Đằng sau vụ tấn công mạng chấn động nước Mỹ

Vào Ngày bầu cử (3/11/2020), Tướng Paul M. Nakasone (Giám đốc Cơ quan An ninh Quốc gia Mỹ), chiến binh mạng hàng đầu của nước này, báo cáo rằng cuộc chiến chống lại sự can thiệp vào chiến dịch tranh cử Tổng thống đạt được những thành công lớn và tiết lộ những vũ khí, công cụ trực tuyến của bên kia.

"Chúng tôi đã mở rộng hoạt động của mình và cảm thấy rất tốt với tình trạng hiện tại", ông nói với các nhà báo.

Tuy nhiên, 8 tuần sau, ông Nakasone và các quan chức Mỹ khác chịu trách nhiệm về an ninh mạng phải khổ sở vì vụ việc họ không phát hiện trong ít nhất 9 tháng: Vụ hack (tấn công mạng) được cho là đã ảnh hưởng đến ít nhất 250 cơ quan và doanh nghiệp liên bang (mà Mỹ cho là Nga có liên quan), không nhắm vào hệ thống bầu cử nhưng là chính phủ và nhiều tập đoàn lớn của Mỹ.

Ba tuần sau khi vụ xâm nhập được đưa ra ánh sáng, các quan chức Mỹ vẫn cố gắng tìm hiểu xem liệu những gì hung thủ làm được có đơn giản chỉ là hoạt động gián điệp bên trong bộ máy hành chính Mỹ, hay là cái gì đó nguy hiểm hơn, như cài cắm quyền truy cập "cửa sau" vào các cơ quan chính phủ, các tập đoàn lớn, lưới điện, các phòng thí nghiệm phát triển các thế hệ vũ khí hạt nhân mới.

Ở mức tối thiểu, đây là sự cảnh báo về việc các mạng chính phủ và khu vực tư nhân ở Mỹ dễ bị tấn công như thế nào. Phi vụ cũng đặt ra câu hỏi về lý do tại sao các hoạt động phòng thủ mạng ở Mỹ thất bại.

Vụ tấn công nguy hiểm

Những câu hỏi càng trở nên cấp thiết khi vụ xâm phạm lại không phải do bất kỳ cơ quan chính phủ nào có chung trách nhiệm về an ninh mạng của Mỹ phát hiện ra, dù là Bộ Tư lệnh Không gian mạng của quân đội hay Cơ quan An ninh Quốc gia, mà là một công ty an ninh mạng tư nhân, FireEye.

Thượng nghị sĩ Mark Warner, đảng viên đảng Dân chủ của Virginia và là thành viên cấp cao của Ủy ban Tình báo Thượng viện cho biết: “Vụ này tồi tệ hơn nhiều so với những gì tôi lo ngại. Quy mô của nó không ngừng mở rộng và rõ ràng là chính phủ Mỹ đã không phát hiện được. Nếu không phải là FireEye lên tiếng thì tôi không chắc bây giờ chúng tôi sẽ nhận thức đầy đủ về nó”.

Theo New York Times, các cuộc phỏng vấn với những người chủ chốt đang điều tra vụ việc tiết lộ một số điểm.

Thứ nhất, vụ xâm nhập có phạm vi rộng hơn nhiều so với những gì mọi người nhìn thấy ban đầu. Ước tính sơ bộ là các hacker chỉ thăm dò vài chục trong số 18.000 mạng của chính phủ và cơ quan tư nhân Mỹ, bằng cách chèn mã vào phần mềm quản lý mạng do một công ty ở Texas có tên SolarWinds sản xuất. Nhưng khi các doanh nghiệp như Amazon và Microsoft tìm hiểu sâu hơn để tìm bằng chứng, dường như hung thủ đã khai thác nhiều lớp của hệ thống sử dụng phần mềm để có quyền truy cập vào 250 mạng.

Thứ hai, các tin tặc quản lý và thực hiện việc xâm nhập từ các máy chủ bên trong chính nước Mỹ, khai thác việc pháp luật cấm Cơ quan An ninh Quốc gia tham gia hoạt động giám sát nội địa và trốn tránh các chương trình phòng thủ mạng do Bộ An ninh Nội địa triển khai.

Thứ ba, các cảm biến "cảnh báo sớm" do Bộ Chỉ huy Mạng và Cơ quan An ninh Quốc gia đặt sâu bên trong các mạng nước ngoài để phát hiện các cuộc tấn công rõ ràng đã thất bại. Cũng không có dấu hiệu nào cho thấy Mỹ có thông tin tình báo con người về vụ hack.

Bên cạnh đó, việc chính phủ nhấn mạnh vào việc phải bảo vệ cuộc bầu cử, mặc dù rất quan trọng vào năm 2020, có thể đã chuyển hướng nguồn lực và sự chú ý khỏi các vấn đề an ninh sẵn có như bảo vệ "chuỗi cung ứng" phần mềm.

SolarWinds, công ty mà các tin tặc sử dụng làm đầu mối cho các cuộc tấn công, có lịch sử bảo mật sản phẩm kém, theo các nhân viên và các nhà điều tra chính phủ. Giám đốc điều hành công ty này là Kevin B. Thompson không trả lời câu hỏi có phải đáng nhẽ ra công ty của ông nên phát hiện vụ xâm nhập hay không.

Ý định đằng sau cuộc tấn công vẫn bị che đậy. Nhưng một số nhà phân tích cho rằng người Nga có thể đang cố gắng làm lung lay lòng tin của Washington đối với an ninh thông tin liên lạc và chứng minh khả năng vũ khí mạng trước khi đàm phán vũ khí hạt nhân.

Không biết mất gì

Chính phủ Mỹ rõ ràng là trọng tâm cuộc tấn công. Bộ Tài chính, Bộ Ngoại giao, Bộ Thương mại, Bộ Năng lượng và các bộ phận của Lầu Năm Góc nằm trong số các cơ quan được xác nhận là đã bị xâm nhập. (Bộ Quốc phòng khẳng định các cuộc tấn công vào hệ thống của họ không thành công, mặc dù không đưa ra bằng chứng cụ thể.)

Tuy nhiên, vụ hack cũng xâm phạm số lượng lớn các tập đoàn, nhiều công ty có thể còn chưa lên tiếng. Microsoft, công ty thống kê được 40 nạn nhân tính đến ngày 17/12/2020, ban đầu nói không hề bị xâm phạm. Đánh giá của Amazon cho thấy số lượng nạn nhân có thể còn lớn hơn gấp 5 lần, mặc dù các quan chức cảnh báo một số trong số đó có thể bị tính trùng lặp.

Theo New York Times, về mặt công khai, các quan chức nói họ không tin tình báo Nga có thể xuyên qua hệ thống chứa thông tin nhạy cảm. Nhưng riêng tư, các quan chức nói vẫn chưa có bức tranh rõ ràng về những gì có thể đã bị đánh cắp.

Họ lo lắng về những dữ liệu nhạy cảm nhưng chưa được phân loại mà tin tặc có thể đã lấy từ các nạn nhân như Ủy ban Điều tiết Năng lượng Liên bang, các bản thiết kế kỹ thuật chi tiết về cách Mỹ khôi phục năng lượng trong trường hợp thảm họa.

Có các kế hoạch này trong tay, hacker có thể có một danh sách các hệ thống cần nhắm vào để ngăn nguồn điện không được khôi phục trong một cuộc tấn công, giống như vụ tấn công xảy ra ở Ukraine vào năm 2015, khiến nước này mất điện suốt 6 tiếng giữa mùa đông.

Cả chuỗi cung ứng bị xâm phạm

Trọng tâm chính của cuộc điều tra cho đến nay là SolarWinds, công ty có trụ sở tại Austin, có bản cập nhật phần mềm bị tin tặc xâm phạm.

Nhưng chi nhánh an ninh mạng của Bộ An ninh Nội địa kết luận rằng các tin tặc còn hoạt động thông qua các kênh khác. CrowdStrike, một công ty bảo mật khác, tiết lộ bị cùng một tin tặc nhắm mục tiêu không thành công, thông qua công ty bán lại phần mềm của Microsoft.

Vì người bán lại thường được ủy thác thiết lập phần mềm khách hàng, như SolarWinds - họ có quyền truy cập rộng rãi vào mạng của khách hàng Microsoft. Do đó, chúng có thể là một "con ngựa thành Troy" lý tưởng cho các tin tặc. Các quan chức tình báo tức giận vì Microsoft không phát hiện ra vụ tấn công sớm hơn.

Glenn Chisholm, người sáng lập Obsidian Security, cho biết: “Họ nhắm vào những điểm yếu nhất trong chuỗi cung ứng và thông qua những mối quan hệ đáng tin cậy nhất của chúng tôi".

Các cuộc phỏng vấn với các nhân viên SolarWinds cho thấy việc ưu tiên bảo mật được thực hiện khá chậm chạp, ngay cả khi phần mềm này được công ty an ninh mạng hàng đầu của Mỹ và các cơ quan liên bang áp dụng.

Các nhân viên nói rằng dưới thời giám đốc Thompson, từng là giám đốc tài chính, mọi bộ phận của doanh nghiệp đều được xem xét tiết kiệm chi phí và các biện pháp bảo mật thông thường bị loại bỏ vì chi phí. Cách tiếp cận của ông giúp tăng gần gấp ba tỷ suất lợi nhuận hàng năm của SolarWinds lên hơn 453 triệu USD vào năm 2019, từ mức 152 triệu USD vào năm 2010.

Nhưng điều này có thể khiến công ty và khách hàng của họ có nguy cơ bị tấn công cao hơn. SolarWinds cũng chuyển phần lớn kỹ thuật của mình sang các văn phòng vệ tinh ở Cộng hòa Czech, Ba Lan và Belarus, nơi các kỹ sư có quyền truy cập rộng rãi vào phần mềm quản lý mạng.

Công ty chỉ nói rằng phần mềm của họ bị thao túng là do con người chứ không phải một chương trình máy tính. Họ không giải quyết công khai khả năng có người trong cuộc có liên quan đến vụ vi phạm.

Ngay cả khi phần mềm được cài đặt trên khắp các mạng liên bang, các nhân viên cho biết SolarWinds chỉ giải quyết vấn đề bảo mật trong năm 2017, dưới sự đe dọa hình phạt từ luật bảo mật mới của châu Âu. Sau đó, SolarWinds mới thuê giám đốc thông tin đầu tiên và lập ra vị trí phó chủ tịch về “kiến trúc bảo mật”.

Ian Thornton-Trump, cựu cố vấn an ninh mạng tại SolarWinds, cho biết đã cảnh báo ban lãnh đạo rằng trừ khi họ có cách tiếp cận chủ động hơn đối với an ninh nội bộ, tình trạng an ninh mạng ở đây sẽ là “thảm họa”. Sau khi các khuyến nghị bị phớt lờ, Thornton-Trump rời công ty.

SolarWinds tuyên bố là "nạn nhân của một cuộc tấn công mạng có mục tiêu, phức tạp và rất tinh vi" và đang hợp tác chặt chẽ với cơ quan thực thi pháp luật, cơ quan tình báo và chuyên gia bảo mật để điều tra.

Nhưng các chuyên gia bảo mật lưu ý rằng phải mất vài ngày sau khi cuộc tấn công được phát hiện trước khi các trang web của SolarWinds ngừng cung cấp mã bị xâm phạm cho khách hàng.

Tấn công hơn phòng thủ

Hàng tỷ USD ngân sách an ninh mạng trong những năm gần đây đã chảy vào các chương trình hành động tấn công gián điệp và tấn công phủ đầu của Mỹ, điều mà Tướng Nakasone gọi là sự cần thiết phải “phòng thủ về phía trước” - xâm nhập vào mạng của kẻ thù để sớm phát hiện hoạt động của họ và chống lại họ, trước khi họ tấn công.

Nhưng cách tiếp cận đó đã bỏ lỡ vụ tấn công lần này.

Theo FireEye, bằng cách tấn công từ các máy chủ bên trong Mỹ, một số sử dụng máy tính ở cùng thị trấn hoặc thành phố với nạn nhân, hacker đã lợi dụng các giới hạn đối với thẩm quyền của Cơ quan An ninh Quốc gia. Họ không có quyền xâm nhập hoặc bảo vệ các mạng lưới khu vực tư nhân. Cũng chính trên các mạng này, các hacker đã có thể ít cẩn thận hơn, để lại manh mối về các cuộc xâm nhập mà cuối cùng FireEye tìm ra.

Bằng cách thâm nhập vào bản cập nhật của SolarWinds, hacker tránh vấp phải cảnh báo của hệ thống phát hiện “Einstein” mà cơ quan an ninh nội địa triển khai trên khắp các cơ quan chính phủ để quét phần mềm độc hại, và cả chương trình C.D.M., nhằm cảnh báo các cơ quan về hoạt động đáng ngờ.

Một số quan chức tình báo phải đặt ra câu hỏi liệu chính phủ có tập trung vào can thiệp bầu cử đến mức đang tạo ra những sơ hở ở nơi khác hay không.

Phát ngôn viên của Cơ quan An ninh Quốc gia, Charles K. Stadtlander, cho biết: “Chúng tôi không coi đây là một sự đánh đổi. Các hành động, thông tin chi tiết và khuôn khổ mới được xây dựng đảm bảo an ninh bầu cử có tác động tích cực rộng rãi đối với thế trận an ninh mạng của quốc gia và chính phủ Mỹ".