FBI Làm Sai Lầm Trong Cảnh Báo Vụ Hack DNC Năm 2016—Nhưng Nói Rằng Lần Sau Sẽ Không Mắc Sai Lầm Nữa

Ngày 28 tháng 4, 2016, một nhân viên kỹ thuật IT của Đảng Dân chủ quốc gia tên là Yared Tamene đã phát hiện một điều gì đó đáng sợ: một nhóm hacker Nga nổi tiếng với tên gọi Fancy Bear đã xâm nhập vào máy chủ DNC "nằm ở trung tâm của mạng," như anh ấy sau này sẽ nói với Ủy ban Tình báo Đặc biệt của Thượng viện Hoa Kỳ. Đến thời điểm này, những kẻ xâm nhập đã có khả năng xóa, thay đổi hoặc lấy cắp dữ liệu từ mạng một cách tự do. Và somehow, vụ việc này đã đến như một sự bất ngờ khủng khiếp—mặc dù một FBI agent đã cảnh báo Tamene về khả năng bị hacker Nga thông qua một loạt cuộc gọi điện thoại đã bắt đầu cách đây đầy 9 tháng.

Những cảnh báo của FBI agent "chưa bao giờ sử dụng ngôn ngữ đáng báo động," Tamene sẽ nói với Ủy ban Thượng viện, và chưa bao giờ đạt đến cao hơn ông Giám đốc Công nghệ thông tin của DNC, người sau một cuộc tìm kiếm cẩu thả trên mạng để kiểm tra có dấu hiệu của trò chơi bẩn hay không. Sự hiểu lầm này sẽ dẫn đến sự thành công của cuộc tấn công hack và rò rỉ thông tin do chính Kremlin tài trợ, điều này cuối cùng đã đóng góp vào việc đắc cử Donald Trump.

Bốn năm sau đó, FBI và cộng đồng các chuyên gia an ninh phản ứng sự cố thường làm việc với các đội ngũ của FBI nói rằng FBI đã thay đổi đáng kể cách họ truyền thông với những nạn nhân bị hack—nhằm tránh một thảm họa giống như vụ hỏng hóc cảnh báo của DNC. Trong cuộc phỏng vấn với MYTOUR, các quan chức FBI không bao giờ công khai thừa nhận về sự cố trong trường hợp cảnh báo hỏng của DNC. Nhưng họ và đồng nghiệp trong tư nhân của họ vẫn mô tả về một cơ quan đã đổi mới quy trình để cảnh báo nhanh hơn đối với các mục tiêu bị hack, và ở mức cao hơn trong tổ chức bị mục tiêu—đặc biệt là trong những trường hợp có thể liên quan đến cuộc bầu cử sắp tới hoặc đại dịch ransomware làm mất hàng triệu đô la của các công ty trên toàn cầu.

Tháng 12 năm ngoái, ví dụ, FBI công bố một chính sách chính thức mới là thông báo ngay lập tức cho các quan chức chính phủ bang khi cơ quan xác định một mối đe dọa đối với cơ sở hạ tầng bầu cử mà họ kiểm soát. Nhưng những cải tiến không chỉ giới hạn ở việc cảnh báo cho các quan chức bang, theo Mike Herrington, trưởng ban Công nghệ thông tin của FBI. "Tôi thấy một sự thay đổi chính trong thực hành và tầm quan trọng, khiến cho các đặc vụ chủ chốt của chúng tôi hứng thú để đạt được sự hợp tác đầy đủ của những nạn nhân tiềm năng," Herrington nói, người cho biết anh ấy đã cá nhân thông báo cho hàng chục nạn nhân của các vụ tấn công hack suốt sự nghiệp của mình.

Những "đặc vụ chủ chốt" này cao cấp hơn so với những đặc vụ thường lập thông báo cho nạn nhân trong quá khứ, chú ý Steven Kelly, trưởng ban Chính sách Cyber của FBI. Kelly nói rằng những đặc vụ chủ chốt đó cũng đã được chỉ đạo để hướng cảnh báo của họ cao hơn trong tổ chức của nạn nhân. "Chúng tôi muốn họ liên lạc với cấp quản lý cấp cao, với các điều hành cấp cao," Kelly nói. "Để đảm bảo rằng họ nhận thức về những gì đang diễn ra và họ đang áp dụng đủ năng lượng để giải quyết vấn đề sao cho những vấn đề này không bị phớt lờ hoặc bị chôn vùi."

Cảnh báo Đầu Tiên

Khác với gần như mọi tội phạm khác mà FBI phải đối mặt, FBI thường ở trong tình thế lạ lẫm là người đầu tiên thông báo cho một cá nhân hoặc tổ chức rằng họ là nạn nhân của một cuộc tấn công mạng. Thường xuyên, các cảnh báo này dựa trên bằng chứng được rút ra từ các chiến dịch hack đang diễn ra—đôi khi từ các cơ quan tình báo hoặc thậm chí là chính phủ nước ngoài—như một máy chủ điều khiển và kiểm soát chung qua các cuộc xâm nhập khác nhau. "Đó thường là một sự kiện rất quan trọng trong sự nghiệp hoặc cuộc sống của người đó khi FBI gọi điện thoại và nói rằng chúng tôi tin rằng bạn có thể là nạn nhân của một tội phạm," Herrington nói.

Trong thập kỷ qua, vai trò của FBI như một người truyền đạt đã thay đổi, khi các tổ chức trở nên thành thạo hơn trong việc phát hiện xâm nhập của chính mình. Trong vài năm qua, khoảng một nửa các xâm nhập của hacker được phát hiện bởi các nạn nhân chính họ, theo báo cáo M-Trends về phản ứng vụ nạn lọc dữ liệu được công bố bởi công ty phản ứng vụ nạn Mandiant. Điều này là một sự thay đổi đáng kể so với năm 2011, khi 94% việc xâm nhập đầu tiên được phát hiện bởi một tổ chức bên ngoài, thường là cơ quan thực thi pháp luật.

Tuy nhiên, sự tăng trưởng về số lượng sự cố hack ngày càng gia tăng có nghĩa là FBI thông báo cho nhiều nạn nhân hơn so với quá khứ, theo Jake Williams, một hacker cũ của NSA và người sáng lập của công ty tư vấn an ninh Rendition Infosec, thường xuyên hoạt động như một công ty phản ứng vụ nạn cho nạn nhân của hack. Williams nói rằng trong vài năm qua, anh ấy đã thấy số lượng cuộc gọi mà công ty của mình nhận từ nạn nhân của hack được thông báo lần đầu tiên bởi FBI tăng gấp đôi hoặc gấp ba lần. Thông báo vẫn thường chỉ cung cấp thông tin cơ bản nhất về vụ việc—như quan sát của FBI rằng một máy tính trên mạng của nạn nhân kết nối đến một máy chủ có hại đã biết đến—và người nạn nhân được kỳ vọng gọi điều tra viên phản ứng vụ nạn của mình để đẩy hacker ra khỏi, với rất ít sự hỗ trợ từ FBI chính mình.

Nhưng Williams cũng nói rằng anh ấy đã thấy cơ quan này thông báo cho nạn nhân sớm hơn sau khi đặc vụ của nó phát hiện ra một xâm nhập; trong quá khứ, FBI đôi khi chỉ cảnh báo nạn nhân rằng họ đã là nạn nhân của một xâm nhập, thường là sau một thời gian dài. "Chúng tôi đang nhận được nhiều thông tin hơn ở mặt trước," Williams nói. "Trước đây thường là, 'chúng tôi không thể nói cho bạn biết chính xác khi nào và chúng tôi không biết liệu nó còn đang diễn ra hay không, nhưng bạn nên biết.'"

Theo một số đánh giá, ít nhất là khả năng xảy ra thất bại giao tiếp gây cho phép hacker Nga hoạt động tự do trong mạng của DNC hiện ít khả năng xảy ra hôm nay. Một quan chức của DNC cho biết tổ chức này đã có cuộc họp đều đặn với các đặc vụ FBI kể từ năm 2016; nếu xảy ra một vụ cố gắng khác, hai tổ chức sẽ đã có mối quan hệ giữa các quan chức cấp cao ở cả hai bên. "Cơ bản là chúng tôi đã giải quyết vấn đề này và có các kênh truyền thông rõ ràng, tốt đẹp," quan chức của DNC viết trong một email.

Dmitri Alperovitch, người từng là Giám đốc Công nghệ của Crowdstrike, đơn vị xử lý phản ứng vụ nạn cho sự xâm nhập vào DNC năm 2016 và nhiều vụ tấn công khác do nhà nước tài trợ, đồng tình rằng các phương thức của FBI đã thay đổi—cụ thể là đang chú ý hơn để liên lạc với các quan chức cấp cao hoặc các quan chức sẽ nghiêm túc với các cảnh báo của nó. Alperovitch lưu ý rằng FBI thực tế đã cảnh báo DNC trong vòng vài ngày sau khi hacker Nga xâm nhập vào mạng của nó. Vấn đề, ông nói, là các đặc vụ đang xử lý vụ án đã định rằng chỉ cần cảnh báo một nhân viên cấp thấp là đủ. "Họ nên đã liên lạc với người ở cấp cao hơn," Alperovitch viết trong một tin nhắn gửi MYTOUR. "Tôi thấy họ đã tiếp cận cao hơn trong chuỗi này, vì vậy, có vẻ tốt hơn."

Giữ Cho Chuộc

Bỏ qua bầu cử, đại dịch ransomware đang tấn công các công ty ở Hoa Kỳ cũng đã buộc FBI phải cải thiện và tăng tốc cảnh báo đối với nạn nhân của hack. Đối với một số trường hợp đó, ông đặc vụ Tyson Fowler nói rằng FBI đã phát triển một quy trình cảnh báo dẫn độ "khẩn cấp" được gọi là để điều này bỏ qua các cuộc tham chiếu nội bộ thông thường của cơ quan và ngay lập tức thông báo cho một đặc vụ chuyên trách về an ninh mạng tại một văn phòng chi nhánh, người có thể cảnh báo nạn nhân, hy vọng là trước khi hacker thực hiện cuộc tấn công ransomware của họ. "Chúng tôi đang nỗ lực thông báo cho nạn nhân càng sớm càng tốt và bỏ qua tất cả những bước đó," Fowler nói.

Trong một trường hợp vào tháng 2, ví dụ, Fowler nói rằng anh ấy biết được về một xâm nhập tập trung vào ransomware vào mạng của một công ty đa quốc gia có trụ sở tại Georgia và, vào cuối ngày, đã liên lạc được với Giám đốc điều hành của công ty để cảnh báo về cuộc tấn công sắp tới. Công ty đã tắt một phần của mạng, làm gián đoạn quyền truy cập của hacker vào phần mềm độc hại của họ, Fowler nói. "Bạn có thể có một sự kiện có thể dẫn đến tuyệt chủng cho công ty, và chúng tôi đã có thể tránh được tác động về mặt tài chính và mặt riêng tư chỉ bằng cách phản ứng nhanh chóng," Kevvie Fowler, một người phản ứng sự cố với Deloitte mà công ty đã thuê để giúp giải quyết vụ xâm nhập, nói.

Dù có sự tăng cường mới mẻ trong việc thông báo cho nạn nhân nhưng không đảm bảo rằng các hacker sẽ không vượt qua những người bảo vệ bất kỳ cách nào. Trên thực tế, họ có thể đang học cách hoạt động nhanh hơn bên trong các mạng nạn nhân khi tốc độ phản ứng ngày càng nhanh chóng. Nhưng ít nhất là trong những trường hợp FBI có thông tin về một sự xâm nhập đang diễn ra, thời kỳ tự do mà họ tận hưởng trước khi bị săn lùng bởi người phản ứng mạng có thể không còn kéo dài trong vài tháng, như trong vụ hack DNC, mà chỉ trong vài ngày hoặc giờ.

Những điều tuyệt vời khác từ MYTOUR

• 📩 Muốn biết tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi!
• Tuần lễ minh bạch cực đại tại một hội thảo kinh doanh Trung Quốc
• Bên trong cuộc đua để vẽ bản đồ gen của ong giết người
• 9 ứng dụng tăng cường bảo mật và quyền riêng tư cho điện thoại của bạn
• Làm thế nào hai hacker trắng mũ đã bị bắt sau khi đột nhập vào tòa án
• Mẹo để giữ mát mẻ mà không cần máy điều hòa không khí
• 🎧 Âm thanh có vẻ không đúng? Kiểm tra tai nghe không dây, thanh âm và loa Bluetooth yêu thích của chúng tôi