Tin tức
Throwback Attack: OilRig do Iran hậu thuẫn nhắm vào cơ sở hạ tầng quan trọng ở Trung Đông
Kết nối ngày càng tăng đã tạo ra vô số lợi ích cho các cá nhân, xã hội và công ty, nhưng nó cũng tạo ra một bề mặt tấn công ngày càng mở rộng. Một trong những mục tiêu tấn công mang lại lợi nhuận cao nhất và có khả năng phá hoại nhất là cơ sở hạ tầng quan trọng, cung cấp xương sống cho an ninh quốc gia và củng cố sức khỏe và hạnh phúc của các xã hội. Năm 2012, một nhóm tấn công mới xuất hiện trên radar, nhóm gián điệp mạng OilRig, còn được gọi là APT34, Cobalt Gypsy, Europium và Helix Kitten.
Kể từ khi xuất hiện, OilRig đã được liên kết với nhiều chiến dịch gián điệp mạng khác nhau, chủ yếu nhắm mục tiêu vào các tổ chức ở Trung Đông, đặc biệt là các tổ chức ở các quốc gia như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất và Qatar. Tập đoàn này đã thể hiện sự quan tâm mạnh mẽ đến các lĩnh vực như năng lượng, viễn thông, dịch vụ tài chính và các tổ chức chính phủ trong khu vực. Nó cũng đã được chứng minh là một trong những nhóm đe dọa dai dẳng và dễ thích nghi nhất, thường xuyên thay đổi chiến thuật và vẫn tận dụng các cuộc tấn công cho đến ngày nay.
OilRig là gì?
Mặc dù dòng thời gian và nguồn gốc chính xác của OilRig có thể không được biết đầy đủ, nhưng các nhà nghiên cứu bảo mật và công ty an ninh mạng đã bắt đầu theo dõi các hoạt động của họ và quy các cuộc tấn công cho nhóm đe dọa vào khoảng năm 2014, trong một làn sóng tấn công phá hoại ở Trung Đông.
Người ta tin rằng OilRig là một nhóm Iran được nhà nước bảo trợ, vì các cuộc tấn công của họ luôn phù hợp với lợi ích quốc gia của Iran. Trong những năm qua, OilRig đã sử dụng một loạt các kỹ thuật tấn công để thỏa hiệp các mục tiêu của mình. Chúng bao gồm email lừa đảo trực tiếp, tấn công kỹ thuật xã hội và tấn công lỗ tưới nước. Nhóm này được biết là đã gửi các email lừa đảo được thiết kế riêng và có tính thuyết phục cao để lừa nhân viên nhấp vào các liên kết độc hại hoặc mở các tệp đính kèm bị nhiễm độc.
“Họ đã tiến hành các cuộc tấn công kỹ thuật xã hội thông qua các mạng xã hội hợp pháp như LinkedIn để gửi tài liệu với lời mời làm việc gian lận từ các tổ chức nổi tiếng,” theo một bài báo trên AttackIQ. “Họ đã tiến hành các hành động phá hoại bằng cách sử dụng các công cụ xóa, chẳng hạn như dòng phần mềm độc hại Disttrack, trong các cuộc tấn công Shamoon. Họ cũng sử dụng thỏa hiệp chuỗi cung ứng trong đó kẻ thù khai thác mối quan hệ tin cậy giữa các tổ chức để đạt được mục tiêu mong muốn của họ.”
OilRig sử dụng phần mềm độc hại được xây dựng tùy chỉnh và các công cụ có sẵn công khai để thực hiện các hoạt động của nó. Nhóm này đã được liên kết với một số dòng phần mềm độc hại được thiết kế để đạt được sự tồn tại lâu dài trên các hệ thống bị xâm nhập, thiết lập các kênh chỉ huy và kiểm soát cũng như đánh cắp thông tin nhạy cảm. Theo The Hacker News, các cuộc tấn công gần đây vào năm 2021 và 2022 đã sử dụng các cửa hậu như Karkoff, Shark, Marlin và Saitama để đánh cắp thông tin.
Mặc dù tập đoàn đã nhắm mục tiêu vào các lĩnh vực cơ sở hạ tầng quan trọng khác nhau, nhưng nó đã thể hiện sự quan tâm đặc biệt đến ngành dầu khí, ngành có ý nghĩa chiến lược do tầm quan trọng về kinh tế và địa chính trị trong khu vực.
Người ta tin rằng mục tiêu chính của OilRig là tiến hành gián điệp mạng, thu thập thông tin tình báo và thông tin nhạy cảm từ các mục tiêu của nó. Dữ liệu bị đánh cắp có thể bao gồm các tài liệu mật, sở hữu trí tuệ, hồ sơ tài chính và thông tin chiến lược liên quan đến ngành dầu khí.
Mặc dù nhóm mối đe dọa này có thể đã hơn 10 năm tuổi, nhưng nó đã chứng tỏ tính bền bỉ và khả năng thích ứng theo thời gian. OilRig đã tiếp tục phát triển các chiến thuật, kỹ thuật và quy trình (TTP) của mình để tránh bị phát hiện và duy trì quyền truy cập vào các mạng bị xâm nhập. Gần đây nhất vào tháng 2 năm 2023, Trend Micro đã lưu ý rằng OilRig đang sử dụng một cửa hậu mới để lấy cắp dữ liệu.
Tại sao tội phạm mạng nhắm mục tiêu vào cơ sở hạ tầng quan trọng
Lĩnh vực cơ sở hạ tầng quan trọng đã là mục tiêu của các chủ thể quốc gia và các nhóm xuyên quốc gia trong nhiều năm — và vì lý do chính đáng.
Các hệ thống cơ sở hạ tầng quan trọng thường chứa thông tin có giá trị hoặc cung cấp các dịch vụ thiết yếu mà bọn tội phạm mạng có thể khai thác để thu lợi hoặc đòn bẩy tài chính. Ví dụ: tấn công lưới điện hoặc tổ chức tài chính trong lĩnh vực cơ sở hạ tầng quan trọng có thể dẫn đến phần thưởng tài chính đáng kể thông qua yêu cầu tiền chuộc, đánh cắp dữ liệu nhạy cảm hoặc gián đoạn dịch vụ có thể dẫn đến thiệt hại kinh tế.
Bằng cách nhắm mục tiêu vào cơ sở hạ tầng quan trọng, bọn tội phạm mạng có thể gây ra sự gián đoạn và hỗn loạn trên diện rộng. Các dịch vụ gây hại như năng lượng, giao thông vận tải hoặc mạng lưới thông tin liên lạc có thể có tác động theo tầng đối với xã hội, ảnh hưởng đến các doanh nghiệp, chính phủ và cá nhân.
Như với OilRig, nhiều cuộc tấn công mạng vào cơ sở hạ tầng quan trọng được thúc đẩy bởi các động cơ chính trị hoặc địa chính trị. Các quốc gia hoặc các tác nhân đe dọa do nhà nước bảo trợ nhắm mục tiêu vào cơ sở hạ tầng quan trọng của các quốc gia khác như một hình thức gián điệp, ép buộc chính trị hoặc thậm chí để đạt được lợi thế chiến lược trong thời gian xung đột. Những ví dụ điển hình về điều này là cuộc tấn công Industroyer năm 2016 làm mất điện của khoảng 200.000 người ở Kiev và cuộc tấn công Stuxnet năm 2010 đã gây ra thiệt hại đáng kể cho chương trình hạt nhân của Iran.
Tấn công cơ sở hạ tầng quan trọng cũng có thể làm xói mòn niềm tin của công chúng và niềm tin vào các tổ chức chính phủ, tập đoàn hoặc chính các nhà khai thác cơ sở hạ tầng. Điều này có thể gây ra những hậu quả sâu rộng, bao gồm phá hoại sự ổn định xã hội và gây thiệt hại kinh tế lâu dài. Khi Colonial Pipeline, nhà cung cấp nhiên liệu lớn nhất cho Bờ Đông, trở thành mục tiêu của mã độc tống tiền vào tháng 5 năm 2021, đã có những lo ngại về tình trạng thiếu nhiên liệu, khiến các trạm xăng trên khắp miền nam Hoa Kỳ phải ngừng hoạt động.
Cơ sở hạ tầng quan trọng có thể đặc biệt dễ bị tổn thương bởi vì — giống như phần lớn công nghệ vận hành — nó chạy trên các mạng phức tạp và được kết nối với nhau cũng như sự kết hợp giữa các hệ thống cũ và mới. Tội phạm mạng có thể khai thác những điểm yếu này, từ phần mềm lỗi thời và kiểm soát bảo mật yếu cho đến lỗi của con người và kỹ thuật tấn công xã hội, để có quyền truy cập trái phép và thực hiện các hoạt động độc hại của chúng.
Mẹo giúp bảo vệ cơ sở hạ tầng quan trọng
Bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng đòi hỏi một cách tiếp cận chủ động và nhiều lớp. Mặc dù các tác nhân đe dọa thường đổi mới nhanh hơn những người bảo vệ, nhưng có một số biện pháp chính mà các tổ chức trong lĩnh vực cơ sở hạ tầng quan trọng có thể thực hiện để tăng cường an ninh mạng của họ:
- Đánh giá rủi ro và lập kế hoạch: Tiến hành đánh giá rủi ro toàn diện để xác định các lỗ hổng, mối đe dọa và hậu quả tiềm ẩn. Xây dựng kế hoạch an ninh mạng vạch ra các biện pháp phòng ngừa, quy trình ứng phó sự cố và chiến lược phục hồi phù hợp với nhu cầu cụ thể của tổ chức.
- Phân đoạn mạng: Triển khai phân đoạn mạng để cách ly các hệ thống quan trọng khỏi các khu vực kém an toàn hơn. Điều này giúp ngăn chặn các vi phạm tiềm ẩn và hạn chế chuyển động ngang của những kẻ tấn công trong mạng.
- Kiểm soát truy cập mạnh mẽ: Thực thi kiểm soát truy cập mạnh mẽ bằng cách triển khai xác thực đa yếu tố (MFA), mật khẩu mạnh và đánh giá truy cập thường xuyên. Giới hạn các đặc quyền chỉ dành cho những đặc quyền cần thiết cho mỗi người dùng hoặc hệ thống, giảm tác động của tài khoản bị xâm phạm.
- Quản lý bản vá: Thiết lập quy trình quản lý bản vá mạnh mẽ để đảm bảo các hệ thống và phần mềm được cập nhật với các bản vá bảo mật mới nhất.
- Nhận thức và đào tạo nhân viên: Tiến hành đào tạo nhận thức về an ninh mạng thường xuyên cho nhân viên để giáo dục họ về các mối đe dọa tiềm ẩn, các cuộc tấn công lừa đảo, kỹ thuật tấn công mạng xã hội và các phương pháp hay nhất để có hành vi an toàn. Khuyến khích văn hóa nhận thức về an ninh mạng trong toàn tổ chức.
- Phát hiện và ứng phó sự cố: Triển khai các hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để giám sát lưu lượng mạng cho các hoạt động đáng ngờ. Xây dựng kế hoạch ứng phó sự cố để kịp thời phát hiện, ứng phó và khắc phục hiệu quả sau sự cố mạng.
- Giám sát liên tục: Triển khai các công cụ và công nghệ giám sát bảo mật để liên tục giám sát hoạt động của mạng và hệ thống để tìm các dấu hiệu xâm phạm hoặc bất thường. Sử dụng các giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) để quản lý nhật ký tập trung và phát hiện mối đe dọa theo thời gian thực.
- Đánh giá lỗ hổng thường xuyên: Tiến hành đánh giá lỗ hổng thường xuyên để xác định các điểm yếu trong hệ thống và ứng dụng. Điều này giúp xác định và giải quyết các điểm vào tiềm năng cho những kẻ tấn công.
- Quan hệ đối tác và chia sẻ thông tin: Cộng tác với các đồng nghiệp trong ngành, cơ quan chính phủ và tổ chức an ninh mạng để chia sẻ thông tin tình báo về mối đe dọa, các phương pháp hay nhất và các mối đe dọa mới nổi. Tham gia vào các trung tâm phân tích và chia sẻ thông tin (ISAC) hoặc các diễn đàn dành riêng cho ngành để được cập nhật thông tin về các mối đe dọa mới nhất.
- Sao lưu và phục hồi: Thường xuyên sao lưu dữ liệu và hệ thống quan trọng, đảm bảo rằng các bản sao lưu được lưu trữ an toàn và được kiểm tra độ tin cậy. Thực hiện các kế hoạch khắc phục thảm họa để khôi phục hoạt động trong trường hợp xảy ra sự cố mạng.
- Quản trị an ninh mạng: Thiết lập khuôn khổ quản trị an ninh mạng với vai trò, trách nhiệm và trách nhiệm giải trình được xác định rõ ràng. Chỉ định nhân viên hoặc nhóm chuyên trách về an ninh mạng để quản lý và giám sát các nỗ lực về an ninh mạng trong tổ chức.
Các biện pháp này, kết hợp với việc theo dõi, đánh giá và cải tiến liên tục, có thể nâng cao đáng kể khả năng phục hồi của cơ sở hạ tầng trọng yếu trước các mối đe dọa trên mạng. Như OilRig đã chứng minh trong nhiều năm qua, những kẻ tấn công luôn thích nghi. Điều cần thiết là phải đối phó và phát triển các chiến lược an ninh mạng để giải quyết các mối đe dọa mới nổi và đi trước các kỹ thuật tấn công đang phát triển.
Các phần của bài viết này đã được nâng cao bằng ChatGPT.