Vụ tấn công mạng gây mất điện tại Ukraine năm 2022

[nktung]

Tháng 10 năm 2022, giữa bối cảnh cuộc xung đột Nga-Ukraine đang diễn ra ác liệt, một cuộc tấn công mạng tinh vi do nhóm hacker Sandworm đã nhắm vào hệ thống điện Ukraine, gây ra sự cố mất điện quy mô cục bộ. Đây là trường hợp hiếm hoi một cuộc tấn công mạng gây gián đoạn vận hành hạ tầng năng lượng trong thời chiến, và đặc biệt nó trùng hợp với đợt không kích tên lửa quy mô lớn vào lưới điện Ukraine. Bài viết này phân tích chi tiết sự kiện trên, bao gồm thời gian bối cảnh, phương thức tấn công, mã độc sử dụng, cách thức kiểm soát hệ thống SCADA/ICS, chuỗi diễn biến kỹ thuật, tác động vận hành và các biện pháp phòng ngừa cho hệ thống ICS/OT tương tự.​

​

1. Thời gian và bối cảnh sự kiện​

Cuộc tấn công xảy ra vào ngày 10/10/2022, đúng thời điểm Nga tiến hành chiến dịch phóng tên lửa ồ ạt vào cơ sở hạ tầng quan trọng của Ukraine. Theo báo cáo của Mandiant, thời gian tấn công trùng khớp với đợt không kích kéo dài nhiều ngày nhắm vào lưới điện tại một số thành phố, bao gồm cả thành phố nơi cuộc tấn công mạng diễn ra. Trong giai đoạn này của cuộc chiến, Ukraine hứng chịu cảnh mất điện hằng ngày do tên lửa và máy bay không người lái tấn công mạng lưới điện, buộc nhà chức trách phải thực hiện những đợt cắt điện khẩn cấp để bảo vệ hệ thống. Chính vì vậy, rất khó phân tách mức độ ảnh hưởng cụ thể của sự cố do hacker gây ra so với các sự cố mất điện do nguyên nhân vật lý, và nhà chức trách Ukraine cũng không công bố chi tiết về phạm vi hay thời gian mất điện do tấn công mạng vì lý do an ninh.

Mặc dù vậy, giới chuyên môn xác nhận đây là trường hợp đầu tiên công khai về mất điện do tấn công mạng tại Ukraine kể từ khi chiến sự bùng nổ năm 2022, và đáng chú ý là nó diễn ra đồng thời với một cuộc tấn công quân sự. Sự kiện này tiếp nối chuỗi hoạt động của Sandworm nhằm vào lưới điện Ukraine suốt nhiều năm: nhóm này từng gây ra sự cố mất điện diện rộng cuối năm 2015 (làm hơn 200.000 người mất điện) và một sự cố ở Kyiv năm 2016 (liên quan đến malware Industroyer). Đầu năm 2022, ngay sau khi Nga xâm lược Ukraine, Sandworm cũng bị phát hiện triển khai biến thể Industroyer.V2 nhằm phá hoại một công ty điện của Ukraine, nhưng may mắn cuộc tấn công đó đã bị chặn đứng. Do đó, sự cố tháng 10/2022 cho thấy Sandworm vẫn kiên trì nâng cấp chiến thuật để tấn công hạ tầng năng lượng Ukraine giữa thời chiến.​

2. Phương pháp và chiến thuật tấn công​

Sandworm tiến hành cuộc tấn công theo kiểu đa giai đoạn, xâm nhập trước vào mạng CNTT (IT) của mục tiêu rồi đột nhập sang mạng OT (Operational Technology) vận hành trạm điện. Theo phân tích của Mandiant, dấu vết đầu tiên của kẻ tấn công xuất hiện từ tháng 6/2022, khi chúng cài một web shell tên Neo-REGEORG trên máy chủ dịch vụ công cộng của nạn nhân. Đây có thể là bước xâm nhập ban đầu, khả năng thông qua lỗ hổng dịch vụ hoặc tấn công phi kỹ thuật (phishing). Từ máy chủ đã bị cài web shell, nhóm hacker triển khai tiếp một công cụ đường hầm (tunneler) tùy chỉnh viết bằng Go (gọi là GOGETTER) nhằm duy trì quyền truy cập và chuyển tiếp liên lạc C2 ra ngoài một cách mã hóa (sử dụng thư viện Yamux). Những bước này cho thấy Sandworm đã cẩn thận cài cắm điểm trụ trong mạng IT của nạn nhân và thiết lập kênh chỉ huy bí mật.

Do phân cách giữa mạng IT và OT lỏng lẻo, tin tặc nhanh chóng leo thang sang môi trường OT của cơ sở điện lực. Cụ thể, chúng phát hiện và chiếm quyền điều khiển một máy chủ ảo hóa (hypervisor) vốn dùng để chạy hệ thống SCADA quản lý trạm điện của nạn nhân. Việc chiếm được hypervisor này cực kỳ nguy hiểm: nó mở đường cho kẻ tấn công thao túng trực tiếp máy ảo SCADA đang kiểm soát hạ tầng điện. Theo bằng chứng thu thập, Sandworm đã ẩn mình trong hệ thống SCADA tới 3 tháng trước khi ra tay, cho thấy mức độ kiên nhẫn và am hiểu hệ thống của nhóm này.

Khi đã sẵn sàng, Sandworm thực hiện chiến thuật “hai đợt liên tiếp”: (1) Đợt đầu nhắm vào hệ thống ICS/SCADA để gây mất điện; (2) Đợt sau nhắm vào hệ thống IT để xóa dấu vết và phá hoại thêm. Đáng chú ý, ở đợt tấn công ICS, Sandworm đã áp dụng kỹ thuật “Living off the Land” (LotL) – tức lợi dụng ngay các công cụ và tính năng hợp pháp sẵn có trong hệ thống thay vì cài mã độc mới. Cụ thể, chúng không sử dụng malware chuyên dụng nào để điều khiển công nghiệp, mà tận dụng chính phần mềm SCADA hiện có để ra lệnh vận hành trái phép (nhằm cắt điện). Chiến thuật LotL này giúp rút ngắn thời gian chuẩn bị và giảm thiểu việc để lại dấu vết bất thường, khiến việc phát hiện khó khăn hơn nhiều. Sau khi gây sự cố trên OT, nhóm hacker nhanh chóng chuyển sang đợt hai: triển khai malware wiper trong mạng IT của nạn nhân (sau khoảng 2 ngày) nhằm xóa dữ liệu và che giấu hoạt động đã thực hiện. Hai đợt tấn công liên tiếp này cho thấy Sandworm có tính toán đồng bộ giữa phá hoại vận hành và hủy hoại hệ thống, gây khó khăn tối đa cho đơn vị bị tấn công trong việc ứng phó.​

3. Mã độc được sử dụng, hành vi và mục tiêu​

Một điểm đặc trưng của sự kiện này là Sandworm không dùng malware ICS chuyên biệt như các lần tấn công trước (ví dụ Industroyer năm 2016), mà thay vào đó sử dụng tệp kịch bản độc hại chạy bằng chính phần mềm SCADA hợp pháp. Trong cuộc tấn công OT, thành phần chính mà kẻ tấn công triển khai là tệp ảnh đĩa ISO có tên a.iso được gắn vào máy ảo SCADA. Bên trong a.iso chứa chuỗi file kịch bản gồm: lun.vbs (mã VBScript) gọi thực thi n.bat; n.bat tiếp tục chạy chương trình scilc.exe vốn là tiện ích hợp pháp của MicroSCADA; và tệp s1.txt chứa các lệnh SCADA bất hợp pháp do kẻ tấn công soạn sẵn. Bộ kịch bản này về bản chất không phải trojan hay virus tự nhân bản, mà là một payload tùy chỉnh nhằm điều khiển hệ thống từ bên trong. Nó thể hiện cách tiếp cận “nhanh, gọn” của Sandworm khi không phát triển malware ICS mới mà vẫn đạt mục tiêu phá hoại – miễn là chúng hiểu rõ hệ thống SCADA mục tiêu và có thể tận dụng công cụ sẵn có. Ông Nathan Brubaker (Mandiant) nhận định không có lý do gì Sandworm không thể tái tạo kiểu tấn công này trên các hệ thống ICS khác; tức là chỉ cần hiểu đặc thù từng hệ thống, chúng có thể viết kịch bản tương tự để ra lệnh phá hoại mà không cần malware phức tạp.

Song song, trong mạng IT của nạn nhân, Sandworm đã sử dụng một biến thể mới của malware CaddyWiper – loại mã độc xóa dữ liệu từng xuất hiện đầu năm 2022 trong cuộc xung đột. CaddyWiper được triển khai khoảng ngày 12/10/2022 (tức hai ngày sau sự cố ICS), nhắm vào các máy chủ và máy trạm Windows trong môi trường doanh nghiệp. Khi kích hoạt, wiper này sẽ xóa sạch dữ liệu người dùng và ghi đè tệp khiến hệ điều hành không thể khôi phục, qua đó làm tê liệt các hệ thống mục tiêu. Mục tiêu của CaddyWiper trong bối cảnh này có thể là gây gián đoạn hoạt động IT (như mạng văn phòng, dịch vụ hỗ trợ vận hành) và xóa dấu vết mà hacker để lại trên nhật ký hoặc ổ đĩa hệ thống. Thực tế, Mandiant ghi nhận nhóm hacker đã xóa một số dấu vết trên máy chủ SCADA trước đó, và việc tung ra wiper vào IT có thể nhằm “dọn dẹp” nốt bằng chứng cũng như đánh lạc hướng điều tra. Ngoài ra, trong giai đoạn xâm nhập, Sandworm còn triển khai các công cụ backdoor như web shell Neo-REGEORG và GOGETTER để kiểm soát hệ thống – những thứ này cũng có thể được xem là mã độc tùy mục đích (dù chúng là công cụ hacker hợp pháp hoặc nguồn mở). Tất cả cho thấy Sandworm đã sử dụng nhiều loại công cụ/mã độc phù hợp từng giai đoạn: từ web shell để đột nhập, đến kịch bản SCADA để phá hoại, và wiper để xoá dấu vết – tạo nên một chuỗi tấn công hoàn chỉnh.​

4. Cách thức kiểm soát hệ thống điều khiển công nghiệp (ICS/SCADA)​

Cách thức Sandworm chiếm quyền hệ thống SCADA của trạm điện Ukraine rất đáng chú ý vì tính sáng tạo và hiệu quả của nó. Sau khi nắm quyền hypervisor SCADA, kẻ tấn công đã lợi dụng tính năng quản lý máy ảo để gắn một ổ đĩa CD ảo (file ISO) vào máy ảo SCADA đang vận hành trạm điện. Thông thường, các hệ thống SCADA cũ có thể bật tính năng Autorun cho ổ đĩa – nghĩa là khi một đĩa CD (thật hoặc ảo) được gắn vào, hệ thống tự động chạy các nội dung được chỉ định trên đĩa đó. Thật vậy, máy chủ SCADA trong sự cố này đang chạy một phiên bản phần mềm MicroSCADA cũ (đã hết vòng đời hỗ trợ), trong đó tính năng autorun được bật và thậm chí còn cho phép truy cập SCIL-API mặc định không cần xác thực. Nhờ đó, ngay khi file a.iso được gắn, Windows trên máy ảo SCADA tự động thực thi kịch bản lun.vbs và chuỗi lệnh tiếp theo mà không cần sự can thiệp của kỹ sư vận hành. Nói cách khác, Sandworm đã lợi dụng chính cơ chế tiện ích của hệ thống để thực thi mã độc, tránh bị các giải pháp bảo mật phát hiện do quá trình này trông giống như hoạt động nội bộ hợp pháp.​

Hình 1: Chuỗi thực thi tấn công OT của Sandworm. Kẻ tấn công gắn một tệp ISO (a.iso) vào máy ảo SCADA (Hypervisor), kích hoạt tính năng Autorun để chạy script lun.vbs. Script này gọi n.bat, từ đó thực thi tiện ích scilc.exe (một chương trình hợp lệ của MicroSCADA) kèm theo tham số để nạp file lệnh s1.txt. Các lệnh SCIL độc hại trong s1.txt sẽ được scilc.exe thực thi trên máy chủ SCADA, sau đó hệ thống SCADA gửi tín hiệu điều khiển xuống các thiết bị trạm điện (RTU) nhằm thao tác với máy cắt điện, gây ra sự cố mất điện.

Trong hệ thống MicroSCADA mà nạn nhân sử dụng, scilc.exe là trình thông dịch SCIL (Supervisory Control Implementation Language) – một ngôn ngữ kịch bản cấp cao cho phép thao tác và tự động hóa hệ thống SCADA. Sandworm đã khai thác chính tiện ích này làm “vũ khí” Living off the Land: bằng cách chạy scilc.exe cùng tệp lệnh s1.txt, chúng có thể gửi đi các lệnh SCADA tùy ý xuống các RTU (Remote Terminal Unit) ở trạm điện. Các lệnh trong s1.txt (không phục hồi được hoàn chỉnh do hacker đã xóa) nhiều khả năng là lệnh cắt điện – ví dụ như ra lệnh mở các máy cắt (cầu dao) tại trạm, khiến dòng điện tới khu vực bị gián đoạn. Quá trình này sử dụng giao thức điều khiển công nghiệp tiêu chuẩn (như IEC-60870-5-104 qua TCP/IP hoặc IEC-101 qua nối tiếp) để SCADA gửi tín hiệu đến RTU và thực thi tác vụ trên thiết bị điện. Tóm lại, Sandworm đã kiểm soát hệ thống ICS/SCADA từ xa gần như hoàn toàn, chỉ bằng cách khai thác những chức năng sẵn có của hệ thống (hypervisor, autorun, ngôn ngữ SCIL) thay vì cài đặt phần mềm độc hại mới. Đây là minh chứng rõ ràng cho trình độ am hiểu sâu về OT của nhóm hacker: chúng biết cách “lách” vào tận lõi hệ thống điều khiển và biến những công cụ phục vụ vận hành thành công cụ phá hoại.

Sau khi thực hiện lệnh phá hoại, nhóm tấn công còn tiến hành xóa các dấu vết trong hệ thống SCADA để tránh bị phát hiện. Theo điều tra, nhiều tập tin nhật ký và dấu hiệu trên máy chủ SCADA đã bị xóa hoặc thay đổi bởi chính công cụ quản trị hệ thống trước khi wiper được triển khai. Việc này cho thấy kẻ tấn công có hiểu biết về hệ thống giám sát và biết cách dùng các công cụ hợp pháp của chính hệ thống (như lệnh xóa file, script hệ thống) để tự che giấu hành vi. Tuy nhiên, điểm đáng chú ý là Sandworm đã không dùng wiper để phá hủy hệ thống SCADA hoặc hypervisor – wiper CaddyWiper chỉ được thả vào mạng IT mà thôi. Điều này có thể do chúng muốn giữ lại khả năng truy cập OT cho các đợt tấn công tiếp theo, hoặc đơn giản là do sự thiếu phối hợp giữa các nhóm tác chiến (như Mandiant suy đoán). Dù lý do gì, thực tế này cũng giúp phía phòng thủ có cơ hội khôi phục hệ thống SCADA nhanh hơn, vì các máy điều khiển công nghiệp không bị phá hủy vật lý hay xóa phần mềm, chỉ bị điều khiển sai lệch trong thời gian ngắn.​

5. Phân tích chuỗi sự kiện kỹ thuật dẫn đến sự cố mất điện​

Chuỗi tấn công kỹ thuật mà Sandworm thực hiện có thể tóm tắt theo các giai đoạn sau:​

• Xâm nhập ban đầu (trước Tháng 6/2022): Kẻ tấn công tìm cách đột nhập mạng IT của công ty điện lực. Dù chưa rõ chính xác phương thức (có thể qua lừa đảo email hoặc khai thác server), bằng chứng đầu tiên cho thấy vào khoảng tháng 6/2022, chúng đã cài được web shell Neo-REGEORG trên một máy chủ dịch vụ đặt ngoài Internet của nạn nhân. Web shell này đóng vai trò “cửa hậu”, cho phép hacker gửi lệnh từ xa đến máy chủ bị nhiễm thông qua giao thức HTTP/HTTPS.​
• Duy trì chỗ đứng và trinh sát (6–9/2022): Sau khi có chỗ đứng, Sandworm cài cắm thêm GOGETTER – một chương trình đào hầm (tunnel) để vượt qua các rào cản mạng và giấu luồng liên lạc C2 trong lưu lượng hợp lệ. Với GOGETTER, nhóm hacker thiết lập được kênh chỉ huy vững chắc vào bên trong mạng nạn nhân. Chúng tiếp tục do thám nội bộ, tìm kiếm các thông tin đăng nhập và tài nguyên quan trọng. Lỗ hổng chí tử phía nạn nhân là thiếu phân tách giữa mạng văn phòng và mạng vận hành OT, khiến Sandworm có thể di chuyển ngang (lateral movement) từ hệ thống IT sang các hệ thống quan trọng hơn trong OT. Nhiều khả năng chúng đã lần ra máy chủ hypervisor dùng cho SCADA và khai thác nó (có thể bằng tài khoản quản trị thu được hoặc lỗ hổng dịch vụ ảo hóa) để chiếm quyền. Tới tháng 8–9/2022, Sandworm gần như làm chủ được hệ thống SCADA và bắt đầu phát triển “vũ khí” cho giai đoạn phá hoại. Bằng chứng là file kịch bản lun.vbs trong ISO có timestamp ngày 23/9/2022, cho thấy khoảng thời gian chuẩn bị năng lực OT của chúng tầm 2–3 tháng từ lúc xâm nhập SCADA.​
• Tấn công ICS gây mất điện (10/10/2022): Vào ngày định trước (10/10), khi điều kiện ngoại cảnh thuận lợi (đợt tên lửa tấn công đang bắt đầu), Sandworm kích hoạt giai đoạn tấn công OT. Từ xa, chúng sử dụng quyền trên hypervisor để gắn a.iso vào máy ảo SCADA. Nhờ Autorun, file lun.vbs được thực thi ngay, kéo theo việc chạy scilc.exe với tập lệnh độc hại chứa trong s1.txt. Các lệnh SCIL này lập tức được gửi tới thiết bị trạm điện – nhiều khả năng là lệnh ngắt các máy cắt (circuit breaker) tại trạm biến áp mục tiêu. Hậu quả là trạm điện chuyển sang trạng thái mất tải đột ngột, gây mất điện ngoài kế hoạch trên khu vực mà nó cấp nguồn. Sự cố diễn ra gần như đồng thời với việc nhiều nơi khác cũng bị cắt điện (do tên lửa bắn phá), nên ban đầu nó không dễ phân biệt. Tuy nhiên, giới chức Ukraine xác nhận trạm điện này bị tấn công mạng trực tiếp và gặp sự cố do tác động của hacker, chứ không phải do hư hại vật lý từ bom đạn.​
• Xóa dấu vết và phá hoại IT (12/10/2022): Sau khi thực hiện đợt tấn công ICS, Sandworm chuyển sang giai đoạn tấn công thứ cấp nhằm vào hạ tầng IT. Vào ngày 12/10, chúng triển khai một chiến dịch phát tán malware CaddyWiper trong mạng Windows của công ty điện lực. Nhiều khả năng nhóm hacker đã có quyền quản trị tên miền Windows, cho phép chúng sử dụng Group Policy (GPO) hoặc kịch bản đăng nhập để đẩy file wiper (được ngụy trang tên thành msserver.exe hoặc lhh.exe) xuống hàng loạt máy trạm/ máy chủ. Wiper được đặt lịch (scheduled task) để kích hoạt gần như cùng lúc trên các máy, tiến hành xóa sạch dữ liệu và phá hủy hệ thống nạn nhân. Theo Mandiant, wiper lần này chỉ tác động phần mạng IT, không lan sang máy chủ SCADA hay hypervisor. Dù vậy, nó cũng đủ gây tê liệt hệ thống văn phòng, gián đoạn việc phối hợp xử lý sự cố và xóa một phần dữ liệu nhật ký trên các máy bị nhiễm. Điều thú vị là trước đó trên máy SCADA, kẻ tấn công đã thủ công xóa bớt log, nên việc không dùng wiper trên SCADA có thể do sự thiếu phối hợp giữa các nhóm hacker (ví dụ nhóm phụ trách OT vs nhóm phụ trách IT). Dẫu sao, sau đợt này, Sandworm gần như rút lui khỏi hệ thống nạn nhân, để lại một lưới điện bị gián đoạn tạm thời và một môi trường IT hoang tàn cần khôi phục.​
• Phát hiện và ứng phó: Phía Ukraine (được hỗ trợ bởi chuyên gia Mandiant và cơ quan an ninh mạng Ukraine) đã điều tra và phát hiện ra dấu vết cuộc tấn công trong những ngày sau đó. Việc xác định nguyên nhân mất điện là do tấn công mạng giúp giới chức đưa ra cảnh báo rộng rãi. Tuy nhiên, thông tin chi tiết (như tên đơn vị bị tấn công, số người ảnh hưởng, thời gian mất điện cụ thể) được giữ kín vì lý do an ninh và tránh tạo lợi thế thông tin cho đối phương. Đến tháng 11/2023, Google Mandiant công bố công khai báo cáo phân tích sự việc, qua đó cộng đồng an ninh mạng mới có bức tranh đầy đủ về phương thức Sandworm sử dụng.​

6. Tác động đến hạ tầng năng lượng và hậu quả vận hành​

Mặc dù vụ tấn công chỉ gây ra mất điện trong thời gian tương đối ngắn, nó đã gióng lên hồi chuông cảnh báo về mối nguy đối với hạ tầng năng lượng không chỉ của Ukraine mà còn trên toàn thế giới. Về trực tiếp, cuộc tấn công đã làm một trạm biến áp ở Ukraine bị mất khả năng cung cấp điện trong thời gian ngắn do các máy cắt tại trạm bị tác động sai lệch. Điều này có thể khiến khu vực do trạm đó phụ trách chịu cảnh mất điện đột ngột (trong bối cảnh chiến tranh, mất điện còn đồng nghĩa mất thông tin liên lạc, sưởi ấm, cấp nước v.v.). Tuy nhiên, do trùng vào thời điểm có nhiều vụ cắt điện khẩn cấp trên diện rộng, rất khó xác định chính xác quy mô và thời lượng mất điện riêng do cuộc tấn công mạng này. Các chuyên gia cho biết sự cố mạng có thể đã hòa lẫn với hoạt động ứng phó khẩn cấp (cắt điện chủ động để bảo vệ hệ thống khỏi quá tải do trúng tên lửa), nên nhiều khả năng người dân không nhận biết được một vụ tấn công mạng đang diễn ra. Dù vậy, từ góc độ kỹ thuật, hệ thống bảo vệ lưới điện đã bị xâm phạm, và đó là một nguy cơ nghiêm trọng: nếu hacker có thể chi phối hành vi của thiết bị bảo vệ (như máy cắt, rơ-le bảo vệ), họ có thể gây hư hỏng phần cứng hoặc mất điện diện rộng hơn rất nhiều.

Rất may, trong sự kiện này không có thiệt hại vật chất lâu dài cho hạ tầng điện. Việc mở máy cắt khiến dòng điện bị ngắt, nhưng không phá hủy máy biến áp hay đường dây; hệ thống có thể khôi phục tương đối nhanh bằng cách đóng lại máy cắt (sau khi đảm bảo an toàn) và giành lại quyền điều khiển SCADA. Thực tế, Sandworm không triển khai module phá hoại thiết bị OT (như cách chúng từng làm năm 2015–2016 với việc hủy firmware thiết bị hay tấn công DoS rơ-le bảo vệ). Lần này, nhóm tập trung vào gián đoạn tạm thời hơn là phá hủy dài hạn. Điều này có thể phản ánh ưu tiên trong thời chiến: gây hoảng loạn và khó khăn ngắn hạn cho đối phương thay vì đầu tư phá hủy hạ tầng (vì hạ tầng có thể được sửa chữa). Ngoài ra, do nhắm trùng với đợt không kích, có thể Sandworm muốn tối đa hóa hiệu quả phối hợp – tức làm đối phương rối loạn và khó khắc phục nhanh vì vừa phải sửa hạ tầng do bom đạn, vừa phải xử lý sự cố SCADA.

Về hậu quả vận hành, sự kiện này chắc chắn buộc đơn vị vận hành hệ thống điện Ukraine phải xem xét lại quy trình an ninh mạng. Lỗ hổng về phân tách mạng IT/OT và việc dùng phần mềm SCADA cũ đã bị phơi bày, đòi hỏi các biện pháp khắc phục ngay lập tức. Trong ngắn hạn, đội vận hành có lẽ đã phải chuyển sang chế độ điều khiển thủ công tạm thời tại trạm biến áp (đóng cắt thiết bị trực tiếp tại chỗ) cho đến khi đảm bảo hệ thống SCADA an toàn trở lại. Bên cạnh đó, toàn bộ hệ thống IT của đơn vị này cũng bị gián đoạn do wiper, ảnh hưởng đến hoạt động thường ngày (như liên lạc, quản lý dữ liệu). Việc phục hồi hệ thống IT từ các bản sao lưu có thể mất vài ngày đến vài tuần tùy mức độ ảnh hưởng của CaddyWiper.

Trên bình diện rộng hơn, cuộc tấn công này là hồi chuông cảnh tỉnh cho các công ty điện lực và quản lý hạ tầng trọng yếu trên thế giới. Mandiant cảnh báo rằng với việc Sandworm nhắm thành công vào MicroSCADA – một hệ thống SCADA khá phổ biến toàn cầu – thì những hệ thống tương tự ở bất kỳ đâu cũng có thể trở thành mục tiêu nếu không tăng cường phòng vệ. Sau sự kiện, các cơ quan như CISA (Mỹ) và ENISA (châu Âu) cũng khuyến cáo ngành năng lượng tăng cường an ninh mạng OT, đề phòng các chiến thuật mới mà Sandworm và các nhóm APT sẽ sử dụng. Rõ ràng, nguy cơ phối hợp tấn công mạng và tấn công vật lý vào hạ tầng dân sự đã trở thành hiện thực tại Ukraine, và có thể là kịch bản mà nhiều quốc gia khác phải tính đến trong bối cảnh xung đột tương lai.​

7. Biện pháp phòng ngừa và khuyến nghị kỹ thuật cho hệ thống ICS/OT​

Sự kiện trên đem lại nhiều bài học kinh nghiệm quý giá về bảo mật cho hệ thống điều khiển công nghiệp (ICS/OT). Dưới đây là một số biện pháp phòng ngừa và khuyến nghị kỹ thuật nhằm giảm thiểu rủi ro trước các cuộc tấn công tương tự:​

• Phân tách mạng IT và OT triệt để: Cần thiết lập phân vùng mạng (network segmentation) rõ ràng giữa hệ thống văn phòng (IT) và hệ thống điều khiển OT. Mạng SCADA/ICS nên được cô lập tối đa, chỉ mở những kết nối thật sự cần thiết với mạng IT và có cơ chế kiểm soát chặt chẽ. Thiếu phân tách chính là lỗ hổng đã bị lợi dụng trong sự cố ở Ukraine, do đó các tổ chức cần rà soát lại kiến trúc mạng của mình để ngăn chặn việc di chuyển tự do của kẻ tấn công một khi xâm nhập.​
• Quản lý bản vá và phiên bản phần mềm: Đảm bảo tất cả các phần mềm SCADA/ICS được cập nhật lên phiên bản hỗ trợ mới nhất từ nhà cung cấp. Những phiên bản cũ (EOL) thường có lỗ hổng hoặc tính năng không còn phù hợp về an ninh (ví dụ như MicroSCADA cũ cho phép SCIL-API không cần xác thực). Việc nâng cấp phần mềm sẽ vá các lỗ hổng đã biết và vô hiệu hóa những chức năng mặc định không an toàn. Nếu vì lý do vận hành mà không thể nâng cấp ngay, cần áp dụng các biện pháp bù đắp như cô lập hệ thống cũ, hạn chế quyền truy cập và theo dõi chặt các hoạt động trên đó.​
• Kiểm soát truy cập và bảo vệ tài khoản: Thiết lập xác thực mạnh (ví dụ MFA) và nguyên tắc ít đặc quyền nhất cho tất cả tài khoản truy cập hệ thống ICS. Tài khoản quản trị SCADA phải được quản lý nghiêm ngặt, mật khẩu phức tạp và thay đổi định kỳ. Không dùng chung tài khoản quản trị giữa IT và OT. Ngoài ra, nên tắt hoặc hạn chế các dịch vụ không cần thiết trên máy chủ SCADA/hypervisor, đóng các cổng không sử dụng, để giảm thiểu điểm xâm nhập.​
• Bảo vệ máy chủ SCADA và hypervisor: Thực hiện cứng hóa (hardening) các máy chủ SCADA, máy chủ ảo hóa và các máy trạm kỹ sư. Ví dụ: cấu hình hệ thống ở chế độ “chỉ đọc” (read-only) nếu khả thi, ngăn chặn chạy hoặc tải thêm các chương trình không nằm trong danh sách cho phép. Đối với MicroSCADA, có thể tắt hẳn hoặc yêu cầu xác thực cho giao diện SCIL-API, tránh để trạng thái mặc định mở như trong phiên bản cũ. Đảm bảo các thư mục cài đặt SCADA quan trọng (như thư mục chứa scilc.exe và thư viện) được giám sát checksum, phát hiện sớm nếu bị thay đổi. Nên làm việc với nhà cung cấp SCADA để nhận tư vấn cập nhật cấu hình bảo mật và đánh giá xem phần mềm SCADA có tính năng tương tự SCIL có thể bị lạm dụng hay không.​
• Giám sát và phát hiện bất thường trong môi trường OT: Triển khai cơ chế giám sát an ninh cho mạng ICS/OT. Cụ thể, cần theo dõi các dấu hiệu như: thực thi lệnh trên máy chủ SCADA (ví dụ quá trình scilc.exe chạy với tham số bất thường); lưu lượng mạng ICS như các kết nối từ máy SCADA ra ngoài không theo mô hình bình thường; các tệp mới được tạo hoặc truyền vào hệ thống SCADA (ví dụ gắn một file ISO lạ, xuất hiện file script lạ); và thay đổi cấu hình, dữ liệu SCADA ngoài lịch trình cho phép. Việc giám sát có thể thực hiện qua hệ thống IDS/IPS cho mạng OT, thu thập log Windows trên máy SCADA về hệ thống SIEM tập trung để phân tích. Đặc biệt, mọi thao tác với hypervisor (như gắn thiết bị ảo, ảnh ISO) nên được ghi log và báo cáo ngay cho quản trị nếu diễn ra ngoài lịch bảo trì.​
• Chuẩn bị phương án phản ứng và khôi phục: Xây dựng kế hoạch ứng cứu sự cố (IR plan) dành riêng cho môi trường ICS. Kế hoạch này bao gồm khả năng vận hành bằng tay các thiết bị quan trọng (như chuyển sang chế độ điều khiển tại chỗ ở trạm điện) trong trường hợp SCADA bị xâm nhập, để đảm bảo dòng điện không bị gián đoạn lâu. Đồng thời, chuẩn bị sẵn cơ chế sao lưu offline cho cấu hình hệ thống SCADA, các máy chủ OT, cũng như hệ thống IT quan trọng. Trong kịch bản xấu khi malware wiper lây sang OT, việc có backup sạch và hướng dẫn phục hồi nhanh sẽ giúp giảm thiểu thời gian dừng hoạt động. Tổ chức diễn tập các tình huống tấn công mạng vào OT (bao gồm tình huống tấn công đồng thời với sự cố vật lý) để đội ngũ quen với áp lực xử lý và phối hợp với bộ phận vận hành lưới điện.​
• Nâng cao cảnh giác trước chiến thuật mới: Lưu ý rằng đối thủ có thể không cần dùng malware lạ, thay vào đó họ dùng chính công cụ của bạn chống lại bạn. Do đó, đội ngũ an ninh cần mở rộng phạm vi cảnh báo, không chỉ tìm các malware đã biết mà còn phải để ý các hành vi bất thường trong quá trình hợp lệ. Ví dụ, một admin hợp pháp sẽ hiếm khi gắn ổ đĩa CD ảo vào máy chủ SCADA trong giờ vận hành, hoặc hiếm khi chạy các script VBS phức tạp trên đó. Những tín hiệu nhỏ như vậy nếu được để ý có thể báo động sớm cho đội ứng cứu. Các trung tâm vận hành an ninh (SOC) nên cập nhật IOC (Indicators of Compromise) liên quan đến chiến dịch này (như hash của lun.vbs, a.iso, msserver.exe giả mạo, địa chỉ IP C2...) để triển khai giám sát trong hệ thống của mình.​
• Đào tạo và hợp tác: Cuối cùng, con người vẫn là yếu tố then chốt. Cần đào tạo định kỳ cho nhân viên vận hành ICS về nhận biết các dấu hiệu bất thường (ví dụ giao diện HMI đột ngột hiển thị cảnh báo không rõ nguyên nhân, v.v.), cũng như quy trình thông tin khi nghi ngờ sự cố an ninh mạng. Thiết lập kênh liên lạc chặt chẽ giữa đội CNTT và đội vận hành OT để cùng phối hợp khi xảy ra sự cố. Đồng thời, hợp tác với các cơ quan an ninh mạng quốc gia và quốc tế (như CERT, ICS-CERT) để chia sẻ thông tin mối đe dọa và nhận hỗ trợ khi cần. Trường hợp Ukraine cho thấy sự hỗ trợ quốc tế (Mandiant, SBU, v.v.) đã góp phần phân tích chuyên sâu cuộc tấn công; do đó, các đơn vị vận hành hạ tầng ở khắp nơi nên chủ động kết nối và chia sẻ tình báo mối đe dọa để cùng nâng cao khả năng phòng thủ.​

Kết luận: Sự kiện tấn công mạng gây mất điện tháng 10/2022 tại Ukraine là một ví dụ điển hình về mối nguy cơ thực sự đối với hệ thống ICS/SCADA trong bối cảnh hiện đại. Nhóm Sandworm đã cho thấy sự tinh vi và táo bạo khi phối hợp tấn công mạng với chiến dịch quân sự, sử dụng chiến thuật mới (LotL) nhằm đẩy nhanh tốc độ và giảm dấu vết. Đối với các quốc gia và tổ chức vận hành hạ tầng trọng yếu, việc rút ra bài học từ sự kiện này và triển khai các biện pháp phòng ngừa kịp thời là vô cùng cấp thiết để bảo vệ an ninh năng lượng và các hệ thống công nghiệp trước những mối đe dọa tương tự trong tương lai.

Tài liệu tham khảo:​

• Ravie Lakshmanan, "Russian Hackers Sandworm Cause Power Outage in Ukraine Amidst Missile Strikes", The Hacker News – Nov 10, 2023.​
• Mandiant (Google Cloud), "Sandworm Disrupts Power in Ukraine Using a Novel Attack Against OT", Nov 9, 2023.​
• Daryna Antoniuk, "Ukraine energy facility took unique Sandworm hit on day of missile strikes, report says", The Record – Nov 9, 2023.​
• Ionut Ilascu, "Russian hackers switch to LOTL technique to cause power outage", BleepingComputer – Nov 9, 2023.​
• Ionut Ilascu, BleepingComputer – ibid. (phỏng vấn Nathan Brubaker, Mandiant).​
• Mandiant, Technical Analysis & Appendices – IOCs và Khuyến cáo kỹ thuật (trích dẫn trong blog Google Cloud).​