Nhìn lại vụ tấn công vào công ty Colonial Pipeline gây chấn động nước Mỹ

Thảo luận trong 'Cyber Security Stories' bắt đầu bởi WhiteHat Team, 31/05/21, 04:05 PM.

  1. WhiteHat Team

    WhiteHat Team Administrators Thành viên BQT

    Tham gia: 09/04/20, 02:04 PM
    Bài viết: 160
    Đã được thích: 38
    Điểm thành tích:
    28
    Ngày 12/10/2020, hàng triệu người dân thành phố Mumbai Ấn Độ chịu cảnh mất điện. Mọi hoạt động ngưng trệ, dịch vụ điện thoại di động bị sập. Sự cố gây ra bởi cuộc tấn công của hacker nước ngoài vào hệ thống máy tính quản lý lưới điện thành phố.

    Ukraine, tháng 12/2015, hacker đột nhập mạng lưới điện, làm trạm biến áp và thiết bị chuyển mạch bị tê liệt, gây mất điện trên diện rộng. Sâu máy tính Stuxnet phá hoại máy ly tâm được sử dụng trong chương trình hạt nhân của Iran năm 2009.

    Đây chỉ là 2 trong số rất nhiều cuộc tấn công vào các cơ sở hạ tầng trọng yếu gây hậu quả nghiêm trọng trên thế giới.

    Và mới đây nhất, ngày 07/05/2021, Colonial Pipeline - công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Mỹ thừa nhận bị tấn công ransomware và buộc phải cho tạm ngừng các đường ống để đảm bảo an toàn. Vụ việc được xem là một trong những cuộc tấn công mạng nghiêm trọng và gây ra nhiều thiệt hại nhất trong lịch sử nhắm vào các cơ sở hạ tầng quan trọng của Mỹ.

    1 (1).png

    Công ty vận hành đường ống dẫn nhiên liệu lớn nhất Hoa Kỳ Colonial Pipeline

    Tại sao Colonial Pipeline lại bị đưa vào “tầm ngắm” của tin tặc?

    Được thành lập vào năm 1962, Colonial Pineline, có trụ sở tại Alpharatta, bang Georgia, là công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Hoa Kỳ.

    Mỗi ngày, hãng vận chuyển 2,5 triệu thùng xăng, dầu diesel, nhiên liệu máy bay phản lực và các sản phẩm tinh chế thông qua đường ống dài 8.850km từ bang Texas đến New Jersey, phục vụ trên 50 triệu khách hàng và chiếm khoảng 45% lượng xăng tiêu thụ ở Bờ Đông.

    Hãng cũng cung cấp nhiên liệu cho một số sân bay lớn nhất của nước Mỹ, trong đó có Hartsfield Jackson của thành phố Atlanta, bang Georgia - sân bay được đánh giá nhộn nhịp hàng đầu thế giới.

    1.png

    Bản đồ đường ống cung cấp nhiên liệu của Colonial Pipeline

    Hệ thống đường ống dẫn nhiên liệu của công ty được trang bị hiện đại, sử dụng nhiều công nghệ kỹ thuật số tối tân. Các cảm biến áp suất, bộ điều nhiệt, van và máy bơm được sử dụng để giám sát và quản lý dòng chảy của dầu diesel, xăng và nhiên liệu phản lực qua hàng trăm dặm đường ống. Colonial thậm chí còn có một robot thông minh (máy đo kiểm tra đường ống) công nghệ cao chạy qua đường ống để kiểm tra các điểm bất thường. Tất cả công nghệ hoạt động này được kết nối với một hệ thống trung tâm.

    Tất nhiên, các thiết bị để vận hành đường ống được điều khiển bằng máy tính và có kết nối với Internet, điều này rõ ràng tiềm ẩn các nguy cơ về tấn công mạng.

    Điều gì đã xảy ra với Colonial Pipeline?

    Thứ 5, ngày 06/05/2021: Tin tặc phát động cuộc tấn công

    Tin tặc được cho là đã xâm nhập được vào hệ thống của Colonial Pipeline nhiều tuần trước, sau đó phát động cuộc tấn công ransomware để mã hóa dữ liệu và đòi tiền chuộc, đồng thời đánh cắp 100 gigabyte dữ liệu.

    Thứ 6, ngày 07/05/2021: Colonial phát hiện mã độc trong hệ thống

    Giám đốc điều hành của công ty Colonial, ông Joseph Blount cho hay, cuộc tấn công được phát hiện vào khoảng 5 giờ 30 phút sáng 7/5. Công ty Colonial đã mất khoảng một giờ để đóng cửa đường ống và 260 điểm giao hàng trên khắp 13 bang và thủ đô Washington DC. Điều đó đã giúp ngăn chặn sự lây nhiễm mã độc có khả năng lây lan đến các bộ phận kiểm soát hoạt động của đường ống.

    Thứ 7, ngày 08/05/2021: Đại diện Colonial lên tiếng sẽ không thỏa hiệp với tin tặc

    Colonial đã liên hệ các cơ quan pháp luật và báo chí để thông báo về sự cố đang xảy ra. Công ty cũng nhanh chóng mời một công ty an ninh mạng có tiếng tăm để mở một cuộc điều tra về bản chất và phạm vi của cuộc tấn công. Colonial cũng nêu rõ quan điểm kiên quyết không trả tiền cho nhóm tin tặc để lấy lại thông tin. Chính phủ Hoa Kỳ và một số cơ quan, tổ chức thuộc cơ sở hạ tầng quan trọng Quốc gia cũng khẩn trương đóng cửa máy chủ quan trọng để đề phòng sự tấn công của các nhóm hacker vào hệ thống.

    Chủ Nhật, ngày 09/05/2021: Hệ thống dần được khôi phục

    Bộ phận vận hành của Colonial cho hay họ đang nỗ lực hết sức để khôi phục hệ thống và thiết lập lại trạng thái bình thường. Trong khi các tuyến chính (tuyến 1, 2, 3 và 4) vẫn ở tình trạng ngoại tuyến, một số đường ống phụ nhỏ hơn giữa các nhà ga và các điểm giao hàng hiện đã hoạt động trở lại.

    Thứ 2, ngày 10/05/2021: Kết quả điều tra ban đầu

    Theo FBI, kẻ đứng sau cuộc tấn công là nhóm tin tặc DarkSide - một băng đảng chuyên tấn công đòi tiền chuộc có thể có mối liên hệ với Nga.

    Trong báo cáo tóm tắt của mình về sự kiện Colonial Pipeline bị tấn công mạng, tổng thống Hoa Kỳ Joe Biden cho biết: “Đến nay vẫn chưa có chứng cứ từ lực lượng tình báo của chúng tôi cho thấy Nga có liên quan đến cuộc tấn công. Tuy nhiên có yếu tố chỉ ra rằng mã độc có nguồn gốc từ Nga”.

    Nhiều giả thuyết về cuộc tấn công đã được đưa ra như tin tặc đã khai thác một lỗ hổng cũ chưa được cập nhật bản vá trong hệ thống của Colonial, tấn công phishing bằng email đến nhân viên của công ty, sử dụng thông tin đăng nhập đã bị rò rỉ hoặc được mua lại,…

    Còn theo báo cáo điều tra của phóng viên Nicole Perlroth của tờ New York Times, “nhiều khả năng” tin tặc đã khai thác lỗ hổng trong các dịch vụ Microsoft Exchange (chưa được vá) mà công ty đang sử dụng.

    Việc này có liên quan đến sự kiện phát hiện 4 lỗ hổng bảo mật trên máy chủ Microsoft Exchange bị khai thác bởi một nhóm tin tặc do chính phủ Trung Quốc bảo trợ vào tháng 03/2021.

    f153da185d.jpg

    Dòng tweet của phóng viên Nicole Perlroth trên mạng xã hội Twitter

    Thứ 5, ngày 13/05/2021: 4.4 triệu đô được trả cho tin tặc, hệ thống hoạt động trở lại

    Sau gần 1 tuần “đóng băng” hệ thống, ngày 13/05 các đường ống dẫn dầu của Colonial đã hoạt động trở lại. Các nguồn tin cho hay, Colonial đã đi đến thỏa hiệp và đồng ý chi trả cho tin tặc khoản tiền 4.4 triệu đô la Mỹ bằng Bitcoin (hơn 100 tỷ VNĐ). Điều này hoàn toàn mâu thuẫn với tuyên bố của công ty khi sự kiện mới xảy ra.

    Dưới sự chỉ trích của dư luận khi đồng ý thỏa hiệp với nhóm tội phạm công nghệ, ông Joseph Blount - Giám đốc điều hành công ty Colonial cho biết: “Rất khó khăn khi đưa ra quyết định này, nhưng đó là một trong những quyết định buộc phải làm. Hàng chục triệu người Mỹ tại bệnh viện, dịch vụ y tế khẩn cấp, cơ quan thực thi pháp luật, cứu hỏa, sân bay, tài xế xe tải và người dân dựa vào đường ống dẫn dầu”.

    Thứ 4, ngày 08/06/2021: Nguyên nhân của cuộc tấn công được làm sáng tỏ

    Trong phiên điều trần của ủy ban Thượng viện vào ngày 8 tháng 6, Giám đốc điều hành của Colonial Pipeline - Joseph Blount xác nhận nhóm tin tặc đã khai thác được thông tin của một tài khoản VPN không còn được sử dụng từ Dark web và dùng nó để truy cập vào hệ thống. Tuy nhiên đến nay lí do vì sao tài khoản này bị rò rỉ vẫn chưa được làm rõ.

    Cuộc tấn công đã gây hậu quả nghiêm trọng đến mức nào?

    Việc đóng cửa hệ thống ống dẫn nhiên liệu đã gây ra những thiệt hại vô cùng to lớn cho nước Mỹ. Giá dầu West Taxes Intermediate của Mỹ tăng 1,17%, lên 65,66 USD/thùng (hơn 1.511.000 VND/thùng). Giá dầu Brent tăng 1,11%, lên 69,04 USD/thùng (hơn 1.589.000 VND/thùng). Giá xăng kỳ hạn tại Sàn giao dịch hàng hóa New York tăng 2,07% lên 2,171 USD/gallon (gần 50.000 VND/gallon) (1 gallon = 3,78 lít) mức giá cao nhất trong 3 năm trở lại đây. Kéo theo đó, giá xăng dầu trên thế giới cũng tăng mạnh, đặc biệt tại khu vực Châu Á.

    Chính phủ đã phải ban hành chính sách, cho phép tạm thời tăng giờ làm việc để vận chuyển xăng, dầu diesel, nhiên liệu máy bay và các sản phẩm dầu mỏ tinh chế khác tại 18 tiểu bang.

    Theo dữ liệu được thu thập bởi công ty theo dõi GasBuddy, ít nhất 3.500 trạm xăng đã cạn kiệt trên khắp Virginia, Bắc Carolina và một số tiểu bang khác.

    Vụ tấn công cũng đã tạo nên một "bong bóng dầu khí" tại Mỹ. Hashtag “#GasShortage2021” trở nên thịnh hành trên mạng xã hội, một số người nói đùa rằng họ nhớ tới việc tích trữ giấy vệ sinh xảy ra vào đầu cuộc khủng hoảng virus corona. Những người khác đăng ảnh cho thấy hàng trăm người đang xếp hàng mua xăng để tích trữ. Thậm chí có người đã sử dụng cả túi nilon để đựng xăng, bất chấp lời kêu gọi không nên đổ xô đi mua xăng của chính phủ.

    pipeline-gas-shortage-hoarding-plastic-bags.jpg

    Người dân tích trữ xăng, bất chấp lời kêu gọi không nên đổ xô đi đổ xăng của chính phủ

    Colonial Pipeline không phải tổ chức quan trọng đầu tiên của Mỹ bị tin tặc ghé thăm. Các cơ sở hạ tầng trọng yếu của Mỹ vẫn luôn là miếng mồi ngon cho các nhóm tội phạm mạng lợi dụng để kiếm lời. Năm ngoái, phần mềm của Công ty công nghệ thông tin SolarWinds đã bị xâm nhập, tin tặc đã truy cập vào hệ thống thông tin liên lạc và dữ liệu của một số cơ quan chính phủ trong đó có có Bộ Tài chính và Cục Quản lý Thông tin và Viễn thông Quốc gia (NTIA) thuộc Bộ Thương mại Mỹ.

    Các vụ tấn công này được xem này được xem là tiếng chuông cảnh báo cho các đơn vị vận hành cơ sở hạ tầng trọng yếu của các quốc gia cần phải “quan tâm” đúng mức đến các hệ thống bảo mật để tránh lặp lại những vụ việc tương tự.

    Nguồn: Tổng hợp
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat Team
  2. DDos
  3. WhiteHat Team
  4. WhiteHat Team
  5. Ginny Hà