Trung tâm An ninh mạng Quốc gia (NCSC) của Vương quốc Anh và đối tác của Hoa Kỳ là Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã đưa ra cảnh báo về mối đe dọa ngày càng tăng từ các tác nhân đe dọa tấn công do Nga hậu thuẫn nhắm vào cơ sở hạ tầng quan trọng của quốc gia (CNI), sau khi một số công ty tiện ích của Mỹ đã bị tấn công.
NCSC trước đây đã cảnh báo về sự gia tăng hoạt động lính đánh thuê của các nhóm ủng hộ Nga hoạt động dựa trên cơ sở ý thức hệ – đây không nhất thiết là các nhóm đe dọa vui mừng với những cái tên như Cosy Bear được Điện Kremlin hậu thuẫn chính thức, mà là các nhóm không phức tạp hơn về mặt kỹ thuật hoạt động của theo ý riêng của họ.
Kể từ đầu năm 2024, các nhóm như vậy đã được phát hiện nhắm mục tiêu vào các hệ thống kiểm soát công nghiệp quy mô nhỏ, dễ bị tổn thương ở cả Châu Âu và Bắc Mỹ, và điều này đã dẫn đến một số gián đoạn vật lý ở Hoa Kỳ.
Cụ thể, một số nạn nhân của hệ thống nước và nước thải của Mỹ đã chứng kiến máy bơm nước và thiết bị quạt gió vượt quá thông số vận hành trong thời gian ngắn và một số đã gặp phải sự cố tràn bể sau khi giao diện người-máy (HMI) của họ bị tấn công.
Trong các cuộc tấn công này, những kẻ tấn công đã đạt đến điểm đặt tối đa, thay đổi các cài đặt khác, tắt cảnh báo và cảnh báo, đồng thời thay đổi mật khẩu quản trị viên để khóa người vận hành.
Họ đã sử dụng nhiều kỹ thuật khác nhau để có được quyền truy cập vào hệ thống, chủ yếu khai thác các yếu tố khác nhau của giao thức điện toán mạng ảo (VNC).
NCSC cho biết: “Tiếp tục có mối đe dọa ngày càng tăng từ các chủ thể liên kết với nhà nước đến các nhà khai thác công nghệ vận hành (OT). “NCSC kêu gọi tất cả chủ sở hữu và nhà điều hành OT, bao gồm cả các nhà cung cấp dịch vụ thiết yếu của Vương quốc Anh, làm theo lời khuyên giảm thiểu được khuyến nghị ngay bây giờ để tăng cường khả năng phòng thủ của họ.”
Các nhóm hacker hoặc nhóm lính đánh thuê có thể không tinh vi trong phạm vi tấn công mạng của chúng, nhưng chúng được coi là đặc biệt nguy hiểm vì chúng không chịu sự giám sát trực tiếp từ các cơ quan tình báo Nga, do đó hành động của chúng có thể ít bị hạn chế hơn, nhắm mục tiêu rộng hơn và tác động của chúng nhiều hơn đột phá và ít dự đoán hơn.
Các cuộc tấn công của họ thường tập trung vào các cuộc tấn công từ chối dịch vụ phân tán, phá hoại trang web và thông tin sai lệch, nhưng nhiều nhóm hiện đang công khai tuyên bố rằng họ muốn tiến xa hơn và đạt được tác động đột phá hơn, thậm chí mang tính phá hoại đối với các tổ chức CNI.
NCSC cho biết: “Chúng tôi hy vọng các nhóm này sẽ tìm kiếm cơ hội để tạo ra tác động như vậy, đặc biệt nếu các hệ thống được bảo vệ kém”.
“Nếu không có sự trợ giúp từ bên ngoài, chúng tôi cho rằng các nhóm này khó có khả năng cố tình gây ra tác động mang tính hủy diệt, thay vì gây rối trong thời gian ngắn. Nhưng chúng có thể trở nên hiệu quả hơn theo thời gian và vì vậy NCSC khuyến nghị các tổ chức nên hành động ngay bây giờ để quản lý rủi ro trước các cuộc tấn công thành công trong tương lai”.
Các bước tiếp theo dành cho người bảo vệ
NCSC đang khuyến nghị các nhà khai thác CNI làm mới tình hình an ninh mạng của họ ngay lập tức, đặc biệt là làm theo lời khuyên của tổ chức này về quản trị hệ thống an toàn. Nó cũng đã tái xuất hiện các hướng dẫn về Khung đánh giá mạng để giúp các tiện ích và các bên khác xác định rõ hơn các lĩnh vực cần cải thiện.
Tại Hoa Kỳ, CISA đã công bố thêm hướng dẫn về cách bảo vệ công nghệ vận hành khỏi những kẻ tấn công. Bước đi trước mắt là các nhà khai thác CNI nên tăng cường truy cập từ xa vào HMI của họ, ngắt kết nối chúng khỏi mạng Internet công cộng và triển khai tường lửa thế hệ tiếp theo và/hoặc mạng riêng ảo nếu việc truy cập từ xa thực sự cần thiết, tăng cường thông tin xác thực và chính sách truy cập, giữ VNC đã cập nhật và thiết lập danh sách cho phép để chỉ cho phép địa chỉ IP của thiết bị được ủy quyền truy cập vào hệ thống.