Một vụ hack sững sờ và run rẩy

 

Nửa đầu năm 2020, khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển, nhận được thông báo cập nhật định kỳ. 

Ở thời “Internet vạn vật”, khi lò vi sóng cũng cần được cập nhật phần mềm, đây là chuyện quá sức bình thường. Vì thế mà gần 20.000 người dùng Orion khi đó đã click “Đồng ý cập nhật” không cần nghĩ. 

Chính họ, giới công nghệ và cả chính quyền Washington, không ngờ bản cập nhật gần như mang tính thủ tục này lại là khởi đầu cho một vụ tấn công tin tặc có độ tinh vi và phức tạp ở quy mô mà người Mỹ chưa từng chứng kiến, và cũng không tài nào lường trước được.

Con ngựa thành Troy

Một nhóm tin tặc mà Mỹ cáo buộc nhận chỉ đạo từ cơ quan tình báo Nga (Matxcơva dĩ nhiên chối phăng) đã lợi dụng bản cập nhật để đưa mã độc vào phần mềm Orion và sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.

“Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3 đến tháng 6-2020” - Sudhakar Ramakrishna, chủ tịch kiêm CEO SolarWinds, thừa nhận với Đài NPR.

Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng... 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc. 

Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.

Để hình dung mức độ ảnh hưởng của vụ tấn công, cần hiểu Orion là phần mềm cho phép bộ phận IT của một cơ quan, đơn vị giám sát toàn bộ hệ thống mạng - từ máy chủ, tường lửa cho đến các thiết bị ngoại vi như máy in - từ một khu vực điều khiển trung tâm. Nói cách khác, Orion lúc này chẳng khác gì một chú ngựa thành Troy mang địch quân vào thẳng cơ quan đầu não của phe ta.

Đài NPR, sau nhiều tháng trời ngâm cứu hồ sơ vụ tấn công và phỏng vấn hàng chục nhân vật có liên quan, rút ra kết luận không thể khác được rằng đây là “một cuộc tấn công không giống bất kỳ cuộc tấn công nào khác, được tung ra bởi một kẻ thù tinh vi nhắm vào điểm yếu chí tử của cuộc sống số: bản cập nhật phần mềm định kỳ”.

Ông Adam Meyers, phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.

Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử tổng thống Mỹ năm 2016.

 

Nghệ thuật xâm nhập

Chiến dịch tấn công nhắm vào SolarWinds bắt đầu với một đoạn mã cực kỳ đơn giản mà nhóm của Meyers phát hiện đã tồn tại trong phần mềm Orion từ tận tháng 9-2019. Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không. Và thực tế là có.

Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.

Khi trở lại vào tháng 2-2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) - phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi nó được “đóng gói” và gửi đến người dùng dưới dạng bản cập nhật.

Nghe có vẻ đơn giản, nhưng thực tế để làm được chuyện này đòi hỏi lắm công phu. Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi. Chỗ này cũng giống giao hàng ngoài đời, thấy gói hàng không “nguyên seal” thì phải nghi ngờ ngay.

Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng - tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng. Vỏ hoàn hảo, nhưng ruột đã bị tráo từ lúc nào.

Theo Meyers, thủ thuật này gợi nhắc ông đến lời cha mẹ ở Mỹ thường dặn con mình khi đi xin bánh kẹo dịp Halloween phải kiểm tra thật kỹ bao bì bất cứ thứ gì trước khi bỏ vô miệng, đề phòng kẻ xấu giấu lưỡi lam bên trong những cái bánh kẹo ngon lành.

“Hãy tưởng tượng những cái bánh đang trên dây chuyền đóng gói, và trong tích tắc trước khi máy bắt đầu đóng hộp và niêm phong sản phẩm, thứ gì đó xuất hiện và đẩy lưỡi dao lam vào trong chiếc bánh” - Meyers nói. Thay vì lưỡi dao, hacker đổi file. Và dù là đóng gói bánh quy bơ đậu phộng hay bản cập nhật phần mềm thì cũng thế: sản phẩm được đóng gói, niêm phong đúng quy trình, dù nội dung đã khác.

Đánh nhanh, rút gọn

Điều khiến nhiều người ngạc nhiên là không một biện pháp phòng vệ tấn công tin tặc nào của Mỹ, dù là tư nhân hay chính phủ, đã phát hiện sớm để ngăn chặn đợt tấn công lần này.

Ông Christopher Krebs, người từng phụ trách CISA dưới thời cựu Tổng thống Donald Trump, nói với NPR rằng hệ thống hiện tại của Bộ An ninh nội địa Mỹ chỉ phát hiện được các mối đe dọa đã biết, trong khi kỹ thuật được áp dụng trong vụ tấn công SolarWinds đơn giản là “quá mới”.

Cơ quan an ninh quốc gia và Bộ chỉ huy mạng của quân đội Mỹ cũng hoàn toàn bị bất ngờ. Thông thường, những cơ quan này theo dõi các hệ thống mạng nước ngoài để tìm kiếm dấu hiệu của một cuộc tấn công trước khi nó xảy ra, tương tự như cơ chế cảnh báo nếu hình ảnh vệ tinh cho thấy một lượng lớn khí tài tập trung sát biên giới.

Nhóm hacker đã “di chuyển như những bóng ma” và qua mặt các biện pháp cảnh giới này bằng cách thuê máy chủ đặt tại Mỹ - thông qua các nhà cung cấp phổ thông như AWS hay GoDaddy - để làm điểm trung chuyển rồi từ đó mới phát động cuộc tấn công nhằm xóa hoàn toàn dấu vết yếu tố nước ngoài.

“Đánh nhanh” là một chuyện, “rút gọn” lại là một nghệ thuật khác mà các chuyên viên điều tra Mỹ cũng phải ngả mũ thán phục trước những kẻ tấn công SolarWinds. Như thám tử tìm kiếm dấu vân tay để lại hiện trường nhằm xác định kẻ thủ ác, để xác định danh tính hacker đứng sau một vụ tấn công, các chuyên gia giám định Mỹ phải để mắt đến những “dấu chỉ văn hóa” cực nhỏ, ví dụ như ký tự nước ngoài hoặc lỗi chính tả còn sót lại trong những đoạn mã độc.

Nhóm của Meyers đã hi vọng đoạn mã sẽ có một vài chỗ viết bằng chữ không phải tiếng Latin để cung cấp manh mối cho các điều tra viên xác định ai là người viết ra những dòng code đó. Nhưng đoạn mã là một hiện trường sạch sẽ. “Họ đã xóa sạch toàn bộ dấu vết của con người và công cụ hỗ trợ. Thật đáng kinh ngạc là [các hacker] có khả năng che giấu mọi thứ mà một người bình thường đã có thể vô thức để lại làm manh mối” - Meyers nhận xét.

Những mục tiêu lớn hơn

Nhiều chuyên gia lo ngại đòn đánh vào SolarWinds chỉ là mưa rào so với một cơn bão dữ dội hơn sắp đổ bộ. Meyes cũng cho rằng nỗi lo nhất sau tất cả là đoạn mã của các hacker không chỉ được thiết kế dành riêng cho SolarWinds, mà có thể được tùy biến để tấn công bất kỳ sản phẩm phần mềm của công ty nào khác sử dụng cùng một trình biên dịch.

Trong vụ hack Ukraine năm 2017, tin tặc đã rải ransomware (mã độc đòi tiền chuộc) làm tê liệt hoạt động các công ty đa quốc gia và khóa vĩnh viễn hàng chục ngàn máy tính. Đây được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.

Trong vụ SolarWinds, các tin tặc đã có thời gian để gây thiệt hại còn nhiều hơn thế khi lang thang khắp các hệ thống mạng máy tính cơ yếu của Mỹ trong suốt 9 tháng mà không bị phát hiện. Thiệt hại hữu hình thì chưa ghi nhận, nhưng thứ không thấy mới đáng ngại hơn: liệu nhóm hacker này có thật sự chỉ đọc lén email và làm những việc mà gián điệp thường làm, hay liệu họ đã âm thầm cài cắm thứ gì đó có khả năng phá hoại khủng khiếp hơn để sử dụng trong tương lai?

Khi đã truy cập được vào hệ thống mạng của chính phủ, tin tặc có thể “phá hủy hay thay đổi dữ liệu và mạo danh người khác” - Tom Bossert, cố vấn an ninh nội địa dưới thời ông Trump, viết trên The New York Times.

Kevin Mandia - CEO Công ty an ninh mạng FireEye, đơn vị đầu tiên phát hiện và phát đi cảnh báo về vụ tấn công SolarWinds - cho rằng các dịch vụ công và y tế công cộng có thể nằm trong danh sách tiếp theo bị tấn công, nếu một đợt tấn công nữa xảy ra.

Alex Stamos, cựu giám đốc an ninh của Facebook, nhận xét rằng nghệ thuật lên kế hoạch và tấn công của các hacker trong vụ SolarWinds “chắc chắn sẽ thay đổi cách nghĩ của các doanh nghiệp lớn về phần mềm mà họ cài đặt cũng như cách họ xử lý các bản cập nhật”.

Meyers gọi chiến dịch tin tặc nhằm vào SolarWinds là “một hoạt động tình báo nhằm đánh cắp thông tin”, và cảnh báo đây sẽ không phải là lần cuối cùng một vụ tấn công như vậy xảy ra. “Nó sẽ là chuyện cơm bữa… Và tôi nghĩ tất cả chúng ta sẽ có nhiều việc phải làm để cùng nhau ngăn chặn một tương lai như vậy” - ông nói.■