Tưởng tượng một kẻ tấn công có thể nhìn thấy toàn bộ màn hình máy tính điều khiển hệ thống điện, nước hay sản xuất của bạn từ bất kỳ đâu trên thế giới. Đó chính xác là những gì đang xảy ra với hàng chục nghìn server VNC (Virtual Network Computing - kết nối mạng ảo) và RDP (Remote Desktop Protocol - giao thức máy tính để bàn từ xa) đang lộ thiên trên Internet. Công ty an ninh mạng Forescout vừa công bố phát hiện đáng báo động này, cho thấy các hệ thống điều khiển công nghiệp ICS/OT đang trong tình trạng dễ bị tấn công nghiêm trọng.

Khi Cánh Cửa Hậu Được Mở Toang

VNC là công nghệ cho phép người dùng điều khiển một máy tính từ xa thông qua mạng Internet, giống như việc ngồi trực tiếp trước màn hình đó. Trong môi trường công nghiệp, công nghệ này thường được sử dụng để giám sát và điều khiển các hệ thống tự động hóa, từ dây chuyền sản xuất đến nhà máy điện. Tuy nhiên, khi những server VNC này được kết nối trực tiếp với Internet mà không có biện pháp bảo mật thích hợp, chúng trở thành mục tiêu dễ dàng cho tin tặc.

Chúng tôi cho rằng đây không phải là vấn đề mới, nhưng quy mô mà Forescout phát hiện thực sự đáng lo ngại. Việc có thể map các server này theo từng ngành công nghiệp cụ thể cho thấy mức độ lộ diện của cơ sở hạ tầng quan trọng. Tin tặc không còn phải tìm kiếm mục tiêu một cách mù quáng, mà có thể chọn lọc và tấn công có mục đích.

Bản Đồ Tấn Công Được Vẽ Sẵn

Điểm đặc biệt nguy hiểm của phát hiện này là khả năng phân loại các hệ thống theo ngành nghề. Khi một server VNC điều khiển hệ thống ICS/OT (Industrial Control Systems/Operational Technology - hệ thống điều khiển công nghiệp/công nghệ vận hành) bị lộ, tin tặc không chỉ có thể xem được giao diện điều khiển mà còn có thể thực hiện các thao tác nguy hiểm. Từ việc thay đổi thông số vận hành đến tắt hoàn toàn hệ thống, tất cả đều có thể thực hiện từ xa.

Theo kinh nghiệm 10 năm theo dõi các vụ tấn công mạng, chúng tôi nhận thấy những lỗ hổng này thường bị khai thác theo chuỗi. Tin tặc đầu tiên sẽ quét tìm các server VNC mở, sau đó tiến hành trinh sát để hiểu rõ hệ thống, cuối cùng mới thực hiện các hành động phá hoại hoặc tống tiền. Thời gian từ khi phát hiện đến khi tấn công có thể chỉ trong vài giờ.

Mối Đe Dọa Thật Sự Có Bao Lớn?

Tác động của việc hệ thống ICS/OT bị xâm phạm không chỉ dừng lại ở thiệt hại tài chính. Nếu một nhà máy điện bị tấn công, hàng triệu người có thể mất điện. Hệ thống xử lý nước bị xâm nhập có thể gây ra khủng hoảng nguồn nước sạch. Các dây chuyền sản xuất dừng hoạt động có thể ảnh hưởng đến chuỗi cung ứng toàn cầu. Những kịch bản này không phải là khoa học viễn tưởng mà đã từng xảy ra thực tế.

Riêng tại Việt Nam, theo báo cáo của Cục An toàn thông tin, số vụ tấn công vào hệ thống quan trọng đã tăng 30% trong năm vừa qua. Mặc dù chưa có thống kê cụ thể về số lượng server VNC/RDP Việt Nam bị lộ, nhưng với tốc độ số hóa nhanh chóng của các doanh nghiệp trong nước, rủi ro này hoàn toàn có thể xảy ra.

Bảo Vệ Ngay Trước Khi Quá Muộn

Các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống của mình. Đầu tiên, kiểm tra tất cả các kết nối VNC và RDP hiện tại, đảm bảo chúng không được phơi bày trực tiếp ra Internet. Sử dụng VPN (Virtual Private Network - mạng riêng ảo) để tạo đường hầm mã hóa cho các kết nối từ xa. Thứ hai, thiết lập xác thực đa yếu tố (Multi-Factor Authentication) cho tất cả các tài khoản có quyền truy cập hệ thống quan trọng.

Cuối cùng, thường xuyên quét kiểm tra các cổng mở trên hệ thống mạng của doanh nghiệp. Nhiều công cụ miễn phí như Nmap có thể giúp phát hiện các dịch vụ đang chạy. Nếu phát hiện VNC hoặc RDP đang lắng nghe trên địa chỉ IP công cộng, hãy ngay lập tức cấu hình firewall để chặn hoặc chuyển sang sử dụng VPN. Thời gian vàng để khắc phục chỉ tính bằng giờ, không phải ngày.