Cyberattack
on Illinois water utility may confirm Stuxnet warnings
Báo
cáo tình hình nói rằng một cuộc tấn công của nước
ngoài đã vô hiệu hóa một máy bơm nước tại cơ sở
nước ở Illinois, các chuyên gia, những người đã thấy
bản báo cáo, nói. Sau khi phát hiện ra vũ khí không gian
mạng Stuxnet một năm về trước, nhiều chuyên gia đã
đoán trước rằng các cuộc tấn công vào hạ tầng của
Mỹ là sắp xảy ra tới nơi rồi.
A
state report claims that a foreign cyberattack disabled a water pump
at an Illinois water utility, say experts who have seen the report.
After discovery of the Stuxnet cyberweapon a year ago, many experts
predicted that cyberattacks on US infrastructure were imminent.
By Mark
Clayton, Staff writer / November 18, 2011
Bài được đưa lên
Internet ngày: 18/11/2011
Lời
người dịch: Rất có thể lời cảnh báo của Ralph
Langner khi phát hiện ra Stuxnet một năm về trước đã
đúng. Ngày 08/11/2011 vừa qua, một cuộc tấn công không
gian mạng từ nước ngoài đã làm cháy một máy bơm của
một cơ sở xử lý nước nằm tại bang Illinois, nước
Mỹ. Một cuộc tấn công không gian mạng của nước
ngoài vào các hệt thống máy tính của một cơ sở nước
ở Illinois, hệ thống mà đầu tháng này đã làm cháy hết
một máy bơm nước, theo một báo cáo tình hình gần đây.
Cuộc tấn công có thể là ý định được biết tới lần
đàu phá hoại thành công một mẩu hạ tầng sống còn
của Mỹ, các chuyên gia các hệ thống công nghiệp, nói.
“Cuộc tấn công đã xảy ra chỉ hơn một năm sau khi
phát hiện ra Stuxnet, vũ khí siêu hạng không gian mạng
được khẳng định công khai lần đầu tiên - một tên
lửa số có dẫn đường mà có thể nổi lên từ không
gian mạng để phá hủy một mục tiêu vật lý trong thế
giới thực. Đích của nó là các cơ sở nhiên liệu hạt
nhân của Iran, và các chuyên gia an ninh đã đoán trước
rằng các cuộc tấn công sao chép lại vào các trang thiết
bị công nghiệp của thế giới thực có thể theo sau
trong vòng 1 hoặc 2 năm. Cuộc tấn công ngày 08/11 tại
Illinois đã không phải là một cuộc tấn công dạng
Stuxnet, nhưng nó gợi ý một mức độ quan tâm cao hơn của
các tin tặc trong việc kiểm soát các hệ thống công
nghiệp - và phá hoại chúng”. Thủ phạm chưa được tìm
ra, mặc dù: ““Lúc nào đó trong ngày 08/11, một nhân
viên khu vực nước đã lưu ý các vấn đề với hệ
thống SCADA”, Weiss nói, trích báo cáo. “Hệ thống
SCADA đã lúc bật lúc tắt, làm cháy máy bơm”. Một
kỹ thuật viên đã kiểm tra các lưu ký của hệ thống
SCADA và thấy rằng “hệ thống đã bị thâm nhập từ
xa vào từ một địa chỉ IP nằm ở Nga”. Xem thêm:
[01],
[02],
[03].
FBI và các cơ quan
khác đang điều tra cuộc tấn công ngày 08/11, Peter
Boogaard, một người phát ngôn cho Bộ An ninh Nội địa
DHS, nói trong một tuyên bố bằng văn bản. Tên của cơ
sở còn chưa được tung ra.
Những tác động của
cuộc tấn công có thể rộng lớn hơn nhiều so với chỉ
là việc đánh sập một cái bơm đơn giản. Các tin tặc
có thể cũng đã ăn cắp được các mật khẩu và các
thông tin khác cần thiết để giành được sự truy cập
tới nhiều hệ thống kiểm soát các cơ sở nước hơn
trên khắp nước Mỹ, theo báo cáo ngày 10/11 của Trung tâm
Tình báo và Chống Khủng bố của bang Illinois, một cơ
quan hợp tác nhà nước liên danh. Một số các chi tiết
của nó đã được phát hiện hôm thứ năm trên blog của
Joe Weiss, chủ tịch của Các giải pháp Kiểm soát được
Áp dụng (Applied Control Solutions) và một chuyên gia an ninh
hệ thống.
Cuộc
tấn công đã xảy ra chỉ hơn một năm sau khi phát hiện
ra Stuxnet, vũ khí siêu hạng không gian mạng được khẳng
định công khai lần đầu tiên - một tên lửa số có dẫn
đường mà có thể nổi lên từ không gian mạng để phá
hủy một mục tiêu vật lý trong thế giới thực. Đích
của nó là các cơ sở nhiên liệu hạt nhân của Iran, và
các chuyên gia an ninh đã đoán trước rằng các cuộc tấn
công sao chép lại vào các trang thiết bị công nghiệp của
thế giới thực có thể theo sau trong vòng 1 hoặc 2 năm.
Cuộc tấn công ngày 08/11 tại Illinois đã không phải là
một cuộc tấn công dạng Stuxnet, nhưng nó gợi ý một
mức độ quan tâm cao hơn của các tin tặc trong việc kiểm
soát các hệ thống công nghiệp - và phá hoại chúng.
A
foreign cyberattack on the computer control systems of an Illinois
water utility system earlier this month burned out a water pump,
according to a recent state report. The attack may be the first known
attempt to successfully destroy a piece of critical US
infrastructure, say industrial control-system experts.
The
Federal
Bureau of Investigation and other agencies are investigating the
Nov. 8 cyberattack, said Peter Boogaard, a spokesman for the
Department
of Homeland Security (DHS), in a written statement. The name of
the utility was not released.
The
implications of the attack could be far broader than just wrecking a
single pump. Hackers may have also stolen passwords and other
information needed to gain access to many more water utility control
systems across the United
States, according to the Nov. 10 report by the Illinois Statewide
Terrorism and Intelligence Center, a federal-state cooperative
venture. Some of its details were revealed Thursday on the blog of
Joe Weiss, president of Applied Control Solutions and a
control-system security expert.
The
attack occured just more than a year after the discovery of Stuxnet,
the first publicly confirmed cyber superweapon – a digital
guided missile that could emerge from cyberspace to destroy a
physical target in the real world. Its target was Iran's
nuclear fuel facilities, and security experts predicted that copycat
attacks on real-world industrial equipment could follow within a year
or two.
The
Nov. 8 attack in Illinois wasn't a Stuxnet-type attack, but it
suggests a higher level of interest among hackers in controlling
industrial systems – and sabotaging them.
“Đây là một việc
lớn”, ông Weiss nói. “Người ta có thể cho rằng trường
hợp đầu tiên nơi mà chúng ta đã có hạ tầng sống còn
bị nhắm đích bởi những người ở bên ngoài nước Mỹ
và các thiết bị bị thiệt hại là một kết quả. Nhưng
vấn đề thực sự lớn là ai đó đã thâm nhập vào được
một [nhà cung cấp phần mềm mà bán các hệ thống kiểm
soát cho các cơ sở nước] chỉ để lấy các userID và
mật khẩu đối với các cơ sở là các khách hàng của
nó”.
DHS đã đánh giá thấp
vụ việc.
“DHS và FBI đang thu
thập các bằng chứng xung quanh báo cáo về một máy bơm
nước hỏng tại Springfield, bang Illinois”, ông Boogaard
nói. “Lần này không có những dữ liệu chứng thực
đáng tin cậy mà đã chỉ ra một sự rủi ro cho các thực
thể hạ tầng sống còn hoặc một mối đe dọa cho an
toàn công cộng”.
Một phân tích các
lưu ký máy tính của hãng có cơ sở nước ở Illinois chỉ
ra cuộc tấn công đã tới từ địa chỉ Internet của một
máy tính tại Nga. Báo cáo của trung tâm ở Illinois có đầu
đề “Sự thâm nhập không gian mạng vào khu vực nước
công cộng”, theo Weiss. Ông đọc các phần của báo cáo,
đã đánh dấu “Chỉ để sử dụng chính thức” cho
người báo cáo này. Các chi tiết đã được khẳng định
bằng một chuyên gia công nghiệp nước, người đã thấy
một tài liệu chính thức tương tự và đã yêu cầu giữ
nặc danh vì sợ bị loại trừ khỏi các báo cáo mật
trong tương lai.
“Lúc
nào đó trong ngày 08/11, một nhân viên khu vực nước đã
lưu ý các vấn đề với hệ thống SCADA”, Weiss nói,
trích báo cáo. “Hệ thống SCADA đã lúc bật lúc tắt,
làm cháy máy bơm”.
Một
kỹ thuật viên đã kiểm tra các lưu ký của hệ thống
SCADA và thấy rằng “hệ thống đã bị thâm nhập từ
xa vào từ một địa chỉ IP nằm ở Nga”, Weiss
nói, tiếp tục từ báo cáo.
"This
is a big deal," Mr. Weiss says. "It's arguably the first
case where we've had critical infrastructure targeted by people
outside the US and equipment damaged as a result. But the really big
issue is that someone hacked a [software vendor who sells control
systems to water utilities] just to get at the user-IDs and passwords
for the utilities that were its customers."
The
DHS downplayed the incident.
"DHS
and the FBI are gathering facts surrounding the report of a water
pump failure in Springfield,
Ill.," said Mr. Boogaard. "At this time there is no
credible corroborated data that indicates a risk to critical
infrastructure entities or a threat to public safety."
An
analysis of the Illinois water utility company's computer logs
indicates the attack came from the Internet address of a computer in
Russia.
The Illinois center's report is titled "Public Water District
Cyber Intrusion," according to Weiss. He read sections of the
report, marked "For Official Use Only," to this reporter.
The details were confirmed by a water industry expert, who has seen a
similar official document and asked to remain anonymous for fear
of being excluded from confidential reports in the future.
"Sometime
during the day of Nov. 8, a water district employee noticed problems
with the SCADA [Supervisory Control And Data Acquisition] system,"
said Weiss, quoting the report. "It [the SCADA system] was going
on and off, resulting in the burnout of the pump."
A
technician who checked the logs of the SCADA system found that "the
system had been remotely hacked into from an IP address located in
Russia," Weiss said, continuing from the report.
Nhưng những kẻ tấn
công có vẻ nằm bên trong các hệ thống máy tính của cơ
sở tiện ích ít nhất là vài tháng vì “các công nhân
đã bắt đầu lưu ý thấy những trục trặc nhỏ” trong
chức năng truy cập hệ thống từ đầu tháng 9, Weiss nói.
Báo cáo cũng nói:
“Còn chưa rõ vào lúc này số lượng các tên sử dụng
và các mật khẩu của SCADA được yêu cầu từ cơ sở
dữ liệu của công ty phần mềm, và liệu có bất kỳ hệ
thống SCADA bổ sung nào đã bị tấn công như một kết
quả của những tên trộm hay chưa”.
Nếu đúng, thì kể
trộm có thể đã có những cảnh báo hậu quả, vì nó
chỉ ra những tin tặc đã thâm nhập vào hệ thống kiểm
soát ở Illinois chỉ sau khi giành được sự truy cập tới
nó hình như từ một nhà cung cấp phần mềm cho cơ sở
đó, Weiss nói và các chuyên gia khác khẳng định.
“Báo có khoogn nói
liệu công ty mà đã bị tấn công là một nhà tích hợp
hệ thống nhỏ hay một nhà cung cấp lớn”, Weiss nói.
“Tôi đang hy vọng là một hãng nhỏ với ít khách hàng
hơn nhiều”.
Theo cách đó, cuộc
tấn công là hoàn toàn khác đối với một cuộc tấn
công trước đó được biết như là các cuộc tấn công
hạ tầng không gian mạng - bởi một nhân viên cũ bất
mãn của một cơ sở xử lý nước tại Queensland, Úc. Vào
năm 2000, ông ta đã sử dụng tri thức của người bên
trong của ông ta để truy cập vào hệ thống đó từ xa
và xả ra hàng trăm ngàn ga lông nước thải.
Gần đây, dạng tấn
công đó được sử dụng chống lại cơ sở ở Illinois
đã trở thành một tiếp cận tiêu chuẩn. Các tin tặc
cao cấp thấy điều này hiệu quả hơn đi sau các nhà
cung cấp phần mềm và các nhà cung cấp hệ thống an
ninh, những người có mã và các mật khẩu các khách hàng
của họ, các chuyên gia an ninh nói. Nếu một tin tặc có
thể truy cập được vào mạch nước chủ, thì sẽ ít
tốn thời gian hơn so với việc thâm nhập mục tiêu một
cách riêng rẽ.
But
the hackers had likely been inside the utility's computer systems for
at least several months because "workers had begun to notice
minor glitches" in the system access function as early as
September, Weiss said.
The
report also said: "It is unknown at this time the number
of SCADA usernames and passwords acquired from the software company's
database, and if any additional SCADA systems have been attacked as a
result of the theft."
If
true, the theft could have alarming consequences, because it
indicates hackers infiltrated the Illinois control system only after
gaining access to it apparently from a software supplier to the
utility, Weiss said and other experts confirmed.
"The
report doesn't say if the company that got hacked is a small system
integrator or a big vendor," Weiss says. "I'm hoping it's a
small one with a lot fewer clients."
In
that way, the attack is quite different from one of the earliest
known cyber-infrastructure attacks – by a disgruntled former
employee of a Queensland,
Australia,
water treatment utility. In 2000, he used his insider knowledge to
access that system remotely and release hundreds of thousands of
gallons of sewage.
Recently,
the sort of attack employed against the Illinois facility has become
a standard approach. High-end hackers find it more efficient to go
after software vendors and security-system vendors who have the codes
and passwords of their clients, security experts say. If a hacker can
get access to the mother lode, it's much less time consuming than
hacking each target individually.
“Không nhất thiết
chỉ một cuộc tấn công vào một cơ sở xử lý nước”,
David Aitel, chủ tịch của hãng Immunity, một hãng về an
ninh KGM có trụ sở ở Miami, nói. “Phần lớn điều này
dường như về ai đó tấn công chuỗi cung ứng đối với
các thiết bị hệ thống kiểm soát công nghiệp. Nếu bạn
có thể tấn công chuỗi cung ứng, thì bạn có thể về
cơ bản đánh được vào nhiều cơ sở. Nếu các báo cáo
này mà đúng, thì bạn hãy nhìn vào một mối đe dọa rất
lớn - và ai đó người thực sự hiểu họ đã đang làm
gì”.
Các tin tặc, có thể
hoạt động từ Trung Quốc, đầu năm nay đã ăn cắp các
dữ liệu từ RSA Security Solutions, mà cung cấp sự truy cập
các máy tính ở xa cho các nhà thầu quốc phòng và các cơ
quan chính phủ. Một số công ty mà đã sử dụng các
thiết bị RSA sau đó đã bị thâm nhập có sử dụng các
thông tin ăn cắp được.
Weiss nói ông đã đưa
các phần của báo cáo Illinois, mà không chỉ ra địa điểm
của cơ sở bị đánh đó, để cảnh báo cho các cơ sở
nước khác rằng các hệ thống kiểm soát của họ có
thể cũng đã bị tấn công rồi. Ông cũng lo ngại rằng
ICS-CERT của Bộ An ninh nội địa đã không làm tốt công
việc thông báo cho họ.
DHS đã đẩy ngược
lại lý lẽ này.
Nếu điều này “xác
định bất kỳ thông tin nào về những ảnh hưởng có
khả năng cho các thực thể bổ sung nào, thì sẽ reo rắc
thông tin giảm nhẹ đúng lúc khi nó trở nên sẵn sàng”,
Boogaard nói.
"It
wasn't necessarily just an attack on that one water-treatment
facility," says David Aitel, president of Immunity
Inc., a Miami-based
cybersecurity company. "A large part of this appears to be about
someone attacking the supply chain for industrial control-system
devices. If you can attack the supply chain, you can essentially hit
many facilities. If these reports are true, you're looking at a very
large threat – and someone who really knew what they were doing."
Hackers,
possibly operating from China,
earlier this year stole access data from RSA
Security Solutions, which provides secure remote computer access
to defense contractors and government agencies. Some companies that
used RSA devices were later hacked using the stolen information.
Weiss
says he posted parts of the Illinois report, without indicating the
location of the utility that got hit, in order to alert other water
utilities that their control systems may have been hacked, too. He
also worries that the Department of Homeland Security's Industrial
Control System Computer Emergency Response Team was not doing a good
job informing them.
DHS
pushed back against this allegation.
If
it "identifies any information about possible impacts to
additional entities, it will disseminate timely mitigation
information as it becomes available," said Boogaard.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.