Khi mã độc không chỉ nhắm vào máy tính mà còn tấn công cả nguồn nước sinh hoạt, chúng ta đang chứng kiến một bước tiến nguy hiểm của tội phạm mạng. Các nhà nghiên cứu an ninh mạng vừa phát hiện một loại mã độc mới mang tên ZionSiphon được thiết kế đặc biệt để tấn công các hệ thống xử lý nước và khử muối của Israel. Đây không phải là một cuộc tấn công bình thường nhắm vào dữ liệu cá nhân hay tiền bạc, mà là mối đe dọa trực tiếp đến an ninh quốc gia và đời sống của hàng triệu người dân. Chúng tôi cho rằng đây là một tín hiệu báo động đỏ cho toàn bộ cộng đồng an ninh mạng toàn cầu.

Khi hacker nhắm vào vòi nước nhà bạn

ZionSiphon được đặt tên bởi công ty an ninh mạng Darktrace, thể hiện khả năng "hút cạn" thông tin từ các hệ thống cơ sở hạ tầng quan trọng. Mã độc này không hoạt động như những virus thông thường mà chúng ta thường biết. Thay vào đó, nó có khả năng thiết lập sự tồn tại lâu dài trong hệ thống (persistence), can thiệp vào các file cấu hình cục bộ và quét tìm các dịch vụ công nghệ vận hành (Operational Technology - OT) trong mạng nội bộ. Điều này có nghĩa là kẻ tấn công có thể kiểm soát toàn bộ quy trình xử lý nước từ xa.

Chúng tôi đặc biệt lo ngại về khả năng của ZionSiphon trong việc tìm kiếm các thiết bị OT - những thiết bị điều khiển trực tiếp các máy bơm, van điều tiết và hệ thống lọc nước. Khác với hệ thống IT (Information Technology) thông thường như máy tính văn phòng, các hệ thống OT được thiết kế để hoạt động liên tục 24/7 và thường ít được cập nhật bảo mật. Một khi bị xâm nhập, kẻ tấn công có thể thay đổi thành phần hóa học trong nước, tắt hệ thống cấp nước hoặc thậm chí gây ra những sự cố nghiêm trọng khác.

Bài học đắng từ những cuộc tấn công trước đây

Việc tấn công vào cơ sở hạ tầng nước không phải là chuyện mới. Năm 2021, một hacker đã tấn công vào hệ thống cấp nước của thành phố Oldsmar, Florida (Mỹ) và cố gắng tăng nồng độ sodium hydroxide - một chất hóa học độc hại - lên mức có thể gây chết người. Rất may, một nhân viên vận hành đã kịp thời phát hiện và ngăn chặn thảm họa. Tại Ukraine, các cuộc tấn công mạng nhắm vào hệ thống cấp nước đã trở thành một phần của chiến thuật tác chiến híp-brít.

Israel, với 60% diện tích là sa mạc và phụ thuộc lớn vào công nghệ khử muối nước biển, trở thành mục tiêu đặc biệt hấp dẫn đối với các nhóm tấn công mạng. Quốc gia này vận hành một trong những hệ thống khử muối tiên tiến nhất thế giới, cung cấp khoảng 70% nước sinh hoạt cho dân cư. Chính vì thế, một cuộc tấn công thành công có thể gây ra hậu quả thảm khốc không chỉ về mặt kinh tế mà còn đe dọa trực tiếp đến sinh mạng của người dân.

Tác động lan rộng đến toàn cầu

Mối đe dọa từ ZionSiphon không chỉ dừng lại ở Israel. Các chuyên gia an ninh mạng cảnh báo rằng mã độc này có thể được điều chỉnh để tấn công các hệ thống cơ sở hạ tầng tương tự ở các quốc gia khác. Tại Việt Nam, chúng ta có hơn 17 nhà máy nước sạch lớn và hàng trăm trạm cấp nước nhỏ hơn đang sử dụng các hệ thống tự động hóa tương tự. Theo báo cáo của Cục An toàn thông tin, số vụ tấn công mạng nhắm vào cơ sở hạ tầng quan trọng tại Việt Nam đã tăng 300% trong năm 2023.

Chúng tôi đánh giá rằng các nhà máy nước ở các thành phố lớn như TP.HCM, Hà Nội, Đà Nẵng đang đối mặt với mức độ rủi ro cao do sử dụng nhiều thiết bị nhập khẩu và kết nối internet để giám sát từ xa. Một cuộc tấn công tương tự ZionSiphon có thể ảnh hưởng đến hàng triệu người dân và gây thiệt hại kinh tế lên đến hàng nghìn tỷ đồng.

Chiến lược phòng thủ cho doanh nghiệp Việt Nam

Các doanh nghiệp vận hành hệ thống cơ sở hạ tầng quan trọng tại Việt Nam cần thực hiện ngay các biện pháp bảo vệ cụ thể. Đầu tiên, tách biệt hoàn toàn mạng OT khỏi mạng IT và internet (network segmentation). Điều này có nghĩa là các thiết bị điều khiển máy bơm, van không được kết nối trực tiếp với mạng có thể truy cập từ bên ngoài. Thứ hai, triển khai hệ thống giám sát bảo mật chuyên dụng cho môi trường OT, có khả năng phát hiện các hoạt động bất thường như việc quét tìm thiết bị - đặc điểm chính của ZionSiphon.

Cuối cùng, xây dựng kế hoạch ứng phó sự cố chi tiết với các quy trình vận hành thủ công khi hệ thống tự động bị tấn công. Chúng tôi khuyến nghị các doanh nghiệp nên tổ chức diễn tập ít nhất 6 tháng một lần để đảm bảo nhân viên có thể xử lý tình huống khẩn cấp. Đồng thời, cần có chế độ sao lưu dữ liệu cấu hình và khôi phục hệ thống nhanh chóng để giảm thiểu thời gian gián đoạn dịch vụ.