Thứ Hai, 21 tháng 11, 2011

Tấn công KGM vào cơ sở nước ở Illinois có thể khẳng định cảnh báo Stuxnet


Cyberattack on Illinois water utility may confirm Stuxnet warnings
Báo cáo tình hình nói rằng một cuộc tấn công của nước ngoài đã vô hiệu hóa một máy bơm nước tại cơ sở nước ở Illinois, các chuyên gia, những người đã thấy bản báo cáo, nói. Sau khi phát hiện ra vũ khí không gian mạng Stuxnet một năm về trước, nhiều chuyên gia đã đoán trước rằng các cuộc tấn công vào hạ tầng của Mỹ là sắp xảy ra tới nơi rồi.
A state report claims that a foreign cyberattack disabled a water pump at an Illinois water utility, say experts who have seen the report. After discovery of the Stuxnet cyberweapon a year ago, many experts predicted that cyberattacks on US infrastructure were imminent.
By Mark Clayton, Staff writer / November 18, 2011
Bài được đưa lên Internet ngày: 18/11/2011
Lời người dịch: Rất có thể lời cảnh báo của Ralph Langner khi phát hiện ra Stuxnet một năm về trước đã đúng. Ngày 08/11/2011 vừa qua, một cuộc tấn công không gian mạng từ nước ngoài đã làm cháy một máy bơm của một cơ sở xử lý nước nằm tại bang Illinois, nước Mỹ. Một cuộc tấn công không gian mạng của nước ngoài vào các hệt thống máy tính của một cơ sở nước ở Illinois, hệ thống mà đầu tháng này đã làm cháy hết một máy bơm nước, theo một báo cáo tình hình gần đây. Cuộc tấn công có thể là ý định được biết tới lần đàu phá hoại thành công một mẩu hạ tầng sống còn của Mỹ, các chuyên gia các hệ thống công nghiệp, nói. “Cuộc tấn công đã xảy ra chỉ hơn một năm sau khi phát hiện ra Stuxnet, vũ khí siêu hạng không gian mạng được khẳng định công khai lần đầu tiên - một tên lửa số có dẫn đường mà có thể nổi lên từ không gian mạng để phá hủy một mục tiêu vật lý trong thế giới thực. Đích của nó là các cơ sở nhiên liệu hạt nhân của Iran, và các chuyên gia an ninh đã đoán trước rằng các cuộc tấn công sao chép lại vào các trang thiết bị công nghiệp của thế giới thực có thể theo sau trong vòng 1 hoặc 2 năm. Cuộc tấn công ngày 08/11 tại Illinois đã không phải là một cuộc tấn công dạng Stuxnet, nhưng nó gợi ý một mức độ quan tâm cao hơn của các tin tặc trong việc kiểm soát các hệ thống công nghiệp - và phá hoại chúng”. Thủ phạm chưa được tìm ra, mặc dù: ““Lúc nào đó trong ngày 08/11, một nhân viên khu vực nước đã lưu ý các vấn đề với hệ thống SCADA”, Weiss nói, trích báo cáo. “Hệ thống SCADA đã lúc bật lúc tắt, làm cháy máy bơm”. Một kỹ thuật viên đã kiểm tra các lưu ký của hệ thống SCADA và thấy rằng “hệ thống đã bị thâm nhập từ xa vào từ một địa chỉ IP nằm ở Nga”. Xem thêm: [01], [02], [03].
FBI và các cơ quan khác đang điều tra cuộc tấn công ngày 08/11, Peter Boogaard, một người phát ngôn cho Bộ An ninh Nội địa DHS, nói trong một tuyên bố bằng văn bản. Tên của cơ sở còn chưa được tung ra.
Những tác động của cuộc tấn công có thể rộng lớn hơn nhiều so với chỉ là việc đánh sập một cái bơm đơn giản. Các tin tặc có thể cũng đã ăn cắp được các mật khẩu và các thông tin khác cần thiết để giành được sự truy cập tới nhiều hệ thống kiểm soát các cơ sở nước hơn trên khắp nước Mỹ, theo báo cáo ngày 10/11 của Trung tâm Tình báo và Chống Khủng bố của bang Illinois, một cơ quan hợp tác nhà nước liên danh. Một số các chi tiết của nó đã được phát hiện hôm thứ năm trên blog của Joe Weiss, chủ tịch của Các giải pháp Kiểm soát được Áp dụng (Applied Control Solutions) và một chuyên gia an ninh hệ thống.
Cuộc tấn công đã xảy ra chỉ hơn một năm sau khi phát hiện ra Stuxnet, vũ khí siêu hạng không gian mạng được khẳng định công khai lần đầu tiên - một tên lửa số có dẫn đường mà có thể nổi lên từ không gian mạng để phá hủy một mục tiêu vật lý trong thế giới thực. Đích của nó là các cơ sở nhiên liệu hạt nhân của Iran, và các chuyên gia an ninh đã đoán trước rằng các cuộc tấn công sao chép lại vào các trang thiết bị công nghiệp của thế giới thực có thể theo sau trong vòng 1 hoặc 2 năm. Cuộc tấn công ngày 08/11 tại Illinois đã không phải là một cuộc tấn công dạng Stuxnet, nhưng nó gợi ý một mức độ quan tâm cao hơn của các tin tặc trong việc kiểm soát các hệ thống công nghiệp - và phá hoại chúng.
A foreign cyberattack on the computer control systems of an Illinois water utility system earlier this month burned out a water pump, according to a recent state report. The attack may be the first known attempt to successfully destroy a piece of critical US infrastructure, say industrial control-system experts.
The Federal Bureau of Investigation and other agencies are investigating the Nov. 8 cyberattack, said Peter Boogaard, a spokesman for the Department of Homeland Security (DHS), in a written statement. The name of the utility was not released.
The implications of the attack could be far broader than just wrecking a single pump. Hackers may have also stolen passwords and other information needed to gain access to many more water utility control systems across the United States, according to the Nov. 10 report by the Illinois Statewide Terrorism and Intelligence Center, a federal-state cooperative venture. Some of its details were revealed Thursday on the blog of Joe Weiss, president of Applied Control Solutions and a control-system security expert.
The attack occured just more than a year after the discovery of Stuxnet, the first publicly confirmed cyber superweapon – a digital guided missile that could emerge from cyberspace to destroy a physical target in the real world. Its target was Iran's nuclear fuel facilities, and security experts predicted that copycat attacks on real-world industrial equipment could follow within a year or two.
The Nov. 8 attack in Illinois wasn't a Stuxnet-type attack, but it suggests a higher level of interest among hackers in controlling industrial systems – and sabotaging them. 
“Đây là một việc lớn”, ông Weiss nói. “Người ta có thể cho rằng trường hợp đầu tiên nơi mà chúng ta đã có hạ tầng sống còn bị nhắm đích bởi những người ở bên ngoài nước Mỹ và các thiết bị bị thiệt hại là một kết quả. Nhưng vấn đề thực sự lớn là ai đó đã thâm nhập vào được một [nhà cung cấp phần mềm mà bán các hệ thống kiểm soát cho các cơ sở nước] chỉ để lấy các userID và mật khẩu đối với các cơ sở là các khách hàng của nó”.
DHS đã đánh giá thấp vụ việc.
“DHS và FBI đang thu thập các bằng chứng xung quanh báo cáo về một máy bơm nước hỏng tại Springfield, bang Illinois”, ông Boogaard nói. “Lần này không có những dữ liệu chứng thực đáng tin cậy mà đã chỉ ra một sự rủi ro cho các thực thể hạ tầng sống còn hoặc một mối đe dọa cho an toàn công cộng”.
Một phân tích các lưu ký máy tính của hãng có cơ sở nước ở Illinois chỉ ra cuộc tấn công đã tới từ địa chỉ Internet của một máy tính tại Nga. Báo cáo của trung tâm ở Illinois có đầu đề “Sự thâm nhập không gian mạng vào khu vực nước công cộng”, theo Weiss. Ông đọc các phần của báo cáo, đã đánh dấu “Chỉ để sử dụng chính thức” cho người báo cáo này. Các chi tiết đã được khẳng định bằng một chuyên gia công nghiệp nước, người đã thấy một tài liệu chính thức tương tự và đã yêu cầu giữ nặc danh vì sợ bị loại trừ khỏi các báo cáo mật trong tương lai.
“Lúc nào đó trong ngày 08/11, một nhân viên khu vực nước đã lưu ý các vấn đề với hệ thống SCADA”, Weiss nói, trích báo cáo. “Hệ thống SCADA đã lúc bật lúc tắt, làm cháy máy bơm”.
Một kỹ thuật viên đã kiểm tra các lưu ký của hệ thống SCADA và thấy rằng “hệ thống đã bị thâm nhập từ xa vào từ một địa chỉ IP nằm ở Nga”, Weiss nói, tiếp tục từ báo cáo.
"This is a big deal," Mr. Weiss says. "It's arguably the first case where we've had critical infrastructure targeted by people outside the US and equipment damaged as a result. But the really big issue is that someone hacked a [software vendor who sells control systems to water utilities] just to get at the user-IDs and passwords for the utilities that were its customers."
The DHS downplayed the incident.
"DHS and the FBI are gathering facts surrounding the report of a water pump failure in Springfield, Ill.," said Mr. Boogaard. "At this time there is no credible corroborated data that indicates a risk to critical infrastructure entities or a threat to public safety."
An analysis of the Illinois water utility company's computer logs indicates the attack came from the Internet address of a computer in Russia. The Illinois center's report is titled "Public Water District Cyber Intrusion," according to Weiss. He read sections of the report, marked "For Official Use Only," to this reporter. The details were confirmed by a water industry expert, who has seen a similar official document and asked to remain anonymous for fear of being excluded from confidential reports in the future.
"Sometime during the day of Nov. 8, a water district employee noticed problems with the SCADA [Supervisory Control And Data Acquisition] system," said Weiss, quoting the report. "It [the SCADA system] was going on and off, resulting in the burnout of the pump."
A technician who checked the logs of the SCADA system found that "the system had been remotely hacked into from an IP address located in Russia," Weiss said, continuing from the report.
Nhưng những kẻ tấn công có vẻ nằm bên trong các hệ thống máy tính của cơ sở tiện ích ít nhất là vài tháng vì “các công nhân đã bắt đầu lưu ý thấy những trục trặc nhỏ” trong chức năng truy cập hệ thống từ đầu tháng 9, Weiss nói.
Báo cáo cũng nói: “Còn chưa rõ vào lúc này số lượng các tên sử dụng và các mật khẩu của SCADA được yêu cầu từ cơ sở dữ liệu của công ty phần mềm, và liệu có bất kỳ hệ thống SCADA bổ sung nào đã bị tấn công như một kết quả của những tên trộm hay chưa”.
Nếu đúng, thì kể trộm có thể đã có những cảnh báo hậu quả, vì nó chỉ ra những tin tặc đã thâm nhập vào hệ thống kiểm soát ở Illinois chỉ sau khi giành được sự truy cập tới nó hình như từ một nhà cung cấp phần mềm cho cơ sở đó, Weiss nói và các chuyên gia khác khẳng định.
“Báo có khoogn nói liệu công ty mà đã bị tấn công là một nhà tích hợp hệ thống nhỏ hay một nhà cung cấp lớn”, Weiss nói. “Tôi đang hy vọng là một hãng nhỏ với ít khách hàng hơn nhiều”.
Theo cách đó, cuộc tấn công là hoàn toàn khác đối với một cuộc tấn công trước đó được biết như là các cuộc tấn công hạ tầng không gian mạng - bởi một nhân viên cũ bất mãn của một cơ sở xử lý nước tại Queensland, Úc. Vào năm 2000, ông ta đã sử dụng tri thức của người bên trong của ông ta để truy cập vào hệ thống đó từ xa và xả ra hàng trăm ngàn ga lông nước thải.
Gần đây, dạng tấn công đó được sử dụng chống lại cơ sở ở Illinois đã trở thành một tiếp cận tiêu chuẩn. Các tin tặc cao cấp thấy điều này hiệu quả hơn đi sau các nhà cung cấp phần mềm và các nhà cung cấp hệ thống an ninh, những người có mã và các mật khẩu các khách hàng của họ, các chuyên gia an ninh nói. Nếu một tin tặc có thể truy cập được vào mạch nước chủ, thì sẽ ít tốn thời gian hơn so với việc thâm nhập mục tiêu một cách riêng rẽ.
But the hackers had likely been inside the utility's computer systems for at least several months because "workers had begun to notice minor glitches" in the system access function as early as September, Weiss said.
The report also said:  "It is unknown at this time the number of SCADA usernames and passwords acquired from the software company's database, and if any additional SCADA systems have been attacked as a result of the theft."
If true, the theft could have alarming consequences, because it indicates hackers infiltrated the Illinois control system only after gaining access to it apparently from a software supplier to the utility, Weiss said and other experts confirmed. 
"The report doesn't say if the company that got hacked is a small system integrator or a big vendor," Weiss says. "I'm hoping it's a small one with a lot fewer clients."
In that way, the attack is quite different from one of the earliest known cyber-infrastructure attacks – by a disgruntled former employee of a Queensland, Australia, water treatment utility. In 2000, he used his insider knowledge to access that system remotely and release hundreds of thousands of gallons of sewage.
Recently, the sort of attack employed against the Illinois facility has become a standard approach. High-end hackers find it more efficient to go after software vendors and security-system vendors who have the codes and passwords of their clients, security experts say. If a hacker can get access to the mother lode, it's much less time consuming than hacking each target individually.
“Không nhất thiết chỉ một cuộc tấn công vào một cơ sở xử lý nước”, David Aitel, chủ tịch của hãng Immunity, một hãng về an ninh KGM có trụ sở ở Miami, nói. “Phần lớn điều này dường như về ai đó tấn công chuỗi cung ứng đối với các thiết bị hệ thống kiểm soát công nghiệp. Nếu bạn có thể tấn công chuỗi cung ứng, thì bạn có thể về cơ bản đánh được vào nhiều cơ sở. Nếu các báo cáo này mà đúng, thì bạn hãy nhìn vào một mối đe dọa rất lớn - và ai đó người thực sự hiểu họ đã đang làm gì”.
Các tin tặc, có thể hoạt động từ Trung Quốc, đầu năm nay đã ăn cắp các dữ liệu từ RSA Security Solutions, mà cung cấp sự truy cập các máy tính ở xa cho các nhà thầu quốc phòng và các cơ quan chính phủ. Một số công ty mà đã sử dụng các thiết bị RSA sau đó đã bị thâm nhập có sử dụng các thông tin ăn cắp được.
Weiss nói ông đã đưa các phần của báo cáo Illinois, mà không chỉ ra địa điểm của cơ sở bị đánh đó, để cảnh báo cho các cơ sở nước khác rằng các hệ thống kiểm soát của họ có thể cũng đã bị tấn công rồi. Ông cũng lo ngại rằng ICS-CERT của Bộ An ninh nội địa đã không làm tốt công việc thông báo cho họ.
DHS đã đẩy ngược lại lý lẽ này.
Nếu điều này “xác định bất kỳ thông tin nào về những ảnh hưởng có khả năng cho các thực thể bổ sung nào, thì sẽ reo rắc thông tin giảm nhẹ đúng lúc khi nó trở nên sẵn sàng”, Boogaard nói.
"It wasn't necessarily just an attack on that one water-treatment facility," says David Aitel, president of Immunity Inc., a Miami-based cybersecurity company. "A large part of this appears to be about someone attacking the supply chain for industrial control-system devices. If you can attack the supply chain, you can essentially hit many facilities. If these reports are true, you're looking at a very large threat – and someone who really knew what they were doing."
Hackers, possibly operating from China, earlier this year stole access data from RSA Security Solutions, which provides secure remote computer access to defense contractors and government agencies. Some companies that used RSA devices were later hacked using the stolen information.
Weiss says he posted parts of the Illinois report, without indicating the location of the utility that got hit, in order to alert other water utilities that their control systems may have been hacked, too. He also worries that the Department of Homeland Security's Industrial Control System Computer Emergency Response Team was not doing a good job informing them.
DHS pushed back against this allegation.
If it "identifies any information about possible impacts to additional entities, it will disseminate timely mitigation information as it becomes available," said Boogaard.
Dịch tài liệu: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.