Các nhà nghiên cứu của hãng an ninh phần mềm McAfee cho biết, họ đã phát hiện một loạt các vụ thâm nhập trái phép lớn nhất từ trước tới nay vào các hệ thống máy tính của 72 tổ chức và chính phủ trên thế giới, bao gồm Mỹ, Đài Loan, Việt Nam, Hàn Quốc, Canada và Ấn Độ – trong đó một số mục tiêu bị tấn công từ năm 2006 (Xem bản đồ các mục tiêu bị tấn công do của McAfee đưa ra dưới đây).
Đó không phải là dạng tấn công không gian mạng (KGM) được tiến hành bởi những kẻ lang thang quấy phá như LulzSec –những kẻ tấn công ghi điểm nhưng thực sự chỉ gây ra phiền toái cho các công ty như Sony. Trong các trường hợp này, các mạng đã bị tổn thương bởi các công cụ truy cập ở xa (Remote Access Tools) – hoặc bằng loại chuột gặm nhấm (RAT), như chúng được biết tới trong nền công nghiệp này. Những công cụ truy cập từ xa – công cụ sử dụng hợp pháp độc quyền của những người quản trị hệ thống – được trao cho một người nào đó khả năng truy cập tới một hệ thống máy tính từ mọi nơi trong một quốc gia hoặc trên phạm vi toàn cầu. Tuy nhiên, trong những trường hợp này, chúng đã được cài đặt một cách bí mật vào các hệ thống đích, ẩn dấu khỏi những con mắt soi mói hàng ngày của những người sử dụng, các nhà quản trị và đã được sử dụng để lục lọi trong các tệp có tính mật nhằm lấy cắp các thông tin hữu dụng. Không phải vô cớ mà McAfee gọi đây là Chiến dịch Con chuột cống.
Hãng McAfee cho biết kẻ tấn công từng là một “tay chơi nhà nước”, dù hãng đã từ chối nêu tên nó. “Tôi sẽ cho bạn 3 lần đoán ai là ứng cử viên hàng đầu, cho dù bạn có thể sẽ chỉ cần một: Trung Quốc”.
Dmitri Alperovitch, Phó Chủ tịch của McAfee, bộ phận Nghiên cứu các Mối đe dọa, tuyên bố trên blog của mình về sự phát hiện có thể làm cho mọi người muốn ngừng tạm thời hệ thống mạng của chính phủ hoặc doanh nghiệp: “Tôi bị thuyết phục rằng mọi công ty trong mọi lĩnh vực công nghiệp có một lượng tài sản trí tuệ và bí mật thương mại đáng kể và giá trị đều đã bị (hoặc sẽ sớm bị) tổn thương, mà đa số các nạn nhân hiếm khi phát hiện được sự thâm nhập trái phép hoặc ảnh hưởng của nó”. Ông sau đó đã phân chia bức tranh toàn cảnh các công ty trên thế giới thành 2 loại: những người đã bị tổn thương và nhận biết được; những người đơn giản còn chưa nhận biết.
Đây từng là một năm đặc biệt dơ dáy bẩn thỉu trên mặt trận an ninh không gian mạng. (Tôi ghét gọi như thế, nhưng tôi đã nói với bạn như thế). Trước hết, cuộc tấn công lớn mà ảnh hưởng đầy đủ của nó còn chưa được đo đếm là cuộc tấn công chống lại hệ thống SecureID của RSA, sử dụng các thiết bị chuỗi khóa phổ biến tạo ra một loạt các con số thay đổi liên tục dẫn đến việc tạo ra một mật khẩu thứ 2 để truy cập tới các tài nguyên hệ thống. Chúng được sử dụng một cách rộng rãi trong các giới chức chính phủ và quân sự và trong số các nhà thầu quân sự. Google từng là một đích nhắm tới thường xuyên trong những năm vừa qua.
Cuộc tấn công RSA và Chiến dịch Con chuột Cống là những ví dụ, Alperovitch nói, về một “Mối đe dọa thường trực cao cấp” APT (Advanced Persistent Threats). Mệnh đề này đã trở thành một từ thông dụng, được dịch lòng thòng trong tiếng Anh, nghĩa là dạng tồi tệ nhất của tấn công không gian mạng mà bạn có thể tưởng tượng. Không giống như các cuộc tấn công từ chối dịch vụ và các cuộc thâm nhập trái phép mạng được LulzSec và đám người của nó tiến hành chỉ đòi hỏi sự hiểu biết và kỹ năng tối thiểu về cách mà các mạng và các máy chủ làm việc, một APT được tiến hành bởi một người có kỹ năng rất cao, lựa chọn các mục tiêu một cách thận trọng và lén lút chui vào bên trong chúng theo một cách thức khó mà phát hiện ra được, cho phép truy cập vào hệ thống đích trên nền tảng có sẵn tồn tại dai dẳng hàng năm trời.
Các cuộc tấn công này xảy ra như thế nào? Rất đơn giản: Một ai đó tại tổ chức đích nhận được một thư điện tử trông có vẻ hợp lệ, nhưng có chứa một tệp đính kèm không hợp lệ. Việc đó được gọi là “spear phishing” và nó đã trở thành vũ khí được lựa chọn của những kẻ tấn công không gian mạng tinh vi phức tạp. Những tài liệu đính kèm không chỉ là những gì mà chúng ta thấy chúng – các tài liệu Word hoặc các bảng tính hoặc những thứ thường nhật khác – mà chúng chứa các chương trình tạo cửa hậu truy cập vào hệ thống ở mức người sử dụng ở hệ thống đích. Những chương trình này sau đó tải về các phần mềm độc hại nhằm trao cho những kẻ tấn công truy cập tiếp tục vào hệ thống. Tất cả những thứ này xảy ra theo một cách thức được tự động hóa, nhưng ngay sau đó, những kẻ tấn công thực sự thâm nhập vào hệ thống để đào bới những gì chúng có thể tìm thấy, sao chép những gì chúng có thể, và thoát ra – dù chúng thường để lại các cửa không được khóa để chúng có thể quay lại viếng thăm thường xuyên.
Alperovitch lưu ý, “ – đúng ra, theo suy nghĩ của tôi – cách phát biểu này đã được lựa chọn và lạm dụng bởi các bộ phận quảng cáo của nhiều công ty an ninh”. Nhận xét to tát hơn của ông là quá thường xuyên gặp phải những kẻ đã tấn công bằng cách này từ chối tấn công tiếp và để lộ ra những gì họ đã học được, vì thế để lại mối nguy hiểm thường xuyên rình rập.
Alperovitch nói rằng các dữ liệu được lấy cắp trong Chiến dịch Con chuột Cống lên tới vài petabytes giá trị thông tin. Không rõ chúng được sử dụng như thế nào. Nhưng, như ông nói: “Nếu, thậm chí một phần rất nhỏ thông tin đó được sử dụng để tạo ra các sản phẩm có tính cạnh tranh tốt hơn hoặc chiến thắng một đối thủ cạnh tranh ở một vụ thương thảo chủ chốt (nhờ vào việc lấy cắp được bảo bối của đội khác), thì sự mất mát đó đem đến một mối đe dọa khổng lồ về kinh tế không chỉ đối với các công ty và các nền kinh tế riêng rẽ mà còn cho toàn bộ các quốc gia đang đối mặt với viễn cảnh tăng trưởng kinh tế giảm sút”. Điều này cũng là tồi tệ cho an ninh của quốc gia bị tấn công, bởi các nhà thầu quốc phòng có liên quan tới các vấn đề quân sự nhạy cảm thường là những cái đích tấn công được nhắm tới. Điều tốt nhất có thể là các nạn nhân của các cuộc tấn công hãy lên tiếng về các cuộc bị tấn công của họ và chia sẻ thông tin với nhau sao cho mỗi người có thể sẵn sàng đối phó với cuộc tấn công sau, mà nó chắc chắn sẽ tới.
Alperovitch nói rằng các dữ liệu được lấy cắp trong Chiến dịch Con chuột Cống lên tới vài petabytes giá trị thông tin. Không rõ chúng được sử dụng như thế nào. Nhưng, như ông nói: “Nếu, thậm chí một phần rất nhỏ thông tin đó được sử dụng để tạo ra các sản phẩm có tính cạnh tranh tốt hơn hoặc chiến thắng một đối thủ cạnh tranh ở một vụ thương thảo chủ chốt (nhờ vào việc lấy cắp được bảo bối của đội khác), thì sự mất mát đó đem đến một mối đe dọa khổng lồ về kinh tế không chỉ đối với các công ty và các nền kinh tế riêng rẽ mà còn cho toàn bộ các quốc gia đang đối mặt với viễn cảnh tăng trưởng kinh tế giảm sút”. Điều này cũng là tồi tệ cho an ninh của quốc gia bị tấn công, bởi các nhà thầu quốc phòng có liên quan tới các vấn đề quân sự nhạy cảm thường là những cái đích tấn công được nhắm tới. Điều tốt nhất có thể là các nạn nhân của các cuộc tấn công hãy lên tiếng về các cuộc bị tấn công của họ và chia sẻ thông tin với nhau sao cho mỗi người có thể sẵn sàng đối phó với cuộc tấn công sau, mà nó chắc chắn sẽ tới.
Lê Trung Nghĩa, Nguyễn Chí Thành
TheMinh1024 
One thought on “Chiến dịch Con chuột cống: Cuộc tấn công lớn nhất của tin tặc từ trước tới nay”