Theo báo cáo từ một nhà máy ở vùng Trung Đông, Triton tấn công vào hệ thống kiểm soát an toàn, khiến các nhà máy phải ngừng mọi hoạt động, đặc biệt là ở các nhà máy năng lượng hạt nhân.
Hệ thống kiểm soát an toàn Triconex là mục tiêu của vụ tấn công đầu tiên. Ảnh: T.M |
Các chuyên gia an ninh nhận định, đây rất có thể là hành động khủng bố, không loại trừ hoạt động phạm tội của các nhóm tin tặc. Bởi mức độ thiệt hại tiềm ẩn của nó quá lớn, không những có thể gây ảnh hưởng nghiêm trọng về vật chất mà còn liên quan trực tiếp tới tính mạng con người.
Dựa theo bản báo cáo, vẫn chưa có thiệt hại đáng kể nào xảy ra vì hệ thống chỉ tự động ngừng làm việc. Tuy nhiên, cuộc tấn công bằng mã độc Triton/Trisis được xem là một sự kiện đặc biệt quan trọng trong cộng đồng hệ thống điều khiển công nghiệp ICS (Industrial Control Systems).
Càng lo lắng hơn khi những cuộc tấn công không diễn ra thường xuyên cũng như chưa có kết luận cuối cùng về vụ việc này. Nhưng việc khiến hệ thống ngừng hoạt động có thể là bước chuẩn bị trước để xâm nhập và đánh cắp dữ liệu công nghệ của tội phạm.
Nạn nhân của vụ tấn công được ghi nhận lại thuộc khu vực Trung Đông vào giữa tháng 11 vừa qua. Mã độc này được đặt tên là Trisis. Nguyên nhân do nó nhắm vào hệ thống an toàn Triconex của Schneider Electrix (Schneider Electrix’s Triconex Safety Instrumented System – SIS).
Các nhà máy năng lượng hạt nhân có thể là mục tiêu chính mà mã độc Triton/Trisis nhắm đến. Ảnh: T.M |
Báo cáo còn lại được đưa ra liên quan đến sự cố tại nhà máy công nghiệp từ một công ty bảo mật khác. Họ gọi loại mã độc này là Triton vì có liên quan tới hệ thống Triconex.
Những năm gần đây, đã có nhiều cuộc tấn công vào ICS diễn ra. Mục tiêu chủ yếu là Hệ thống kiểm soát điều khiển và thu thập dữ liệu (SCADA). Đây là lần đầu tiên, hệ thống kiểm soát an toàn (SIS) bị nhắm đến bởi phần mềm độc hại.
Hệ thống SIS được lập trình để kiểm soát mức độ an toàn của nhà máy. Khi có sự cố xảy ra, SIS sẽ tự động cảnh báo và điều chỉnh hệ thống về mức an toàn, hoặc tắt hệ thống để giảm thiểu nguy hiểm.
Những bộ điều khiển này được thiết kế riêng biệt và chạy độc lập với các thiết bị khác với mục đích duy nhất là kiểm soát sự an toàn của nhà máy. Trong suốt quá trình tấn công, hệ thống kiểm soát Triconex sẽ tự động chuyển sang chế độ Lập trình (Program Mode) và bị tên tội phạm điều khiển.
Thảm họa hạt nhân bằng mã độc Triton/Trisis là điều rất có thể xảy ra trong tương lai. Ảnh: T.M |
Quan sát hệ thống SIS, tin tặc sẽ phải có quyền truy cập vào mẫu thiết bị cụ thể để lập trình mã độc riêng biệt cho hệ thống đó. Như trong báo cáo trong vụ tấn công đầu tiên, kẻ tấn công sẽ truy cập vào SIS và cài Triton trên một máy trạm Windows. Sau đó, bộ điều khiển SIS sẽ bị lập trình lại.
Công cụ thiết lập và bảo trì cho sản phẩm Triconex SIS là TriStation. Đây là giao thức độc quyền và không thể truy cập công khai. Triton/Trisis cải biến giao thức này để giúp kẻ tấn công truy cập vào hệ thống Triconex SIS.
Khi bộ điều khiển SIS đã bị xâm nhập, kẻ tấn công lập trình lại thiết bị để cố tình kích hoạt trạng thái an toàn, khiến thiết bị rơi vào thời gian chết và đánh cắp dữ liệu.
Tin tặc cũng có thể tái thiết lập lại các thông số an toàn của thiết bị SIS. Điều này có thể gây ảnh hưởng nghiêm trọng đến sản xuất, cơ sở hạ tầng và thậm chí là tính mạng con người.