Playbook Thực Chiến: Xuyên Thủng Tòa Nhà Thông Minh Hạng A

Đây là tình huống giả định nhằm minh họa quy trình, không phản ánh sự kiện thực tế.

Bài viết trình bày quy trình thực chiến giúp ethical hacker đánh giá và củng cố an ninh cho tòa nhà thông minh hạng A trước khi kẻ xấu khai thác.

Phase 01: Recon – Biết Tòa Nhà Hơn Cả Đội Bảo Vệ

Bắt đầu bằng OSINT công khai. Sử dụng Google Street View quét mặt tiền tòa nhà để xác định vị trí camera ngoài trời, barrier xe và đầu đọc thẻ. Kết hợp dữ liệu đăng ký thiết bị IoT tại Cục Tần số Việt Nam cùng diễn đàn nội địa để lọc model camera, khóa từ và controller barrier. Tìm thêm tên miền phụ của hệ thống quản lý khách thăm (thường lộ rõ trong mã nguồn web công khai).

Lời nhắc thực chiến: Street View chụp được barrier hỏng đèn LED từ tháng trước, đừng tưởng “không ai biết” là an toàn.

Phase 02: Scanning – Quét Mà Không Chạm

Chạy Shodan với filter “country:VN RTSP port:554” và “BACnet” để lập danh sách camera và controller đang expose ra ngoài. Sau đó dùng script Nmap tùy chỉnh (rtsp-enum + bacnet-info) quét dải IP nội bộ qua VPN nhà thầu. Tập trung cổng 37777 (Dahua/Hikvision), 47808 (BACnet) và cổng TCP của khóa từ thông minh. Kết quả thường cho thấy firmware cũ và tài khoản mặc định vẫn còn.

Lời nhắc thực chiến: Nếu Shodan tìm thấy thiết bị của bạn trước khi bạn xóa nó, coi như đã thua một bàn.

Phase 03: Exploitation – Không Cần Bẻ Khóa Thật

Wiegand protocol dễ bị replay: ghi lại tín hiệu 26-bit/34-bit bằng thiết bị rẻ tiền rồi phát lại trong vòng 5 giây. RFID 125 kHz chỉ cần thẻ trống + reader giá 200k là ghi đè được. Barrier tự động dùng microcontroller Trung Quốc thì flash firmware custom qua cổng debug còn hở (thường là UART 115200). Sau 15 phút, barrier đã nghe lệnh từ điện thoại của bạn.

Lời nhắc thực chiến: Khi barrier tự mở mà không cần thẻ, đừng đổ lỗi cho “ma nhập”.

Phase 04: Post-Exploitation – Ở Lại Mà Không Ai Hay

Cắm một ESP32 hoặc Raspberry Pi Zero nhỏ gọn vào sau tấm trần gần tủ điều khiển, nối trực tiếp vào bus Wiegand hoặc RS-485. Backdoor phần cứng này không ghi log hệ thống, chỉ nhận lệnh qua mạng phụ Zigbee/Z-Wave đã bị chiếm quyền. Dùng script đơn giản để duy trì tunnel ngược mỗi 12 tiếng một lần.

Lời nhắc thực chiến: Backdoor phần cứng rẻ hơn backdoor phần mềm và khó bị antivirus phát hiện hơn rất nhiều.

Phase 05: Reporting & Hardening – Vá Xong Thì Mới Ngủ Ngon

Báo cáo phải kèm kịch bản khai thác ngắn gọn kèm video (không cần full PoC). Khuyến nghị:
– Bật mutual authentication cho mọi thiết bị Zigbee/Z-Wave thay vì trust mặc định.
– Đưa camera và access control vào VLAN riêng, áp micro-segmentation với firewall OT (không dùng switch layer 2 rẻ tiền).
– Thay Wiegand bằng OSDP v2 có mã hóa.
– Kiểm tra firmware barrier và khóa từ mỗi quý, không để IT kiêm nhiệm “cứ chạy được là ổn”.

Lời nhắc thực chiến: Vá xong mà không test lại là cách nhanh nhất để bị xâm nhập lần hai – lần này thì không còn là giả định nữa.