Báo cáo Sự cố Ngành Năng lượng CERT Polska 2025 là lời nhắc nhở rằng nhiều sự cố an ninh mạng không bắt đầu bằng các kỹ thuật tiên tiến hay các lỗ hổng chưa được biết đến. Thay vào đó, chúng bắt đầu từ những điểm yếu cơ bản chưa bao giờ được khắc phục. Thông tin đăng nhập mặc định. Quyền truy cập không được giám sát. Nhật ký mà kẻ tấn công có thể xóa. Bản sao lưu không bao gồm các hệ thống thực sự quan trọng.
Trong một số vụ việc được mô tả, những kẻ tấn công không cần phải nỗ lực nhiều. Môi trường xung quanh đã hỗ trợ chúng.
Diễn biến các cuộc tấn công
Báo cáo nêu rõ nhiều vụ việc trong đó kẻ tấn công xâm nhập thông qua các con đường quen thuộc. Email lừa đảo, tệp đính kèm độc hại, trang web bị xâm nhập và các dịch vụ bị lộ thông tin đều là những điểm khởi đầu phổ biến. Sau khi một điểm cuối bị xâm nhập, kẻ tấn công tập trung vào việc di chuyển âm thầm, sử dụng các công cụ hợp pháp và các giao thức tiêu chuẩn.
Các thiết bị bên trong mạng nội bộ thường được cho là an toàn. Giả định này hóa ra là sai. Thiết bị mạng, giao diện quản lý và hệ điều hành đôi khi được triển khai với thông tin đăng nhập mặc định hoặc dùng chung. Trong một vài trường hợp, kẻ tấn công thậm chí không cần đến công cụ khai thác mà chỉ cần đăng nhập là được.
Việc truy cập từ xa cũng đóng một vai trò quan trọng. Các kết nối VPN không phải lúc nào cũng được xem xét kỹ lưỡng, và các biện pháp kiểm soát xác thực khác nhau giữa các môi trường. Sau khi kết nối, kẻ tấn công sử dụng các phiên RDP và chia sẻ tệp SMB để di chuyển ngang, hòa lẫn vào lưu lượng truy cập thông thường và tránh bị phát hiện ngay lập tức.
Vì sao thông tin đăng nhập mặc định vẫn là một trong những rủi ro lớn nhất
Thông tin đăng nhập mặc định vẫn là một trong những rủi ro dễ tránh nhất, nhưng chúng vẫn tiếp tục xuất hiện trong các sự cố thực tế. Báo cáo chỉ rõ rằng điều này không chỉ liên quan đến các thiết bị kết nối internet. Các hệ thống nội bộ, bao gồm các thành phần OT và máy chủ quản lý, vẫn giữ nguyên thông tin đăng nhập hoặc có quyền truy cập quản trị rộng rãi.
Kẻ tấn công thường tìm kiếm những sơ hở này trước tiên. Khi tìm thấy chúng, chúng sẽ nhanh chóng và lặng lẽ giành quyền kiểm soát.
Việc thay đổi thông tin đăng nhập mặc định, hạn chế việc dùng chung tài khoản và thực thi trách nhiệm giải trình đối với quyền truy cập đặc quyền không phải là các biện pháp nâng cao, mà là những nguyên tắc cơ bản. Khi thiếu những điều này, mọi thứ khác sẽ trở nên khó khăn hơn.
Phát hiện sau khi thực hiện thì đã quá muộn.
Cần lưu ý rằng trong một số trường hợp, các công cụ bảo mật điểm cuối đã phát hiện hoạt động độc hại. Điều này giúp hạn chế thiệt hại. Tuy nhiên, việc phát hiện thường xảy ra sau khi phần mềm độc hại đã được thực thi.
Một khi phần mềm độc hại được thực thi, kẻ tấn công có thể đánh cắp thông tin đăng nhập, sửa đổi cấu hình và thiết lập quyền truy cập lâu dài. Lúc đó, việc ứng phó trở nên phức tạp và gây ra nhiều gián đoạn hơn.
Báo cáo nhấn mạnh tầm quan trọng của việc kiểm tra các tệp tin trước khi chạy. Các tệp đính kèm email, tệp tải xuống và tệp được đưa vào thông qua phương tiện lưu trữ di động cần được quét và kiểm tra. làm sạch Trước khi chúng kịp xâm nhập vào hệ thống vận hành. Ngăn chặn các mối đe dọa ngay tại điểm xâm nhập sẽ giảm thiểu nhu cầu khắc phục hậu quả sau này.
Theo dõi những gì kẻ tấn công thực sự sử dụng
Một số sự cố được mô tả trong báo cáo liên quan đến việc di chuyển ngang chứ không phải là các cuộc tấn công phô trương: chẳng hạn như các phiên RDP giữa các hệ thống, các thư mục chia sẻ SMB được sử dụng để di chuyển công cụ và những thay đổi cấu hình nhỏ dần dần mở ra các lỗ hổng theo thời gian.
Giám sát giao tiếp nội bộ là vô cùng quan trọng. Lưu lượng truy cập Đông-Tây thường ít được chú ý hơn so với hoạt động hướng ra internet, nhưng đó lại là nơi mà kẻ tấn công dành phần lớn thời gian sau khi xâm nhập vào hệ thống.
Những thay đổi về cấu hình cũng cần được quan tâm như nhau. Firewall Các quy tắc, cài đặt VPN và quyền truy cập Active Directory không nên thay đổi một cách âm thầm. Các tổ chức cần có cái nhìn rõ ràng về những gì đã thay đổi, ai đã thực hiện thay đổi và tại sao. Những thay đổi bất ngờ thường là dấu hiệu sớm nhất của sự xâm phạm.
Nhật ký hệ thống và bản sao lưu: Những thành phần mà kẻ tấn công cố gắng phá vỡ
Báo cáo cũng cho thấy cách tin tặc nhắm mục tiêu vào các quy trình ghi nhật ký và phục hồi. Trong một số sự cố, nhật ký đã bị xóa hoặc sửa đổi, làm chậm quá trình điều tra và hạn chế khả năng hiểu rõ những gì đã xảy ra.
Nhật ký kiểm toán cần được chuyển tiếp đến một vị trí an toàn mà kẻ tấn công không thể sửa đổi hoặc xóa chúng. Lý tưởng nhất là nhật ký chỉ được chuyển theo một chiều. Nếu kẻ tấn công có thể xóa nhật ký, chúng có thể che giấu dấu vết của mình.
Việc sao lưu dữ liệu cũng cần được chú trọng như vậy. Nhiều tổ chức sẽ sao lưu cấu hình nhưng lại bỏ qua phần mềm nhúng (firmware), ảnh hệ thống đầy đủ và trạng thái thiết bị đầu cuối. Khi phần mềm nhúng hoặc các tệp nhị phân hệ thống bị xâm phạm, chỉ sao lưu cấu hình thôi là không đủ. Phần mềm nhúng sạch, sao lưu máy chủ và ảnh thiết bị đầu cuối đáng tin cậy là rất cần thiết cho việc khôi phục.
Điều quan trọng cần ghi nhớ
Báo cáo của CERT Polska không mô tả các lỗi do thiếu công cụ gây ra. Báo cáo mô tả các lỗi do bỏ qua những yếu tố cơ bản như:
- Thông tin đăng nhập mặc định vẫn được giữ nguyên.
- Việc truy cập từ xa chưa được giám sát đầy đủ.
- Các tệp nhật ký được lưu trữ ở nơi mà kẻ tấn công có thể truy cập được.
- Phần mềm độc hại chỉ được phát hiện sau khi nó đã hoạt động.
Thật may mắn là một số cuộc tấn công đã được phát hiện trước khi gây ra sự gián đoạn lớn. Nhưng may mắn không phải là tất cả.
Các tổ chức năng lượng phải giảm thiểu rủi ro ngay từ giai đoạn đầu của chuỗi tấn công — trước khi phần mềm độc hại hoạt động, trước khi thông tin đăng nhập bị lạm dụng và trước khi kẻ tấn công có thể xóa dấu vết. Báo cáo chỉ rõ một điều: kẻ tấn công đang sử dụng các con đường có thể dự đoán được. Và điều đó có nghĩa là các nhà phòng thủ có thể ngăn chặn chúng.
Những giải pháp này không phải là mới lạ, nhưng chúng rất cấp thiết.
Đừng chờ đến khi phần mềm độc hại thực thi mới phản ứng. Hãy tìm hiểu cách OPSWAT MetaDefender ngăn chặn các mối đe dọa ngay từ điểm xâm nhập bằng cách quét và làm sạch các tệp tin trước khi chúng tiếp cận các hệ thống quan trọng của bạn.
