Nga – NATO đối mặt xung đột trên không gian ảo
Không gian ảo nguy cơ trở thành mặt trận thứ hai trong xung đột giữa Nga và NATO, trong bối cảnh căng thẳng giữa Nga và NATO ngày càng dâng cao vì vấn đề Ucraine và những hoạt động can thiệp quân sự vào Syria.
Bloomberg cho biết, nhiều báo cáo gần đây qui kết hacker Nga đã tấn công hệ thống máy tính của đài truyền hình Pháp và Nhà Trắng, và chủ mưu nhiều vụ tấn công mạng khác, như Thị trường chứng khoán Ba Lan, Hạ viện Mỹ, tòa báo New York Times, và làm thiệt hại nghiêm trọng một nhà máy thép của Đức.
Các quan chức Mỹ tỏ ra lo ngại về việc chính phủ Nga đang nỗ lực khai thác lỗ hổng trong cơ sở hạ tầng của các tổ chức quan trọng như các sở giao dịch chứng khoán trên toàn cầu, lưới điện của nhiều nước, hay các sân bay để tạo sức ép với phương Tây, có thể dẫn đến một cuộc xung đột rộng lớn hơn, theo hãng tin Bloomberg dẫn nguồn từ hai người giấu tên biết rõ những cuộc tranh luận trong chính phủ Mỹ. Các quan chức của Tổ chức hiệp ước Bắc Đại Tây Dương (NATO) trong một cuộc họp đầu tháng 10 đã lên tiếng cảnh báo về hành động nhanh chóng can thiệp quân sự của Nga vào Syria, bao gồm cả việc bắn tên lửa hành trình, và tuyên bố sẽ tăng cường lực lượng khối này lớn nhất kể từ sau khi kết thúc thời kỳ chiến tranh lạnh.
Mong manh ranh giới của chiến tranh mạng
Hacker tấn công Sở giao dịch chứng khoán Warsaw (WSE) của Ba Lan hồi tháng 10 năm ngoái tự nhận họ là những chiến binh hồi giáo nổi giận trước sự ủng hộ của Ba Lan với chiến dịch ném bom Nhà nước Hồi giáo tự xưng IS. Tuy nhiên, phía sau bức màn bí ẩn là nhóm hacker có quan hệ mật thiết với chính phủ Nga, Bloomberg dẫn lời từ ba người thân cận cơ quan điều tra của Ba Lan cho biết. Đây được xem như là sự răn đe đối với một quốc gia là thành viên của NATO vốn đã phản ứng mạnh mẽ trước những động thái của Nga ở miền Đông Ucraine.
Những người làm việc trực tiếp cho chính phủ Nga hoặc với sự đồng ý của chính phủ nước này đang thử nghiệm ranh giới của một cuộc chiến tranh mạng, theo nhận định của cơ quan tình báo Mỹ.
Dmitry Peskov, phát ngôn viên của Điện Kremlin đã bác bỏ cáo buộc Nga đứng sau các vụ tấn công. “Đây là những cáo buộc hoàn toàn vô căn cứ, hết sức vô lý”, ông nói. “Chúng tôi cũng đã là mục tiêu của các cuộc tấn công, nó cho thấy ai cũng có thể dễ dàng là đối tượng cho các cuộc tấn công như vậy. Hợp tác quốc tế là cần thiết để vạch trần và đối phó với những hiểm họa này. Đáng tiếc là chúng tôi không hề thấy cách tiếp cận mang tính xây dựng về vấn đề này từ các đối tác của chúng tôi”.
Theo đánh giá của giám đốc tình báo quốc gia Mỹ James Clapper thì Nga là mối đe dọa lớn nhất của Mỹ trên không gian ảo, và dường như đang quyết tâm thúc đẩy học thuyết chống Mỹ, nước xem tấn công mạng là hành động chiến tranh. Cho đến nay, Mỹ vẫn chưa có những phản ứng công khai với những hành vi đáng ngờ.
Không gian ảo là một vũ đài hỗn độn cho sự giao chiến. Những tính toán sai lầm là chuyện bình thường, làm dấy lên mối lo ngại về điều có thể xảy ra với cơ sở hạ tầng thiết yếu. Và Nga là một trong vài nước mà các quan chức tình báo Mỹ cho rằng có khả năng ẩn mình trên không gian ảo, thậm chí qua mặt cả cơ quan an ninh quốc gia Mỹ (NSA).
Dù vậy, các quan chức Mỹ đang rà soát các cuộc tấn công mạng trong vòng 18 tháng qua để dựng nên bức tranh toàn cảnh từ những mảnh ghép riêng rẽ.
Đang có sự gia tăng báo động ở châu Âu. Đầu năm ngoái, hacker Nga đã làm hỏng nặng một lò luyện gang tại một nhà máy ở Đức của tập đoàn ThyssenKrupp AG, nhà sản xuất thép lớn nhất nước này, Bloomberg dẫn lời của bốn người biết về cuộc tấn công. Trong vụ này, malware đã được tìm thấy trong những máy tính trước đây gắn liền với những hoạt động tình báo của Nga, nhưng cơ quan tình báo Mỹ không kết nối vụ việc trực tiếp tới chính phủ Nga, Bloomberg dẫn lời một người biết rõ vấn đề này cho biết.
Kilian Roetzer, phát ngôn viên của ThyssenKrupp, phủ nhận về một cuộc tấn công như vậy. Trong khi đó, năm ngoái, chính phủ Đức tiết lộ một cuộc tấn công lò luyện đã xảy ra, tuy nhiên không đề cập cụ thể nạn nhân là công ty nào và ai là thủ phạm.
Cũng theo Bloomberg dẫn nguồn từ báo cáo của các hãng bảo mật, chính nhóm tấn công sở giao dịch chứng khoán Warsaw hồi tháng 10 năm ngoái đã làm tê liệt mạng của đài truyền hình lớn TV5Monde của Pháp vào các ngày 8 và 9 tháng 4 vừa qua, và việc phục hồi toàn bộ hệ thống theo ước tính tốn khoảng 15 triệu euro (tức khoảng 370 tỷ đồng).
Cảnh sát đứng gác bên ngoài tòa nhà TV5Monde sau cuộc tấn công mạng ở Paris hôm 9/4/2015. Nguồn: Bloomberg. |
Cơ sở hạ tầng thiết yếu bị hacker đe dọa
Các hacker Nga đã tăng cường giám sát các lưới điện và các mạng lưới cung cấp năng lượng ở Mỹ, châu Âu và Canada, một động thái khiêu khích các nước với sự đe dọa gây xáo trộn cơ sở hạ tầng thiết yếu cho hàng triệu người, Bloomberg trích dẫn nguồn tin từ hai người biết hoạt động đó.
Các quan chức Mỹ giấu tên đã giải thích đó như là lời cảnh báo. Theo các chuyên gia bảo mật của Mỹ thì điều quan ngại là hacker Nga đặc biệt có trình độ cao. Và nếu bị phát hiện thì có nghĩa là họ cố tình để lại dấu vết.
Giới chức Mỹ cũng nhận định Tổng thống Nga Vladimir Putin đang đổ tiền và đầu tư nhân lực cho lực lượng tấn công mạng của nước này kể từ khi ông trở lại làm tổng thống vào năm 2012. Trong một lần báo cáo trước một ủy ban quốc hội Mỹ hồi tháng 2, Clapper cho biết ông không thể đề cập chi tiết, nhưng hiểm họa tấn công mạng từ người Nga nghiêm trọng hơn những gì Mỹ đã đánh giá trước đây.
Phương Tây đã áp dụng các biện pháp trừng phạt kinh tế đối với Nga vì khủng hoảng Ukraine; về phía Nga thì huy động cả lực lượng an ninh mạng chính quy và không chính quy mà đang phụng sự và được sự hậu thuẫn của Moscow, theo Jason Lewis, một cựu chuyên gia hoạt động trên mạng của Bộ Quốc phòng Mỹ. Giới bảo mật Mỹ còn nhận định hacker Nga đang thành công nên sẽ vẫn tiếp tục những hoạt động của họ.
Các cuộc tấn công của hacker Nga vào các hệ thống email của Nhà Trắng và Bộ Ngoại giao Mỹ đã được tiết lộ hồi đầu năm nay, nhưng chúng chỉ chiếm một phần nhỏ trong toàn bộ hoạt động, theo các chuyên gia bảo mật cũng như sự thừa nhận của chính phủ Mỹ.
Nhóm tấn công Sở giao dịch chứng khoán Warsaw và mạng đài truyền hình của Pháp gần đây cũng đã xâm nhập hệ thống email của Hạ viện Mỹ, giúp Nga tiếp cận được thông tin trao đổi của các nhà lập pháp Mỹ, theo trích dẫn của Bloomberg từ một nguồn tin thân cận nắm rõ vụ việc. Dan Weiser, phát ngôn viên Hạ viện Mỹ đã từ chối bình luận, chỉ nói rằng chính sách chung của Mỹ là không bàn luận về các hệ thống an ninh thông tin.
Trong hai tháng 7 và 8 vừa qua, nhiều cơ quan chính phủ Mỹ đã bị tấn công dồn dập bởi hàng loạt email có chứa mã độc do hai nhóm hacker Nga gửi tới. Tom Kellermann, giám đốc an ninh mạng của Trend Micro cho biết, mục tiêu của đợt tấn công này là nhằm vào 2.000 quan chức cấp cao của Mỹ, trong đó có ít nhất một thành viên trong nội các của Tổng thống Barack Obama, cùng các tài khoản email cá nhân của vợ/chồng họ.
Không gian ảo nguy cơ trở thành mặt trận thứ hai trong xung đột giữa Nga và NATO. |
Bloomberg trích dẫn một nguồn tin thân cận biết rõ vụ việc, cho biết các cuộc tấn công đã bị phát hiện, nhưng điều đó không có nghĩa là không có những thiệt hại. Các nhà điều tra của NSA và Bộ An ninh Nội địa Mỹ (DHS) đã phải tốn nhiều công sức để ngăn chặn ảnh hưởng của các cuộc tấn công, đột nhập vào các máy chủ điều khiển các cuộc tấn công và “làm sạch” các mạng của chính phủ.
NSA và DHS từ chối bình luận về vụ việc, cũng không bình luận về khả năng tấn công mạng thuộc về Nga.
Hacker lão luyện
Tổng thống Putin đang có một số lợi thế đáng kể so với các đối thủ của mình trên không gian ảo. Nga là nơi tập trung nhiều chiến binh mạng thiện chiến nhất thế giới. Và chính phủ duy trì quan hệ mật thiết với nhiều người trong số đó, theo đánh giá của Cục điều tra liên bang (FBI) và Cục tình báo trung ương Mỹ (CIA).
Trend Micro cho biết nhóm hacker đã tấn công vào Sở giao dịch chứng khoán Warsaw – biệt danh APT 28 hay Fancy Bear, Pawn Storm theo cách gọi của các công ty bảo mật khác – rất có thể hình thành từ liên minh tạm thời của các tin tặc hàng đầu của Nga. Trong một số trường hợp họ có kỹ năng cao hơn hacker làm việc cho chính phủ Nga, và họ trở nên hăng hái hơn đằng sau các biến cố ở Ukraine để giúp chính phủ, Kellermann nói.
Các quan chức Sở giao dịch chứng khoán Warsaw cho biết thiệt hại không đáng kể, dữ liệu liên quan đến hệ thống giao dịch không bị nguy hại. Tuy nhiên, website của Sở buộc phải đóng cửa khoảng hai giờ, một nguồn tin cho biết, và những kẻ tấn công đã thu được thông tin về lộ trình nâng cấp công nghệ của Sở giao dịch này.
Cục An ninh nội địa (ISA) của Ba Lan từ chối bình luận, với lý do thông tin về vụ việc thuộc diện bí mật.
Một số chuyên gia của các công ty bảo mật cho rằng APT 28 có thể là một đơn vị đặc biệt của Cơ quan An ninh Liên bang Nga (FSB). Nhóm này có liên quan tới những vụ hack đối thủ trong nước của Tổng thống Putin, trong đó có nhóm nhạc rock Pussy Riot, và tham gia chống khủng bố vốn là nhiệm vụ của cơ quan tình báo Nga.
APT 28 đang sử dụng nhiều phần mềm tội phạm một cách bất thường. Một phân tích bảo mật của Google Inc. đối với một trong những công cụ của nhóm, mang tên X-Agent, mô tả nó như là một phiên bản cực kỳ tinh vi của một công cụ truy cập từ xa (RAT), sử dụng mã hóa và các kỹ thuật khác ngang ngửa với phần mềm hacking của Mỹ.
Bloomberg News có được một bản copy phân tích dài 41 trang của Google, cho thấy cách thức những người dùng X-Agent có thể trao đổi nhau một loạt module cho rất nhiều nhiệm vụ, kiểu như RAT thường được các đội tinh nhuệ của NSA sử dụng, theo một chuyên gia thành thạo phần mềm này.
Nhóm APT 28 còn đứng sau cuộc tấn công tòa báo New York Times hồi năm ngoái. Trong vụ này, hacker đã dùng tài khoản email cá nhân của một phóng viên an ninh quốc gia tại Washington để lừa hơn 50 nhân viên khác, Bloomberg dẫn lời từ hai người thân cận với cuộc điều tra.
Nhưng hacker không đột nhập được vào mạng chính của tòa báo, nguồn tin cho biết. Phát ngôn viên của báo đã từ chối bình luận về vụ việc.
Một nhóm hacker Nga khác đã tấn công Nhà Trắng và Bộ Ngoại giao Mỹ trong những vụ được tiết lộ cuối năm ngoái. Nhóm này mang tên APT 29, theo cách gọi của công ty bảo mật FireEye, hay TEMP.Monkeys, theo cách gọi của ISight Partners – một công ty chuyên cung cấp tin tức tình báo trên không gian ảo, có quan hệ chặt chẽ với chính quyền Mỹ.
“APT 29 dùng những kỹ thuật tinh vi nhất mà chúng tôi từng thấy”, theo Laura Galante, giám đốc phụ trách thông tin tình báo của FireEye, một công ty bảo mật được chính phủ Mỹ hậu thuẫn. Ông này cho rằng hacker Nga đặc biệt xuất chúng, trong đó nhiều nhóm còn được sự hậu thuẫn của nhà nước, căn cứ trên những dữ kiện thu thập được từ những hoạt động gia tăng gần đây, đặc biệt sau khi xảy ra khủng hoảng tại Ucraine.
Động cơ là gì
Các cơ quan tình báo Mỹ và châu Âu đã phải “vật lộn” trong những tháng gần đây để đánh giá những gì họ xem là hành vi hiếu chiến mới của Nga trên không gian ảo.
Các chuyên gia tình báo cho rằng rất có thể điện Kremlin đứng sau vụ hacker tấn công mạng đài truyền hình TV5Monde mà được dàn dựng như một hành động khủng bố của tổ chức Hồi giáo cực đoan IS. Cũng giống như những kẻ xâm nhập Sở giao dịch chứng khoán Warsaw, những kẻ tấn công đã để lại biểu tượng CyberCaliphate (Nhà nước Hồi giáo ảo) cùng dòng chữ “Je suIS IS” (Tôi là IS).
18 tháng qua, các “diễn viên” Nga đã gia tăng giám sát các lưới điện và các mạng đường ống trên khắp Bắc Mỹ và châu Âu, thu lượm thông tin về các hệ thống quan trọng mà có thể dùng để khởi phát các cuộc tấn công số có sức tàn phá, theo những cảnh báo của chính phủ Mỹ và các hãng bảo mật. Các phần mềm độc hại, như Havex, cũng được phát hiện trong hệ thống điều khiển lò cao luyện gang của Đức đã bị phá hoại, Bloomberg cho biết theo nguồn tin thân cận với cuộc điều tra về vụ nhà máy thép của Đức bị tấn công.
Hacker để lại thông điệp sau khi hack website TV5Monde của Pháp. |
Phá hoại vật lý
Vụ tấn công nhà máy sản xuất thép là một trường hợp hiếm hoi mà máy tính được sử dụng để phá hoại về mặt vật lý, mang thông điệp chính trị mạnh mẽ cho chính phủ Đức.
Hacker đã xâm nhập và cấy được malware vào một máy tính điều khiển lò, khiến thiết bị bị quá nhiệt và tan chảy, Bloomberg cho biết theo nguồn tin từ ba người biết sự việc và thân cận với Văn phòng an ninh thông tin liên bang Đức (BSI). Những người này tiết lộ cuộc tấn công xảy ra vào tháng 11/2014 không liên quan đến Nga. BSI báo cáo đã xảy ra “thiệt hại lớn”.
Các chuyên gia bảo mật ban đầu suy đoán thiệt hại có thể là do sự cố, bởi các hacker cố gắng thu thập dữ liệu về cách thức nhà máy hoạt động, nhưng nhiều dấu hiệu nổi lên cho thấy đây là trường hợp cố tình phá hoại.
Khoảng thời gian cuối năm 2013, hay đầu 2014, các hacker bắt đầu thâm nhập vào hệ thống máy tính văn phòng của nhà máy thép bằng cách lừa nhân viên ở đây bằng những email xiên cá (spear-phishing) và những thủ thuật phi kỹ thuật (social-engineering), theo một chuyên gia của công ty bảo mật theo dõi vụ tấn công. Sau đó, hacker tạo ra một đường hầm thông qua một kết nối mạng đáng tin cậy dẫn tới nhà máy. Cuối cùng, các hacker can thiệp vào hệ thống điều khiển kỹ thuật số cho các lò cao, làm sai lệch hệ thống cảm biến nhiệt và các động cơ kiểm soát luồng khí gas. Chúng đã vô hiệu hóa từ xa khả năng tắt lò. Toàn bộ quá trình này mất vài tuần.
Những dấu vết số để lại trong hệ thống lập tức trỏ tới Nga, nhưng tự nó không thuyết phục được chính phủ Mỹ, Bloomberg trích dẫn nguồn tin thân cận giải thích về phân tích và đánh giá của tình báo Mỹ.
Cuộc tấn công TV5Monde diễn ra hơn một năm sau đó cho thấy những sự cố như vậy sẽ tiếp diễn trừ khi Mỹ và các nước đồng minh có biện pháp ứng phó hiệu quả, John Hultquist, trưởng bộ phận thông tin tình báo về mối đe dọa trên không gian ảo tại iSight Partners cho biết. Ông cho rằng hacker dường như đang tích cực và ít thận trọng hơn với nhiều hoạt động chứ không chỉ riêng thu thập tin tức tình báo.
PC WORLD VN, 11/2015