Thông tin được xác nhận một ngày sau khi Tập đoàn này phủ nhận đã xảy ra cuộc tấn công ảnh hưởng đến hệ thống kiểm soát của nhà máy. Trong thông cáo báo chí, Phó Giám đốc NPCIL A.K. Nema tuyên bố, việc phát hiện ra phần mềm độc hại trong hệ thống NPCIL là chính xác và vấn đề này đã được CERT-In - Nhóm ứng phó khẩn cấp máy tính quốc gia của Ấn Độ thông báo khi họ phát hiện ra vào ngày 04/9/2019. Đó cũng là ngày mà chuyên gia phân tích các mối đe dọa Pukhraj Singh báo cáo thông tin này cho Cơ quan điều phối an ninh mạng quốc gia của Ấn Độ.
Nema tuyên bố trong bản thông cáo rằng, vấn đề này đã được điều tra ngay lập tức bởi các chuyên gia của Bộ Năng lượng Nguyên tử Ấn Độ. Cuộc điều tra cho thấy, máy tính bị lây nhiễm có kết nối với mạng Internet được sử dụng cho mục đích quản trị. Máy tính đó được cách ly với hệ thống mạng nội bộ trọng yếu. Các mạng đang được đặt trong tình trạng theo dõi liên tục.
Không rõ liệu dữ liệu có bị đánh cắp từ mạng KKNPP hay không, nhưng nhà máy điện hạt nhân này không phải là cơ sở duy nhất mà Singh báo cáo bị xâm phạm. Công ty Kaspersky đặt tên cho mã độc này là Dtrack. Mã độc này đã được sử dụng trong các cuộc tấn công rộng rãi chống lại các tổ chức tài chính và trung tâm nghiên cứu, dựa trên dữ liệu do Kaspersky thu thập từ hơn 180 mẫu phần mềm độc hại. Dtrack chia sẻ các yếu tố mã từ mã độc khác của nhóm tin tặc Lazarus - nhóm tin tặc được Bộ Tư pháp Hoa Kỳ cáo buộc có liên quan đến Bắc Triều Tiên. Một phiên bản khác của mã độc là ATMDtrack đã được sử dụng để đánh cắp dữ liệu từ các mạng ATM ở Ấn Độ.
Dtrack được miêu tả là một công cụ gián điệp và giám sát, thu thập dữ liệu về các hệ thống bị lây nhiễm. Nó có khả năng ghi lại các lần nhấn phím, quét các mạng được kết nối và giám sát các quá trình hoạt động trên các máy tính bị lây nhiễm. Theo Singh, mã độc có thể đã được phân phối bởi một “bộ cấy trong bộ nhớ”. Hiện tại, không có bất kỳ dấu hiệu nào cho biết liệu dữ liệu đã bị đánh cắp từ mạng KKNPP. Mặc dù cuộc tấn công có thể không cho phép truy cập trực tiếp vào các mạng kiểm soát năng lượng hạt nhân, nhưng nó có thể là một phần trong việc thiết lập sự dai dẳng lâu dài của mã độc trong mạng nhà máy hạt nhân.
Báo cáo do Ủy ban Chữ thập đỏ quốc tế công bố vào tháng 5/2019 về chi phí cho hoạt động mạng của con người đã chỉ ra, phần lớn các thiết bị máy tính trên thế giới chỉ có khoảng cách nhỏ tới một hệ thống đáng tin cậy mà tin tặc muốn xâm nhập. Lukasz Olejnik, một nhà nghiên cứu bảo mật, đồng tác giả của bài báo, lưu ý rằng xâm nhập trước vào các hệ thống đáng tin cậy sẽ giúp các cuộc tấn công dễ dàng hơn đáng kể và việc thiết lập sự dai dẳng liên tục trên mạng có thể hỗ trợ cho các hoạt động như tấn công chuỗi cung ứng.
Cách thức đó tương tự như tuyến đường mà mã độc Stuxnet đã sử dụng. Stuxnet được cho là do tình báo Mỹ và Israel dùng để xâm nhập vào thiết bị làm giàu hạt nhân của Iran. Mặc dù theo các tiêu chuẩn bảo mật hệ thống kiểm soát hạt nhân thì hệ thống mạng quản trị của KKNPP dường như không phải tuyến đường tốt đối với kiểu tấn công sử dụng mã độc Stuxnet, nhưng chắc chắn nó có thể cung cấp thông tin về các hoạt động bảo trì, điều này sẽ giúp ích cho các hoạt động gián điệp hoặc tấn công mạng trong tương lai.
Nguyễn Anh Tuấn
Theo Ars Technica
11:00 | 16/06/2019
09:00 | 04/06/2021
08:00 | 21/03/2019
22:00 | 16/04/2019
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024