- Tại sao các công cụ quét lại là công cụ được ưa chuộng trong các cuộc tấn công OT?
- Cẩm nang bốn giai đoạn được phần mềm độc hại Wiper sử dụng
- Các cuộc tấn công bằng phần mềm gián điệp trong môi trường OT thực tế diễn ra như thế nào?
- Tại sao mọi cuộc tấn công Wiper đều bắt đầu bằng việc một tệp vượt qua ranh giới tin cậy?
- Cuộc tấn công mới nhất nhằm vào ngành năng lượng Venezuela
- Các mẫu và chỉ số liên quan đến cần gạt nước được đề cập trong phân tích này
- Ngăn chặn các cuộc tấn công Wiper trước khi chúng được thực thi
Trong bài viết trước, chúng tôi đã phân tích các cuộc tấn công mạng lớn nhằm vào hệ thống điều khiển công nghiệp (ICS) và công nghệ vận hành (OT) từ năm 2024 đến đầu năm 2026. Một xu hướng nổi bật là: các phần mềm xóa dữ liệu (wiper) đã trở thành công cụ ưa chuộng của các tác nhân được nhà nước hậu thuẫn khi nhắm mục tiêu vào các môi trường công nghệ vận hành. Sáu chiến dịch tấn công bằng phần mềm xóa dữ liệu riêng biệt đã gây ảnh hưởng đến các ngành công nghiệp trong giai đoạn 2024–2025, bao gồm lưới điện, hệ thống cấp nước, y tế và sản xuất trên toàn thế giới.
Bài viết này phân tích chi tiết xu hướng đó. Bài viết giải thích lý do tại sao các phần mềm tẩy xóa dữ liệu lại hiệu quả trong môi trường OT, điểm qua ba vụ việc thực tế và chỉ ra mô hình tấn công nhất quán đằng sau chúng. Trong quá trình viết bài này, một ví dụ khác đã xuất hiện. Một mối đe dọa mới được báo cáo gần đây, Lotus Wiper, đã nhắm vào ngành năng lượng của Venezuela. Trường hợp này được đề cập trong phần cuối cùng.
Tại sao các công cụ quét lại là công cụ được ưa chuộng trong các cuộc tấn công OT?
Các công cụ xóa dữ liệu được thiết kế để phá hủy dữ liệu, điều này khiến chúng có sự khác biệt cơ bản so với phần mềm tống tiền. Do không cho phép tống tiền, chúng không phải là công cụ hữu ích đối với các tác nhân đe dọa chỉ hướng đến lợi ích tài chính. Ngược lại, chúng lại cực kỳ hiệu quả đối với những tác nhân có mục tiêu gây gián đoạn hoặc thiệt hại, đặc biệt là khi họ muốn biến các hoạt động mạng thành tác động trong thế giới thực đồng thời duy trì mức độ ẩn danh cao. Vì lý do này, các công cụ xóa dữ liệu thường được liên kết với các hoạt động do nhà nước hậu thuẫn.
Trong các môi trường CNTT truyền thống, các phần mềm xóa dữ liệu chủ yếu chỉ phá hủy các tệp tin. Mặc dù điều này có thể gây gián đoạn nghiêm trọng, nhưng tác động thường có thể khắc phục được nếu có các bản sao lưu đáng tin cậy. Tuy nhiên, tình hình lại khác biệt trong các môi trường OT và ICS. Các hệ thống như máy chủ SCADA, máy trạm kỹ thuật và màn hình HMI không chỉ đơn thuần lưu trữ dữ liệu. Chúng còn chủ động điều khiển và giám sát các quy trình vật lý. Khi dữ liệu trên các hệ thống này bị phá hủy, các nhà điều hành sẽ mất khả năng quan sát và kiểm soát hoạt động, dẫn đến việc họ không thể biết được những gì đang diễn ra trên thực tế.
Đây chính là lúc các phần mềm xóa dữ liệu (wipers) trở nên đặc biệt nguy hiểm. Chúng có thể tạo cầu nối giữa các cuộc tấn công mạng và những hậu quả thực tế. Chính vì khả năng này, các thực thể được nhà nước hậu thuẫn thường xuyên tận dụng các phần mềm xóa dữ liệu. Việc sử dụng chúng thường được ghi nhận tại các khu vực đang xảy ra xung đột vũ trang hoặc căng thẳng địa chính trị gia tăng, nơi mục tiêu chính là gây rối loạn.
Cẩm nang bốn giai đoạn được phần mềm độc hại Wiper sử dụng
Mọi phần mềm tẩy xóa dữ liệu được phân tích, bất kể ngôn ngữ, nền tảng hay mức độ phức tạp, đều tuân theo cùng một mô hình cơ bản. Việc nắm rõ các giai đoạn này là điểm khởi đầu thiết thực để phòng thủ trước các cuộc tấn công bằng phần mềm tẩy xóa dữ liệu.
Giai đoạn 1: Khởi tạo
Mã độc chuẩn bị gói dữ liệu xóa dữ liệu, thường bằng cách tạo dữ liệu ngẫu nhiên giả thông qua một bộ tạo số ngẫu nhiên thông dụng. Dữ liệu ngẫu nhiên khiến việc phục hồi dữ liệu pháp y trở nên khó khăn hơn so với việc ghi đè bằng các số 0.
Giai đoạn 2: Khám phá
Công cụ xóa dữ liệu sẽ lập danh sách tất cả những gì có thể xóa bằng cách liệt kê các ổ đĩa, phân vùng, thư mục và tệp tin.
Giai đoạn 3: Phá hủy
Công cụ xóa dữ liệu sẽ mở từng tệp, gỡ bỏ các thuộc tính bảo vệ và ghi đè lên tệp đó bằng dữ liệu ngẫu nhiên. Một số công cụ còn xóa các tệp sau đó. Một số khác nhắm vào Bảng Khởi động Chính (MBR) hoặc Bảng Tệp Chính (MFT), khiến toàn bộ đĩa trở nên không thể đọc được.
Giai đoạn 4: Ngăn chặn khôi phục
Việc khởi động lại bắt buộc sẽ cố định các thiệt hại. Công cụ xóa dữ liệu sẽ nâng cao quyền truy cập, chiếm quyền tắt máy và khởi động lại hệ thống. Khi hệ thống khởi động lại (nếu có), sẽ không còn gì để khôi phục.
Phần sau đây sẽ áp dụng tài liệu hướng dẫn này vào các sự cố thực tế.
Các cuộc tấn công bằng phần mềm gián điệp trong môi trường OT thực tế diễn ra như thế nào?
DynoWiper — Mạng lưới điện Ba Lan
Tác nhân: Sandworm/ELECTRUM (GRU)
Mục tiêu: Ba Lan, ngành năng lượng (nguồn năng lượng phân tán)
Hình thức lây nhiễm: Tệp thực thi Windows (tệp nhị phân PE) được truyền qua một mạng bị xâm nhập
Vào tháng 12 năm 2025, Sandworm, đơn vị chuyên về hệ thống điều khiển công nghiệp (ICS) có năng lực nhất của GRU, đã tấn công cơ sở hạ tầng điện lực của Ba Lan bằng công cụ DynoWiper. Theo Dragos, đây là cuộc tấn công mạng có phối hợp đầu tiên nhằm vào các nguồn năng lượng phân tán (DER) trên quy mô lớn.
Khoảng 30 cơ sở đã bị ảnh hưởng, bao gồm các nhà máy nhiệt điện kết hợp, các trang trại gió và các hệ thống điều độ năng lượng mặt trời. Khác với các cuộc tấn công trước đây tập trung vào các nhà máy điện tập trung, chiến dịch này nhắm vào các cơ sở nhỏ hơn, phân tán – những cơ sở đang phát triển nhanh chóng trên thị trường năng lượng hiện đại. Các môi trường này thường cũng có hệ thống phòng thủ yếu hơn.
Cuộc tấn công này có thể đã ảnh hưởng đến tới 500.000 cư dân. Thủ tướng Ba Lan khẳng định rằng mạng lưới truyền tải điện không gặp nguy hiểm, nhưng những kẻ tấn công đã xâm nhập vào các hệ thống OT và làm hỏng vĩnh viễn một số thiết bị. DynoWiper đã tuân thủ chính xác kịch bản tấn công gồm bốn giai đoạn: tạo mã độc ngẫu nhiên giả, liệt kê các ổ đĩa, ghi đè tệp tin và buộc khởi động lại hệ thống. Nó được thực thi dưới dạng tệp nhị phân đã biên dịch, được thiết kế để gây ra sự phá hủy có hệ thống.
PathWiper — cơ sở hạ tầng trọng yếu của Ukraine
Thực thể: Russia-nexus (đơn vị chưa xác định)
Mục tiêu: Ukraine, cơ sở hạ tầng trọng yếu nhiều lĩnh vực)
Phương thức triển khai: Trình cài đặt VBScript kết hợp với tệp thực thi
PathWiper cơ sở hạ tầng trọng yếu thực thể có liên hệ với Nga triển khai nhằm vào cơ sở hạ tầng trọng yếu Ukraine, như một phần của chiến dịch mạng đang diễn ra trong thời chiến. Trong khi DynoWiper nhắm vào một lĩnh vực cụ thể, PathWiper lại nhắm vào cơ sở hạ tầng trọng yếu phạm vi cơ sở hạ tầng trọng yếu , gây ảnh hưởng đến nhiều dịch vụ thiết yếu trong bối cảnh xung đột đang diễn ra.
Điểm khác biệt nằm ở mức độ triệt để của quá trình xóa dữ liệu. PathWiper không chỉ đơn thuần ghi đè lên các tệp tin. Nó phá hủy bộ nhớ cục bộ ở cấp độ phân vùng. Trong một cuộc chiến đang diễn ra, việc xóa sạch các hệ thống quản lý các dịch vụ thiết yếu sẽ gây ra những hậu quả nghiêm trọng hơn cả việc mất dữ liệu.
Bốn giai đoạn này vẫn được áp dụng, nhưng PathWiper đẩy giai đoạn phá hủy đi xa hơn so với phần lớn các công cụ khác. Bằng cách nhắm vào bộ nhớ lưu trữ ở cấp độ khối lượng thay vì các tệp riêng lẻ, nó đảm bảo rằng ngay cả việc phục hồi dữ liệu pháp y một phần cũng trở nên gần như bất khả thi. Mục đích là xóa sạch hoàn toàn, không chỉ dữ liệu mà còn cả khả năng hoạt động của hệ thống.
LazyWiper — Ngành sản xuất của Ba Lan
Tác nhân: Sandworm/ELECTRUM (GRU)
Mục tiêu: Ba Lan, ngành sản xuất
Phương thức tấn công: Tập lệnh PowerShell được cài đặt thông qua Đối tượng Chính sách Nhóm (GPO)
LazyWiper không phải là một chiến dịch độc lập. Chiến dịch này diễn ra cùng ngày với DynoWiper, tức ngày 29 tháng 12 năm 2025, trong khuôn khổ cùng một chiến dịch phối hợp. Tuy nhiên, mục tiêu của nó là một công ty sản xuất, và CERT Polska đánh giá đây là một vụ tấn công mang tính cơ hội. Những kẻ tấn công đã phát hiện ra một lỗ hổng bảo mật và tận dụng nó.
Điểm xâm nhập đó là một thiết bị Fortinet có thông tin cấu hình đã bị đánh cắp và đăng tải trên một diễn đàn tội phạm. Các kẻ tấn công đã sử dụng thông tin đăng nhập bị rò rỉ để thiết lập quyền truy cập liên tục, di chuyển ngang sang quyền quản trị viên miền và đẩy LazyWiper vào mọi máy tính thông qua GPO. Không giống như tệp nhị phân được biên dịch của DynoWiper, LazyWiper là một tập lệnh PowerShell. Nó vô hiệu hóa Defender, sử dụng các công cụ quản lý Windows tích hợp sẵn để ánh xạ tất cả các ổ đĩa, đổi tên các tệp thành các tên ngẫu nhiên gồm bốn ký tự và ghi đè chúng bằng dữ liệu ngẫu nhiên giả.
Có một chi tiết khiến vụ việc này trở nên đặc biệt đáng chú ý. CERT Polska đánh giá rằng một phần mã ghi đè tệp có khả năng được tạo ra bởi một mô hình ngôn ngữ quy mô lớn, cho thấy việc phát triển phần mềm độc hại có sự hỗ trợ của trí tuệ nhân tạo đang diễn ra trong thực tế. Nếu các chuyên gia bảo mật cho rằng các phần mềm xóa dữ liệu (wiper) luôn xuất hiện dưới dạng phần mềm độc hại được biên dịch truyền thống, thì LazyWiper đã nhấn mạnh sự cần thiết phải tính đến các mối đe dọa dựa trên kịch bản và được tạo ra động.
Tại sao mọi cuộc tấn công Wiper đều bắt đầu bằng việc một tệp vượt qua ranh giới tin cậy?
Mọi sự cố được đề cập trong bài viết này, cũng như mọi sự cố trong báo cáo về tình hình mối đe dọa trước đó, đều có một điểm chung: một tệp tin đã vượt qua ranh giới tin cậy. Dù định dạng và phương thức truyền tải có khác nhau, nhưng mô hình vẫn giống nhau.
- DynoWiper: Tệp thực thi Windows được phát tán qua một mạng bị xâm nhập
- PathWiper: Trình cài đặt ẩn VBScript kết hợp với tệp thực thi
- LazyWiper: Tập lệnh PowerShell được triển khai qua GPO
Sandbox Adaptive Sandbox OPSWATSandbox từng tệp tại mỗi ranh giới tin cậy trước khi tệp đó đến máy trạm kỹ thuật, trước khi tương tác với hệ thống SCADA và trước khi chuyển từ môi trường CNTT sang môi trường OT. Hệ thống này không dựa vào việc quan sát các hành vi phá hoại. Thay vào đó, nó xác định các khả năng độc hại trong một môi trường được kiểm soát trước khi tệp đó được xác nhận là an toàn.
Nếu quý vị hoạt động trong các lĩnh vực năng lượng, cấp nước, sản xuất, y tế hoặc chính phủ, thì các phần mềm tẩy xóa dữ liệu (wipers) là một phần trong mô hình rủi ro của quý vị, bất kể chúng có được tính đến một cách rõ ràng hay không.
Các phần mềm xóa dữ liệu sẽ tiếp tục phát triển với các ngôn ngữ, phương thức lây lan và mục tiêu mới, nhưng mô hình hoạt động cơ bản vẫn không thay đổi. Một tệp tin phải được gửi đến, xâm nhập vào hệ thống và được thực thi. Điều này vẫn đúng từ Stuxnet năm 2010 cho đến DynoWiper năm 2025. Việc kiểm tra tệp tin trước khi nó xâm nhập vào hệ thống là một biện pháp kiểm soát áp dụng chung cho tất cả các phần mềm xóa dữ liệu, các tác nhân tấn công và các lĩnh vực.
Cuộc tấn công mới nhất nhằm vào ngành năng lượng Venezuela
Vào ngày 21 tháng 4, khi bài viết này đang được hoàn thiện, nhóm Kaspersky GReAT đã báo cáo về một loại phần mềm tẩy xóa dữ liệu chưa từng được biết đến trước đây, có tên là Lotus Wiper, đang nhắm vào lĩnh vực năng lượng và dịch vụ công ích của Venezuela.
Cuộc tấn công được thực hiện một cách có hệ thống. Hai tập lệnh batch trước tiên sẽ cô lập máy tính bằng cách vô hiệu hóa các dịch vụ, ngắt kết nối các giao diện mạng và đăng xuất các phiên làm việc. Sau đó, chúng xóa sạch các phân vùng đĩa, ghi đè lên các thư mục và lấp đầy không gian lưu trữ còn lại. Chỉ sau khi hoàn tất các bước này, mã độc cuối cùng mới được thực thi.
Phần mềm xóa dữ liệu này được ngụy trang dưới dạng một thành phần phần mềm doanh nghiệp hợp pháp, được phân phối dưới dạng mã hóa và giải mã khi chạy. Một khi được kích hoạt, hệ thống sẽ không thể khởi động được nữa và dữ liệu không thể phục hồi. Không có yêu cầu tiền chuộc và cũng không có dấu hiệu nào cho thấy dữ liệu bị đánh cắp nhằm mục đích trục lợi. Giống như các phần mềm xóa dữ liệu khác được đề cập trong bài viết này, Lotus Wiper được thiết kế với mục đích phá hủy.
Mô hình tương tự lại xuất hiện trong thời gian thực. Một tệp vượt qua ranh giới tin cậy, được thực thi và phá hủy mọi thứ mà nó có thể tiếp cận. Việc kiểm tra ở cấp độ tệp trước khi phần tải được giải mã là cơ hội sớm nhất để chặn đứng.
Các mẫu và chỉ số liên quan đến cần gạt nước được đề cập trong phân tích này
Cần gạt nước | Kiểu | Mục tiêu | Diễn viên | Hash / Chỉ báo |
DynoWiper | Windows PE | Ba Lan, Năng lượng | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ukraine, cơ sở hạ tầng trọng yếu | Liên quan đến Nga | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Ba Lan, Ngành sản xuất | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Cần gạt nước Lotus | Windows PE | Venezuela, Năng lượng và Dịch vụ công ích | Không rõ (do động cơ địa chính trị) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Ngăn chặn các cuộc tấn công Wiper trước khi chúng được thực thi
Các cuộc tấn công Wiper tuân theo một mô hình nhất quán trên mọi môi trường, lĩnh vực và đối tượng tấn công. Bất kể chúng được triển khai như thế nào hay sử dụng ngôn ngữ nào, các cuộc tấn công này đều tuân theo cùng một trình tự: một tệp vượt qua ranh giới tin cậy, được thực thi và phá hủy dữ liệu hệ thống.
Sự nhất quán này tạo ra một cơ hội phòng thủ rõ ràng. Việc xác định và phân tích các tệp trước khi chúng được xác nhận là an toàn vẫn là một trong những cách hiệu quả nhất để ngăn chặn các phần mềm xóa dữ liệu trước khi chúng gây ra thiệt hại.
MetaDefender áp dụng phương pháp tiếp cận nhiều lớp để giải quyết vấn đề này. Giải pháp này kết hợp phân tích danh tiếng theo thời gian thực, công nghệ sandboxing tiên tiến và phân tích tương quan hành vi để phát hiện các mối đe dọa chưa biết và có khả năng lẩn tránh trước khi chúng được thực thi. Công nghệ phân tích dựa trên mô phỏng của nó giúp phơi bày các tải trọng ẩn, giải nén phần mềm độc hại nhiều giai đoạn và xác định các dấu hiệu xâm nhập mà không cần dựa vào chữ ký.
Đối với các tổ chức vận hành cơ sở hạ tầng trọng yếu, phương pháp này giúp phát hiện sớm hơn ngay tại điểm khởi phát của các cuộc tấn công, trước khi sự cố lan rộng đến các hệ thống OT. Để tìm hiểu cách thức áp dụng giải pháp này vào môi trường của quý vị, vui lòng liên hệ với OPSWAT để trao đổi về MetaDefender .
