máy rokc bị hỏng ở iran
Các cuộc tấn công mạng của ROKC làm gián đoạn hoạt động công nghiệp ở Iran
Hàng loạt cuộc tấn công mạng tinh vi, được quy cho một tác nhân đe dọa được gọi là ROKC (Hợp chất gõ dầu tinh luyện), đã nhắm mục tiêu và gây ra sự gián đoạn đáng kể cho các hệ thống điều khiển công nghiệp (ICS) và máy móc trong các lĩnh vực cơ sở hạ tầng quan trọng của Iran. Những sự cố này, được phân tích bởi các công ty an ninh mạng như Dragos Inc., liên quan đến việc cố ý thao túng công nghệ vận hành (OT) gây ra thiệt hại vật chất hoặc ngừng hoạt động, vượt ra ngoài hành vi trộm cắp dữ liệu truyền thống. Các cuộc tấn công được đặc trưng bởi sự hiểu biết sâu sắc về quy trình công nghiệp và thiết bị của nhà cung cấp cụ thể, đặc biệt là các hệ thống nhắm mục tiêu từ Schneider Electric và Omron. Chiến dịch này nhấn mạnh xu hướng ngày càng tăng trong xung đột mạng địa chính trị, nơi các tác nhân độc hại tìm cách gây ra tổn hại hữu hình về kinh tế và cơ sở hạ tầng.
Phương thức hoạt động và phân tích kỹ thuật
Các cuộc tấn công ROKC sử dụng phương pháp xâm nhập nhiều giai đoạn. Quyền truy cập ban đầu thường đạt được thông qua các thỏa hiệp mạng CNTT, tiếp theo là chuyển động ngang vào môi trường OT bị cô lập. Những kẻ tấn công sau đó triển khai logic độc hại được thiết kế để can thiệp vào bộ điều khiển logic khả trình (PLC). Không giống như ransomware mã hóa dữ liệu, Tải trọng của ROKC được thiết kế để thay đổi logic điều khiển hoặc đưa ra các lệnh phá hoại. Ví dụ, họ có thể liên tục gửi "dừng lại" ra lệnh cho tua-bin hoặc điều khiển cài đặt van để tạo ra tiếng gõ—tình trạng hư hỏng trong động cơ hoặc thiết bị quay—dẫn đến hỏng hóc cơ học.
Điểm khác biệt chính là sự tập trung của nhóm vào các thiết bị kiểm soát và an toàn công nghiệp cụ thể. Bảng sau đây so sánh ROKC với các mối đe dọa mạng thông thường hơn:
| Tính năng | NĂM / OT-Tấn công hủy diệt | Phần mềm tống tiền CNTT thông thường |
|---|---|---|
| Mục tiêu chính | Công nghệ vận hành (ICS, PLC, SCADA) | Công nghệ thông tin (Máy chủ, Máy trạm) |
| Mục tiêu chính | Gây sát thương vật lý, quá trình tắt máy, hoặc phá hoại | Tống tiền tài chính thông qua mã hóa/đánh cắp dữ liệu |
| Tác động chính | Tổn thất kinh tế, rủi ro an toàn, sự gián đoạn cơ sở hạ tầng | Không có dữ liệu, chi phí tài chính, tổn hại danh tiếng |
| Hành động tải trọng | Thay đổi logic điều khiển, đưa ra các lệnh phá hoại | Mã hóa tập tin để đòi tiền chuộc |
| Sự hồi phục | Thường yêu cầu sửa chữa/thay thế thiết bị | Thường dựa vào việc khôi phục hệ thống từ các bản sao lưu |
Câu hỏi thường gặp
Q1: ROKC có nghĩa là gì?
A1: ROKC là viết tắt của "Hợp chất gõ dầu tinh chế." Tên này được đặt bởi các nhà nghiên cứu an ninh mạng tại Dragos Inc. dựa trên chuỗi mã của phần mềm độc hại và tác động dự định của nó—gây ra "cú đánh," một dạng phá hủy sớm hoặc mất cân bằng áp suất, trong máy móc công nghiệp.
Q2: Những lĩnh vực nào ở Iran bị ảnh hưởng?
A2: Trong khi các thực thể cụ thể hiếm khi được xác nhận chính thức, phân tích chỉ ra mục tiêu trong lĩnh vực năng lượng của Iran, bao gồm các nhà máy lọc dầu và các cơ sở công nghiệp liên quan. Báo cáo từ các cơ quan như ISNA (Hãng thông tấn sinh viên Iran) đã đề cập đến sự gián đoạn và ngừng hoạt động không giải thích được tại các nhà máy như vậy trùng với các giai đoạn hoạt động đã biết của ROKC.
Q3: ROKC có liên kết với một tổ chức nhà nước không?
A3: Các nhà phân tích an ninh mạng đánh giá với độ tin cậy vừa phải rằng ROKC là một nhóm đe dọa của Iran. Việc nhắm mục tiêu vào cơ sở hạ tầng quan trọng của đối thủ phù hợp với học thuyết mạng đã tuyên bố của Iran và việc nước này sử dụng các mối đe dọa tương tự có khả năng OT trong quá khứ như "Nhà công nghiệp" biến thể được sử dụng để chống lại Ukraine.
Q4: Làm thế nào các tổ chức có thể bảo vệ chống lại các cuộc tấn công như vậy?
A4: Quốc phòng đòi hỏi một tư thế an ninh lấy OT làm trung tâm: phân đoạn mạng mạnh mẽ giữa CNTT và OT; kiểm soát truy cập nghiêm ngặt; giám sát liên tục lưu lượng mạng OT để phát hiện các điểm bất thường; và duy trì các bản sao lưu ngoại tuyến chi tiết về logic và cấu hình PLC để phục hồi nhanh chóng.
Q5: Đã có trường hợp nào được xác nhận về thiệt hại vật chất?
A5: Trong khi chính quyền Iran thường coi thường các sự cố mạng, nhiều báo cáo an ninh mạng độc lập ghi lại các trường hợp trong đó hoạt động của ROKC tương quan trực tiếp với việc ngừng hoạt động khẩn cấp tại các cơ sở công nghiệp. Bản chất của mã xác nhận mục đích thiết kế của nó là phá vỡ vật lý, gây ra thiệt hại rất có thể xảy ra trong các cuộc xâm nhập thành công..jpg)
Nghiên cứu điển hình: Phân tích của 2022 Chiến dịch
Vào cuối 2022, Công ty Dragos. ghi lại chiến dịch ROKC được đổi mới tận dụng các khả năng cập nhật. Những kẻ tấn công đã sử dụng các kỹ thuật mới để tồn tại trong mạng OT và điều chỉnh tải trọng của chúng cho phù hợp với các phiên bản mới hơn của bộ điều khiển Schneider Electric. Cuộc điều tra cho thấy nhóm đã nghiên cứu tỉ mỉ các hướng dẫn kỹ thuật cho các mẫu PLC cụ thể để hiểu cách gián đoạn tối đa các quy trình.. Sự phát triển này cho thấy một chu kỳ phát triển liên tục nhằm khắc phục khả năng phòng thủ được cải thiện và nhắm mục tiêu vào cơ sở hạ tầng được cập nhật. Trường hợp này nhấn mạnh rằng các tác nhân đe dọa đang đầu tư nguồn lực đáng kể vào việc tìm hiểu các hệ thống công nghiệp ở cấp độ chi tiết để tăng hiệu lực và độ tin cậy của các cuộc tấn công của chúng..
Hoạt động liên tục của các nhóm như ROKC cho thấy sự leo thang nguy hiểm của các mối đe dọa mạng. Nó chuyển chiến trường từ bảo mật dữ liệu sang tính toàn vẹn và an toàn vật lý trong thế giới thực, đòi hỏi một sự thay đổi cơ bản trong cách các quốc gia và tập đoàn bảo vệ tài sản công nghiệp quan trọng nhất của họ.