Cảnh báo nguy hiểm: Tấn công mạng VNC vào OT hạ tầng trọng yếu
Một liên minh các cơ quan an ninh mạng từ nhiều quốc gia đã đưa ra cảnh báo nghiêm trọng về các nhóm hacktivist lợi dụng các kết nối Virtual Network Computing (VNC) bị lộ để thực hiện tấn công mạng, xâm nhập vào các hệ thống công nghệ vận hành (OT) trong cơ sở hạ tầng quan trọng.
Cảnh báo chung này, được công bố vào ngày 09 tháng 12 năm 2025, nhấn mạnh các nhóm như Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16), và Sector16. Các nhóm này nhắm mục tiêu vào các ngành nước, thực phẩm, nông nghiệp và năng lượng thông qua các chiến thuật cơ bản nhưng hiệu quả.
Các Nhóm Đe Dọa và Sự Phát Triển
Các nhóm này đã phát triển mạnh mẽ trong bối cảnh căng thẳng địa chính trị kể từ một sự kiện quân sự lớn vào năm 2022. CARR, ban đầu được cho là có liên hệ với một đơn vị quân sự, đã chuyển hướng sang các cuộc tấn công hệ thống OT vào cuối năm 2023. Nhóm này tuyên bố đã tấn công các nhà máy xử lý nước thải ở châu Âu và các trang trại sữa tại Hoa Kỳ.
NoName057(16), được cho là có liên hệ với một trung tâm giám sát thanh thiếu niên, chuyên về các cuộc tấn công DDoS nhưng cũng cộng tác trong các hoạt động xâm nhập. Các tổ chức mới hơn như Z-Pentest, hình thành vào tháng 9 năm 2024 từ những thành viên của CARR và NoName057(16),
cùng với Sector16, ra mắt vào tháng 1 năm 2025, ưu tiên các chiến dịch “hack và rò rỉ” để quảng bá, thường phóng đại mức độ ảnh hưởng thông qua các video trên Telegram. Để biết thêm thông tin về các hoạt động của NoName057(16), có thể tham khảo tại đây.
Kỹ Thuật Tấn Công Qua VNC vào Hệ Thống OT
Phương Pháp Khai Thác Sơ Khai
Không giống như các nhóm APT (Advanced Persistent Threat) tinh vi, các tác nhân này thiếu chuyên môn sâu. Chúng chọn các cuộc tấn công cơ hội vào các giao diện Human-Machine Interface (HMI) có kết nối internet và các biện pháp bảo vệ VNC yếu kém.
Quy Trình Xâm Nhập Chi Tiết
Các nhóm này thực hiện quét các cổng như 5900 bằng các công cụ như Nmap hoặc OpenVAS. Sau đó, chúng triển khai các công cụ brute-force được lưu trữ trên VPS (Virtual Private Server) để tấn công các mật khẩu mặc định hoặc đơn giản.
Khi truy cập thành công, chúng thao túng các giao diện đồ họa người dùng (GUI) để thay đổi các tham số, vô hiệu hóa cảnh báo hoặc đổi tên thiết bị. Điều này gây ra “mất khả năng quan sát” (loss of view), buộc người vận hành phải thực hiện ghi đè thủ công.
Cảnh báo này chi tiết các kỹ thuật MITRE ATT&CK, từ trinh sát (T1595.002) đến tác động (T0829: Loss of View). Kẻ tấn công ghi lại thông tin xác thực, chụp ảnh màn hình các thay đổi, và đăng bằng chứng trực tuyến. Mục tiêu chính là tạo tiếng vang trên các phương tiện truyền thông chứ không phải gián điệp.
Ví dụ về lệnh quét Nmap cho các cổng VNC có thể là:
nmap -p 5900,5901,5902 <target_IP_range>Hậu Quả và Rủi Ro An Ninh Mạng
Các nạn nhân phải đối mặt với thời gian ngừng hoạt động, chi phí khắc phục, và hiếm khi là thiệt hại vật lý, chẳng hạn như gián đoạn quy trình sản xuất của nhà máy. Một trường hợp vào tháng 4 năm 2025 cho thấy các cuộc tấn công DDoS đồng thời hỗ trợ truy cập SCADA, nhấn mạnh sự lây lan thông qua các TTPs (Tactics, Techniques, and Procedures) chung giữa các đồng minh.
Các cơ quan chức năng lưu ý rằng chưa có thương tích nào được báo cáo, nhưng cảnh báo về nguy cơ leo thang đối với các địa điểm bị chiếm đóng. Các tác động bao gồm chi phí lập trình lại và ngừng hoạt động, được khuếch đại bởi sự coi thường an toàn của các tác nhân. Những sự kiện này làm tăng rủi ro bảo mật tổng thể cho các hệ thống quan trọng.
Biện Pháp Giảm Thiểu và Bảo Vệ Hệ Thống OT Quan Trọng
Chủ sở hữu cơ sở hạ tầng quan trọng phải hành động nhanh chóng để nâng cao an ninh mạng. Các ưu tiên hàng đầu được đưa ra nhằm chống lại các cuộc xâm nhập mạng và giảm thiểu các mối đe dọa.
Ưu Tiên Hàng Đầu trong Bảo Mật OT
- Loại bỏ phơi nhiễm Internet: Đảm bảo rằng các hệ thống OT không thể truy cập trực tiếp từ internet.
- Phân đoạn mạng IT/OT: Tách biệt hoàn toàn các mạng Công nghệ Thông tin (IT) và Công nghệ Vận hành (OT) để hạn chế sự lây lan của các cuộc tấn công.
- Thực thi xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các truy cập vào hệ thống OT.
- Cấm sử dụng mật khẩu mặc định: Yêu cầu thay đổi tất cả mật khẩu mặc định ngay lập tức và áp dụng chính sách mật khẩu mạnh.
Triển Khai Kiểm Soát Kỹ Thuật
Sử dụng các công cụ phân tích bề mặt tấn công để săn lùng các lỗ hổng VNC. Kiểm tra các tường lửa để giám sát lưu lượng đi ra (egress) và cho phép các chế độ chỉ xem (view-only) cho các kết nối VNC khi cần thiết.
Trách Nhiệm Nhà Sản Xuất Thiết Bị
Các nhà sản xuất cần cung cấp các thiết bị “secure by design” (an toàn ngay từ thiết kế) không có mật khẩu mặc định. Các thiết bị cũng nên đi kèm với SBOMs (Software Bill of Materials) và khả năng ghi log miễn phí để tăng cường khả năng giám sát và khắc phục sự cố bảo mật.
Chuẩn Bị Ứng Phó Sự Cố
Thực hiện sao lưu HMI thường xuyên, kiểm tra các cơ chế an toàn thủ công (manual failsafes) và giám sát các dấu hiệu bất thường như đăng nhập lạ. Trong trường hợp xảy ra sự cố, quy trình ứng phó cần bao gồm: cô lập hệ thống bị ảnh hưởng, săn tìm dấu vết xâm nhập, khôi phục lại hệ thống (reimage), cấp lại thông tin xác thực, và báo cáo cho các cơ quan liên quan như CISA/FBI. Cảnh báo này được xây dựng dựa trên các cảnh báo trước đó, ví dụ như khuyến nghị giảm thiểu rủi ro OT của CISA vào tháng 5 năm 2025, thúc giục sự cảnh giác toàn cầu. Tham khảo thêm tại CISA Advisory AA25-343A.
Trong bối cảnh các nhóm hacktivist liên tục phát triển, hình thành liên minh và khuếch đại tuyên bố, các nhà bảo vệ không thể lơ là. Việc củng cố hệ thống một cách chủ động sẽ ngăn chặn những mối đe dọa có rào cản thấp này trước khi chúng trở nên phức tạp hơn, bảo vệ cơ sở hạ tầng khỏi các cuộc tấn công mạng ngày càng tinh vi.
