Mã độc lây nhiễm khiến hàng trăm ngàn ngôi nhà ở Ucraina mất điện

08:53 | 14/01/2016

Hãng tin TSN của Ucraina cho biết hôm 23/12 vừa rồi hàng trăm ngàn ngôi nhà - khoảng một nửa vùng Ivano-Frankivsk của nước này – đã bị mất điện vì sự cố do mã độc gây ra.



Các nhà nghiên cứu từ công ty bảo mật iSIGHT Partners nói rằng, họ đã thu thập mẫu của mã độc lây nhiễm tại ít nhất 3 công ty vận hành điện trong vùng. Nếu được xác nhận thì đây sẽ là vụ đầu tiên mã độc gây ra sự cố mất điện. John Hultquist, người đứng đầu nhóm tình báo công nghiệp mạng của iSIGHT nói "Đây là một cột mốc quan trọng vì chúng tôi đã từng thấy nhiều vụ tấn công phá hoại nhắm vào ngành năng lượng, ví dụ như các công ty dầu, nhưng chưa thấy vụ tấn công nào gây ra sự cố mất điện. Đây là kịch bản nguy hiểm mà chúng tôi đã lo lắng từ rất lâu".

Các nhà nghiên cứu thuộc công ty chống virus ESET đã xác nhận rằng, nhiều cơ sở điện của Ucraina bị nhiễm "BlackEnergy" – loại mã độc được phát hiện năm 2007 và được cập nhật hai năm trước đây để bổ sung một loạt các tính năng mới, trong đó có khả năng khiến cho những chiếc máy tính bị nhiễm không khởi động được. Gần đây ESET phát hiện thấy loại mã độc này được cập nhật thêm một cấu phần với tên gọi KillDisk, với khả năng phá huỷ những phần thiết yếu của đĩa cứng máy tính và dường như có chức năng gây hại cho các hệ thống điều khiển công nghiệp. Phiên bản mới nhất của BlackEnergy còn bao gồm một cổng hậu SSH, cho phép những kẻ tấn công duy trì kết nối thường xuyên với các máy tính bị nhiễm độc.

Cho tới nay, BlackEnergy chủ yếu được sử dụng để do thám các hãng tin, các công ty năng lượng và các tập đoàn công nghiệp khác. Mặc dù ESET không nói rằng BlackEnergy đã gây ra vụ mất điện hôm 23/12 ở Ucraina nhưng họ cho rằng một hay một số cấu phần của BlackEnergy có khả năng thực hiện điều đó. 

Trong một bài viết mới công bố trên Internet, các nhà nghiên cứu của ESET viết: Phân tích của chúng tôi về mã độc KillDisk được phát hiện ở nhiều công ty phân phối điện ở Ucraina cho thấy, trên lý thuyết nó có thể tắt các hệ thống quan trọng. Tuy nhiên, có thể có một cách giải thích khác là cổng hậu của BlackEnergy cũng như cổng hậu SSH mới được phát hiện đã cho phép những kẻ tấn công truy cập từ xa vào các hệ thống bị lây nhiễm. Sau khi xâm nhập, chúng có thể tắt các hệ thống quan trọng. Trong trường hợp đó, cấu phần KillDisk sẽ khiến cho việc khôi phục hệ thống trở nên khó khăn hơn.

Trong năm qua, băng nhóm đứng đằng sau mã độc BlackEnergy đã từng bước nâng cấp khả năng phá hoại của nó. Cuối năm 2014, theo thông báo của Computer Emergency Response Team Ucraina, mô đun KillDisk của BlackEnergy đã nhiễm vào các hãng tin của nước này và xoá mất một số nội dung và video. 

Theo ESET, mô đun KillDisk nhiễm vào các công ty điện Ucraina có chức năng tương tự nhưng được lập trình để xoá một tập dữ liệu nhỏ hơn nhiều. KillDisk cũng được cập nhật để phá hoại hai tiến trình trên máy tính, trong đó có nền tảng quản lý từ xa liên kết với ELTIMA Serial to Ethernet Connectors được dùng trong các hệ thống điều khiển công nghiệp.

Cũng theo ESET, các công ty điện Ucraina đã bị nhiễm mã độc qua các macro nhúng trong các tài liệu Microsoft Office. Điều này quả thực đáng sợ, vì hệ thống cung cấp điện cho hàng triệu người có thể bị lây nhiễm và phá hoại bằng cách quá đơn giản. 

Năm 2012, một nhà sản xuất ga lớn nhất A-rập Xê-út cũng bị nhiễm mã độc phá hoại, nhưng không có xác nhận nào về việc nó ảnh hưởng đến hoạt động sản xuất của họ. Báo cáo của iSIGHT cho rằng ảnh hưởng của những mã độc đang ngày càng tăng nhanh đối với các nước công nghiệp.