗ trợ, cấp cứu (y tá, bác sĩ, điều dưỡng viên). Tỉ lệ nhiễm khuẩn cũng tăng lên 9% nếu không có hệ thống quản lý tòa nhà đồng nhất, gây nguy cơ lây nhiễm chéo cho người bệnh...

Tuy nhiên, những thiệt hại này vẫn chưa là gì so với hậu quả tiềm ẩn của việc hacker tấn công mạng lưới điện, đặc biệt là những lưới điện có liên quan tới cơ sở hạ tầng trọng yếu như các hệ thống lò phản ứng hạt nhân, đập nước, hệ thống nước công cộng, y tế, nông nghiệp và năng lượng mà ảnh hưởng lớn trực tiếp đến cuộc sống, sức khoẻ và sự an toàn của con người, đóng vai trò thiết yếu đối với cuộc sống và sự bền vững.

Mạng lưới điện - một mục tiêu tấn công không mới

Trong vòng mấy năm trở lại đây, một loại hình tấn công bằng mã độc vào các hệ thống lưới điện đã bắt đầu xảy ra ở một số nơi trên thế giới. Điều đáng báo động ở đây là các giao thức điều khiển hệ thống lưới điện đã được thiết kế cách đây hàng thập kỷ và có nhiều điểm sơ hở cho các tấn công bằng mã độc. Hacker đột nhập mạng lưới điện, làm trạm biến áp và thiết bị chuyển mạch bị liệt, gây mất điện - điều từng xảy ra ở Ukraine tháng 12/2015.

Tìm hiểu vụ tấn công mạng nhằm vào lưới điện Ukraine, hãng bảo mật ESET (Slovakia) đã phát hiện một phần mềm mã độc có khả năng đánh sập các lưới điện toàn cầu được đặt tên là Industroyer (hay Crash Override), có khả năng kiểm soát trực tiếp các công tắc tại những trạm truyền tải điện, công tắc mạch điện và có nguy cơ bị lợi dụng làm phương tiện đánh sập mạng lưới cấp điện hoặc phá hủy các thiết bị thuộc mạng lưới truyền tải điện.

Industroyer là nguy cơ lớn nhất đối với các hệ thống điều khiển công nghiệp kể từ khi Stuxnet - sâu phá hoại máy ly tâm được sử dụng trong chương trình hạt nhân của Iran năm 2009. Đến nay đã có 4 loại tấn công bằng mã độc nhắm vào các hệ thống điều khiển công nghiệp đã được phát hiện bao gồm Stuxnet (được Mỹ và Israel tạo ra), Black Engergy 2, Havex và Industroyer.

BlackEnergy và Havex được thiết kế cho mục đích gián điệp (espionage), Stuxnet và Industroyer cho mục đích phá hoại (sabotage). Với một số sửa đổi, vũ khí này có thể được dùng để chống lại các hệ thống truyền tải và phân phối điện tại Mỹ, gây ra những tổn thất nghiêm trọng, và về mặt lý thuyết, nó cũng có thể được sửa đổi để tấn công các loại hệ thống kiểm soát công nghiệp khác nhau như nước và khí đốt. Theo công ty bảo mật Dragos (Mỹ), Industroyer trở nên tinh xảo nhờ “hiểu” các giao thức điều khiển trong các hệ thống điều khiển, cho phép vẽ bản đồ các thiết bị công nghiệp và gửi các lệnh điều khiển mạch điện.

Bộ công cụ này cũng chứa một chức năng của bom logic (logic boom) cho phép mã độc lây nhiễm nhiều hệ thống và đồng thời tấn công chúng. Một khi kẻ tấn công cài đặt được các cửa hậu của Industroyer, chúng có thể đánh cắp thông tin bảo mật của hệ thống và tài khoản của quản trị viên, từ đó có thể tự do truy cập vào mạng lưới mà không bị phát hiện - nơi chúng sẽ thực hiện hoạt động do thám trong nhiều tháng, quét lưu lượng mạng và tìm hiểu các hành vi hằng ngày của các quản trị viên để bắt chước. Điểm nguy hiểm của mã độc là nó có thể tự động gạt các công tắc điện bên trong một hệ thống, khiến các đường dây truyền tải điện rơi vào tình trạng quá tải, vượt ngưỡng của hệ thống, lưới điện bị đánh sập hoàn toàn.

Vào năm 2016, một mật mã liên quan đến hoạt động tin tặc của Nga đã được khám phá tại một xưởng điện lực tại tiểu bang Vermont. Mặc dù người Nga đã không dùng mật mã này để phá hoại mạng lưới điện, việc phát giác mật mã của Nga nằm gọn trong hệ thống của Mỹ cho thấy khe hỡ của mạng lưới điện trên toàn quốc mà tin tặc có thể “chui” vào để quậy phá, gây tê liệt cho rất nhiều sinh hoạt của người Mỹ.

Theo các công ty an ninh mạng FireEye và Symantec, năm 2017, các hacker có liên hệ với Triều Tiên và các nhóm tin tặc có tên là Dragonfly 2.0 và Xenotime cùng nhiều hacker không rõ danh tính đã xâm nhập vào các hệ thống kiểm soát mạng lưới phân phối điện ở Mỹ và châu Âu, làm dấy lên nguy cơ xảy ra các vụ mất điện nguy hiểm do điều khiển từ xa. Các email có mã độc của các hacker nói trên đã nhằm vào các công ty điện lực và khách hàng Mỹ để lừa đảo nhằm khai thác mật khẩu, số tài khoản ngân hàng, số thẻ tín dụng hay số an ninh xã hội để thiết lập "cổng vào bí mật".

Chúng sử dụng phần mềm độc hại được tùy biến phù hợp với các hệ thống kiểm soát công nghiệp đã tiến hành thăm dò hệ thống lưới điện kể từ cuối năm 2018, tập trung chủ yếu vào các hệ thống điều khiển điện tử có vai trò quản lý hoạt động tại các cơ sở công nghiệp và các mạng lưới dữ liệu kết nối với các hạ tầng cơ sở trọng yếu trên toàn lục địa châu Âu và Mỹ. Người ta đã phát hiện các tập tin quan trọng (bao gồm mật khẩu, sơ đồ và thiết kế kỹ thuật nhạy cảm của các nhà máy điện) từ tập đoàn năng lượng Calpine - doanh nghiệp điều hành 82 nhà máy điện tại 18 bang của Mỹ và Canada, đã bị đánh cắp trong một vụ xâm nhập vào khoảng tháng 08/2013 và có thể vẫn đang tiếp tục diễn ra.

Năm ngoái, trang Washington Examiner cho biết, các tin tặc Nga (Dragonfly hoặc Energetic Bear, hoạt động cho một tổ chức do nhà nước tài trợ) đã xâm chiếm hàng trăm phòng điều khiển thuộc hệ thống mạng lưới điện của Mỹ và có thể cắt điện bất cứ lúc nào. Hãng bảo mật Dragos cảnh báo nhóm gián điệp mạng RASPITE (Leafminer) đang nhắm mục tiêu vào các tổ chức ở Mỹ, Châu Âu, Trung Đông và Đông Á. Các chuyên gia an ninh lo ngại, các hệ thống máy tính được sử dụng để kiểm soát khoảng 5.700 nhà máy điện khắp nước Mỹ có thể sẽ là những mục tiêu hàng đầu của khủng bố mạng.

Báo The New York Times ngày 15/6/2019 tiết lộ, Mỹ đang tăng cường các cuộc tấn công mạng vào mạng lưới điện của Nga và cài mã độc vào hệ thống này - vừa là thông điệp cảnh báo vừa nhằm chuẩn bị cho việc tăng cường tấn công mạng trong trường hợp Mỹ-Nga xảy ra xung đột, là một phần trong việc chuyển sang chiến lược an ninh cứng rắn hơn; việc thăm dò hệ thống lưới điện của Nga được thực hiện từ ít nhất là năm 2012.

Thông tin được đăng tải giữa lúc quan hệ căng thẳng giữa hai nước tiếp tục leo thang sau khi Mỹ công bố kế hoạch triển khai thêm 1.000 binh sĩ đến Ba Lan. Đại sứ Nga tại Mỹ vào tháng 3 vừa qua tiết lộ, chỉ trong vòng vài ngày, Nga phát hiện khoảng 3 triệu đợt tấn công được thực hiện từ lãnh thổ nước Mỹ, nhằm vào hệ thống mạng của Nga, bao gồm cả các hệ thống kiểm soát cơ sở hạ tầng của nước này.

Vẫn chưa có bằng chứng về việc liệu Nga và Mỹ có thực sự cài mã độc vào mạng lưới điện của nhau hay không. Tuy nhiên, những tiết lộ trên đã làm dấy lên câu hỏi về việc liệu mạng lưới điện của một quốc gia - hoặc những cơ sở hạ tầng quan trọng khác giúp duy trì hoạt động của nhà ở, nhà máy và bệnh viện… có phải là một mục tiêu hợp pháp của một cuộc tấn công mạng hay không?/./