Hơn một thập kỉ qua, tấn công mạng không còn là một cụm từ xa lạ, mà trở thành một thực trạng trong cuộc sống của hàng tỉ người trên thế giới. Mọi người thường bị mất quyền kiểm soát dữ liệu của mình, bị giám sát bởi các chính quyền hà khắc, bị đánh cắp danh tính, có một số đối tượng nguy hiểm ẩn nấp trong tài khoản Netflix của mình, phải đối mặt với việc chính phủ phong toả kết nối internet, hay lần đầu tiên bị mắc kẹt giữa một cuộc chiến tranh phá hoại.

Trong nhiều thập kỷ, một khi thế giới hoàn toàn chuyển sang sử dụng máy tính, thì các hiểm hoạ số sẽ liên tiếp xuất hiện. Tuy nhiên, các vụ tấn công mạng, bao gồm các vụ gian lận, thị trường chợ đen và các thế lực được chính phủ chống lưng, đều bắt nguồn từ con người. Dưới đây là các vụ tấn công mạng và vi phạm dữ liệu trong thập kỷ qua được liệt kê theo thứ tự thời gian.

Stuxnet

Stuxnet là phần mềm độc hại đầu tiên gây ra thiệt hại hữu hình cho các thiết bị máy tính. Loại virut này được chính phủ Hoa Kỳ và Israel tạo ra. Nó được sử dụng vào năm 2010, với mục đích tiêu diệt máy ly tâm trong một cơ sở hạt nhân của Iran. Stuxnet trước tiên khai thác bốn lỗ hổng zero day, xâm nhập vào hệ thống Microsoft Windows để tìm kiếm Siemens Step7 – một phần mềm kiểm soát các thiết bị công nghiệp trên mạng. Sau đó, Stuxnet phong toả các bộ điều khiển logic có chức năng tự động hóa các quy trình sản xuất công nghiệp. Mặc dù gây ra thiệt hại đáng kể cho chương trình hạt nhân của Iran, nhưng Stuxnet vẫn được sử dụng trong các môi trường công nghiệp khác.

Shamoon

Shamoon là một “công cụ quét” Windows. Nó có thể giúp tin tặc lập chỉ mục và tải lên các tệp trong máy tính và sau đó xóa sạch dữ liệu và phá hủy “bản ghi khởi động chủ” (master boot record) của máy tính mục tiêu, một khu vực cơ bản đầu tiên của ổ cứng máy tính. Shamoon có thể lan truyền khắp hệ thống mạng, và được biết đến rộng rãi khi phá huỷ 30.000 máy tính trong một cuộc tấn công vào tập đoàn dầu mỏ Saudi Aramco của Ả Rập Xê Út vào tháng 8/2012. Vài ngày sau, Shamoon cũng tấn công công ty dầu mỏ RasGas của Qatar.

Shamoon được phát triển bởi các tin tặc được chính phủ Iran hậu thuẫn, được mô phỏng từ các công cụ tấn công mạng của Cơ quan An ninh Quốc gia Hoa Kì, bao gồm Stuxnet và các công cụ gián điệp Flame và Duqu. Một phiên bản cải tiến của Shamoon đã xuất hiện trở lại trong một loạt các cuộc tấn công năm 2017 và 2018. Loại virut này được biết đến là một trong những phần mềm độc hại được sử dụng trong các cuộc tấn công quy mô quốc gia, nhằm phá hủy dữ liệu và làm tê liệt thiết bị.

Tấn công mạng vào Sony

Vào ngày 24/11/2014, một bộ xương màu đỏ xuất hiện trên một loạt các màn hình máy tính ở Mỹ của hãng Sony Pictures Entertainment. Tin tặc tự xưng là “Những người bảo vệ hòa bình” đã xâm nhập vào hệ thống mạng công ty và tuyên bố đã đánh cắp 100 terabyte dữ liệu. Sau đó, chúng mang bán hàng trăm gigabyte, bao gồm cả các bộ phim mà Sony chưa phát hành, email chung và email nội bộ, chi tiết các khoản bồi thường cho diễn viên, cũng như thông tin cá nhân của nhân viên, như lương, đánh giá hiệu suất làm việc, dữ liệu y tế nhạy cảm và mã số An sinh xã hội. Những tin tặc này còn tàn phá các hệ thống của Sony, chúng không chỉ đánh cắp dữ liệu mà còn sử dụng phần mềm độc hại để xóa các tập tin và cấu hình. Vì thế, Sony đã phải xây dựng lại từ đầu phần lớn cơ sở hạ tầng kỹ thuật số của mình. Vụ tấn cộng cuối cùng được tiết lộ là hành động của chính phủ Bắc Triều Tiên, để trả đũa cho việc phát hành The Interview, một bộ phim hài về vụ ám sát Chủ tịch Kim Jong-un.

Vi phạm dữ liệu quản lý nhân sự

Một trong những vi phạm dữ liệu đặc biệt và nguy hiểm nhất trong thập kỷ này là vụ việc một văn phòng bị rò rỉ dữ liệu quản lý nhân sự. Đây thực tế là một loạt các vi phạm và các vụ lây nhiễm do Trung Quốc thực hiện trong năm 2013 và 2014. OPM là bộ phận nhân sự và hành chính của nhân viên chính phủ Hoa Kỳ. Đây là nơi lưu trữ một lượng lớn dữ liệu đặc biệt quan trọng, bởi vì nó quản lý các thông tin bảo mật, tiến hành kiểm tra lý lịch và lưu giữ hồ sơ về mọi nhân viên liên bang trong quá khứ và hiện tại. Đó là một kho báu vô giá đối với các tin tặc muốn tìm kiếm các thông tin mật về chính phủ Liên bang Hoa Kỳ.

Các tin tặc đã bắt tay với chính phủ Trung Quốc xâm nhập vào mạng OPM hai lần. Lần đầu tiên, chúng đánh cắp các bản thiết kế kỹ thuật cho hệ thống mạng vào năm 2013. Sau đó, chúng thực hiện một cuộc tấn công mạng khác, giành quyền kiểm soát máy chủ quản trị hệ thống và xác thực tất cả các thông tin đăng nhập khác ở máy chủ. Tuy nhiên, vào năm 2015, trước khi OPM kịp nhận ra vấn đề và bắt đầu loại bỏ kẻ xâm nhập, tin tặc đã kịp đánh cắp hàng chục triệu hồ sơ chi tiết về đời sống riêng tư của nhân viên liên bang, bao gồm 21,5 triệu mã số An sinh xã hội và 5,6 triệu hồ sơ vân tay. Trong một vài trường hợp, nạn nhân không phải là nhân viên Liên bang, mà chỉ có quan hệ nhất định với các nhân viên trong chính phủ từng trải qua kiểm tra lý lịch, bao gồm tất cả các loại thông tin cực kỳ cụ thể, như các mối quan hệ gia đình, bạn bè, cộng sự và con cái.

Dữ liệu OPM bị ăn cắp chưa từng được phát tán trên mạng hay xuất hiện trên chợ đen, có thể do tin tặc đánh cắp thông tin vì mục đích thu thập tin tức tình báo, thay vì mục đích phạm tội. Các báo cáo chỉ ra rằng những gián điệp Trung Quốc có thể đã sử dụng các thông tin đó để bổ sung cho cơ sở dữ liệu về công dân và hoạt động của chính phủ Hoa Kỳ.

Sự cố mất điện tại Ukraina

Hai thời điểm then chốt của thập kỷ diễn ra vào tháng 12 năm 2015 và 2016 khi Nga, trong một cuộc xung đột với Ukraina, đã chủ đích thực hiện hai cuộc tấn công số vào lưới điện quốc gia, gây ra hai sự cố mất điện tại Ukraine. Cả hai cuộc tấn công đều được thực hiện bởi nhóm tin tặc do chính phủ Nga hậu thuẫn – Sandworm, một nhóm tin tặc với các chiến dịch tấn công khét tiếng. Trong sự cố mất điện đầu tiên, tin tặc sử dụng một bộ phần mềm độc hại, bao gồm một mã độc mang tên BlackEnergy, cho phép đánh cắp thông tin đăng nhập và quyền truy cập để tắt các bộ ngắt mạch. Cuộc tấn công thứ hai nhắm đến một trạm truyền phát duy nhất với một phần mềm độc hại nguy hiểm, đó là Crash Override hay Industroyer. Trong cuộc tấn công này, tin tặc có thể trực tiếp thao túng hệ thống kiểm soát các luồng năng lượng, thay vì sử dụng các giải pháp thay thế thông minh như trong cuộc tấn công đầu tiên. Mục đích của cuộc tấn công thứ hai là nhằm phá hủy các thiết bị hữu hình và nếu diễn ra như dự định, nó sẽ gây ra thiệt hại lâu dài. Tuy nhiên, do một lỗi kỹ thuật mà sự cố mất điện lần này chỉ kéo dài khoảng một giờ.

Mặc dù sự cố mất điện do tin tặc gây ra là cơn ác mộng trong nhiều thập kỷ, nhưng Sandworm là nhóm hacker đầu tiên thực sự thực hiện các cuộc tấn công hệ thống điện trong thế giới thực. Bên canh đó, Nga cũng chứng tỏ rằng nước này không chỉ chiến đấu trong cuộc xung đột với Ukraine, mà còn trong một cuộc chiến tranh mạng toàn diện.

Shadow Brokers

Một nhóm hacker tự xưng là Shadow Brokers xuất hiện lần đầu tiên vào tháng 8/2016. Nhóm này đã tung ra một công cụ gián điệp, mà theo chúng tuyên bố là đánh cắp từ Equation Group – một nhóm hacker gián điệp quốc tế chuyên nghiệp thuộc Cơ quan An ninh Quốc gia Mỹ (NSA). Vào tháng 4/2017, Shadow Brokers cũng phát tán một kho công cụ đồ sộ khác của NSA, bao gồm công cụ khai thác Microsoft Windows – “EternalBlue”.

Công cụ này tận dụng lỗ hổng trong giao thức chia sẻ tệp Server Message Block của Microsoft, có mặt trong hầu hết tất cả các hệ điều hành Windows tại thời điểm đó. Theo yêu cầu của NSA, Microsoft đã phát hành một bản vá lỗ hổng này chỉ vài tuần trước khi Shadow Broker công khai EternalBlue. Tuy nhiên, người dùng Windows, bao gồm cả các tổ chức lớn, đã không kịp cập nhật bản vá này. Điều này đã mở ra cơ hội cho các vụ hack liên quan đến Eternal Blue trên toàn thế giới.

Một ví dụ điển hình là mã độc ransomware WannaCry, đã sử dụng EternalBlue để càn quét cả thế giới vào ngày 12/5/2017. Một nhóm tin tặc được Bắc Triều Tiên hậu thuẫn đã tạo ra chủng ransomware này nhằm kiếm tiền và gây hỗn loạn trên thế giới. Mã độc này tấn công các tiện ích công cộng và các tập đoàn lớn, đặc biệt là tại châu Âu và Vương quốc Anh. Chẳng hạn như, WannaCry quấy rối các bệnh viện và cơ sở thuộc Dịch vụ y tế quốc gia (NHS) tại Anh, gây ảnh hưởng lớn đến các hoạt động tại phòng cấp cứu, thủ tục y tế và chăm sóc bệnh nhân.

Các nhà nghiên cứu nghi ngờ WannaCry chỉ là một sản phẩm thử nghiệm vô tình thoát ra khỏi phòng thí nghiệm, một phần mềm độc hại mà tin tặc Bắc Triều Tiên mất kiểm soát trong quá trình phát triển chúng. Điều này là do ransomware có những lỗi thiết kế lớn, một trong số đó là cơ chế hoạt động chuyên biệt, cho phép các chuyên gia bảo mật có thể sử dụng như một công tắc tiêu diệt, ngăn chặn sự lây lan của WannaCry từ bên trong. Các ransomware chỉ tạo ra khoảng 52 bitcoin cho Bắc Triều Tiên, trị giá gần 100.000 đô la vào thời điểm đó và khoảng 369.000 đô la hiện tại.

Vụ rò rỉ Eternal Blue và khai thác hàng loạt sau đó đã gây ra tranh cãi về việc liệu các cơ quan tình báo và quân đội Mỹ có nên thu thập thông tin về các lỗ hổng phần mềm lớn hay không, và cách khai thác để chúng có thể phục vụ cho gián điệp và tấn công mạng. Đội ngũ tình báo hiện đang sử dụng một khung gọi là “Quy trình xử lý các lỗ hổng bảo mật” (Vulnerability Equities Process – VEP) để đánh giá những lỗi nào đủ lớn và quan trọng đối với an ninh quốc gia và đưa ra quyết định giữ bí mật và không vá lại. Tuy nhiên, có ý kiến cho rằng cơ chế giám sát đó còn yếu kém bởi hồ sơ theo dõi bảo mật các công cụ này của chính phủ Hoa Kỳ còn sơ sài, và còn đó những mối đe dọa về một sự cố khác giống như WannaCry sẽ xảy ra.

Chiến dịch bầu cử tổng thống Mỹ 2016 bị hack

Tin tặc Nga đã không dành thập kỷ này để khủng bố mỗi Ukraine. Chúng cũng đưa ra một loạt các chiến dịch gây rò rỉ dữ liệu và phát tán thông tin đánh lạc hướng dư luận nhằm chống lại Hoa Kỳ trong chiến dịch bầu cử tổng thống năm 2016. Hai nhóm tin tặc người Nga có tên APT 28 (hay Fancy Bear) và APT 29 (hay còn gọi là Cozy Bear) đã thực hiện ồ ạt các chiến dịch đánh lạc hướng dư luận trên mạng xã hội, sử dụng mánh khoé lừa đảo qua email đối với Ủy ban quốc gia đảng Dân chủ, công khai thư từ rò rỉ của Ủy ban này, và xâm nhập vào tài khoản email của John Podesta – người đứng đầu chiến dịch tranh cử của bà Hillary Clinton. Các gián điệp Nga đã phát tán các dữ liệu chúng đánh cắp thông qua nền tảng ẩn danh WikiLeaks, gây ra tranh cãi lớn ngay thời điểm các cử tri Mỹ đang cân nhắc bỏ phiếu cho ngày bầu cử. Tin tặc Nga sau đó cũng đã can thiệp vào cuộc bầu cử tổng thống Pháp năm 2017.

NotPetya

Vào ngày 27/6/2017, một đợt ransomware làm cả thế giới chao đảo. Nhưng NotPetya không phải là một cuộc tấn công bằng ransomware. Nó là một phần mềm độc hại, được xây dựng với mục đích phá hoại. Nó có thể khóa máy tính, phá hủy hệ thống mạng và gây ra tình trạng hỗn loạn. NotPetya được phát triển bởi nhóm hacker người Nga – Sandworm, được cho là để nhắm vào Ukraine. Thiệt hại ở riêng Ukraine đã là rất lớn, nhưng phần mềm này lại cực kì độc hại và lan rộng ra khắp thế giới, tấn công các công ty đa quốc gia, bao gồm cả ở Nga. Chính phủ Hoa Kỳ ước tính rằng NotPetya đã gây thiệt hại ít nhất là 10 tỷ đô la, làm gián đoạn hoạt động của các công ty dược phẩm, vận chuyển, công ty điện lực, sân bay, các hãng vận chuyển công cộng và thậm chí cả dịch vụ y tế ở Ukraine và trên thế giới. Đây quả thực là cuộc tấn công mạng tốn kém nhất từ ​​trước đến nay.

NotPetya được gọi là một cuộc tấn công chuỗi cung ứng. Tin tặc đã gieo mầm cho phần mềm độc hại này ra thế giới, do thỏa hiệp với các bản cập nhật hệ thống của phần mềm kế toán phổ biến ở Ukraina – MeDoc. Khi người dùng MeDoc chạy bản cập nhật phần mềm, họ cũng vô tình tải xuống NotPetya. Ngoài nguy cơ thiệt hại nghiêm trọng trong chiến tranh mạng, NotPetya còn cảnh báo hiểm hoạ từ các cuộc tấn công chuỗi cung ứng, đặc biệt là trong phần mềm.

Equifax

Mặc dù xuất hiện tương đối muộn trong thập kỷ qua, nhưng vụ vi phạm dữ liệu của công ty giám sát tín dụng Equifax năm 2017 là vụ việc nghiêm trọng nhất trong tất cả các vụ vi phạm dữ liệu công ty, cả về quy mô và mức độ nghiêm trọng, và bởi vì Equifax còn lúng túng trong khâu xử lý vấn đề. Sự cố này đã làm lộ thông tin cá nhân của 147,9 triệu người, các dữ liệu bao gồm ngày sinh, địa chỉ, mã số bằng lái xe của một số tài xế, khoảng 209.000 mã số thẻ tín dụng và mã số An sinh xã hội. Điều đó có nghĩa là gần một nửa dân số Hoa Kỳ có khả năng bị lộ các thông tin bí mật và quan trọng về danh tính của mình.

Equifax tiết lộ về vụ vi phạm vào đầu tháng 9/2017, và sau đó, một loạt các sự kiện không may đã nổ ra. Trang web thông tin mà công ty thiết lập cho các nạn nhân rất dễ bị tấn công. Công ty đã yêu cầu người dùng tiết lộ sáu số cuối trong mã số An sinh xã hội của mình để kiểm tra xem dữ liệu của họ có bị ảnh hưởng bởi vụ vi phạm hay không. Có nghĩa là Equifax đã yêu cầu người Mỹ tin tưởng trao ra dữ liệu của mình một lần nữa sau vụ bê bối. Equifax cũng thay đổi trang phản hồi vi phạm thành một trang web độc lập, thay vì là một phần trong miền chính công ty. Đây là quyết định khuyến khích các trang web mạo danh và các nỗ lực lừa đảo trắng trợn. Tài khoản Twitter chính thức của Equifax thậm chí còn tweet nhầm một liên kết lừa đảo đến bốn lần. Bốn lần! May mắn thay, liên kết là một trang nghiên cứu thử nghiệm, không phải là một trang web độc hại thực sự. Từ đó, đã có rất nhiều dấu hiệu cho thấy Equifax có văn hóa bảo mật lỏng lẻo, nguy hiểm và thiếu các thủ tục phản hồi.

Mặc dù vụ việc này rất nghiêm trọng, nhưng nó chỉ là một phần nhỏ trong chuỗi dài các bê bối vi phạm dữ liệu của công ty trong 10 năm qua. Vụ việc Target xâm phạm dữ liệu của 40 triệu khách hàng vào cuối năm 2013, giờ đây đã trở thành một bước ngoặt trong nhận thức chung về bảo mật dữ liệu. Ngay sau đó, Neiman Marcus và Michaels đều tiết lộ về vụ vi phạm dữ liệu khách hàng lớn vào năm 2014. Vào tháng 9 cùng năm, Home Depot cũng giẫm lên vết xe đổ, khi tiết lộ thông tin của khoảng 56 triệu thẻ tín dụng và thẻ ghi nợ của khách hàng.

Vào tháng 7/2015, tin tặc đã tấn công Ashley Madison, một trang web hẹn hò chuyên mai mối cho các cuộc tình ngoài giá thú. Trong vòng một tháng, tin tặc đã đăng gần 10 gigabyte dữ liệu đánh cắp từ trang web này, trong đó có chi tiết thẻ thanh toán và tài khoản của khoảng 32 triệu người dùng Ashley Madison. Các thông tin bao gồm các chi tiết về sở thích và thiên hướng tình dục. Bên cạnh đó, danh tính của những người dùng đăng nhập bằng tên thật hay bằng một bút danh dễ nhận biết trên trang web cũng sẽ bị vạch trần. Mặc dù trở thành trò cười cho cả thế giới trong suốt mùa hè năm 2015, nhưng vụ việc này cũng gây ra hậu quả lớn cho người dùng trang web.

Aadhaar

Hệ thống sinh trắc học Aadhaar của chính phủ Ấn Độ lưu trữ thông tin cá nhân, sinh trắc học và mã số nhận dạng 12 chữ số cho hơn 1,1 tỷ công dân Ấn Độ. Aadhaar gần như trở thành một công cụ bắt buộc khi tiến hành các thủ tục tại Ấn Độ, từ mở tài khoản ngân hàng đến đăng ký các tiện ích hoặc điện thoại di động. Thêm vào đó, các công ty công nghệ có thể liên kết với Aadhaar để theo dõi khách hàng. Tuy nhiên, tất cả các kết nối này đã dẫn đến nhiều “phơi nhiễm” dữ liệu Aadhaar khi các bên thứ ba, hay chính chính phủ Ấn Độ lưu trữ thông tin không đúng cách. Do đó, các nhà nghiên cứu ước tính rằng tất cả 1,1 tỷ mã số Aadhaar và phần lớn dữ liệu liên quan đã bị rò rỉ chỉ trong năm 2018. Một báo cáo cũng cho biết, thị trường chợ đen buôn bán dữ liệu cũng đang phát triển mạnh mẽ tại nước này.

Có rất ít công ty đánh mất dữ liệu của một tỷ người dùng. Một trong số đó là Yahoo, công ty này đã vấp phải hai bê bối vi phạm dữ liệu khác nhau. Một vụ xảy ra vào cuối năm 2014, nhưng tháng 9/2016, công ty mới tiết lộ đã làm rò rỉ 500 triệu tài khoản. Một vụ khác, xảy ra vào tháng 8 năm 2013, được tiết lộ vào tháng 12 năm 2016, nhưng hóa ra vào tháng 10 năm 2017, công ty này đã làm rò rỉ tất cả các tài khoản Yahoo từ năm 2013, với tổng số tiền là ba tỷ đô.

Các vụ vi phạm dữ liệu như OPM và Equifax rất phức tạp, vì chúng bắt nguồn từ hoạt động gián điệp của chính phủ các nước, và dữ liệu không bao giờ bị rò rỉ công khai hay bị phát tán trên các diễn đàn tội phạm. Điều này có nghĩa là rất khó để đánh giá được mức độ nghiêm trọng của các vụ việc này đối với những người bình thường. Nhưng với các bê bối rò rỉ như Aadhaar, Yahoo, Target và nhiều trang khác, dữ liệu sẽ bị công khai và phát tán trên các web đen, nhiều người có thể bị ảnh hưởng trực tiếp bởi các hoạt động liên quan đến gian lận, thỏa hiệp tài khoản số và lừa đảo.

FPT TechInsight
Theo Wired

Tin liên quan: