Nguyễn Tiến Đạt
Intern Writer
Một nhóm tin tặc bị nghi có liên hệ với nhà nước Nga, mang tên ELECTRUM, được cho là đã đứng sau vụ tấn công mạng quy mô lớn nhằm vào lưới điện Ba Lan hồi cuối năm 2025. Dù không gây mất điện diện rộng, sự cố này làm dấy lên lo ngại nghiêm trọng về an ninh hạ tầng năng lượng châu Âu.
Theo báo cáo tình báo mới công bố của công ty an ninh mạng công nghệ vận hành (OT) Dragos, vụ tấn công xảy ra vào cuối tháng 12/2025 được đánh giá là cuộc tấn công mạng lớn đầu tiên nhắm trực tiếp vào các nguồn năng lượng phân tán (Distributed Energy Resources – DER), bao gồm điện gió, điện mặt trời và các nhà máy nhiệt điện kết hợp (CHP).
Dragos cho biết cuộc tấn công đã làm gián đoạn hệ thống liên lạc và điều khiển tại khoảng 30 địa điểm phát điện phân tán trên khắp Ba Lan. Dù không gây ra tình trạng mất điện, các tin tặc đã xâm nhập được vào hệ thống công nghệ vận hành then chốt của lưới điện và vô hiệu hóa một số thiết bị quan trọng đến mức không thể sửa chữa tại chỗ.
Bên cạnh ELECTRUM, một nhóm khác có tên KAMACITE được cho là đóng vai trò hỗ trợ, chuyên thực hiện các hoạt động xâm nhập ban đầu như tấn công lừa đảo có chủ đích (spear-phishing), đánh cắp thông tin đăng nhập và khai thác các dịch vụ mạng bị lộ.
Sau khi thiết lập quyền truy cập, ELECTRUM tiến hành các hoạt động trinh sát chuyên sâu trong môi trường công nghệ vận hành (OT), kết nối hệ thống CNTT và OT, triển khai công cụ trong mạng điều khiển công nghiệp và thực hiện các hành vi can thiệp trực tiếp vào hệ thống điều khiển.
Đáng chú ý, Dragos đánh giá vụ việc tại Ba Lan mang tính “cơ hội và vội vã” hơn là một chiến dịch được chuẩn bị dài hạn. Tuy nhiên, để gây thiệt hại tối đa, các tin tặc đã xóa dữ liệu trên nhiều hệ thống Windows, khiến quá trình khôi phục, cấu hình lại hoặc sửa chữa thiết bị trở nên cực kỳ khó khăn.
Phần lớn các thiết bị bị ảnh hưởng là những hệ thống giám sát an toàn và ổn định lưới điện – thành phần then chốt trong việc duy trì hoạt động liên tục của mạng lưới năng lượng quốc gia.
“Sự phân công vai trò giữa các nhóm cho phép duy trì quyền truy cập trong thời gian dài và sẵn sàng chuyển từ giai đoạn chuẩn bị sang tấn công khi điều kiện cho phép,” Dragos nhận định, đồng thời nhấn mạnh rủi ro không chỉ dừng lại ở một sự cố đơn lẻ mà có thể kéo dài trong nhiều năm.
Vụ việc tại Ba Lan được xem là hồi chuông cảnh báo đối với các quốc gia đang đẩy mạnh chuyển đổi sang năng lượng tái tạo, trong bối cảnh hạ tầng số hóa ngày càng trở thành mục tiêu hấp dẫn của các cuộc tấn công mạng có yếu tố địa chính trị. (The Hackernews)
Theo báo cáo tình báo mới công bố của công ty an ninh mạng công nghệ vận hành (OT) Dragos, vụ tấn công xảy ra vào cuối tháng 12/2025 được đánh giá là cuộc tấn công mạng lớn đầu tiên nhắm trực tiếp vào các nguồn năng lượng phân tán (Distributed Energy Resources – DER), bao gồm điện gió, điện mặt trời và các nhà máy nhiệt điện kết hợp (CHP).
Dragos cho biết cuộc tấn công đã làm gián đoạn hệ thống liên lạc và điều khiển tại khoảng 30 địa điểm phát điện phân tán trên khắp Ba Lan. Dù không gây ra tình trạng mất điện, các tin tặc đã xâm nhập được vào hệ thống công nghệ vận hành then chốt của lưới điện và vô hiệu hóa một số thiết bị quan trọng đến mức không thể sửa chữa tại chỗ.
ELECTRUM và mối liên hệ với Sandworm
Theo Dragos, nhóm ELECTRUM có nhiều điểm trùng khớp về kỹ thuật, hạ tầng và phương thức hoạt động với Sandworm – nhóm tin tặc khét tiếng bị phương Tây cáo buộc có liên hệ với tình báo quân đội Nga, còn được biết đến với các tên gọi như APT44 hay Seashell Blizzard.Bên cạnh ELECTRUM, một nhóm khác có tên KAMACITE được cho là đóng vai trò hỗ trợ, chuyên thực hiện các hoạt động xâm nhập ban đầu như tấn công lừa đảo có chủ đích (spear-phishing), đánh cắp thông tin đăng nhập và khai thác các dịch vụ mạng bị lộ.
Sau khi thiết lập quyền truy cập, ELECTRUM tiến hành các hoạt động trinh sát chuyên sâu trong môi trường công nghệ vận hành (OT), kết nối hệ thống CNTT và OT, triển khai công cụ trong mạng điều khiển công nghiệp và thực hiện các hành vi can thiệp trực tiếp vào hệ thống điều khiển.
Tấn công có chủ đích vào hạ tầng năng lượng
Các nhà nghiên cứu cho biết tin tặc đã lợi dụng các thiết bị mạng dễ bị tổn thương và những lỗ hổng bảo mật chưa được vá để xâm nhập vào các thiết bị đầu cuối từ xa (RTU) và hạ tầng truyền thông của lưới điện. Điều này cho thấy nhóm tấn công có hiểu biết sâu về cấu trúc và cách vận hành của hệ thống điện.Đáng chú ý, Dragos đánh giá vụ việc tại Ba Lan mang tính “cơ hội và vội vã” hơn là một chiến dịch được chuẩn bị dài hạn. Tuy nhiên, để gây thiệt hại tối đa, các tin tặc đã xóa dữ liệu trên nhiều hệ thống Windows, khiến quá trình khôi phục, cấu hình lại hoặc sửa chữa thiết bị trở nên cực kỳ khó khăn.
Phần lớn các thiết bị bị ảnh hưởng là những hệ thống giám sát an toàn và ổn định lưới điện – thành phần then chốt trong việc duy trì hoạt động liên tục của mạng lưới năng lượng quốc gia.
Cảnh báo về rủi ro an ninh OT toàn cầu
Dragos cảnh báo rằng các hoạt động của ELECTRUM và KAMACITE cho thấy xu hướng ngày càng rõ ràng: các đối thủ có năng lực cao đang chủ động nhắm vào hạ tầng năng lượng phân tán và hệ thống điều khiển công nghiệp, không bị giới hạn bởi biên giới địa lý.“Sự phân công vai trò giữa các nhóm cho phép duy trì quyền truy cập trong thời gian dài và sẵn sàng chuyển từ giai đoạn chuẩn bị sang tấn công khi điều kiện cho phép,” Dragos nhận định, đồng thời nhấn mạnh rủi ro không chỉ dừng lại ở một sự cố đơn lẻ mà có thể kéo dài trong nhiều năm.
Vụ việc tại Ba Lan được xem là hồi chuông cảnh báo đối với các quốc gia đang đẩy mạnh chuyển đổi sang năng lượng tái tạo, trong bối cảnh hạ tầng số hóa ngày càng trở thành mục tiêu hấp dẫn của các cuộc tấn công mạng có yếu tố địa chính trị. (The Hackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
