Những năm qua, nhóm tin tặc đứng sau phần mềm độc hại được biết đến với tên gọi Triton hoặc Trisis đã nổi bật như một mối đe dọa độc đáo đối với cơ sở hạ tầng quan trọng: một nhóm xâm nhập số hóa đã cố gắng phá hoại hệ thống an toàn công nghiệp, với kết quả có thể là hậu quả có thể gây thảm họa. Bây giờ, Bộ Tư pháp Hoa Kỳ đã đặt tên cho một trong những tin tặc trong nhóm đó—và xác nhận rằng mục tiêu của họ bao gồm một công ty Mỹ sở hữu nhiều nhà máy lọc dầu.
Vào ngày Thứ Năm, chỉ vài ngày sau khi Nhà Trắng cảnh báo về nguy cơ tấn công mạng vào cơ sở hạ tầng quan trọng của Hoa Kỳ bởi chính phủ Nga như một biện pháp trả đũa về các biện pháp trừng phạt mới đối với đất nước này, Bộ Tư pháp đã công bố một cặp quyết định truy tố mà cùng nhau mô tả một chiến dịch tin tặc Nga kéo dài nhiều năm nhằm vào các cơ sở hạ tầng năng lượng của Hoa Kỳ. Trong một bộ cáo trạng, được nộp vào tháng 8 năm 2021, chính quyền chỉ định ba sĩ quan thuộc cơ quan tình báo FSB của Nga được cho là là thành viên của một nhóm tin tặc nổi tiếng được biết đến với tên Berserk Bear, Dragonfly 2.0 hoặc Havex, nổi tiếng với việc tập trung vào các công ty điện và cơ sở hạ tầng quan trọng khác trên toàn thế giới, và rộng rãi nghi ngờ là làm việc vì chính phủ Nga.
Cái quyết định thứ hai, được nộp vào tháng 6 năm 2021, đặt ra các cáo buộc chống lại một thành viên của một nhóm tin tặc có lẽ nguy hiểm hơn: một nhóm Nga được biết đến với nhiều tên gọi khác nhau như Triton hoặc Trisis, Xenotime hoặc Temp.Veles. Nhóm thứ hai không chỉ nhắm vào cơ sở hạ tầng năng lượng trên toàn thế giới mà còn đã thực hiện bước quan trọng làm gián đoạn thực tế tại nhà máy lọc dầu Petro Rabigh ở Ả Rập Saudi vào năm 2017, lây nhiễm mạng lưới của nó bằng phần mềm độc hại có thể gây hậu quả nặng nề, và—theo cáo trạng—cố gắng đột nhập vào một công ty lọc dầu Mỹ với những ý định tương tự. Đồng thời, một cảnh báo mới từ phân khúc cyber của FBI cảnh báo rằng Triton "vẫn [là] mối đe doạ," và nhóm tin tặc liên quan đến nó "tiếp tục thực hiện hoạt động nhắm vào ngành năng lượng toàn cầu.
Buộc tội ông Evgeny Viktorovich Gladkikh, một nhân viên tại Viện Nghiên cứu Hóa học và Cơ học Trung ương liên kết với Kremlin có trụ sở tại Moscow (thường được viết tắt là TsNIIKhM), buộc tội ông và những người cộng sự không tên khác đã phát triển phần mềm độc hại Triton và triển khai nó để phá hủy hệ thống an toàn được gọi là safety instrumented systems của Petro Rabigh, phá hủy thiết bị được thiết kế để tự động theo dõi và phản ứng đối với điều kiện không an toàn. Việc hack hệ thống an toàn đó có thể đã dẫn đến rò rỉ hoặc vụ nổ khủng khiếp nhưng thay vào đó kích hoạt cơ chế an toàn đã đóng cửa hai lần hoạt động của nhà máy ở Saudi Arabia. Các công tố viên cũng cho rằng Gladkikh và đồng phạm của ông có vẻ đã cố gắng tạo ra một sự qu disruption tương tự cho một công ty lọc dầu ở Mỹ nhưng không thành công.
"Bây giờ chúng tôi có xác nhận từ chính phủ," nói Joe Slowik, một nghiên cứu viên tại công ty an ninh Gigamon đã phân tích phần mềm độc hại Triton khi nó xuất hiện lần đầu và đã theo dõi những hacker đứng sau nó trong nhiều năm. "Chúng ta có một tổ chức đang nghịch ngợm với một hệ thống an toàn trong môi trường rủi ro cao. Và cố gắng làm điều đó không chỉ ở Saudi Arabia mà còn ở Hoa Kỳ là đáng lo ngại."
Buộc tội cho biết vào tháng 2 năm 2018, chỉ hai tháng sau khi phần mềm độc hại Triton triển khai tại Petro Rabigh được các công ty an ninh mạng FireEye và Dragos phát hiện, nhân viên tại TsNIIKhM bắt đầu nghiên cứu về các nhà máy lọc dầu ở Hoa Kỳ, tìm kiếm các nghiên cứu của chính phủ Hoa Kỳ có thể mô tả chi tiết về những nhà máy lọc dầu ở Hoa Kỳ có công suất lớn nhất, ảnh hưởng tiềm ẩn của hỏa hoạn hoặc vụ nổ tại những cơ sở đó, và sự yếu đuối của họ trước các cuộc tấn công hạt nhân hoặc các thảm họa khác.
Tháng tiếp theo, các công tố viên cho biết, Gladkikh bắt đầu tìm kiếm các thông báo tuyển dụng công việc có thể tiết lộ phần mềm hệ thống kiểm soát công nghiệp nào được sử dụng tại một công ty Mỹ cụ thể sở hữu nhiều nhà máy lọc dầu được đề cập trong các báo cáo của chính phủ. Từ tháng 3 đến tháng 7 năm 2018, Gladkikh sau đó được cho là đã nhắm đến mạng của công ty đó bằng các cuộc tấn công SQL injection, một kỹ thuật tận dụng lỗ hổng trong giao diện web để cố gắng truy cập vào cơ sở dữ liệu cơ bản, cũng như liên tục quét hệ thống của công ty để tìm lỗ hổng khác. Không có một trong những cố gắng xâm nhập đó đã thành công, cáo trạng gợi ý.
Mặc dù chi tiết có hạn như vậy, cáo trạng chống lại Gladkikh đại diện cho những yêu cầu cụ thể nhất cho đến nay rằng những hacker đứng sau Triton đã cố gắng—và thất bại—gây rối cho các hệ thống ở Mỹ. Nhưng đó không phải là lần đầu tiên họ được tiết lộ đang nghiên cứu các hệ thống Mỹ. Năm 2019, công ty an ninh mạng Dragos phát hiện rằng những hacker Triton—mà Dragos gọi là "Xenotime"—đã quét mạng của ít nhất 20 mục tiêu hệ thống điện Mỹ khác nhau, bao gồm mọi yếu tố của lưới điện Mỹ từ các nhà máy sản xuất điện, trạm truyền tải và trạm phân phối, tuy nhiên công ty chưa bao giờ công bố bằng chứng về những cố gắng xâm nhập sâu hơn vào các công ty năng lượng Mỹ đó. "Toàn bộ hoạt động Xenotime lớn hơn những gì Bộ Tư pháp đã công bố," nói Sergio Caltagirone, phó chủ tịch tình báo đe dọa tại Dragos. "Đó chỉ là một phần nhỏ của những gì đang diễn ra."
Ngoài cáo trạng chống lại Gladkikh, cáo buộc của Bộ Tư pháp đối với ba hacker FSB—Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov và Marat Valeryevich Tyukov—đặt tên cho lần đầu tiên một loạt các cuộc xâm nhập kéo dài mười năm nhắm vào lưới điện và cơ sở hạ tầng quan trọng khác trên toàn thế giới. Cáo trạng xác nhận mối liên quan của nhóm đó với FSB, thường được biết đến là Berserk Bear, mà đã liên quan đến việc xâm nhập vào những mục tiêu cơ sở hạ tầng đó từ năm 2012, với nạn nhân từ nhà máy năng lượng hạt nhân Wolf Creek đến Sân bay Quốc tế San Francisco. Tuy nhiên, khác với những hacker Triton, nhóm liên quan đến FSB này kỳ lạ là chưa bao giờ tạo ra tác động gây rối trong một trường hợp xác nhận, thậm chí khi nó có quyền truy cập vào các công ty điện lực Mỹ.
Ngoài hai cáo buộc, Bộ Năng lượng, FBI và CISA đã phát hành cảnh báo vào thứ Năm đối với các công ty cơ sở hạ tầng quan trọng ở Mỹ, liệt kê các kỹ thuật của cả hai nhóm hacker có trụ sở tại TsNIIKhM chịu trách nhiệm cho Triton và nhóm liên quan đến FSB, cũng như các biện pháp phòng ngừa đề xuất. FBI cảnh báo trong thông báo của mình rằng tác động tiềm ẩn của các cuộc tấn công bởi nhóm hacker Triton, cụ thể, "có thể tương tự như các cuộc tấn công mạng trước đây được đặt tên là của Nga đã gây cản trở điện tại Ukraine vào các năm 2015 và 2016"—những sự kiện thực sự đã được gây ra bởi một nhóm hacker khác được biết đến là Sandworm, làm việc dưới sự hậu thuẫn của cơ quan tình báo quân sự GRU của Nga.
Cả hai cảnh báo—và mở các cáo trạng chống lại hai nhóm—là theo sau những cảnh báo mập mờ nhưng đe doạ từ Nhà Trắng vào đầu tuần này rằng Nga đã tham gia vào "hoạt động chuẩn bị" cho các cuộc tấn công mạng vào cơ sở hạ tầng quan trọng của Hoa Kỳ. Ý định, theo lời Joe Slowik của Gigamon, không chỉ là để cảnh báo các nhà bảo vệ mạng của Hoa Kỳ củng cố phòng thủ của họ mà còn để chứng minh cho Kremlin rằng chính phủ Hoa Kỳ đã có khả năng theo dõi—và xác định những người chịu trách nhiệm cho—hoạt động hack của Nga, kéo dài nhiều năm. "Thông điệp là chính phủ Hoa Kỳ có cái nhìn và khả năng quan sát tốt về các hoạt động mạng của Nga," nói Slowik. “Thông điệp là ‘này, chúng tôi đang theo dõi bạn, và theo dõi rất kỹ lưỡng.’”
Bài báo được bổ sung bởi Lily Hay Newman.
- 📩 Thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận những bản tin của chúng tôi!
- Sức ảnh hưởng vô tận của đại diện Facebook ở Washington
- Tất nhiên chúng ta đang sống trong một mô phỏng
- Một màn cược lớn để chấm dứt việc sử dụng mật khẩu mãi mãi
- Cách chặn cuộc gọi và tin nhắn rác
- Sự kết thúc của lưu trữ dữ liệu vô tận có thể giúp bạn tự do
- 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
- ✨ Tối ưu hóa cuộc sống tại nhà với những lựa chọn tốt nhất của đội ngũ Gear chúng tôi, từ máy hút bụi robot đến nệm giá rẻ đến loa thông minh