Những Thảm họa Bảo mật Mạng Lớn Nhất của Năm 2017 Cho Tới Nay

Sáu tháng đầu tiên của năm 2017 đã chứng kiến một số lượng lớn sự cố bảo mật mạng. Và chúng không chỉ là những vụ đột nhập doanh nghiệp thông thường. Chỉ mới là tháng 7, và đã có ransomware được tài trợ bởi nhà nước, rò rỉ công cụ gián điệp từ các cơ quan tình báo Mỹ, và tấn công hacking quy mô lớn. Và đó chỉ là phần đầu.

Hãy để bản tóm tắt về những sự kiện an ninh mạng lớn nhất của năm 2017 cho đến nay làm bản nhắc nhở về việc mọi thứ đã trở nên hỗn loạn đến mức nào – và năm vẫn chỉ mới đi được một nửa đường.

Nhóm hack bí ẩn được biết đến với cái tên Bóng Ma xuất hiện lần đầu vào tháng 8 năm 2016, tuyên bố đã đột nhập vào các công cụ gián điệp của nhóm hoạt động cao cấp liên kết với NSA, được biết đến với tên Equation Group. Bóng Ma cung cấp mẫu dữ liệu NSA được cho là bị đánh cắp và cố gắng bán một nguồn lợi lớn hơn, tiếp theo là rò rỉ vào Halloween và Black Friday năm 2016.

Tháng Tư năm nay, nhóm đã phát hành một bản rò rỉ ảnh hưởng nhất của họ cho đến nay. Đó bao gồm một kho công cụ NSA được cho là đặc biệt quan trọng, bao gồm một lỗ hổng Windows được biết đến là EternalBlue, mà hacker sau đó đã sử dụng để xâm nhiễm mục tiêu trong hai vụ tấn công ransomware nổi tiếng (xem dưới đây).

Vẫn chưa xác định được danh tính của Bóng Ma, nhưng những vụ rò rỉ của nhóm đã làm lại cuộc tranh luận về nguy cơ sử dụng lỗ hổng trong sản phẩm thương mại để thu thập thông tin tình báo. Các cơ quan giữ những lỗ hổng này cho chính họ, thay vì thông báo cho công ty sản xuất phần mềm để nhà cung cấp có thể vá những lỗ hổng và bảo vệ khách hàng của mình. Nếu những công cụ này rơi vào tay công cộng, chúng có thể đe dọa hàng tỷ người dùng phần mềm.

Vào ngày 12 tháng 5, một dạng ransomware mang tên WannaCry lan rộng trên toàn thế giới, tấn công hàng trăm nghìn mục tiêu, bao gồm cả các cơ quan dịch vụ công cộng và các tập đoàn lớn. Đáng chú ý, ransomware tạm thời làm tê liệt bệnh viện và cơ sở y tế của Dịch vụ Y tế Quốc gia tại Vương quốc Anh, làm chậm trễ các phòng cấp cứu, trì hoãn các thủ tục y tế quan trọng và tạo ra hỗn loạn cho nhiều bệnh nhân Anh Quốc.

Mặc dù mạnh mẽ, ransomware cũng có nhược điểm lớn, bao gồm một cơ chế mà các chuyên gia an ninh hiệu quả sử dụng như một công tắc giết chết để làm cho phần mềm độc hại không hoạt động và ngăn chặn sự lan truyền của nó. Các quan chức Mỹ sau đó kết luận với "sự tự tin vừa phải" rằng ransomware là một dự án của chính phủ Triều Tiên đã đi lệch hướng và dự kiến ​​được thực hiện để tăng doanh thu trong khi gây ra hỗn loạn. Tổng cộng, WannaCry kiếm được gần 52 bitcoins, khoảng 130.000 đô la—không nhiều đối với một loại ransomware virut này.

Sự lan rộng của WannaCry đến phần nào nhờ một trong những lỗ hổng Windows đã bị rò rỉ của Bóng Ma, EternalBlue. Microsoft đã phát hành bản vá MS17-010 cho lỗ hổng này vào tháng 3, nhưng nhiều tổ chức chưa áp dụng và vì vậy là dễ bị nhiễm WannaCry.

Petya/NotPetya/Nyetya/Goldeneye

Khoảng một tháng sau WannaCry, một làn sóng mới của các cuộc tấn công ransomware sử dụng một phần lợi dụng các lỗ hổng Windows từ Bóng Ma đã đánh vào mục tiêu trên toàn thế giới. Phần mềm độc hại này, có tên là Petya, NotPetya và một số tên khác, phức tạp hơn WannaCry ở nhiều cách, nhưng vẫn có một số nhược điểm, như một hệ thống thanh toán không hiệu quả và không hiệu quả.

Mặc dù nó đã xâm nhiễm các mạng ở nhiều quốc gia—như công ty dược phẩm Merck của Mỹ, công ty vận chuyển Đan Mạch Maersk và tập đoàn dầu mỏ Nga Rosnoft—nhà nghiên cứu nghi ngờ rằng ransomware thực sự đang che đậy một cuộc tấn công mục tiêu cyber chống lại Ukraine. Ransomware đã tấn công cơ sở hạ tầng của Ukraine một cách đặc biệt mạnh mẽ, làm gián đoạn các tiện ích như công ty điện, sân bay, giao thông công cộng và ngân hàng trung ương, chỉ là một trong loạt cuộc tấn công mạng chống lại đất nước này.

Ngày 7 tháng 3, WikiLeaks công bố một kho dữ liệu chứa 8,761 tài liệu được cho là bị đánh cắp từ CIA chứa đựng tài liệu mô tả chi tiết về các hoạt động gián điệp và công cụ hacking được cho là của họ. Những phát hiện bao gồm lỗ hổng iOS và Android, lỗi trong Windows và khả năng biến một số TV thông minh thành thiết bị nghe lén.

Wikileaks gọi dump này là "Vault 7," và tổ chức đã theo sau bản phát hành ban đầu với những tiết lộ nhỏ, thường xuyên hơn. Những phát hiện này đã mô tả các công cụ cụ thể để sử dụng tín hiệu Wi-Fi để theo dõi vị trí thiết bị, và theo dõi Mac một cách liên tục bằng cách kiểm soát lớp mã cơ bản điều phối phần cứng và phần mềm.

WikiLeaks tuyên bố rằng Vault 7 tiết lộ "hầu hết [công cụ hack của CIA] bao gồm malware, virus, trojans, 'zero day' exploits được vũ trang, hệ thống điều khiển malware từ xa và tài liệu liên quan." Tuy nhiên, không rõ tỷ lệ thực sự của bộ công cụ CIA mà các tiết lộ đó đại diện. Giả sử các công cụ là hợp lệ, các chuyên gia đồng thuận rằng những rò rỉ này có thể gây ra vấn đề lớn cho CIA, cả về cách mà công ty này được công bố và về khả năng hoạt động của nó. Và giống như các bản phát hành của Shadow Brokers, Vault 7 đã dẫn đến cuộc tranh luận sôi nổi về các vấn đề và rủi ro có chẳng là gì trong việc phát triển công cụ gián điệp số của chính phủ.

Tháng Hai, công ty cơ sở hạ tầng internet Cloudflare công bố rằng một lỗ hổng trong nền tảng của nó đã gây rò rỉ ngẫu nhiên dữ liệu của khách hàng có thể nhạy cảm. Cloudflare cung cấp dịch vụ hiệu suất và bảo mật cho khoảng sáu triệu trang web của khách hàng (bao gồm các đối tác nặng ký như Fitbit và OKCupid), vì vậy mặc dù các rò rỉ xảy ra không thường xuyên và chỉ liên quan đến một số nhỏ đoạn của dữ liệu, chúng đến từ một nguồn thông tin lớn.

Nhà nghiên cứu lỗ hổng Google, Tavis Ormandy, phát hiện vấn đề vào ngày 17 tháng 2, và Cloudflare sửa lỗi trong vài giờ, nhưng dòng dữ liệu rò rỉ có thể đã bắt đầu từ ngày 22 tháng 9, 2016. Dữ liệu rò rỉ chỉ được đặt trên một số nhỏ các trang web của khách hàng Cloudflare, và thường không xuất hiện trên các trang chính. Tuy nhiên, các công cụ tìm kiếm như Google và Bing quét web tự động đã lưu trữ dữ liệu lạ lẫm này—tất cả từ những dòng vô nghĩa đến mật khẩu tài khoản Uber của người dùng và thậm chí là một số chìa khóa mật mã nội bộ của Cloudflare—làm cho tất cả đều dễ dàng tiếp cận thông qua tìm kiếm.

Cloudflare đã hợp tác với các công cụ tìm kiếm trước và sau khi công bố để loại bỏ dữ liệu rò rỉ khỏi bộ nhớ cache, và các chuyên gia lưu ý rằng khả năng cao là hacker không sử dụng dữ liệu một cách ác ý; các rò rỉ ngẫu nhiên sẽ khó để vũ trang hoặc thương mại hóa một cách hiệu quả. Nhưng mọi dữ liệu nhạy cảm nằm ngoài sẽ tạo ra rủi ro. Sự cố cũng quan trọng như một lời nhắc về việc bao nhiêu phụ thuộc vào cơ sở hạ tầng internet lớn và dịch vụ tối ưu hóa như Cloudflare. Việc sử dụng một trong những dịch vụ này làm cho các trang web trở nên mạnh mẽ và an toàn hơn nhiều so với trung bình nếu chủ sở hữu cố gắng xây dựng các phòng thủ một mình. Tuy nhiên, sự đánh đổi là một điểm thất bại duy nhất. Một lỗi hoặc cuộc tấn công gây hại đối với một công ty như Cloudflare có thể ảnh hưởng và có thể đe dọa một phần quan trọng của web.

Thật không may, không hiếm nghe nói về việc một kho dữ liệu cử tri bị xâm phạm hoặc tiết lộ ở bất cứ nơi nào trên thế giới. Nhưng vào ngày 19 tháng 6, nhà nghiên cứu Chris Vickery công bố một phát hiện có thể khiến ngay cả chuyên gia an ninh tinh tế nhất cũng phải dừng lại. Anh ta đã phát hiện một cơ sở dữ liệu có thể truy cập công khai chứa thông tin cá nhân của 198 triệu cử tri Mỹ—có thể là mọi cử tri Mỹ trong hơn 10 năm qua.

Công ty dữ liệu bảo thủ Deep Root Analytics đặt cơ sở dữ liệu trên một máy chủ Amazon S3. Tuy nhiên, nhóm đã cấu hình sai nó, sao cho một số dữ liệu trên máy chủ được bảo vệ, nhưng hơn một terabyte thông tin cử tri có thể truy cập công khai bởi bất kỳ ai trên web. Sự cấu hình sai không phải là một cuộc tấn công độc hại, nhưng đây là một rủi ro an ninh mạng quan trọng và quá phổ biến đối với cả tổ chức và cá nhân. Trong trường hợp này, Deep Root Analytics cho biết dù dữ liệu cử tri đã bị tiết lộ công khai, nhưng không ai ngoại trừ Vickery truy cập—nhưng luôn có khả năng ai đó khác cũng phát hiện ra nó. Và mặc dù nhiều thông tin cử tri đã sẵn có (tên, địa chỉ, v.v.), Deep Root Analytics chuyên biệt trong việc tổng hợp dữ liệu tiết lộ, nên có thể truy cập được nhiều thông tin đã được tổng hợp trước này sẽ là một lợi ích đối với một tội phạm mạng.

Hai ngày trước cuộc bầu cử Tổng thống Pháp vào tháng 5, hacker đổ một lượng lớn email bị rò rỉ từ đảng của ứng cử viên nghiêng về bên trái (nay là Tổng thống Pháp) Emmanuel Macron. Cuộc rò rỉ dường như được tổ chức để tạo điều kiện cho Macron ít thời gian và khả năng phản ứng, vì ứng cử viên tổng thống Pháp bị cấm nói trước công chúng từ hai ngày trước cuộc bầu cử. Nhưng chiến dịch của Macron đã phát đi các tuyên bố xác nhận rằng đảng En Marche! đã bị xâm phạm, trong khi cũng cảnh báo rằng không mọi thứ trong bộ dữ liệu rò rỉ đều hợp lệ.

Cuộc tấn công ít chiến lược và mãnh liệt hơn so với những cuộc phát hành email DNC đã bị lấy cắp làm hại chiến dịch tổng thống của Hillary Clinton ở Hoa Kỳ, nhưng Macron cũng có lợi thế khi quan sát điều gì đã xảy ra ở Hoa Kỳ và chuẩn bị cho các cuộc tấn công tiềm ẩn. Các nhà nghiên cứu đã tìm thấy bằng chứng rằng nhóm hacker liên kết với chính phủ Nga, Fancy Bear, đã cố gắng tấn công chiến dịch của Macron vào tháng 3.

Sau rò rỉ email trước cuộc bầu cử, chiến dịch của Macron nói trong một tuyên bố: "Can thiệp vào giờ cuối của một chiến dịch chính thức, cuộc tấn công này rõ ràng nhằm mục đích làm lung lay chế độ dân chủ, như đã thấy trong chiến dịch tổng thống Mỹ cuối cùng. Chúng tôi không thể chấp nhận rằng lợi ích quan trọng của chế độ dân chủ bị đe dọa như vậy."