Các cuộc tấn công ICS/OT gia tăng khi hoạt động đe dọa ngày càng trở nên nghiêm trọng
Trong hai năm qua, các cuộc tấn công nhằm vào hệ thống điều khiển công nghiệp và công nghệ vận hành đã chuyển từ rủi ro lý thuyết thành hiện thực trong hoạt động. Các quốc gia không còn chỉ dừng lại ở việc cài cắm các điểm xâm nhập bên trong cơ sở hạ tầng trọng yếu. Họ đang thực hiện các cuộc tấn công. Các phần mềm xóa dữ liệu (wipers) đã thay thế ransomware trở thành vũ khí được ưa chuộng nhất của các tác nhân được nhà nước hậu thuẫn khi nhắm vào các môi trường OT. Một điểm chung duy nhất kết nối hầu hết các sự cố lớn: một tệp tin độc hại đã vượt qua ranh giới tin cậy mà không ai kiểm tra.
Bài viết này sẽ phân tích bối cảnh các mối đe dọa đối với hệ thống điều khiển công nghiệp (ICS) và công nghệ vận hành (OT) từ năm 2024 đến đầu năm 2026, không phải dưới dạng danh sách các tên nhóm APT hay mã CVE, mà dưới dạng một câu chuyện. Chúng ta sẽ bắt đầu bằng bức tranh tổng thể: những sự kiện đã diễn ra và thời điểm xảy ra. Tiếp theo, chúng ta sẽ tìm hiểu ai là thủ phạm đứng sau các vụ việc này, cách thức họ thực hiện, và cuối cùng, chúng ta sẽ phân tích chi tiết một vụ việc cụ thể để minh họa rõ ràng một cuộc tấn công xóa dữ liệu (wiper) nhắm vào hệ thống ICS hiện đại trông như thế nào từ bên trong.
Các con số chính
- Năm 2025, có 119 nhóm ransomware tích cực nhắm mục tiêu vào các môi trường OT, tăng 49% so với con số 80 vào năm 2024
- Hơn hai phần ba tổng số nạn nhân của phần mềm tống tiền OT là các doanh nghiệp sản xuất – đây là ngành bị nhắm mục tiêu nhiều nhất
- Volt Typhoon đã hoạt động mà không bị phát hiện bên trong mạng OT của một công ty điện lực Mỹ trong hơn 300 ngày
- Chỉ riêng trong giai đoạn 2024–2025 đã có sáu chiến dịch tấn công nhắm vào các mục tiêu ICS/OT, nhiều hơn bất kỳ giai đoạn tương đương nào khác
Tổng quan về dòng thời gian các sự cố ICS/OT
Trước khi phân tích ai là thủ phạm đứng sau các cuộc tấn công này hay cách thức hoạt động của chúng, việc xem xét chúng trên một dòng thời gian sẽ rất hữu ích. Bảng dưới đây tổng hợp mọi sự cố ICS/OT đáng chú ý trong giai đoạn này — được phân loại theo ngành, tác nhân đe dọa và khu vực địa lý — để bạn có thể nắm bắt tổng quan trước khi đi sâu vào chi tiết.
Ngày | Sự cố | Lĩnh vực | Diễn viên | Địa lý |
Tháng 4 năm 2026 | Nhóm tấn công có chủ đích (APT) của Iran đang lợi dụng các bộ điều khiển logic lập trình (PLC) của Rockwell — gây gián đoạn hoạt động tại các cơ sở hạ tầng quan trọng (CI) trên khắp Hoa Kỳ | Năng lượng Nước Chính phủ | Nhóm IRGC-CEC / CyberAv3ngers | Hoa Kỳ |
Tháng 3 năm 2026 | Phần mềm xóa dữ liệu Handala khiến hệ thống Stryker ngừng hoạt động — được cho là đã xóa dữ liệu trên hơn 200.000 thiết bị tại 79 quốc gia | Y tế | Handala / Void Manticore (MOIS) | Toàn cầu (79 quốc gia) |
2025 | DynoWiper nhắm đến mạng lưới điện Ba Lan và các nguồn năng lượng tái tạo phân tán (DER) | Năng lượng | Sandworm / ELECTRUM (GRU) | Ba Lan (NATO) |
2025 | PathWiper đã được triển khai nhằm vào cơ sở hạ tầng trọng yếu của Ukraine | Cơ sở hạ tầng quan trọng | Liên quan đến Nga | Ukraina |
2025 | BAUXITE / Chiến dịch quảng bá sản phẩm lau chùi BlueWipe-SewerGoo | Lưu trữ năng lượng | BAUXITE (Ủy ban Điều hành Trung ương Lực lượng Vệ binh Cách mạng Hồi giáo) | Israel |
2025 | Hệ thống phòng thủ tên lửa PYROXENE nhắm vào các mục tiêu chính phủ và cơ sở hạ tầng trọng yếu | Cơ sở hạ tầng quan trọng của Chính phủ | PYROXENE (IRGC-CEC / APT35) | Israel, Albania |
2025 | Các vụ xâm nhập chuỗi cung ứng liên quan đến SYLVANITE → VOLTZITE | Năng lượng Nước | Có liên quan đến nhà nước Trung Quốc | Hoa Kỳ |
2025 | KAMACITE đang rà soát các mục tiêu công nghiệp tại Hoa Kỳ | Sản xuất | Nga (có liên quan đến GRU) | Hoa Kỳ |
2025 | Z-PENTEST đã xâm nhập hệ thống giao diện người dùng (HMI) của một đập thủy điện ở Na Uy | Nước/Đập | Z-PENTEST (thân Nga) | Na Uy |
Tháng 1 năm 2024 | FrostyGoop làm gián đoạn hệ thống sưởi ấm khu vực Lviv thông qua giao thức Modbus TCP | Năng lượng/Sưởi ấm | Có liên quan đến Nga | Ukraina |
2024 | Volt Typhoon / VOLTZITE — Hơn 300 ngày hoạt động trong hệ thống điện lực của Mỹ | Năng lượng Nước | Trung Quốc (Volt Typhoon) | Hoa Kỳ |
2024 | Phần mềm AcidPour nhắm vào hạ tầng viễn thông của Ukraine | Viễn thông | Sâu cát (GRU) | Ukraina |
2024 | Sandworm Spring — Cuộc tấn công vào chuỗi cung ứng trong lĩnh vực năng lượng và nước | Năng lượng Nước | Sâu cát (GRU) | Ukraina |
Tháng 8 năm 2024 | Halliburton bị tấn công bởi RansomHub — thiệt hại 35 triệu USD | Dầu khí | RansomHub | Hoa Kỳ |
2024 | Fuxnet phá hủy hệ thống cảm biến của các công ty dịch vụ công cộng tại Moscow | Tiện ích | BlackJack (có liên quan đến Ukraine) | Nga |
Tháng 9 năm 2024 | Phần mềm tống tiền tấn công hệ thống xử lý nước tại Arkansas City, Kansas | Nước | Phần mềm tống tiền Hazard | Hoa Kỳ |
2023–2024 | CyberAv3ngers / IOCONTROL — Hơn 75 thiết bị bị xâm nhập tại các cơ sở cấp nước trên khắp Hoa Kỳ | Nước | Lực lượng Vệ binh Cách mạng Hồi giáo (Iran) | Hoa Kỳ, Israel |
Tháng 1 năm 2024 | Sự cố tràn bể chứa nước tại Muleshoe, Texas do màn hình điều khiển (HMI) bị hở | Nước | CyberArmyofRussia_Tái sinh | Hoa Kỳ |
Các chiến dịch tấn công Wiper ngày càng gia tăng và các mục tiêu OT ngày càng mở rộng
Tốc độ đang ngày càng gia tăng. Chỉ riêng năm 2025 đã chứng kiến nhiều chiến dịch tấn công mạng nhắm vào các hệ thống điều khiển công nghiệp (ICS) và hạ tầng vận hành (OT) hơn bất kỳ năm nào trước đó. Phạm vi địa lý của các cuộc tấn công này đã mở rộng, vượt ra ngoài khu vực xung đột Ukraine–Nga để lan sang các quốc gia thành viên NATO như Ba Lan, Tây Âu (bao gồm Na Uy) và Trung Đông (bao gồm Israel). Sự đa dạng về lĩnh vực cũng đã mở rộng, không chỉ giới hạn ở năng lượng và nước mà còn bao gồm y tế, viễn thông và sản xuất.
Các cuộc tấn công này nhắm vào nhiều quốc gia, lĩnh vực và nạn nhân khác nhau — nhưng tất cả đều bắt đầu theo cùng một cách: bằng một tệp tin đã lọt qua sự kiểm soát của mọi người. Chỉ cần kích hoạt một tệp tin như vậy, bạn sẽ ngay lập tức nhận ra rằng nó được tạo ra để phá hoại.
Các quốc gia và các nhóm hacktivist Drive các cuộc tấn công vào hệ thống điều khiển công nghiệp ( Drive )
Dòng thời gian trên tuy dày đặc, nhưng không phải là ngẫu nhiên. Các sự kiện tập trung quanh một số ít nhóm chủ thể, mỗi nhóm đều có động cơ, khả năng và mục tiêu ưa thích riêng biệt.
Nga — vẫn là nguồn gốc của hầu hết các mối đe dọa đối với hệ thống điều khiển công nghiệp (ICS)
Các đối tượng có liên quan đến Nga chiếm tỷ lệ lớn nhất trong các hoạt động nhắm vào hệ thống điều khiển công nghiệp (ICS) trong giai đoạn này, hoạt động thông qua nhiều nhóm với các vai trò khác nhau.
Sandworm (ELECTRUM) vẫn là nhóm hacker chuyên tấn công hệ thống điều khiển công nghiệp (ICS) nguy hiểm nhất trên thế giới. Chiến dịch tấn công vào tháng 12 năm 2025 của nhóm này nhằm vào lưới điện Ba Lan đã nhắm mục tiêu vào khoảng 30 cơ sở năng lượng phân tán, bao gồm các nhà máy nhiệt điện kết hợp (CHP) và hệ thống điều độ năng lượng tái tạo như điện gió và điện mặt trời. Đây là cuộc tấn công mạng quy mô lớn đầu tiên được phối hợp chặt chẽ nhằm vào các nguồn năng lượng phân tán.
Phần mềm độc hại DynoWiper được sử dụng trong cuộc tấn công đó là một loại phần mềm xóa dữ liệu Windows PE nhắm vào cơ sở hạ tầng năng lượng. Nó đã xóa sạch dữ liệu trên các máy tính chạy Windows tại các trạm phân phối năng lượng phân tán (DER) và làm hỏng một số thiết bị công nghệ vận hành (OT) và hệ thống điều khiển công nghiệp (ICS) đến mức không thể sửa chữa được. Mặc dù không xảy ra sự cố mất điện, nhưng những kẻ tấn công đã xâm nhập được vào các hệ thống công nghệ vận hành có vai trò quan trọng đối với hoạt động của lưới điện.
Trước đó, chiến dịch PathWiper của chúng đã nhắm vào cơ sở hạ tầng trọng yếu của Ukraine cơ sở hạ tầng trọng yếu một trình cài đặt VBScript kết hợp với một công cụ xóa dữ liệu PE, có khả năng phá hủy MBR và MFT ghi đè lên các tệp tin trên tất cả các ổ đĩa. Vào năm 2024, chúng đã triển khai AcidPour, một công cụ xóa dữ liệu dạng ELF trên Linux, nhằm vào cơ sở hạ tầng viễn thông của Ukraine và dàn dựng một vụ tấn công xâm nhập chuỗi cung ứng nhắm vào các hệ thống năng lượng và cấp nước.
KAMACITE đóng vai trò là lớp hạ tầng hỗ trợ. Vào năm 2025, nhóm có liên hệ với GRU này đã bị phát hiện tiến hành quét trinh sát các mục tiêu công nghiệp của Mỹ, đây là hoạt động chuẩn bị tiền trạm thường diễn ra trước các hoạt động phá hoại của ELECTRUM.
Trung Quốc — kiên nhẫn, sâu sắc và ngày càng mở rộng phạm vi
Cách tiếp cận của Trung Quốc về cơ bản khác biệt so với Nga. Trong khi các bên liên quan của Nga phá hoại, các bên liên quan của Trung Quốc lại kiên trì.
VOLTZITE (Volt Typhoon) đã được xác nhận tồn tại trong mạng OT của một công ty điện lực Mỹ trong hơn 300 ngày, tiến hành đánh cắp dữ liệu GIS và các cấu hình hệ thống OT. Đây không phải là hoạt động gián điệp vì mục đích gián điệp thuần túy. Mô hình hoạt động chuẩn bị trước này phù hợp với việc chuẩn bị cho các hành động phá hoại cơ sở hạ tầng điện lực Mỹ trong tương lai.
Năm 2025, nhóm SYLVANITE đã nhanh chóng khai thác các lỗ hổng bảo mật trên các thiết bị VPN của Ivanti, thiết bị F5 và các hạ tầng biên khác để tạo điểm đột nhập ban đầu. Những điểm đột nhập này sau đó được đưa vào chuỗi công cụ VOLTZITE nhằm thực hiện các cuộc xâm nhập sâu hơn vào hệ thống công nghiệp (OT). Mục tiêu tấn công đã được mở rộng để bao gồm cả các công ty điện lực và cấp nước.
AZURITE, một nhóm mới được phát hiện vào năm 2025, cho thấy sự leo thang trong các cuộc tấn công nhắm vào hệ thống công nghiệp (OT) có liên quan đến Trung Quốc. AZURITE đang tích cực nhắm mục tiêu vào các máy trạm kỹ thuật OT trong các ngành sản xuất, quốc phòng và ô tô tại Hoa Kỳ, Úc và châu Âu. Nhóm này tập trung vào việc đánh cắp sơ đồ mạng, dữ liệu cảnh báo và cấu hình quy trình.
Iran — đã vượt qua ranh giới, tiến tới hành động vũ lực
Trong giai đoạn này, các thực thể do nhà nước Iran hậu thuẫn đã thực hiện một bước chuyển hướng quyết định, chuyển từ việc khai thác các lỗ hổng một cách cơ hội sang việc nhắm mục tiêu có chủ đích vào các quy trình vật lý.
Nhóm CyberAv3ngers (BAUXITE / IRGC) đã xâm nhập thành công hơn 75 thiết bị tại nhiều cơ sở cấp nước của Mỹ trong giai đoạn 2023–2024, bao gồm việc chiếm quyền điều khiển trực tiếp một bộ điều khiển logic lập trình (PLC) tại một trạm tăng áp ở Pennsylvania. Phần mềm độc hại IOCONTROL của chúng, một tệp nhị phân Linux có chức năng điều khiển và chỉ huy dựa trên MQTT được nhúng trong các gói cập nhật phần mềm nhúng của thiết bị, được thiết kế chuyên biệt để xâm nhập các thiết bị công nghệ vận hành (OT). Năm 2025, nhóm BAUXITE đã triển khai các biến thể phần mềm xóa dữ liệu BlueWipe-SewerGoo nhằm vào cơ sở hạ tầng năng lượng và lưu trữ của Israel.
PYROXENE (IRGC-CEC, có liên quan đến APT35) đã nhắm mục tiêu vào cơ sở hạ tầng trọng yếu mạng lưới chính phủ tại Israel và Albania vào năm 2025. Nhóm này đã kết hợp các kỹ thuật lừa đảo xã hội và tấn công chuỗi cung ứng để triển khai các mã độc xóa dữ liệu (PE wiper).
Handala là biểu tượng cho ranh giới mờ nhạt giữa hoạt động hacktivism và các hành động phá hoại do nhà nước chỉ đạo. Theo đánh giá của nhiều công ty tình báo an ninh mạng, nhóm này là vỏ bọc cho một thực thể đe dọa có tên Void Manticore, được Bộ Tình báo và An ninh Iran hậu thuẫn. Nhóm này xuất hiện vào cuối năm 2023 và kể từ đó đã liên tục thực hiện các chiến dịch xóa dữ liệu nhằm vào các mục tiêu của Israel.
Bộ công cụ của chúng rất tinh vi về mặt kỹ thuật. Các email lừa đảo, thường được viết bằng tiếng Do Thái lưu loát, chứa trình cài đặt NSIS để khởi chạy một tập lệnh AutoIT nhằm cấy mã xóa dữ liệu vào một tiến trình Windows hợp pháp. Tải trọng cuối cùng sẽ ghi đè lên các tệp bằng dữ liệu ngẫu nhiên, nâng cao đặc quyền bằng cách khai thác lỗ hổng trong trình điều khiển, và đánh cắp thông tin hệ thống qua API của Telegram API xóa dữ liệu.
Trình cài đặt này có rất nhiều thành phần động — các tệp được chia nhỏ, đặt tên giả và các lệnh được ghép lại với nhau trong quá trình chạy. Nhưng thực ra, mỗi bước chỉ đơn giản là việc thả và khởi chạy thêm một tệp nữa. Việc kích hoạt mẫu này sẽ tiết lộ toàn bộ chuỗi thao tác trước khi phần mềm xóa dữ liệu xóa bất kỳ thứ gì.
Vào tháng 3 năm 2026, Handala đã tấn công Stryker, một nhà sản xuất thiết bị y tế nằm trong danh sách Fortune 500, khiến các thiết bị tại 79 quốc gia bị xóa sạch dữ liệu bằng cách lợi dụng Microsoft Intune, nền tảng quản lý thiết bị đầu cuối của công ty. Giai đoạn gây phá hoại này không cần sử dụng phần mềm độc hại tùy chỉnh. Quyền truy cập Intune ở cấp quản trị viên đã cung cấp một công cụ tắt nguồn tập trung cho các thiết bị đã đăng ký.
Vào tháng 4 năm 2026, một thông báo chung từ sáu cơ quan của Hoa Kỳ đã cảnh báo rằng cùng một nhóm hacker Iran này đã tích cực gây gián đoạn các bộ điều khiển logic lập trình (PLC) của Rockwell kết nối với internet tại các mục tiêu thuộc lĩnh vực chính phủ, cấp nước và năng lượng ít nhất từ tháng 3 năm 2026. Những kẻ tấn công đã sử dụng phần mềm kỹ thuật chính thức của Rockwell để can thiệp vào các tệp dự án PLC và thao túng màn hình điều khiển bằng cách khai thác một lỗ hổng đã biết cho phép bỏ qua xác thực (CVE-2021-22681). Đây là hành vi gây gián đoạn tích cực đối với các quy trình công nghiệp trên lãnh thổ Mỹ.
Các nhà hoạt động mạng — xâm nhập vào lớp vật lý
Các nhóm tin tặc ủng hộ Nga đã vượt qua một cột mốc quan trọng trong giai đoạn này. Năm 2025, nhóm Z-PENTEST đã xâm nhập thành công vào một thiết bị HMI kết nối internet tại một đập thủy điện ở Na Uy bằng cách khai thác mật khẩu yếu, từ đó có khả năng điều khiển các hệ thống điều tiết nước vật lý. Nhóm CyberArmyofRussia_Reborn đã xâm nhập vào một thiết bị HMI tại Muleshoe, Texas, khiến một bể chứa nước bị tràn trước khi nhân viên chuyển sang chế độ vận hành thủ công.
Đây không phải là những cuộc tấn công phức tạp. Chúng đơn giản, mang tính cơ hội và ngày càng gây ra những hậu quả nghiêm trọng. Rào cản để gây ra sự gián đoạn về mặt vật lý trong các môi trường OT thấp hơn so với những gì nhiều nhà điều hành vẫn nghĩ.
Các cuộc tấn công dựa trên tệp, phần mềm xóa dữ liệu và việc chuyển hướng từ hệ thống CNTT sang hệ thống OT là những đặc điểm chính của các vụ xâm nhập vào hệ thống điều khiển công nghiệp (ICS) và hệ thống vận hành (OT)
Qua tất cả các sự cố này, với sự tham gia của các bên liên quan, lĩnh vực và khu vực địa lý khác nhau, một loạt các mô hình nhất quán đã được bộc lộ.
Cần gạt nước đã trở thành công cụ phá hoại chủ yếu
Đây là xu hướng đáng chú ý nhất trong các hoạt động đe dọa nhắm vào hệ thống điều khiển công nghiệp (ICS) và công nghệ vận hành (OT). Chỉ riêng trong giai đoạn 2024–2025, đã có ít nhất sáu chiến dịch tấn công xóa dữ liệu riêng biệt nhắm vào cơ sở hạ tầng trọng yếu công nghiệp và cơ sở hạ tầng trọng yếu : DynoWiper nhắm vào ngành năng lượng của Ba Lan, PathWiper nhắm vào cơ sở hạ tầng trọng yếu của Ukraine, AcidPour nhắm vào ngành viễn thông Ukraine, BAUXITE hoặc BlueWipe-SewerGoo nhắm vào ngành năng lượng Israel, PYROXENE nhắm vào chính phủ và cơ sở hạ tầng trọng yếu Israel và Albania, và Handala nhắm vào ngành y tế toàn cầu.
Các phần mềm xóa dữ liệu đang ngày càng được thiết kế chuyên biệt hơn. DynoWiper được triển khai nhằm vào cơ sở hạ tầng năng lượng tại Ba Lan, xóa sạch các máy tính chạy Windows tại các cơ sở năng lượng phân tán và vô hiệu hóa một số thiết bị OT đến mức không thể khôi phục. PathWiper phá hủy MBR và MFT ghi đè lên các tệp tin, khiến việc khôi phục trở nên khó khăn nhất có thể. AcidPour nhắm vào các thiết bị Linux nhúng, xóa sạch các phân vùng UBI và phân vùng Device Mapper được sử dụng trong thiết bị OT.
Cuộc tấn công Stryker của Handala đã cho thấy một hướng phát triển khác biệt. Thay vì triển khai phần mềm độc hại tùy chỉnh trên quy mô lớn, những kẻ tấn công đã lợi dụng một công cụ quản lý doanh nghiệp hợp pháp có tên Microsoft Intune để đồng thời phát lệnh xóa dữ liệu hàng loạt trên tất cả các thiết bị đã đăng ký. Điều này đã biến chính hạ tầng của tổ chức thành một vũ khí. Đây không phải là những công cụ đa năng được chuyển đổi mục đích sử dụng cho hệ thống OT. Chúng được thiết kế riêng hoặc tận dụng cho chính các môi trường mà chúng tác động đến.
Phần mềm độc hại nhắm vào hệ thống ICS đang ngày càng trở nên tinh vi hơn
FrostyGoop xứng đáng được chú ý đặc biệt như một cột mốc quan trọng. Được triển khai nhằm vào hệ thống sưởi ấm khu vực Lviv vào tháng 1 năm 2024, đây là phần mềm độc hại đầu tiên khai thác trực tiếp giao thức Modbus TCP trong môi trường sản xuất. Được viết bằng ngôn ngữ Go và biên dịch thành tệp nhị phân PE trên Windows, phần mềm này đã xâm nhập qua mạng kỹ thuật, lây lan từ hệ thống CNTT sang hệ thống OT thông qua việc chuyển tệp. Cuộc tấn công này đã khiến hơn 600 tòa nhà chung cư bị mất nhiệt trong hai ngày, trong điều kiện nhiệt độ xuống dưới 0 độ C.
FrostyGoop là một vấn đề đáng quan tâm bởi vì Modbus TCP được sử dụng rộng rãi trong các môi trường công nghiệp trên toàn thế giới. Phần mềm độc hại này đã cho thấy rằng các kẻ tấn công không còn chỉ nhắm vào các máy trạm Windows nằm gần hệ thống công nghệ vận hành (OT) nữa. Hiện nay, chúng đang viết mã để giao tiếp trực tiếp với các giao thức công nghiệp.
Mục đích của FrostyGoop đã được thể hiện ngay trong mã nguồn mà nó tải — các thư viện mà nó nhập vào chỉ có một mục đích duy nhất: giao tiếp với các bộ điều khiển công nghiệp
Mỗi vụ vi phạm OT đều có một bước trong chuỗi tấn công của nó
Đây là điểm chung. Trong mọi sự cố trên dòng thời gian, bất kể tác nhân, lĩnh vực hay khu vực địa lý nào, đều có một tệp độc hại đã vượt qua ranh giới tin cậy tại một thời điểm nào đó trong chuỗi tấn công:
- Các phần mềm độc hại này được phân phối dưới dạng các tệp thực thi PE, các trình cài đặt ẩn VBScript và các tệp nhị phân ELF trên Linux.
- Các lỗ hổng trong chuỗi cung ứng đã lợi dụng các gói cài đặt bị cài đặt trojan và các bản cập nhật phần mềm.
- Các cuộc tấn công spearphishing đã phát tán các tài liệu được cài cắm mã độc, bao gồm các tệp Excel có chứa macro VBA và các tệp OneNote có chứa mã độc nhúng.
- Các phần mềm độc hại nhắm vào hệ thống điều khiển công nghiệp (ICS) xuất hiện dưới dạng các tệp nhị phân Go đã được biên dịch như FrostyGoop, các tải trọng Python như Triton và COSMICENERGY, cũng như các tệp nhị phân PE tùy chỉnh như Industroyer2 và DynoWiper.
- Ngay cả các chiến dịch tấn công kiểu “sống nhờ vào hệ thống” như Volt Typhoon cũng để lại các dấu vết trên hệ thống, bao gồm các web shell, các tập lệnh di chuyển ngang và các công cụ thu thập thông tin đăng nhập được cài đặt trên các hệ thống bị xâm nhập.
- Các mã độc tống tiền ảnh hưởng đến các môi trường liên quan đến công nghệ vận hành (OT), như tại Halliburton và Arkansas City, đã được phát tán thông qua các tệp đính kèm trong email lừa đảo và các vụ xâm nhập máy chủ.
Các loại tệp rất đa dạng. Các phương thức xâm nhập cũng rất đa dạng. Các tác nhân gây hại cũng rất đa dạng. Tuy nhiên, mô hình tấn công vẫn giữ nguyên: một tệp xâm nhập vào hệ thống, vượt qua ranh giới vùng tin cậy, và sau đó hoặc được thực thi trực tiếp, hoặc tạo điều kiện cho giai đoạn xâm nhập tiếp theo.
Các thiết bị biên và các giao diện người dùng (HMI) không được bảo vệ chính là ranh giới bảo mật mới
Cả vụ tấn công đập Z-PENTEST ở Na Uy và vụ tràn nước tại Muleshoe ở Texas đều khai thác cùng một lỗ hổng: các thiết bị giao diện người dùng (HMI) kết nối internet có thông tin đăng nhập yếu hoặc vẫn giữ nguyên mặc định. Chiến dịch CyberAv3ngers nhắm vào các cơ sở cấp nước của Mỹ đã tấn công các bộ điều khiển logic lập trình (PLC) của Unitronics bằng cách sử dụng thông tin đăng nhập mặc định. Đây không phải là các lỗ hổng zero-day. Chúng là những sai sót trong cấu hình tại ranh giới giữa các hệ thống công nghiệp (OT) và internet.
Ranh giới giữa CNTT và OT chính là điểm mà các cuộc tấn công thường lấy làm bàn đạp
Trong hàng loạt vụ việc, điểm đột nhập thường xảy ra tại ranh giới giữa hệ thống CNTT và hệ thống công nghiệp (OT). Các máy trạm kỹ thuật, vốn tồn tại trong cả hai môi trường và kết nối mạng doanh nghiệp với các bộ điều khiển logic lập trình (PLC) trên dây chuyền sản xuất, là điểm đột nhập phổ biến nhất. AZURITE nhắm mục tiêu trực tiếp vào chúng. Volt Typhoon đã xâm nhập qua các máy trạm này. Triton yêu cầu quyền truy cập vật lý vào một trong số chúng. FrostyGoop được phát tán qua mạng kỹ thuật. Bảo vệ máy trạm đồng nghĩa với việc bảo vệ các tệp tin được tải xuống trên đó.
Dự đoán trước khi thực thi và phân tích hành vi giúp ngăn chặn các cuộc tấn công OT trước khi chúng gây ra tác động
Phát hiện hành vi ngày 0 với MetaDefender
Các mô hình trong các cuộc tấn công nhắm vào Hệ thống Kiểm soát Công nghiệp (ICS) và Công nghệ Vận hành (OT) đều cho thấy một thực tế nhất quán: các mối đe dọa chưa được biết đến và khó phát hiện xâm nhập vào hệ thống dưới dạng tệp tin, vượt qua các ranh giới tin cậy và được thực thi trước khi các biện pháp phòng thủ truyền thống kịp phản ứng. Để ngăn chặn những cuộc tấn công này, cần phải kết hợp cả phân tích hành vi sâu rộng và khả năng dự đoán ý đồ độc hại trước khi mã độc được thực thi.
MetaDefender là giải pháp phát hiện lỗ hổng zero-day tích hợp OPSWAT, được thiết kế để phát hiện các mối đe dọa chưa được biết đến và có khả năng lẩn tránh ẩn trong các tệp tin. Giải pháp này kết hợp công nghệ sandboxing thích ứng, thông tin tình báo về mối đe dọa, hệ thống đánh giá mức độ nguy hiểm và tìm kiếm độ tương đồng dựa trên học máy vào một quy trình phát hiện duy nhất, từ đó đưa ra kết luận đáng tin cậy cho từng tệp tin.
Bằng cách kích hoạt các tệp trong môi trường mô phỏng, Aether phát hiện ra các hành vi ẩn như logic của phần mềm tống tiền, chèn mã, các kỹ thuật chống phân tích và các tải trọng đa giai đoạn mà các công cụ phân tích tĩnh không thể phát hiện. Công cụ này đối chiếu các phát hiện này với hàng tỷ chỉ số đe dọa để xác định rủi ro, phát hiện các biến thể và liên kết các hoạt động với các kỹ thuật đã biết của kẻ tấn công.
Phương pháp này cho phép các tổ chức phát hiện các mối đe dọa zero-day trong các tệp thực thi, tập lệnh, tệp lưu trữ và tệp bản vá mà không thể làm sạch sửa đổi. Phương pháp này cũng đáp ứng các yêu cầu tuân thủ trong các ngành chịu sự quản lý, nơi phân tích động là bắt buộc và tính toàn vẹn của tệp phải được bảo toàn.
Dự đoán mối đe dọa trước khi thực thi với công nghệ AI dự đoán của Alin
Bên cạnh đó, Predictive Alin AI giới thiệu một lớp phát hiện trước khi thực thi hoạt động tại lớp bảo vệ biên. Thay vì chờ đợi các tệp gây hại phát tác, hệ thống này phân tích các chỉ số về cấu trúc và hành vi để dự đoán ý đồ độc hại chỉ trong vài mili giây. Điều này giúp các tổ chức chặn các tệp có rủi ro cao trước khi chúng xâm nhập vào môi trường hoặc tiếp cận các hệ thống quan trọng.
Hệ thống AI dự đoán Alin được huấn luyện lại liên tục dựa trên các mối đe dọa zero-day được phát hiện bởi MetaDefender . Mỗi mối đe dọa được xác nhận đều giúp tăng cường khả năng của mô hình trong việc phát hiện các cuộc tấn công tương tự ở giai đoạn sớm hơn trong chuỗi tấn công. Điều này tạo ra một vòng phản hồi giữa phân tích sâu và phát hiện dự đoán, trong đó Aether phát hiện các mối đe dọa chưa được biết đến và Alin sử dụng thông tin tình báo đó để ngăn chặn thế hệ tấn công tiếp theo trước khi chúng được thực thi.
Khi được triển khai cùng nhau, MetaDefender và Predictive Alin AI mang lại cả độ sâu lẫn tốc độ. Predictive Alin AI đưa ra kết quả đánh giá tức thì trước khi thực thi tại lớp bảo vệ biên, trong khi MetaDefender thực hiện phân tích hành vi toàn diện đối với các tệp cần kiểm tra sâu hơn. Cách tiếp cận theo lớp này giúp giảm thiểu các cảnh báo sai, đẩy nhanh phản ứng của Trung tâm Điều hành An ninh (SOC) và đảm bảo rằng cả các mối đe dọa đã biết lẫn chưa biết đều được phát hiện trước khi chúng có thể gây ảnh hưởng đến môi trường OT.
Để ngăn chặn các cuộc tấn công OT dựa trên tệp, cần phải áp dụng phương pháp phát hiện lỗ hổng zero-day theo nhiều lớp
Bức tranh tổng quan về các mối đe dọa đối với Hệ thống Kiểm soát Công nghiệp (ICS) và Công nghệ Vận hành (OT) hiện nay không còn được xác định bởi những sự cố riêng lẻ. Nó được định hình bởi những mô hình lặp lại. Các phần mềm xóa dữ liệu đang trở nên có mục tiêu hơn, các đối tượng tấn công hành động nhanh hơn, và các cuộc tấn công liên tục tận dụng các lỗ hổng tại các ranh giới tin cậy. Trong mọi trường hợp, vẫn có một điểm chung: một tệp tin xâm nhập vào môi trường và tạo điều kiện cho cuộc tấn công diễn ra.
Các công cụ kiểm tra tĩnh và dựa trên chữ ký không thể nhận ra điểm chung của những cuộc tấn công này, đó là một tệp vượt qua ranh giới tin cậy với mục đích chưa được ghi nhận. Để ngăn chặn chúng, cần phải kiểm tra tệp đó trước khi nó được thực thi và dự đoán những hành động mà nó sẽ thực hiện sau khi được thực thi.
Đó chính là vai trò mà MetaDefender và Predictive Alin AI được thiết kế để đảm nhận. Predictive Alin AI đưa ra kết luận tại lớp bảo vệ biên giới chỉ trong vài mili giây; MetaDefender kích hoạt quá trình kiểm tra sâu đối với những trường hợp cần thiết và đưa mọi lỗ hổng zero-day đã được xác nhận trở lại mô hình dự đoán. Kết quả là một hệ thống phòng thủ nhiều lớp ngày càng chính xác hơn với mỗi tệp tin được phân tích, ngay tại ranh giới chính xác nơi các cuộc tấn công vào Hệ thống Kiểm soát Công nghiệp (ICS) và Mạng Vận hành (OT) bắt đầu.
Hãy xem cách MetaDefender và Predictive Alin AI ngăn chặn các cuộc tấn công nhắm vào tệp tin xâm nhập vào môi trường OT của bạn.
