NotPetya, cuộc tấn công mạng tàn khốc nhất trong lịch sử - Kỳ 2
Mục tiêu trọng tâm của 'vũ khí' NotPetya là Ukraine. Nhưng 'bán kính vụ nổ' của nó là toàn bộ thế giới.
VỤ NỔ CÓ BÁN KÍNH TOÀN THẾ GIỚI
Mã mà tin tặc đưa ra đã được "mài giũa" để phát tán một cách tự động, nhanh chóng và bừa bãi. Craig Williams, giám đốc tiếp cận bộ phận Talos của Cisco, một trong những công ty bảo mật đầu tiên sử dụng kỹ thuật đảo ngược và phân tích NotPetya, cho biết: “Cho đến nay, nó là phần mềm độc hại có tốc độ lây lan nhanh nhất mà chúng tôi từng thấy. Vào giây phút bạn nhìn thấy nó, trung tâm dữ liệu của bạn đã biến mất.”
NotPetya giả dạng là mã độc tống tiền ransomware, nhưng thực tế là đoạn code có khả năng lây lan, phá hủy mạnh.
Những lỗ hổng "chết người"
NotPetya được tạo ra bởi hai cách khai thác lỗ hổng mạnh mẽ của hacker, và hoạt động song song. Cách đầu tiên là công cụ xâm nhập có tên EternalBlue, do Cơ quan An ninh Quốc gia Mỹ (NSA) tạo ra nhưng đã bị rò rỉ trong một vụ vi phạm nghiêm trọng các tập tin siêu bí mật của cơ quan này vào đầu năm 2017. EternalBlue lợi dụng một lỗ hổng trong một giao thức Windows cụ thể, cho phép tin tặc tự do chạy mã của riêng chúng từ xa trên bất kỳ máy nào chưa được vá hổng.
Các tin tặc "kiến trúc sư" của NotPetya đã kết hợp bộ chìa khóa kỹ thuật số đó với một phát minh cũ hơn có tên Mimikatz, được nhà nghiên cứu bảo mật người Pháp Benjamin Delpy tạo ra như một bằng chứng khái niệm vào năm 2011. Delpy ban đầu đã phát hành Mimikatz để chứng minh rằng Windows để lại mật khẩu của người dùng trong bộ nhớ máy tính. Khi tin tặc có được quyền truy cập ban đầu vào máy tính, Mimikatz có thể lấy những mật khẩu đó ra khỏi RAM và sử dụng chúng để xâm nhập vào những máy máy khác có thể truy cập bằng cùng thông tin đăng nhập. Trên các mạng có máy tính nhiều người dùng, nó thậm chí có thể cho phép một cuộc tấn công tự động “nhảy lò cò” từ máy này sang máy khác.
Trước khi NotPetya ra mắt, Microsoft đã phát hành bản vá cho lỗ hổng EternalBlue. Nhưng EternalBlue và Mimikatz lại cùng nhau tạo nên một sự kết hợp độc hại.
Ông Delpy cho biết: “Chúng có thể lây nhiễm vào các máy tính chưa được vá lỗi và sau đó có thể lấy mật khẩu từ những máy tính đó để lây nhiễm sang các máy tính khác đã được vá lỗi”.
“Bán kính vụ nổ” là toàn bộ thế giới
Cái tên NotPetya được lấy vì nó giống với ransomware Petya, một đoạn mã độc hình sự xuất hiện vào đầu năm 2016 và ép nạn nhân trả tiền để có chìa khóa mở khóa tập tin của họ. Nhưng các tin nhắn đòi tiền chuộc của NotPetya chỉ là một mưu mẹo: Mục tiêu của phần mềm độc hại này hoàn toàn là phá hoại. Nó mã hóa không thể đảo ngược các bản ghi khởi động chính của máy tính, phần nằm sâu trong máy cho biết nơi tìm hệ điều hành của chính nó. Bất kỳ khoản tiền chuộc nào mà nạn nhân cố gắng thực hiện đều vô ích. Thậm chí không có chìa khóa nào tồn tại để sắp xếp lại những lộn xộn nội dung trong máy tính của họ.
Mục tiêu trọng tâm của “vũ khí” NotPetya là Ukraine. Nhưng “bán kính vụ nổ” của nó là toàn bộ thế giới.
Maersk là một trong những công ty chịu thiệt hại nặng nề do cuộc tấn công của mã độc NotPetya. Ảnh: Maersk
Theo hầu hết mọi định nghĩa, việc tin tặc tung ra NotPetya là một hành động chiến tranh mạng - một hành động có khả năng bùng nổ mạnh hơn cả dự định của những người tạo ra nó. Chỉ vài giờ sau khi xuất hiện lần đầu tiên, “vũ khí” này đã vượt ra khỏi Ukraine và xâm nhập vào vô số máy móc trên khắp thế giới, từ các bệnh viện ở Pennsylvania đến một nhà máy chocolate ở Tasmania. Nó làm tê liệt các công ty đa quốc gia bao gồm Maersk, gã khổng lồ dược phẩm Merck, công ty con TNT Express của FedEx ở châu Âu, công ty xây dựng Saint-Gobain của Pháp, nhà sản xuất thực phẩm Mondelēz và nhà sản xuất Reckitt Benckiser. Trong từng trường hợp, nó gây ra thiệt hại ít nhất là hàng trăm triệu USD. NotPetya thậm chí còn lan sang Nga, tấn công công ty dầu mỏ nhà nước Rosneft.
Kết quả là tổng thiệt hại ước tính lên tới hơn 10 tỷ USD, theo đánh giá của Nhà Trắng được xác nhận với tap chí WIRED bởi cựu cố vấn An ninh Nội địa Tom Bossert, người mà vào thời điểm xảy ra vụ tấn công đang là quan chức cấp cao nhất tập trung vào an ninh mạng của Tổng thống Trump.
Để hiểu được quy mô thiệt hại của NotPetya, hãy xem xét vụ tấn công ransomware ác mộng nhưng điển hình hơn đã làm tê liệt chính quyền thành phố Atlanta vào tháng 3/2018: Nó gây thiệt hại 10 triệu USD, bằng 0,1% thiệt hại mà NotPetya gây ra. Ngay cả WannaCry, loại sâu khét tiếng hơn lây lan một tháng trước NotPetya - vào tháng 5/2017, được ước tính gây thiệt hại từ 4 tỷ - 8 tỷ USD. Ông Bossert nói: “Mặc dù không có thiệt hại về nhân mạng nhưng nó tương đương với việc sử dụng bom hạt nhân để đạt được một chiến thắng nhỏ về mặt chiến thuật”.
Nhưng câu chuyện của NotPetya không thực sự là về Maersk, hay thậm chí là về Ukraine. Đó là câu chuyện về vũ khí chiến tranh tiềm tàng được tung ra trong một phương tiện mà biên giới quốc gia không có ý nghĩa gì, và nơi thiệt hại tài sản thế chấp xảy ra theo một logic tàn khốc và bất ngờ.
Các ngân hàng gục ngã
Oleksii Yasinsky đã dự kiến sẽ có một ngày thứ Ba yên tĩnh tại văn phòng. Đó là một ngày trước Ngày Hiến pháp Ukraine, một ngày lễ quốc gia, và hầu hết các đồng nghiệp của ông đều đang lên kế hoạch cho kỳ nghỉ của mình hoặc đã đi nghỉ. Nhưng không phải Yasinsky. Ông là người đứng đầu phòng thí nghiệm mạng tại Information Systems Security Partners (ISSP), một công ty tiếp cận các nạn nhân của cuộc chiến tranh mạng ở Ukraine.
Vì vậy Yasinsky không hề lo lắng khi sáng hôm đó ông nhận được cuộc gọi từ giám đốc ISSP thông báo rằng Oschadbank, ngân hàng lớn thứ hai ở Ukraine, đang bị tấn công mạng. Ngân hàng đã nói với ISSP rằng họ đang phải đối mặt với lây nhiễm ransomware, một cuộc khủng hoảng ngày càng phổ biến đối với các công ty trên toàn thế giới bị tội phạm mạng nhắm tới.
Nhưng khi Yasinsky bước vào bộ phận IT của Oschadbank tại văn phòng trung tâm Kiev nửa giờ sau đó, anh có thể biết đây là một điều gì đó khác lạ.
Yasinsky nói: “Các nhân viên bị lạc lối, bối rối và bị sốc. Khoảng 90% trong số hàng nghìn máy tính của ngân hàng đã bị khóa, hiển thị thông báo “đang sửa đĩa” và màn hình đòi tiền chuộc của NotPetya.
Quang cảnh một siêu thị nơi các máy tính bị mã độc tấn công. Ảnh minh họa: The Economist
Sau khi kiểm tra nhanh nhật ký còn sót lại của ngân hàng, Yasinsky có thể thấy rằng cuộc tấn công là một con sâu tự động bằng cách nào đó đã lấy được thông tin xác thực của quản trị viên. Điều đó đã cho phép nó hoành hành khắp mạng lưới ngân hàng giống như một tù nhân đã đánh cắp chìa khóa của cai ngục.
Khi phân tích vụ vi phạm của ngân hàng tại văn phòng ISSP, Yasinsky bắt đầu nhận được cuộc gọi và tin nhắn từ nhiều người trên khắp Ukraine, kể cho ông nghe về những trường hợp tương tự ở các công ty và cơ quan chính phủ khác. Một người nói với ông rằng một nạn nhân khác đã cố gắng trả tiền chuộc. Đúng như Yasinsky nghi ngờ, khoản thanh toán không có tác dụng. Đây không phải là ransomware thông thường. Ông nói: “Không có viên đạn bạc nào cho việc này, không có thuốc giải độc”.
