Tấn công KGM vào cơ sở nước ở Illinois có thể khẳng định cảnh báo Stuxnet

Cyberattackon Illinois water utility may confirm Stuxnet warnings

Báocáo tình hình nói rằng một cuộc tấn công của nướcngoài đã vô hiệu hóa một máy bơm nước tại cơ sởnước ở Illinois, các chuyên gia, những người đã thấybản báo cáo, nói. Sau khi phát hiện ra vũ khí không gianmạng Stuxnet một năm về trước, nhiều chuyên gia đãđoán trước rằng các cuộc tấn công vào hạ tầng củaMỹ là sắp xảy ra tới nơi rồi.

Astate report claims that a foreign cyberattack disabled a water pumpat an Illinois water utility, say experts who have seen the report.After discovery of the Stuxnet cyberweapon a year ago, many expertspredicted that cyberattacks on US infrastructure were imminent.

By MarkClayton, Staff writer / November 18, 2011

Theo:http://www.csmonitor.com/USA/2011/1118/Cyberattack-on-Illinois-water-utility-may-confirm-Stuxnet-warnings

Bài được đưa lênInternet ngày: 18/11/2011

Lờingười dịch: Rất có thể lời cảnh báo của RalphLangner khi phát hiện ra Stuxnet một năm về trước đãđúng. Ngày 08/11/2011 vừa qua, một cuộc tấn công khônggian mạng từ nước ngoài đã làm cháy một máy bơm củamột cơ sở xử lý nước nằm tại bang Illinois, nướcMỹ. Một cuộc tấn công không gian mạng của nướcngoài vào các hệt thống máy tính của một cơ sở nướcở Illinois, hệ thống mà đầu tháng này đã làm cháy hếtmột máy bơm nước, theo một báo cáo tình hình gần đây.Cuộc tấn công có thể là ý định được biết tới lầnđàu phá hoại thành công một mẩu hạ tầng sống còncủa Mỹ, các chuyên gia các hệ thống công nghiệp, nói.“Cuộc tấn công đã xảy ra chỉ hơn một năm sau khiphát hiện ra Stuxnet, vũ khí siêu hạng không gian mạngđược khẳng định công khai lần đầu tiên - một tênlửa số có dẫn đường mà có thể nổi lên từ khônggian mạng để phá hủy một mục tiêu vật lý trong thếgiới thực. Đích của nó là các cơ sở nhiên liệu hạtnhân của Iran, và các chuyên gia an ninh đã đoán trướcrằng các cuộc tấn công sao chép lại vào các trang thiếtbị công nghiệp của thế giới thực có thể theo sautrong vòng 1 hoặc 2 năm. Cuộc tấn công ngày 08/11 tạiIllinois đã không phải là một cuộc tấn công dạngStuxnet, nhưng nó gợi ý một mức độ quan tâm cao hơn củacác tin tặc trong việc kiểm soát các hệ thống côngnghiệp - và phá hoại chúng”. Thủ phạm chưa được tìmra, mặc dù: ““Lúc nào đó trong ngày 08/11, một nhânviên khu vực nước đã lưu ý các vấn đề với hệthống SCADA”, Weiss nói, trích báo cáo. “Hệ thốngSCADA đã lúc bật lúc tắt, làm cháy máy bơm”. Mộtkỹ thuật viên đã kiểm tra các lưu ký của hệ thốngSCADA và thấy rằng “hệ thống đã bị thâm nhập từxa vào từ một địa chỉ IP nằm ở Nga”. Xem thêm:[01],[02],[03].

FBI và các cơ quankhác đang điều tra cuộc tấn công ngày 08/11, PeterBoogaard, một người phát ngôn cho Bộ An ninh Nội địaDHS, nói trong một tuyên bố bằng văn bản. Tên của cơsở còn chưa được tung ra.

Những tác động củacuộc tấn công có thể rộng lớn hơn nhiều so với chỉlà việc đánh sập một cái bơm đơn giản. Các tin tặccó thể cũng đã ăn cắp được các mật khẩu và cácthông tin khác cần thiết để giành được sự truy cậptới nhiều hệ thống kiểm soát các cơ sở nước hơntrên khắp nước Mỹ, theo báo cáo ngày 10/11 của Trung tâmTình báo và Chống Khủng bố của bang Illinois, một cơquan hợp tác nhà nước liên danh. Một số các chi tiếtcủa nó đã được phát hiện hôm thứ năm trên blog củaJoe Weiss, chủ tịch của Các giải pháp Kiểm soát đượcÁp dụng (Applied Control Solutions) và một chuyên gia an ninhhệ thống.

Cuộctấn công đã xảy ra chỉ hơn một năm sau khi phát hiệnra Stuxnet, vũ khí siêu hạng không gian mạng được khẳngđịnh công khai lần đầu tiên - một tên lửa số có dẫnđường mà có thể nổi lên từ không gian mạng để pháhủy một mục tiêu vật lý trong thế giới thực. Đíchcủa nó là các cơ sở nhiên liệu hạt nhân của Iran, vàcác chuyên gia an ninh đã đoán trước rằng các cuộc tấncông sao chép lại vào các trang thiết bị công nghiệp củathế giới thực có thể theo sau trong vòng 1 hoặc 2 năm.Cuộc tấn công ngày 08/11 tại Illinois đã không phải làmột cuộc tấn công dạng Stuxnet, nhưng nó gợi ý mộtmức độ quan tâm cao hơn của các tin tặc trong việc kiểmsoát các hệ thống công nghiệp - và phá hoại chúng.

Aforeign cyberattack on the computer control systems of an Illinoiswater utility system earlier this month burned out a water pump,according to a recent state report. The attack may be the first knownattempt to successfully destroy a piece of critical USinfrastructure, say industrial control-system experts.

TheFederalBureau of Investigation and other agencies are investigating theNov. 8 cyberattack, said Peter Boogaard, a spokesman for theDepartmentof Homeland Security (DHS), in a written statement. The name ofthe utility was not released.

Theimplications of the attack could be far broader than just wrecking asingle pump. Hackers may have also stolen passwords and otherinformation needed to gain access to many more water utility controlsystems across the UnitedStates, according to the Nov. 10 report by the Illinois StatewideTerrorism and Intelligence Center, a federal-state cooperativeventure. Some of its details were revealed Thursday on the blog ofJoe Weiss, president of Applied Control Solutions and acontrol-system security expert.

Theattack occured just more than a year after the discovery of Stuxnet,the first publicly confirmed cyber superweapon – a digitalguided missile that could emerge f-rom cyberspace to destroy aphysical target in the real world. Its target was Iran'snuclear fuel facilities, and security experts predicted that copycatattacks on real-world industrial equipment could follow within a yearor two.

TheNov. 8 attack in Illinois wasn't a Stuxnet-type attack, but itsuggests a higher level of interest among hackers in controllingindustrial systems – and sabotaging them. 

“Đây là một việclớn”, ông Weiss nói. “Người ta có thể cho rằng trườnghợp đầu tiên nơi mà chúng ta đã có hạ tầng sống cònbị nhắm đích bởi những người ở bên ngoài nước Mỹvà các thiết bị bị thiệt hại là một kết quả. Nhưngvấn đề thực sự lớn là ai đó đã thâm nhập vào đượcmột [nhà cung cấp phần mềm mà bán các hệ thống kiểmsoát cho các cơ sở nước] chỉ để lấy các userID vàmật khẩu đối với các cơ sở là các khách hàng củanó”.

DHS đã đánh giá thấpvụ việc.

“DHS và FBI đang thuthập các bằng chứng xung quanh báo cáo về một máy bơmnước hỏng tại Springfield, bang Illinois”, ông Boogaardnói. “Lần này không có những dữ liệu chứng thựcđáng tin cậy mà đã chỉ ra một sự rủi ro cho các thựcthể hạ tầng sống còn hoặc một mối đe dọa cho antoàn công cộng”.

Một phân tích cáclưu ký máy tính của hãng có cơ sở nước ở Illinois chỉra cuộc tấn công đã tới từ địa chỉ Internet của mộtmáy tính tại Nga. Báo cáo của trung tâm ở Illinois có đầuđề “Sự thâm nhập không gian mạng vào khu vực nướccông cộng”, theo Weiss. Ông đọc các phần của báo cáo,đã đánh dấu “Chỉ để sử dụng chính thức” chongười báo cáo này. Các chi tiết đã được khẳng địnhbằng một chuyên gia công nghiệp nước, người đã thấymột tài liệu chính thức tương tự và đã yêu cầu giữnặc danh vì sợ bị loại trừ khỏi các báo cáo mậttrong tương lai.

“Lúcnào đó trong ngày 08/11, một nhân viên khu vực nước đãlưu ý các vấn đề với hệ thống SCADA”, Weiss nói,trích báo cáo. “Hệ thống SCADA đã lúc bật lúc tắt,làm cháy máy bơm”.

Mộtkỹ thuật viên đã kiểm tra các lưu ký của hệ thốngSCADA và thấy rằng “hệ thống đã bị thâm nhập từxa vào từ một địa chỉ IP nằm ở Nga”, Weissnói, tiếp tục từ báo cáo.

"Thisis a big deal," Mr. Weiss says. "It's arguably the firstcase whe-re we've had critical infrastructure targeted by peopleoutside the US and equipment damaged as a result. But the really bigissue is that someone hacked a [software vendor who sells controlsystems to water utilities] just to get at the user-IDs and passwordsfor the utilities that were its customers."

TheDHS downplayed the incident.

"DHSand the FBI are gathering facts surrounding the report of a waterpump failure in Springfield,Ill.," said Mr. Boogaard. "At this time there is nocredible corroborated data that indicates a risk to criticalinfrastructure entities or a threat to public safety."

Ananalysis of the Illinois water utility company's computer logsindicates the attack came f-rom the Internet address of a computer inRussia.The Illinois center's report is titled "Public Water DistrictCyber Intrusion," according to Weiss. He read sections of thereport, marked "For Official Use Only," to this reporter.The details were confirmed by a water industry expert, who has seen asimilar official document and asked to remain anonymous for fearof being excluded f-rom confidential reports in the future.

"Sometimeduring the day of Nov. 8, a water district employee noticed problemswith the SCADA [Supervisory Control And Data Acquisition] system,"said Weiss, quoting the report. "It [the SCADA system] was goingon and off, resulting in the burnout of the pump."

Atechnician who checked the logs of the SCADA system found that "thesystem had been remotely hacked into f-rom an IP address located inRussia," Weiss said, continuing f-rom the report.

Nhưng những kẻ tấncông có vẻ nằm bên trong các hệ thống máy tính của cơsở tiện ích ít nhất là vài tháng vì “các công nhânđã bắt đầu lưu ý thấy những trục trặc nhỏ” trongchức năng truy cập hệ thống từ đầu tháng 9, Weiss nói.

Báo cáo cũng nói:“Còn chưa rõ vào lúc này số lượng các tên sử dụngvà các mật khẩu của SCADA được yêu cầu từ cơ sởdữ liệu của công ty phần mềm, và liệu có bất kỳ hệthống SCADA bổ sung nào đã bị tấn công như một kếtquả của những tên trộm hay chưa”.

Nếu đúng, thì kểtrộm có thể đã có những cảnh báo hậu quả, vì nóchỉ ra những tin tặc đã thâm nhập vào hệ thống kiểmsoát ở Illinois chỉ sau khi giành được sự truy cập tớinó hình như từ một nhà cung cấp phần mềm cho cơ sởđó, Weiss nói và các chuyên gia khác khẳng định.

“Báo có khoogn nóiliệu công ty mà đã bị tấn công là một nhà tích hợphệ thống nhỏ hay một nhà cung cấp lớn”, Weiss nói.“Tôi đang hy vọng là một hãng nhỏ với ít khách hànghơn nhiều”.

Theo cách đó, cuộctấn công là hoàn toàn khác đối với một cuộc tấncông trước đó được biết như là các cuộc tấn cônghạ tầng không gian mạng - bởi một nhân viên cũ bấtmãn của một cơ sở xử lý nước tại Queensland, Úc. Vàonăm 2000, ông ta đã sử dụng tri thức của người bêntrong của ông ta để truy cập vào hệ thống đó từ xavà xả ra hàng trăm ngàn ga lông nước thải.

Gần đây, dạng tấncông đó được sử dụng chống lại cơ sở ở Illinoisđã trở thành một tiếp cận tiêu chuẩn. Các tin tặccao cấp thấy điều này hiệu quả hơn đi sau các nhàcung cấp phần mềm và các nhà cung cấp hệ thống anninh, những người có mã và các mật khẩu các khách hàngcủa họ, các chuyên gia an ninh nói. Nếu một tin tặc cóthể truy cập được vào mạch nước chủ, thì sẽ íttốn thời gian hơn so với việc thâm nhập mục tiêu mộtcách riêng rẽ.

Butthe hackers had likely been inside the utility's computer systems forat least several months because "workers had begun to noticeminor glitches" in the system access function as early asSeptember, Weiss said.

Thereport also said:  "It is unknown at this time the numberof SCADA usernames and passwords acquired f-rom the software company'sdatabase, and if any additional SCADA systems have been attacked as aresult of the theft."

Iftrue, the theft could have alarming consequences, because itindicates hackers infiltrated the Illinois control system only aftergaining access to it apparently f-rom a software supplier to theutility, Weiss said and other experts confirmed. 

"Thereport doesn't say if the company that got hacked is a small systemintegrator or a big vendor," Weiss says. "I'm hoping it's asmall one with a lot fewer clients."

Inthat way, the attack is quite different f-rom one of the earliestknown cyber-infrastructure attacks – by a disgruntled formeremployee of a Queensland,Australia,water treatment utility. In 2000, he used his insider knowledge toaccess that system remotely and release hundreds of thousands ofgallons of sewage.

Recently,the sort of attack employed against the Illinois facility has becomea standard approach. High-end hackers find it more efficient to goafter software vendors and security-system vendors who have the codesand passwords of their clients, security experts say. If a hacker canget access to the mother lode, it's much less time consuming thanhacking each target individually.

“Không nhất thiếtchỉ một cuộc tấn công vào một cơ sở xử lý nước”,David Aitel, chủ tịch của hãng Immunity, một hãng về anninh KGM có trụ sở ở Miami, nói. “Phần lớn điều nàydường như về ai đó tấn công chuỗi cung ứng đối vớicác thiết bị hệ thống kiểm soát công nghiệp. Nếu bạncó thể tấn công chuỗi cung ứng, thì bạn có thể vềcơ bản đánh được vào nhiều cơ sở. Nếu các báo cáonày mà đúng, thì bạn hãy nhìn vào một mối đe dọa rấtlớn - và ai đó người thực sự hiểu họ đã đang làmgì”.

Các tin tặc, có thểhoạt động từ Trung Quốc, đầu năm nay đã ăn cắp cácdữ liệu từ RSA Security Solutions, mà cung cấp sự truy cậpcác máy tính ở xa cho các nhà thầu quốc phòng và các cơquan chính phủ. Một số công ty mà đã sử dụng cácthiết bị RSA sau đó đã bị thâm nhập có sử dụng cácthông tin ăn cắp được.

Weiss nói ông đã đưacác phần của báo cáo Illinois, mà không chỉ ra địa điểmcủa cơ sở bị đánh đó, để cảnh báo cho các cơ sởnước khác rằng các hệ thống kiểm soát của họ cóthể cũng đã bị tấn công rồi. Ông cũng lo ngại rằngICS-CERT của Bộ An ninh nội địa đã không làm tốt côngviệc thông báo cho họ.

DHS đã đẩy ngượclại lý lẽ này.

Nếu điều này “xácđịnh bất kỳ thông tin nào về những ảnh hưởng cókhả năng cho các thực thể bổ sung nào, thì sẽ reo rắcthông tin giảm nhẹ đúng lúc khi nó trở nên sẵn sàng”,Boogaard nói.

Đượckhuyến cáo: Từ người đã phát hiện ra Stuxnet, dámcảnh bảo một năm về trước

"Itwasn't necessarily just an attack on that one water-treatmentfacility," says David Aitel, president of ImmunityInc., a Miami-basedcybersecurity company. "A large part of this appears to be aboutsomeone attacking the supply chain for industrial control-systemdevices. If you can attack the supply chain, you can essentially hitmany facilities. If these reports are true, you're looking at a verylarge threat – and someone who really knew what they were doing."

Hackers,possibly operating f-rom China,earlier this year stole access data f-rom RSASecurity Solutions, which provides secure remote computer accessto defense contractors and government agencies. Some companies thatused RSA devices were later hacked using the stolen information.

Weisssays he posted parts of the Illinois report, without indicating thelocation of the utility that got hit, in order to alert other waterutilities that their control systems may have been hacked, too. Healso worries that the Department of Homeland Security's IndustrialControl System Computer Emergency Response Team was not doing a goodjob informing them.

DHSpushed back against this allegation.

Ifit "identifies any information about possible impacts toadditional entities, it will disseminate timely mitigationinformation as it becomes available," said Boogaard.

RECOMMENDED: F-romthe man who discovered Stuxnet, dire warnings one year later

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com