Nhà máy điện hạt nhân Ấn Độ bị nhiễm mã độc

08:58 | 19/11/2019

Cuối tháng 10/2019, Tập đoàn Điện hạt nhân Ấn Độ (NPCIL) xác nhận, mã độc được nghi là của Bắc Triều Tiên đã được phát hiện trên mạng quản trị của Nhà máy điện hạt nhân Kudankulam (KKNPP).

Thông tin được xác nhận một ngày sau khi Tập đoàn này phủ nhận đã xảy ra cuộc tấn công ảnh hưởng đến hệ thống kiểm soát của nhà máy. Trong thông cáo báo chí, Phó Giám đốc NPCIL A.K. Nema tuyên bố, việc phát hiện ra phần mềm độc hại trong hệ thống NPCIL là chính xác và vấn đề này đã được CERT-In - Nhóm ứng phó khẩn cấp máy tính quốc gia của Ấn Độ thông báo khi họ phát hiện ra vào ngày 04/9/2019. Đó cũng là ngày mà chuyên gia phân tích các mối đe dọa Pukhraj Singh báo cáo thông tin này cho Cơ quan điều phối an ninh mạng quốc gia của Ấn Độ.

Nema tuyên bố trong bản thông cáo rằng, vấn đề này đã được điều tra ngay lập tức bởi các chuyên gia của Bộ Năng lượng Nguyên tử Ấn Độ. Cuộc điều tra cho thấy, máy tính bị lây nhiễm có kết nối với mạng Internet được sử dụng cho mục đích quản trị. Máy tính đó được cách ly với hệ thống mạng nội bộ trọng yếu. Các mạng đang được đặt trong tình trạng theo dõi liên tục.

Không rõ liệu dữ liệu có bị đánh cắp từ mạng KKNPP hay không, nhưng nhà máy điện hạt nhân này không phải là cơ sở duy nhất mà Singh báo cáo bị xâm phạm. Công ty Kaspersky đặt tên cho mã độc này là Dtrack. Mã độc này đã được sử dụng trong các cuộc tấn công rộng rãi chống lại các tổ chức tài chính và trung tâm nghiên cứu, dựa trên dữ liệu do Kaspersky thu thập từ hơn 180 mẫu phần mềm độc hại. Dtrack chia sẻ các yếu tố mã từ mã độc khác của nhóm tin tặc Lazarus - nhóm tin tặc được Bộ Tư pháp Hoa Kỳ cáo buộc có liên quan đến Bắc Triều Tiên. Một phiên bản khác của mã độc là ATMDtrack đã được sử dụng để đánh cắp dữ liệu từ các mạng ATM ở Ấn Độ.

Dtrack được miêu tả là một công cụ gián điệp và giám sát, thu thập dữ liệu về các hệ thống bị lây nhiễm. Nó có khả năng ghi lại các lần nhấn phím, quét các mạng được kết nối và giám sát các quá trình hoạt động trên các máy tính bị lây nhiễm. Theo Singh, mã độc có thể đã được phân phối bởi một “bộ cấy trong bộ nhớ”. Hiện tại, không có bất kỳ dấu hiệu nào cho biết liệu dữ liệu đã bị đánh cắp từ mạng KKNPP. Mặc dù cuộc tấn công có thể không cho phép truy cập trực tiếp vào các mạng kiểm soát năng lượng hạt nhân, nhưng nó có thể là một phần trong việc thiết lập sự dai dẳng lâu dài của mã độc trong mạng nhà máy hạt nhân.

Báo cáo do Ủy ban Chữ thập đỏ quốc tế công bố vào tháng 5/2019 về chi phí cho hoạt động mạng của con người đã chỉ ra, phần lớn các thiết bị máy tính trên thế giới chỉ có khoảng cách nhỏ tới một hệ thống đáng tin cậy mà tin tặc muốn xâm nhập. Lukasz Olejnik, một nhà nghiên cứu bảo mật, đồng tác giả của bài báo, lưu ý rằng xâm nhập trước vào các hệ thống đáng tin cậy sẽ giúp các cuộc tấn công dễ dàng hơn đáng kể và việc thiết lập sự dai dẳng liên tục trên mạng có thể hỗ trợ cho các hoạt động như tấn công chuỗi cung ứng.

Cách thức đó tương tự như tuyến đường mà mã độc Stuxnet đã sử dụng. Stuxnet được cho là do tình báo Mỹ và Israel dùng để xâm nhập vào thiết bị làm giàu hạt nhân của Iran. Mặc dù theo các tiêu chuẩn bảo mật hệ thống kiểm soát hạt nhân thì hệ thống mạng quản trị của KKNPP dường như không phải tuyến đường tốt đối với kiểu tấn công sử dụng mã độc Stuxnet, nhưng chắc chắn nó có thể cung cấp thông tin về các hoạt động bảo trì, điều này sẽ giúp ích cho các hoạt động gián điệp hoặc tấn công mạng trong tương lai.