Nhóm tin tặc Lab-Dookhtegan đã thực hiện một cuộc tấn công mạng có chủ đích vào hạ tầng hàng hải của Iran, nhắm mục tiêu vào 64 tàu thuyền, 39 tàu chở dầu và 25 tàu chở hàng do Công ty Vận tải Dầu khí Quốc gia Iran (NITC) và Tuyến vận tải biển Cộng hòa Hồi giáo Iran (IRISL) điều hành. Thay vì trực tiếp tấn công các tàu riêng lẻ, những kẻ tấn công đã xâm nhập Tập đoàn Fanava, một nhà cung cấp dịch vụ CNTT của Iran chịu trách nhiệm về truyền thông vệ tinh cho toàn bộ hạm đội.

Mục tiêu và Phương thức Xâm nhập Ban đầu

Cuộc tấn công mạng được thực hiện thông qua Fanava Group, đơn vị cung cấp dịch vụ IT và liên lạc vệ tinh cho các tàu. Điều này cho phép những kẻ tấn công tiếp cận tập trung thay vì phải đối phó với thách thức hậu cần khi nhắm mục tiêu vào từng con tàu phân tán trên toàn cầu.

Xâm nhập Hệ thống Vệ tinh

Bằng chứng từ Lab-Dookhtegan cho thấy quyền truy cập cấp root trên các thiết bị đầu cuối Linux đang chạy phần mềm vệ tinh iDirect lỗi thời. Cụ thể, hệ thống sử dụng phiên bản kernel 2.6.35, một phiên bản kernel đã được biết đến với nhiều lỗ hổng CVE chưa được vá. Những lỗ hổng này bao gồm các lỗi có khả năng thực thi mã từ xa (Remote Code Execution – RCE) có thể tạo điều kiện leo thang đặc quyền.

Để biết thêm về các lỗ hổng CVE liên quan đến kernel Linux cũ, độc giả có thể tham khảo nguồn đáng tin cậy như NVD – CVE-2010-4161.

Khai thác Dữ liệu và Kiểm soát Hệ thống

Kẻ tấn công đã thực hiện các lệnh database dump từ các phiên bản MySQL, thu thập được bản đồ toàn diện về hạ tầng truyền thông của hạm đội. Các truy vấn đã trích xuất các bản ghi chi tiết, bao gồm số serial modem, ID mạng và cấu hình cụ thể của tàu như Touska, Mahnam và Zardis.

Nhắm mục tiêu Phần mềm Falcon

Với bản thiết kế này, tin tặc đã có thể tấn công có hệ thống vào phần mềm Falcon. Đây là một thành phần quan trọng để duy trì các liên kết vệ tinh. Việc này đã cắt đứt hiệu quả khả năng gửi/nhận email, dữ liệu thời tiết và phối hợp cảng.

Thời gian Duy trì Truy cập (Dwell Time)

Sự kiên trì của chiến dịch được thể hiện qua nhật ký email và các cảnh báo “Node Down Notification” có từ tháng 5 và tháng 6. Điều này cho thấy Lab-Dookhtegan đã duy trì quyền truy cập bí mật ít nhất năm tháng sau cuộc tấn công vào 116 tàu vào tháng 3. Theo một báo cáo chi tiết về sự việc, thời gian truy cập kéo dài này đã cho phép nhóm thực hiện trinh sát, thử nghiệm cơ chế kiểm soát và chuẩn bị cho một cuộc tấn công hủy diệt vào tháng 8. Độc giả có thể tìm hiểu thêm tại Báo cáo Phân tích Kỹ thuật.

Vũ khí Hủy diệt: Mã độc Wiper và Tác động

Các bằng chứng kỹ thuật cho thấy việc thực thi các lệnh phá hoại, gây ra tổn thất lớn cho các hệ thống trên tàu.

Lệnh Hủy diệt và Tác động

Kẻ tấn công đã sử dụng lệnh:

dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M

Lệnh này đã ghi đè nhiều phân vùng lưu trữ bằng các byte zero. Các phân vùng bị ảnh hưởng bao gồm nhật ký điều hướng, kho lưu trữ tin nhắn, cấu hình hệ thống và các khu vực khôi phục. Điều này khiến các thiết bị đầu cuối không thể khôi phục mà không cần can thiệp vật lý.

Phương pháp Tấn công Kiểu Wiper

Phương pháp này, tương tự như chiến thuật của mã độc wiper, đảm bảo không thể khôi phục từ xa. Điều này buộc thủy thủ đoàn phải tìm kiếm các bộ phận thay thế phần cứng tại cảng và cài đặt lại toàn bộ phần mềm, có khả năng khiến các tàu phải ngừng hoạt động trong nhiều tuần hoặc nhiều tháng. Đây là một hành vi tấn công mạng cực kỳ gây tổn hại.

Thu thập Thông tin và Rủi ro VoIP

Tăng thêm thiệt hại, những kẻ tấn công còn trích xuất cấu hình hệ thống điện thoại IP, bao gồm các mật khẩu dạng plaintext như “1402@Argo” và “1406@Diamond”. Kèm theo đó là số điện thoại và địa chỉ IP, mở ra các con đường cho việc nghe lén, mạo danh hoặc gây gián đoạn thêm các cuộc gọi thoại. Việc rò rỉ thông tin nhạy cảm này tạo ra một mối đe dọa mạng nghiêm trọng.

Dữ liệu Bị Rò rỉ

• Mật khẩu Plaintext: 1402@Argo, 1406@Diamond
• Cấu hình Hệ thống IP Phone: Bao gồm số điện thoại và địa chỉ IP

Phân tích Mối đe dọa Mạng và Tác động Địa chính trị

Thời điểm và độ chính xác của cuộc tấn công mạng này phù hợp với áp lực địa chính trị leo thang, trùng với các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ đối với 13 thực thể liên quan đến thương mại dầu mỏ của Iran. Điều này lặp lại sự phối hợp trước đây của nhóm với các hành động của Hoa Kỳ chống lại lực lượng Houthi ở Yemen.

Hậu quả Nghiêm trọng đối với Vận tải Biển Iran

NITC và IRISL, hai trụ cột trong các chiến lược lách lệnh trừng phạt của Iran như vô hiệu hóa hệ thống theo dõi để vận chuyển dầu bí mật đến Trung Quốc, hiện phải đối mặt với tình trạng tê liệt hoạt động thảm khốc. Không có thiết bị đầu cuối vệ tinh hoạt động, các tàu này không thể điều hướng đáng tin cậy, phối hợp giao hàng hoặc phát tín hiệu cấp cứu, làm tăng rủi ro ở các khu vực giao thông đông đúc như Ấn Độ Dương.

Bài học về Bảo mật Hạ tầng Quan trọng

Việc vi phạm này đã khai thác những điểm yếu cố hữu trong các hệ thống kế thừa, nhấn mạnh những nguy hiểm của phần mềm chưa được vá trong hạ tầng quan trọng. Trong trường hợp này, điểm CVSS cho các lỗ hổng CVE của iDirect có thể vượt quá 9.0 do khả năng khai thác và tác động của chúng đến tính sẵn sàng. Bằng chứng của Lab-Dookhtegan, bao gồm hình ảnh vị trí tàu khi bắt đầu cuộc tấn công, nhấn mạnh một chiến lược có chủ ý để gây ra thiệt hại kinh tế tối đa, vượt xa sự gián đoạn đơn thuần.

Rủi ro Chuỗi Cung ứng và Giải pháp Phòng ngừa

Sự cố này là một lời nhắc nhở rõ ràng về rủi ro chuỗi cung ứng trong an ninh mạng hàng hải. Việc xâm nhập một nhà cung cấp duy nhất như Fanava có thể gây ra những lỗ hổng CVE trên toàn bộ hạm đội. Điều này thúc đẩy việc tăng cường mô hình hóa mối đe dọa, vá lỗi thường xuyên và triển khai kiến trúc Zero-Trust cho các mạng tương tự để chống lại các mối đe dọa mạng phức tạp. Đây là một ví dụ điển hình về việc các cuộc tấn công mạng có thể tác động sâu rộng như thế nào.