Một vụ tấn công mạng, nửa nước Mỹ “hết xăng”

Sáng thứ sáu 7-5, Colonial Pipeline - công ty tư nhân quản lý hệ thống đường ống dài 8.850km, mỗi ngày vận chuyển 2,5 triệu thùng xăng và nhiều loại nhiên liệu khác kết nối vùng công nghiệp lọc dầu chủ lực của Mỹ, Gulf Coast (tức khu vực duyên hải ven vịnh Mexico) với gần như toàn bộ vùng bờ Đông đông đúc dân cư - đột ngột thông báo ngừng hoạt động trên toàn hệ thống. 

Lý do, theo thông báo chính thức của công ty, là họ bị tấn công mã độc tống tiền (ransomware) nên buộc phải ngừng hoạt động toàn hệ thống để đề phòng rủi ro.

Phải đặt quy mô của Colonial Pipeline và hệ thống đường ống hãng này vận hành vào bối cảnh thì mới hiểu tính chất nghiêm trọng của vụ tấn công. 

Xây dựng từ năm 1962, hệ thống đường ống này được trang Oil Price gọi là “huyết mạch của bờ Đông”, là mạng lưới vận chuyển sản phẩm xăng dầu cuối cùng lớn nhất nước Mỹ, nối dài suốt từ Pasadena, Texas tới Linden, New Jersey và ra tận cảng New York. 

Hơn thế nữa, đường ống còn vận chuyển xăng máy bay phục vụ những sân bay lớn nhất nước, gồm sân bay đông đúc nhất thế giới Hartsfield Jackson ở Atlanta.

Tình trạng khẩn cấp

“Người ta chỉ có thể tiếp cận tĩnh mạch chủ của cơ sở hạ tầng Hoa Kỳ gần tới thế là cùng” - Reuters dẫn lời giáo sư Amy Myers Jaffe, giám đốc điều hành Tổ chức nghiên cứu Climate Policy Lab, ví von. “Đây không chỉ là một đường ống lớn. Ở Mỹ chỉ có duy nhất một hệ thống ống như thế”.

Dù Colonial Pipeline là một công ty tư nhân, vụ tấn công nhắm vào họ rõ ràng đã nêu bật tính rủi ro của các hệ thống hạ tầng lớn đang được số hóa ngày càng triệt để, nhất là với một nước như Hoa Kỳ, nơi xe hơi, máy móc cơ giới, hệ thống vận tải... - và do đó là xăng dầu - đã trở thành không khác gì oxy để hít thở.

Vụ Colonial Pipeline nhanh chóng trở thành vấn đề an ninh quốc gia. Cục Điều tra liên bang (FBI) và Bộ Năng lượng đã vào cuộc. Tổng thống Joe Biden được báo cáo về sự cố ngay sáng thứ bảy, ngày 8-5, theo lời một người phát ngôn Nhà Trắng, và chính phủ đang hỗ trợ Colonial phục hồi hoạt động. 

Sang chủ nhật, ngày 9-5, Washington thậm chí phải ban bố tình trạng khẩn cấp, dỡ bỏ một số quy định về cấm vận chuyển xăng dầu liên tiểu bang bằng đường bộ để đề phòng những hỗn loạn có thể xảy ra do thiếu xăng dầu. 

Thị trường đã phản ứng tức thì với tin tức - giá xăng bắt đầu ngóc lên, nhất là trong bối cảnh kinh tế Mỹ đang tăng trưởng mạnh và mùa hè cũng là mùa dân chúng đi lại nhiều nhất.

Hiệp hội Xe hơi Hoa Kỳ nói nếu việc gián đoạn cung ứng kéo dài, giá xăng có thể tăng mạnh ở các cây xăng bán lẻ. Ngay sau khi tin tức loan đi vào thứ sáu, giá xăng mua trước ở thị trường hàng hóa thương phẩm New York đã tăng 0,6%, trong khi giá dầu diesel mua trước tăng 1,1%, đều cao hơn mức tăng của dầu thô. 

Ngược lại, giá xăng dầu mua ngay ở vùng Gulf Coast giảm do lo ngại mặt hàng này sẽ bị tồn đọng ở đây thay vì được chuyển đến các thị trường miền bắc.

Một vụ tống tiền táo tợn

“Táo tợn” thật ra vẫn còn là nói giảm nói tránh với vụ tấn công tin tặc này.

Những hệ thống đường ống siêu hạng như Colonial Pipeline đang ngày càng phụ thuộc vào các công nghệ tự động hóa, số hóa, và Internet hóa để theo dõi lưu lượng, áp lực, kiểm soát các gói hàng, lẫn bảo trì, bảo dưỡng... 

Đi kèm tất yếu là nguy cơ tấn công mạng. “Đây chắc chắn không phải là trò đùa của mấy nhóc học cấp III. Đây là một cuộc tấn công hết sức tinh vi, có chủ đích, vào một cơ sở hạ tầng tối quan trọng”, Financial Times dẫn lời Robert Campbell, giám đốc nghiên cứu sản phẩm dầu mỏ ở Hãng tư vấn Energy Aspects.

Nhiều nguồn khác nhau nói vụ tấn công này là do một nhóm tội phạm mạng tên gọi DarkSide tiến hành. Theo đó, những tay tin tặc xâm nhập vào mạng lưới của Colonial hôm thứ năm tuần trước, ngày 6-5, và giữ gần 100 GB dữ liệu “làm con tin”. 

Sau khi thu được các dữ liệu này, nhóm tin tặc khóa nó trong một số máy tính và máy chủ, rồi đòi một khoản tiền chuộc; nếu Colonial không trả, dữ liệu bị đe dọa sẽ được tung lên Internet.

The New York Times nói Colonial từ chối cho biết họ có định trả khoản tiền chuộc được yêu cầu hay không, “điều thường cho thấy một công ty đang cân nhắc sẽ trả tiền, hoặc thực ra là đã trả rồi”. 

Tức có khả năng cao là vụ tống tiền đã thành công. Trang công nghệ Wired dẫn một nghiên cứu của Công ty an ninh mạng Cyberseason nói Darkside đã tống tiền thành công khoảng 40 nạn nhân là các tổ chức khác nhau và đòi những khoản tiền chuộc từ 200.000 tới 2 triệu đôla.

Theo diễn giải của nhiều trang công nghệ, vụ việc chẳng khác gì một vụ đòi tiền bảo kê trong những phim hình sự, chỉ có điều giờ đây mọi chuyện diễn ra trên mạng. 

DarkSide thậm chí không phải là nhóm tin tặc khét tiếng nhất trong ngón nghề, nhưng vụ việc “đánh dấu sự xuất hiện của cả một hệ sinh thái tội phạm mạng tuy lặng lẽ nhưng giá trị tới hàng chục triệu đôla, điều chưa từng thấy ở ngành công nghiệp an ninh mạng từ trước tới giờ”, theo BBC.

Lỗi tại... COVID

James Chappell, đồng sáng lập và giám đốc sáng tạo của Hãng an ninh mạng Digital Shadows, tin rằng vụ tấn công Colonial Pipeline có thể diễn ra một phần là do COVID-19 khiến nhiều kỹ sư đang làm việc ở nhà hoặc từ xa, trong khi vẫn tiếp cận được hệ thống kiểm soát đường ống. 

 

Theo Chappell, kịch bản khả dĩ nhất là DarkSide đã mua được chi tiết tài khoản đăng nhập liên quan đến các phần mềm điều khiển máy tính từ xa như TeamViewer và Microsoft Remote Desktop.

Bất kỳ ai cũng có thể tìm các cổng đăng nhập cho máy tính có kết nối với Internet này trên các công cụ tìm kiếm như Shodan, rồi các tay tin tặc sau đó sẽ thử đi thử lại tên đăng nhập và mật khẩu cho tới khi nào được thì thôi. “Ngày càng có nhiều nạn nhân, và đây giờ đã là một vấn đề lớn và nghiêm trọng”, Chappell nói.

Wired gọi vụ tấn công là “cấp độ cực đoan mới với mã độc tống tiền”. Vụ Colonial Pipeline cho tới nay là vụ “ảnh hưởng lớn nhất lên hệ thống năng lượng Mỹ trong lịch sử”, theo lời Rob Lee, CEO của công ty an ninh chuyên về các hệ thống hạ tầng thiết yếu Dragos. 

Ngoài tác động tài chính, với giá xăng dầu, việc cung ứng nhiên liệu... như đã nói, Lee còn chỉ ra khoảng 40% sản lượng điện ở Mỹ năm 2020 sản xuất bằng đốt khí tự nhiên, đồng nghĩa những vụ tấn công đường ống kiểu này cũng sẽ là mối đe dọa với mạng lưới điện dân dụng.

Các hoạt động mã độc tống tiền đang có xu hướng nhắm ngày càng nhiều vào những hãng tư nhân. Hydro Norsk (hãng năng lượng tái tạo và nhôm Na Uy), Hexion và Momentive (hai công ty hóa chất Mỹ), và một công ty vận hành đường ống khí đốt không được nêu tên khác của Mỹ đều từng bị tấn công kiểu này vào năm 2019, theo Wired.

Trong các cuộc tấn công kiểu này, tin tặc có thể tiếp cận hệ thống công nghệ thông tin và/hoặc hệ thống “công nghệ điều hành” của mục tiêu. 

Trong trường hợp Colonial, chưa rõ tin tặc có thực sự can thiệp được vào hệ thống tới mức cho phép họ kiểm soát hay thay đổi tình trạng thực tế của các đường ống hay chưa. 

Nhưng chỉ tiếp cận được mạng lưới công nghệ thông tin thôi cũng đã đủ để khiến công ty phải tạm ngưng vận hành rồi, theo chuyên gia Joe Slowik ở Hãng an ninh Gigamon. 

“Hãng vận hành đã làm điều đúng trong trường hợp này”, Slowik nói với Wired. “Một khi ta không còn chắc chắn về việc kiểm soát được đầy đủ hoạt động, thì cần phải đóng cửa”. Nói cách khác, cũng giống như khi ta phát hiện mình làm mất thẻ ngân hàng, việc trước tiên là phải báo ngân hàng khóa thẻ. ■