BlackEnergy và Havex được thiết kế cho mục đích gián điệp (espionage), Stuxnet và Industroyer cho mục đích phá hoại (sabotage). Với một số sửa đổi, vũ khí này có thể được dùng để chống lại các hệ thống truyền tải và phân phối điện tại Mỹ, gây ra những tổn thất nghiêm trọng, và về mặt lý thuyết, nó cũng có thể được sửa đổi để tấn công các loại hệ thống kiểm soát công nghiệp khác nhau như nước và khí đốt. Theo công ty bảo mật Dragos (Mỹ), Industroyer trở nên tinh xảo nhờ “hiểu” các giao thức điều khiển trong các hệ thống điều khiển, cho phép vẽ bản đồ các thiết bị công nghiệp và gửi các lệnh điều khiển mạch điện.
BlackEnergy và Havex được thiết kế cho mục đích gián điệp (espionage), Stuxnet và Industroyer cho mục đích phá hoại (sabotage). |
Bộ công cụ này cũng chứa một chức năng của bom logic (logic boom) cho phép mã độc lây nhiễm nhiều hệ thống và đồng thời tấn công chúng. Một khi kẻ tấn công cài đặt được các cửa hậu của Industroyer, chúng có thể đánh cắp thông tin bảo mật của hệ thống và tài khoản của quản trị viên, từ đó có thể tự do truy cập vào mạng lưới mà không bị phát hiện - nơi chúng sẽ thực hiện hoạt động do thám trong nhiều tháng, quét lưu lượng mạng và tìm hiểu các hành vi hằng ngày của các quản trị viên để bắt chước. Điểm nguy hiểm của mã độc là nó có thể tự động gạt các công tắc điện bên trong một hệ thống, khiến các đường dây truyền tải điện rơi vào tình trạng quá tải, vượt ngưỡng của hệ thống, lưới điện bị đánh sập hoàn toàn.
Vào năm 2016, một mật mã liên quan đến hoạt động tin tặc của Nga đã được khám phá tại một xưởng điện lực tại tiểu bang Vermont. Mặc dù người Nga đã không dùng mật mã này để phá hoại mạng lưới điện, việc phát giác mật mã của Nga nằm gọn trong hệ thống của Mỹ cho thấy khe hỡ của mạng lưới điện trên toàn quốc mà tin tặc có thể “chui” vào để quậy phá, gây tê liệt cho rất nhiều sinh hoạt của người Mỹ.
Theo các công ty an ninh mạng FireEye và Symantec, năm 2017, các hacker có liên hệ với Triều Tiên và các nhóm tin tặc có tên là Dragonfly 2.0 và Xenotime cùng nhiều hacker không rõ danh tính đã xâm nhập vào các hệ thống kiểm soát mạng lưới phân phối điện ở Mỹ và châu Âu, làm dấy lên nguy cơ xảy ra các vụ mất điện nguy hiểm do điều khiển từ xa. Các email có mã độc của các hacker nói trên đã nhằm vào các công ty điện lực và khách hàng Mỹ để lừa đảo nhằm khai thác mật khẩu, số tài khoản ngân hàng, số thẻ tín dụng hay số an ninh xã hội để thiết lập “cổng vào bí mật”.
Chúng sử dụng phần mềm độc hại được tùy biến phù hợp với các hệ thống kiểm soát công nghiệp đã tiến hành thăm dò hệ thống lưới điện kể từ cuối năm 2018, tập trung chủ yếu vào các hệ thống điều khiển điện tử có vai trò quản lý hoạt động tại các cơ sở công nghiệp và các mạng lưới dữ liệu kết nối với các hạ tầng cơ sở trọng yếu trên toàn lục địa châu Âu và Mỹ. Người ta đã phát hiện các tập tin quan trọng (bao gồm mật khẩu, sơ đồ và thiết kế kỹ thuật nhạy cảm của các nhà máy điện) từ tập đoàn năng lượng Calpine - doanh nghiệp điều hành 82 nhà máy điện tại 18 bang của Mỹ và Canada, đã bị đánh cắp trong một vụ xâm nhập vào khoảng tháng 08/2013 và có thể vẫn đang tiếp tục diễn ra.
Năm ngoái, trang Washington Examiner cho biết, các tin tặc Nga (Dragonfly hoặc Energetic Bear, hoạt động cho một tổ chức do nhà nước tài trợ) đã xâm chiếm hàng trăm phòng điều khiển thuộc hệ thống mạng lưới điện của Mỹ và có thể cắt điện bất cứ lúc nào. Hãng bảo mật Dragos cảnh báo nhóm gián điệp mạng RASPITE (Leafminer) đang nhắm mục tiêu vào các tổ chức ở Mỹ, châu Âu, Trung Đông và Đông Á. Các chuyên gia an ninh lo ngại, các hệ thống máy tính được sử dụng để kiểm soát khoảng 5.700 nhà máy điện khắp nước Mỹ có thể sẽ là những mục tiêu hàng đầu của khủng bố mạng.
Báo The New York Times ngày 15/6/2019 tiết lộ, Mỹ đang tăng cường các cuộc tấn công mạng vào mạng lưới điện của Nga và cài mã độc vào hệ thống này - vừa là thông điệp cảnh báo vừa nhằm chuẩn bị cho việc tăng cường tấn công mạng trong trường hợp Mỹ-Nga xảy ra xung đột, là một phần trong việc chuyển sang chiến lược an ninh cứng rắn hơn; việc thăm dò hệ thống lưới điện của Nga được thực hiện từ ít nhất là năm 2012.
Thông tin được đăng tải giữa lúc quan hệ căng thẳng giữa hai nước tiếp tục leo thang sau khi Mỹ công bố kế hoạch triển khai thêm 1.000 binh sĩ đến Ba Lan. Đại sứ Nga tại Mỹ vào tháng 3 vừa qua tiết lộ, chỉ trong vòng vài ngày, Nga phát hiện khoảng 3 triệu đợt tấn công được thực hiện từ lãnh thổ nước Mỹ, nhằm vào hệ thống mạng của Nga, bao gồm cả các hệ thống kiểm soát cơ sở hạ tầng của nước này.
Vẫn chưa có bằng chứng về việc liệu Nga và Mỹ có thực sự cài mã độc vào mạng lưới điện của nhau hay không. Tuy nhiên, những tiết lộ trên đã làm dấy lên câu hỏi về việc liệu mạng lưới điện của một quốc gia - hoặc những cơ sở hạ tầng quan trọng khác giúp duy trì hoạt động của nhà ở, nhà máy và bệnh viện… có phải là một mục tiêu hợp pháp của một cuộc tấn công mạng hay không?
LÊ NGỌC