Mã độc “Energetic Bear” cho phép tin tặc điều khiển lượng tiêu thụ năng lượng theo thời gian thực hoặc làm tê liệt hệ thống vật lý như tua-bin gió, đường ống gas và nhà máy điện nếu muốn.

Tổ chức đứng sau vụ tấn công mạng được tin là đã thâm nhập máy tính của hơn 1.000 tổ chức tại 84 quốc gia trong chiến dịch kéo dài 18 tháng. Mã độc tương tự chương trình Stuxnet do chính phủ Mỹ và Israel triển khai 2 năm trước nhằm vào các cơ sở làm giàu uranium của Iran.

Mục đích ban đầu của Energetic Bear dường như chỉ để gián điệp. Tuy nhiên, theo hãng bảo mật Symantec, hãng đã phát hiện “vec-tơ tấn công” vô cùng nguy hiểm, được thiết kế để mã độc giành quyền kiểm soát hệ thống vật lý.

Symantec cho biết nhóm đứng sau Energetic Bear, Dragonfly, đã cấy thành công mã độc vào 3 nhà sản xuất hệ thống kiểm soát công nghiệp hàng đầu. Dragonfly sau đó gán mã độc vào các bản cập nhật phần mềm hợp pháp mà các công ty này gửi đến khách hàng. Ngay khi họ tải bản cập nhật, hệ thống của họ cũng bị ảnh hưởng. Khoảng hơn 250 hệ thống công nghiệp là nạn nhân của phần mềm độc hại này.

Theo Symantec, Enegertic Bear phần lớn hoạt động tại Tây Ban Nha và Mỹ, tiếp đến là Pháp, Ý và Đức. Hãng bảo mật tin rằng Dragonfly “có trụ sở tại Tây Âu và sở hữu đầy đủ dấu hiệu cho thấy được nhà nước tài trợ”. Còn Stuart Poole-Robb, cựu nhân viên tình báo quân đội và nhà sáng lập hãng tư vấn an ninh KCS Group, những người này đang làm việc với Fapsi (cơ quan tình báo Nga) và hoạt động hỗ trợ chính phủ Nga.

Nhãn thời gian, các ký tự và tên dùng bảng chữ cái Kirin bên trong mã Energetic Bear gợi ý nguồn gốc của mã độc đến từ Nga, tuy nhiên để kết luận chính xác còn cần quá trình nghiên cứu lâu dài để không bị lạc hướng. Ví dụ, tin tặc Trung Quốc nổi tiếng với chiêu lên lộ trình tấn công qua Nga để che giấu hành tung.