An ninh mạng

Quân đội Ukraine đang dạy thế giới cách sử dụng drone - thiết bị bay không người lái một cách sáng tạo để tấn công và phòng thủ trên chiến trường. Ukraine đã chế tạo một kho vũ khí drone lái khổng lồ được tùy chỉnh cho các cuộc tấn công chính xác, trinh sát và các nhiệm vụ cảm tử.

Nhưng sự đổi mới này cũng mở rộng sang tấn công và phòng thủ an ninh mạng.

Những kẻ tấn công mạng độc hại trên thế giới đang học hỏi từ ví dụ của Ukraine. Và tất cả mọi người trong ngành CNTT cũng nên học hỏi, đặc biệt là giới an ninh mạng.

Ukraine sử dụng drone như thế nào trong tấn công mạng

Những báo cáo mới từ Ukraine tuyên bố rằng quân đội hiện đang nhúng phần mềm độc hại vào drone để phá vỡ các hệ thống của Nga và chống lại các mối đe dọa mạng. Khi bắt được đối tượng, drone phá hoại phần cứng của đối phương bằng cách đốt cháy các cổng USB, chặn lập trình lại hoặc thậm chí chiếm quyền điều khiển hệ thống để phát hiện vị trí của người vận hành nếu đối phương cố gắng sử dụng lại chúng. Một số phần mềm độc hại thậm chí còn nhúng các lỗ hổng có thể bị khai thác từ xa sau này.

Những tùy chỉnh này gây ra sự cản trở rất lớn đối với hoạt động tái sử dụng drone của Ukraine bị Nga tịch thu trong khi vẫn thu thập thông tin tình báo cho Ukraine.

Trước chiến tranh, Ukraine có ngành an ninh mạng mạnh với nhiều chuyên môn. Và hiện nay, ngành này đang tích hợp chuyên môn toàn cầu. Ví dụ, công ty Periphery đã quyên góp công nghệ cho mục đích của Ukraine. Periphery là một công ty an ninh mạng có trụ sở tại Vương quốc Anh chuyên về các hệ thống quản lý mối đe dọa cấp quân sự cho các thiết bị IoT, cung cấp các giải pháp nhúng do AI điều khiển để giám sát, điều chỉnh và bảo vệ cơ sở hạ tầng quan trọng. Công nghệ Periphery hiện đang bảo vệ drone của Ukraine khỏi bị tấn công và can thiệp.

Lúc đầu, Ukraine đã đưa những chiếc drone lái tiêu dùng đơn giản vào trận chiến để quay video hoặc thả lựu đạn. Ngày nay, drone lái ngày càng được trang bị khả năng tấn công mạng tấn công và phòng thủ nếu đối thủ tấn công hoặc bắt giữ chúng.

Việc sử dụng phần mềm độc hại trong drone là một ví dụ hoàn hảo về cách các tập lệnh mã nhỏ có thể tạo ra tác động lớn khi được nhúng vào thiết bị bay.

Nguồn gốc của những cuộc tấn công mạng bằng drone

Vào mùa hè năm 2022, một công ty dịch vụ tài chính East Coast chuyên về đầu tư tư nhân đã trở thành mục tiêu của một loại tấn công mạng mới liên quan đến drone. Sự cố được đưa ra ánh sáng khi nhóm an ninh mạng của công ty phát hiện ra hoạt động bất thường trên trang Atlassian Confluence nội bộ của công ty. Hoạt động này dường như bắt nguồn từ bên trong mạng của công ty, nhưng cùng một địa chỉ truy cập (MAC) đang được một nhân viên làm việc tại nhà sử dụng từ xa.

Nhóm bảo mật đã hành động nhanh chóng, triển khai Máy kiểm tra theo dõi tín hiệu giả mạo. Cuộc điều tra dẫn họ lên mái tòa nhà của họ, nơi họ phát hiện ra hai drone được trang bị thiết bị xâm nhập. Điều này cho phép kẻ tấn công chặn thông tin đăng nhập khi nhân viên vô tình kết nối với mạng giả.

Sau đó, nhóm phát hiện ra rằng drone đã được sử dụng nhiều ngày trước để do thám, thu thập thông tin đăng nhập và quyền truy cập của một nhân viên mà không bị phát hiện. Sau đó, các thông tin đăng nhập này được mã hóa vào các công cụ được triển khai trên drone. Kẻ tấn công nhằm mục đích khai thác các thông tin đăng nhập này để truy cập vào trang nội bộ của công ty và có khả năng là các tài nguyên khác được lưu trữ ở đó.

Cuộc tấn công đã bị ngăn chặn, nhưng thủ phạm không bao giờ bị bắt.

Nói rõ hơn, bản thân cuộc tấn công không đặc biệt kỳ lạ; nó có thể là kết quả của một mối đe dọa nội gián nào đó. Điều khiến nó trở nên độc đáo là bằng cách buộc chặt phần cứng vào drone, kẻ tấn công có thể dễ dàng vượt qua an ninh vật lý và vẫn ẩn danh.

Thậm chí còn đáng ngạc nhiên hơn, đó thậm chí không phải là lần đầu tiên việc hack drone được chứng minh.

Quay trở lại tháng 12 năm 2013, một nhà nghiên cứu bảo mật đã công bố một dự án có tên là SkyJack, một hệ thống hack drone có thể tự động kiểm soát các drone khác giữa chuyến bay. Chuyên gia bảo mật đã chứng minh cách drone của người dùng có thể bị chiếm quyền điều khiển. Hệ thống của ông đã khai thác các kết nối Wi-Fi không được mã hóa mà drone sử dụng, ngắt kết nối người điều khiển hợp pháp của chúng và nắm quyền kiểm soát để tạo ra thứ được gọi là “đội quân drone thây ma” dưới sự kiểm soát của mình.

Hệ thống SkyJack hoạt động bằng cách quét các tín hiệu Wi-Fi gần đó liên quan đến drone. Sau khi xác định được, nó sử dụng các công cụ nguồn mở để thực hiện “cuộc tấn công hủy xác thực”, cắt đứt liên kết giữa drone và phi công gốc của nó. Phần mềm của chuyên gia này sau đó đã mạo danh phi công, chiếm quyền điều khiển drone và truy cập vào nguồn cấp dữ liệu video trực tiếp của nó. Toàn bộ quá trình được tự động hóa.

Đã đến lúc đối mặt với thực tế của tấn công mạng bằng drone

Sự phát triển nhanh chóng của công nghệ drone tiêu dùng đang định hình lại các ứng dụng tiềm năng của nó theo nhiều cách, bao gồm cả ứng dụng trong các cuộc tấn công mạng.

Drone tiêu dùng êm hơn, nhanh hơn và được trang bị thời lượng pin dài hơn, cho phép chúng hoạt động xa hơn người điều khiển. Chúng có thể tự động điều hướng chướng ngại vật, theo dõi các vật thể chuyển động và chụp ảnh hoặc quay video có độ phân giải cao.

Ví dụ, DJI Mini 4 Pro, thường có giá khoảng 750 USD, có thể bay cách người điều khiển hơn 20km và quay video 4K ở tốc độ 100 khung hình/giây. Nó cũng có thể tự động bám theo một chiếc ô tô với tốc độ lên đến 60km/giờ trong khi tránh mọi chướng ngại vật.

Cơ hội là rõ ràng. Kẻ tấn công mạng có thể gắn thiết bị hack vào một drone như vậy và để nó bám theo một nhân viên về nhà sau giờ làm việc. Sau đó, nó có thể hạ cánh trên mái nhà của người đó và hack máy tính trong văn phòng tại nhà để xâm nhập vào mạng công ty.

Và còn nhiều công dụng khác của drone trong các cuộc tấn công mạng:

• Dò tìm và giả mạo mạng: drone được trang bị các máy tính nhỏ, có thể dò tìm thông tin về mạng Wi-Fi. Sau đó, drone có thể bắt chước một mạng Wi-Fi đã biết và nếu những cá nhân hoặc thiết bị không nghi ngờ kết nối với mạng đó, tin tặc có thể chặn thông tin nhạy cảm như thông tin đăng nhập.

• Tấn công từ chối dịch vụ: drone mang theo các thiết bị để thực hiện các cuộc tấn công hủy xác thực cục bộ, làm gián đoạn liên lạc giữa người dùng và điểm truy cập Wi-Fi. Chúng cũng có thể mang theo các thiết bị gây nhiễu để làm gián đoạn Wi-Fi hoặc các liên lạc không dây khác.

• Giám sát vật lý: drone được trang bị camera chất lượng cao có thể được sử dụng để giám sát vật lý nhằm quan sát các thay đổi ca làm việc, thu thập thông tin về các giao thức bảo mật và lập kế hoạch cho cả các cuộc tấn công vật lý và tấn công mạng bằng cách xác định các điểm xâm nhập hoặc lỗ hổng tiềm ẩn. Máy ảnh nhiệt thậm chí có thể phát hiện các biến thể nhiệt độ để xác định vị trí các thiết bị nhạy cảm như máy chủ.

• Chặn dữ liệu: drone được sửa đổi để chặn nhiều loại liên lạc không dây, bao gồm tín hiệu Wi-Fi, Bluetooth và RFID, để đánh cắp dữ liệu.

• Phân phối phần cứng độc hại: drone mang theo và thả các thiết bị nhỏ hoặc thiết bị Wi-Fi gần tòa nhà mục tiêu để xâm nhập mạng từ khoảng cách gần. Sau đó, các thiết bị này có thể được sử dụng để thực hiện nhiều cuộc tấn công mạng khác nhau.

• Phân phối phần mềm độc hại: Mặc dù ít được nêu chi tiết hơn đối với drone dành cho người tiêu dùng, nhưng khái niệm drone được vũ trang mang theo phần mềm độc hại (như trong cuộc xung đột ở Ukraine) cho thấy một con đường tiềm ẩn cho các tác nhân độc hại.

• Tấn công cơ sở hạ tầng vật lý hỗ trợ các hệ thống mạng: drone được sử dụng để tấn công vật lý vào cơ sở hạ tầng hỗ trợ các hoạt động mạng, chẳng hạn như hệ thống làm mát trên mái nhà cho các trung tâm dữ liệu, gây ra sự gián đoạn có thể dẫn đến mất dữ liệu hoặc lỗi hệ thống.

Các mối đe dọa dựa trên drone sẽ sớm xuất hiện để tấn công mạng và bảo mật dữ liệu của bạn. Khi chúng ta bước vào thời đại tấn công mạng bằng drone, đã đến lúc phải xem xét lại toàn bộ hệ thống an ninh của bạn, đặc biệt là an ninh vật lý - và chú ý đến bầu trời.

LTV