NotPetya: Thảm họa an ninh mạng lớn nhất trong lịch sử

Tổng thiệt hại của Maersk là 300 triệu USD sau vụ tấn công NotPetya. 

Tổng hành dinh của  A.P. Møller-Maersk [tập đoàn Đan Mạch hoạt động trong các lĩnh vực vận tải, hậu cần, năng lượng – ND.] nằm bên đại lộ lát đá lộng gió dọc bến cảng Copenhagen. Một cột buồm mang quốc kỳ Đan Mạch được dựng ở góc đông bắc, tòa nhà sáu tầng với những ô cửa sổ xanh da trời nhìn ra phía biển, đối diện với chỗ neo du thuyền của Hoàng gia Đan Mạch. Dưới tầng hầm của tòa nhà có cửa hàng đồ lưu niệm dành cho nhân viên, với đầy túi và cra-vát in tên công ty, và cả một mô hình Lego cực hiếm của con tàu container khổng lồ hạng “Triple-E” [ba chữ E – một loại tàu biển chở được hơn 18000 container] của công ty, một con tàu lớn bằng tòa nhà Empire State [một tòa nhà chọc trời hơn 100 tầng ở New York] nằm ngang, và có thể chở được một lượng hàng hóa tương đương với một tòa nhà Empire State nữa.
Trong cửa hàng còn có một trung tâm hỗ trợ kỹ thuật, là một bàn kỹ thuật viên tin học ở cạnh quầy thanh toán. Và buổi chiều ngày 27 tháng 6 năm 2017 đó, nhiều nhóm nhân viên Maersk bối rối bắt đầu tìm đến bàn hỗ trợ, hầu hết mang theo máy tính xách tay. Trên các màn hình máy tính là các dòng chữ màu đỏ và đen. Một số viết “đang sửa hệ thống file trên ổ C” và cảnh báo không được tắt máy. Những cái khác thì viết “ui, các file quan trọng của các người đã bị mã hóa” và đòi một khoản tiền chuộc 300 USD bằng đồng tiền ảo bitcoin để giải mã.
Bên kia phố, kỹ thuật viên quản lý hệ thống tin học Henrik Jensen đang làm việc trong một bộ phận khác của khu tổ hợp, một tòa nhà trang trí bằng đá trắng mà trong các thế kỷ trước là nơi lưu trữ hoàng gia bản đồ biển. (Henrik Jensen không phải là tên thật. Cũng như hầu hết các nhân viên, khách hàng, đối tác của Maersk được tôi phỏng vấn, Jensen sợ những hậu quả của việc công khai tiết lộ về câu chuyện này). Jensen đang chuẩn bị việc cập nhật phần mềm cho gần 80.000 nhân viên của Maersk thì máy tính của anh tự khởi động lại.
Anh lầm bầm chửi thề. Jensen nghĩ rằng việc khởi động lại bất ngờ lại là một hành động thô lỗ của bộ phận tin học tổng của Maersk. Đó là một bộ phận không mấy ai ưa, đóng ở Anh, và giám sát hầu hết đế chế của tập đoàn, với tám công ty con hoạt động trong các lĩnh vực từ cảng, hậu cần đến khai thác dầu, ở 574 chi nhánh đặt ở 130 nước trên toàn cầu.
Jensen định hỏi các đồng nghiệp kỹ sư tin học trong cùng văn phòng không gian mở xem có ai bị gián đoạn một cách thô bạo như thế không. Khi thò đầu lên nhìn, anh thấy tất cả các màn hình máy tính trong phòng liên tiếp tắt phụt.
“Tôi thấy một loạt màn hình trở thành tối đen. Đen, đen, đen. Đen đen đen đen đen,” anh nhớ lại. Jensen và các đồng nghiệp xung quanh nhanh chóng nhận ra rằng các máy tính đã bị khóa. Khởi động lại cũng vẫn chỉ dẫn đến màn hình đen.
Khắp tổng hành dinh Maersk, quy mô toàn diện của cuộc khủng hoảng bắt đầu trở nên rõ ràng. Chỉ sau nửa giờ, các nhân viên Maersk đã chạy dọc các hành lang, hô mọi người tắt máy tính hoặc ngắt kết nối với mạng máy tính của Maersk trước khi bị nhiễm phần mềm độc, bởi họ nhận ra rằng mỗi phút có thể có thêm hàng chục, hàng trăm máy tính bị lỗi. Các kỹ thuật viên chạy vào các phòng họp và rút điện máy tính ngay giữa các cuộc họp. Không lâu sau, các nhân viên bắt đầu trèo qua các cổng khóa từ bị phần mềm độc làm tê liệt, để đi báo động cho các khu khác của tòa nhà.
Bộ phận tin học của Maersk mất hơn hai giờ trong hoảng loạn để ngắt kết nối toàn bộ hệ thống mạng toàn cầu của công ty. Đến lúc đó, mọi nhân viên đã nhận được lệnh tắt máy tính và để nguyên nó trên bàn làm việc. Việc ngắt mạng khẩn cấp cũng vô hiệu hóa toàn bộ các máy điện thoại bàn sử dụng internet.
Khoảng 3 giờ chiều, một nhân viên quản lý của Maersk vào phòng bảo Jensen và hơn một chục đồng nghiệp, tất cả đang lo lắng chờ tin, đi về nhà. Mạng máy tính của Maersk bị hỏng nặng đến nỗi các kỹ thuật viên tin học cũng bó tay. Một ít nhân viên quản lý kiểu truyền thống yêu cầu nhân viên của mình ở lại. Nhưng nhiều người trở nên hoàn toàn vô dụng khi không có máy tính cá nhân, máy chủ, router, điện thoại bàn, và ra về.
Jensen ra khỏi tòa nhà trong buổi chiều tháng sáu ấm áp. Cũng như phần lớn nhân viên của Maersk, anh không biết khi nào mới có thể đi làm lại. Gã khổng lồ hàng hải nơi anh làm việc, quản lý 76 cảng trên toàn thế giới và một đội tàu biển gần 800 chiếc, trong đó có những tàu container chở hàng chục triệu tấn hàng, tức là gần một phần năm lượng hàng hóa đường biển toàn cầu, đang chết cứng.

NotPetya nhằm vào ai? 

Ra đến rìa khu Podil náo nhiệt ở thủ đô Kiev của Ukraine, các quán cà-phê và công viên đột ngột biến mất, thay vào đó là một khung cảnh công nghiệp ảm đạm. Ở bên dưới một đường cao tốc trên cao, bên kia đường tàu đầy rác, và qua một cái cổng bê tông là một ngôi nhà bốn tầng, trụ sở của Linkos Group, một công ty phần mềm gia đình nhỏ.
Ở tầng bốn của tòa nhà là một phòng máy chủ, trong đó có một giá để những chiếc máy tính to cỡ hộp đựng pizza, được nối với nhau bởi dây nhợ chằng chịt, và mang những nhãn đánh số viết bằng tay.Vào một ngày bình thường, những máy chủ này sẽ gửi đi những bản cập nhật thường xuyên – vá lỗi, bảo mật, tính năng mới – cho một phần mềm kế toán tên là M.E.Doc, có thể coi là phiên bản Ukraine của TurboTax hay Quicken [các phần mềm thuế, tài chính cá nhân nổi tiếng của Mỹ]. Ở Ukraine gần như ai kinh doanh hay làm hồ sơ thuế cũng dùng phần mềm này.
Nhưng năm 2017, có một lúc những máy chủ đó đã bị biến thành điểm khởi đầu cho vụ tấn công tin học gây thiệt hại nặng nề nhất kể từ khi internet ra đời – vụ việc mà ban đầu là một cuộc tấn công của một quốc gia nhằm vào một quốc gia khác.
Đã bốn năm rưỡi trôi qua kể từ khi Ukraine bị mắc vào cuộc chiến tranh không chính thức dai dẳng với Nga, cuộc chiến khiến hơn 10.000 người Ukraine thiệt mạng và khiến cho hàng triệu người khác phải sơ tán. Cuộc xung đột cũng biến Ukraine thành nơi thử nghiệm các chiến thuật chiến tranh mạng của Nga. Năm 2015 và năm 2016, trong lúc Fancy Bear, nhóm hacker được cho là có liên quan tới Kremlin, bận tìm cách đột nhập vào các máy chủ của Ủy ban quốc gia của Đảng Dân chủ Mỹ, một nhóm khác được biết đến dưới cái tên Sandworm đã tấn công được vào hàng chục công ty và tổ chức chính phủ của Ukraine. Họ đột nhập vào hệ thống mạng của các nạn nhân, từ các cơ quan truyền thông tới các công ty đường sắt, kích hoạt những “quả bom lô-gích” phá hủy hàng terabyte dữ liệu. Trong mùa đông của cả hai năm đó, những kẻ tấn công kết thúc chuỗi phá hoại của mình bằng việc gây ra mất điện trên diện rộng – đó là những vụ mất điện đầu tiên được khẳng định là do hacker gây ra.


Công ty dược phẩm Merck, Mỹ mới chịu thiệt hại lớn nhất sau vụ thảm họa này với 870 triệu USD. 

Nhưng đó chưa phải màn kết của Sandworm. Mùa xuân năm 2017, các hacker trong quân đội Nga lén xâm nhập vào các máy chủ dành cho cập nhật phần mềm của Linkos Group và tạo một cổng hậu bí mật tới hàng nghìn máy tính sử dụng phần mềm M.E.Doc ở Ukraine và trên thế giới. Không một ai ở Linkos Group phát hiện ra. Và tháng 6 năm 2017, những kẻ tấn công sử dụng cổng hậu đó để phát tán một phần mềm độc mang tên NotPetya, vũ khí tin học đáng sợ nhất của họ.
Mã độc đó được viết để tự động phát tán nhanh chóng và không phân biệt đối tượng. “Cho tới nay, nó là phần mềm độc lan truyền nhanh nhất mà chúng tôi từng biết đến,” Craig Williams ở công ty Talos của Cisco, một trong những công ty bảo mật đầu tiên tiến hành giải mã [nguyên văn “reverse engineer”, trong ngữ cảnh này là tìm cách viết lại mã nguồn] và phân tích NotPetya, cho biết. “Lúc các bạn thấy nó, trung tâm dữ liệu của các bạn đã không còn nữa.”
NotPetya hoạt động nhờ sử dụng song song hai khai thác bảo mật cực mạnh. Khai thác thứ nhất là một công cụ xâm nhập mang tên EternalBlue, do Cơ quan An ninh quốc gia Mỹ (NSA) tạo ra nhưng bị tuồn ra ngoài do một thảm họa lộ tài liệu tuyệt mật đầu năm 2017. EternalBlue tận dụng một lỗ hổng bảo mật trong một giao thức của Windows, qua đó cho hacker quyền chạy chương trình từ xa trên mọi máy tính chưa được vá lỗi.
Những tác giả của NotPetya kết hợp cái chìa khóa tổng đó với một thứ cũ hơn có tên là Mimikatz, được chuyên gia bảo mật người Pháp Benjamin Delpy viết ra năm 2011 để chứng minh việc Windows để mật khẩu của người dùng trong bộ nhớ của máy tính. Một khi những kẻ tấn công đã kiểm soát được một chiếc máy tính, Mimikatz sẽ đi tìm các mật khẩu đó trong bộ nhớ RAM và dùng chúng để xâm nhập vào các máy tính khác sử dụng cùng các thông tin đăng nhập. Trong một mạng mà trên mỗi máy tính có nhiều tài khoản người dùng, nó cho phép một cuộc tấn công tự động nhảy từ máy này sang máy khác.
Trước khi NotPetya xảy ra, Microsoft đã phát hành bản vá cho lỗ hổng EternalBlue. Nhưng sự kết hợp của EternalBlue và Mimikatz vẫn rất hiểm độc. “Anh có thể tấn công các máy tính chưa cập nhật bản vá, sau đó lấy mật khẩu từ những máy đó để đi tấn công các máy đã được vá lỗi,” Delpy giải thích.
Mã độc này được đặt tên NotPetya vì nó có vẻ giống với phần mềm tống tiền Petya, một mã độc xuất hiện đầu năm 2016 đòi nạn nhân trả tiền chuộc để mở khóa dữ liệu. Nhưng thông điệp đòi tiền chuộc của NotPetya là giả: mục đích của nó đơn thuần là phá hủy. Nó chỉ mã hóa một chiều bản ghi khởi động (phần đầu của ổ cứng, chỉ cho máy tính biết hệ điều hành nằm ở chỗ nào) của các máy tính. Mọi khoản tiền chuộc đều không có tác dụng. Không hề tồn tại chìa khóa giải mã để sắp xếp lại những nội dung đã bị xáo trộn.
Việc phát tán NotPetya thỏa mãn gần như mọi định nghĩa về một chiến tranh mạng – một cuộc chiến dường như bùng nổ vượt quá dự liệu của những người tạo ra nó. Trong vòng vài giờ kể từ lúc xuất hiện, phần mềm độc đã vượt ra khỏi Ukraine và lây nhiễm cho vô số máy tính trên khắp thế giới, từ các bệnh viện ở bang Pennsylvania đến một nhà máy sô-cô-la ở Tasmania. Nó làm tê liệt nhiều công ty đa quốc gia như Maersk, gã khổng lồ ngành dược Merck, công ty con TNT Express của FedEx ở châu Âu, công ty xây dựng Saint-Gobain của Pháp, công ty thực phẩm Mondelēz, nhà sản xuất hàng tiêu dùng Reckitt Benckiser. Thiệt hại nó gây ra ở mỗi trường hợp đều lên đến chín chữ số. Nó thậm chí quay ngược lại nước Nga và tấn công công ty dầu khí nhà nước Rosneft.
Thiệt hại tổng cộng là hơn 10 tỷ USD, theo một đánh giá của Nhà Trắng được xác nhận bởi cố vấn An ninh quốc gia Tom Bossert, người vào thời điểm xảy ra vụ tấn công là quan chức kỳ cựu nhất chuyên về an ninh thông tin dưới quyền Tổng thống Trump. Bossert và các cơ quan tình báo Mỹ cũng đã khẳng định, vào tháng 2 năm 2018, rằng quân đội Nga, nghi phạm chính trong mọi vụ tấn công tin học nhắm vào Ukraine, là thủ phạm phát tán mã độc. (Bộ Ngoại giao Nga liên tục từ chối bình luận về thông tin này.)
Để hình dung quy mô thiệt hại do NotPetya gây ra, chúng ta hãy xét vụ tấn công bằng phần mềm tống tiền đã gây tê liệt chính quyền thành phố Atlanta vào tháng 3 năm 2018: nó gây tiêu tốn 10 triệu USD, tức là một phần nghìn so với NotPetya. Đến cả WannaCry, phần mềm độc nổi đình đám lây lan một tháng trước NotPetya vào tháng 5 năm 2017, cũng “chỉ” có thiệt hại được ước tính từ 4 tỷ đến 8 tỷ USD. NotPetya vượt xa mọi thứ khác. “Mặc dù không có thiệt hại về người, nó tương đương với việc dùng một quả bom nguyên tử để đạt được một thắng lợi nhỏ về mặt chiến thuật,” Bossert nhận xét. “Đó là một sự liều lĩnh không thể tha thứ trên bình diện quốc tế.

Từ Ukraine đến toàn thế giới

Trong một năm kể từ khi NotPetya làm rung chuyển thế giới, chúng tôi đã tìm hiểu sâu về trải nghiệm của một tập đoàn khổng lồ bị con virus của nước Nga đánh quỵ: Maersk. Cuộc khủng hoảng của họ là một thí dụ có một không hai về sự đe dọa của chiến tranh mạng đối với cấu trúc hạ tầng của thế giới hiện đại. Các lãnh đạo của đế chế tàu biển, cũng như mọi nạn nhân bên ngoài Ukraine được chúng tôi tiếp cận để hỏi về NotPetya, từ chối bình luận. Bài tường thuật của chúng tôi thay vào đó được tổng hợp từ các nguồn đang hoặc từng là nhân viên của Maersk, phần lớn yêu cầu ẩn danh.
Nhưng câu chuyện về NotPetya không thực sự xoay quanh Maersk, thậm chí cũng không phải về Ukraine. Nó là câu chuyện về một vũ khí chiến tranh của một quốc gia, với một phương thức triển khai khiến cho các biên giới quốc gia trở nên vô nghĩa, với những thiệt hại bên lề xảy đến một cách tàn nhẫn và không ngờ: một cuộc tấn công nhắm vào Ukraine lại trúng vào Maersk, và một cuộc tấn công vào Maersk cũng đồng thời trúng vào mọi nơi khác.
Oleksii Yasinsky nghĩ rằng sẽ có một ngày đi làm thứ ba nhẹ nhàng. Ngày hôm sau là Ngày Hiến pháp Ukraine, một ngày nghỉ, và hầu hết các đồng nghiệp của ông nếu không đang lên kế hoạch đi nghỉ thì cũng đã đi rồi. Nhưng Yasinsky thì không. Đã một năm nay, ông làm trưởng phòng nghiên cứu tin học của Information Systems Security Partners (sau đây viết tắt là ISSP), lựa chọn hàng đầu của những nạn nhân tấn công tin học ở Ukraine. Công việc đó không cho phép nghỉ ngơi. Sự thực là kể từ vụ tấn công tin học đầu tiên của Nga và cuối năm 2015, ông nghỉ chỉ tổng cộng một tuần.
Bởi thế, Yasinsky vẫn bình thản khi giám đốc ISSP gọi cho ông sáng hôm đó và cho biết Oschadbank, ngân hàng lớn thứ hai của Ukraine, bị tấn công. Ngân hàng báo cho ISSP rằng họ bị nhiễm một phần mềm tống tiền, một loại khủng hoảng ngày càng phổ biến ở các công ty trên khắp thế giới, do tội phạm gây ra với mục đích kiếm tiền. Nhưng nửa giờ sau, khi Yasinsky bước vào trung tâm tin học của Oschadbank ở trung tâm Kiev, ông biết ngay có sự khác thường. “Nhân viên ngơ ngác, bối rối, bị sốc,” ông nhớ lại. Khoảng 90 phần trăm trong số hàng nghìn máy tính của ngân hàng bị khóa, trên màn hình hiển thị thông điệp tống tiền “sửa ổ cứng” của NotPetya.
Xem qua các file nhật ký còn sót lại của ngân hàng, Yasinsky thấy được rằng cuộc tấn công được gây ra bởi một phần mềm tự động bằng cách nào đó đã có được thông tin đăng nhập của quản trị. Nhờ đó, nó tung hoành trong mạng máy tính của ngân hàng như một tù nhân trộm được chìa khóa của cai ngục.
Khi trở về ISSP nghiên cứu kỹ hơn về vụ tấn công ngân hàng, Yasinsky bắt đầu nhận được những cuộc gọi và nhắn tin, từ khắp nơi ở Ukraine, về những vụ tương tự ở các công ty và cơ quan chính phủ khác. Một người cho ông biết một nạn nhân khác đã thử trả tiền chuộc. Đúng như Yasinsky nghi ngờ, tiền chuộc không có tác dụng. Đây không phải một phần mềm tống tiền bình thường. “Nó không có thuốc giải,” ông nói.
Cách đó một nghìn dặm [khoảng 1600 km] về phía nam, Roman Sologub, CEO của ISSP, đã có kế hoạch nghỉ kỳ nghỉ Ngày Hiến pháp ở bờ biển phía nam của Thổ Nhĩ Kỳ. Ông đang chuẩn bị cùng gia đình đi ra bãi biển thì điện thoại bắt đầu ngập với những cuộc gọi từ những khách hàng của ISSP, người thì đang chứng kiến NotPetya tàn phá mạng máy tính của mình, người thì đọc được tin về vụ tấn công và cuống cuồng tìm tư vấn.
Sologub quay về khách sạn và ở lại đó cả ngày, nhận hơn 50 cuộc gọi từ các khách hàng, hết người này đến người khác thông báo rằng hệ thống của họ đã bị lây nhiễm. Trung tâm an ninh của ISSP, vốn có nhiệm vụ theo dõi các mạng của khách hàng trong thời gian thực, cảnh báo Sologub rằng NotPetya đang chiếm trọn các hệ thống của khách hàng với một tốc độ kinh hoàng: nó chỉ mất 45 giây để đánh sập hệ thống mạng của một ngân hàng lớn của Ukraine. Một phần của một nút trung chuyển giao thông lớn của Ukraine, nơi ISSP đã cài đặt thử nghiệm các thiết bị của mình, bị nhiễm mã độc hoàn toàn trong 16 giây. Ukrenergo, công ty năng lượng được ISSP giúp xây dựng lại hệ thống mạng sau vụ mất điện do tấn công tin học năm 2016, cũng lại bị tấn công. “Chúng tôi đang dự định triển khai thêm các biện pháp bảo mật, anh còn nhớ chứ?” Sologub kể lại lời một giám đốc tin học của Ukrenergo nói với ông qua điện thoại. “Quá muộn rồi.”
Đến trưa, Oleh Derevianko, người sáng lập ISSP, cũng hủy kỳ nghỉ của mình. Khi các cuộc gọi về NotPetya ập tới, Derevianko đang lái xe về căn nhà nghỉ ở nông thôn của mình ở miền bắc để gặp gia đình. Ông nhanh chóng ra khỏi đường cao tốc và làm việc trong một nhà hàng ven đường. Đầu giờ chiều, ông yêu cầu tất cả những người gọi điện thoại ngắt ngay không do dự kết nối hệ thống mạng của mình, dù cho điều đó có khiến cho cả công ty ngừng hoạt động. Trong nhiều trường hợp, người ta đã chờ quá lâu. “Khi nói chuyện được với họ, hệ thống đã hỏng rồi,” Derevianko nói.
NotPetya đã ăn tươi nuốt sống các máy tính trên cả nước Ukraine. Trong các nạn nhân của nó có ít nhất bốn bệnh viện (chỉ tính riêng) ở Kiev, sáu công ty điện lực, hai sân bay, hơn 22 ngân hàng, các máy rút tiền tự động và các hệ thống thanh toán bằng thẻ trong bán lẻ và trong giao thông vận tải, và gần như mọi cơ quan nhà nước. “Chính phủ đã chết,” Bộ trưởng phụ trách Xây dựng và Giao thông vận tải Volodymyr Omelyan tóm tắt. Theo ISSP, ít nhất 300 công ty bị tấn công, và một quan chức chính phủ cao cấp của Ukraine ước lượng rằng 10 phần trăm số máy tính của cả nước bị xóa sạch dữ liệu. Vụ tấn công thậm chí đánh sập các máy tính của các nhà khoa học ở khu xử lý thảm họa Chernobyl, cách Kiev 60 dặm [gần 100 km] về phía bắc. Theo lời Omelyan, “Đó là một cuộc đánh bom ồ ạt trên toàn hệ thống của chúng tôi”.
Ra khỏi nhà hàng vào lúc chập tối, Derevianko dừng lại để đổ xăng và phát hiện ra rằng hệ thống thanh toán bằng thẻ của trạm xăng cũng đã bị NotPetya vô hiệu hóa. Không mang tiền mặt, ông nhìn đồng hồ xăng, băn khoăn không biết có đủ để đi đến làng mình không. Khắp nơi trên cả nước, người Ukraine cũng tự hỏi những câu tương tự: không biết họ có còn đủ tiền mặt để mua đồ ăn và xăng cho đến khi qua cơn khủng hoảng hay không, không biết họ có còn nhận được lương hay lương hưu hay không, không biết họ có còn mua được thuốc hay không. Tối hôm đó, trong khi người ta còn đang tranh luận xem NotPetya là phần mềm tống tiền của tội phạm hay là chiến tranh mạng do một nhà nước tài trợ, thì các nhân viên của ISSP đã coi nó là một loại hiện tượng mới: một “cuộc xâm lược mạng quy mô lớn, có phối hợp.”
(Còn tiếp)

Nguyễn Hoàng Thạch dịch, 
Tít phụ trong bài viết do tòa soạn đặt
Nguồn: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/