Trong vài tuần qua, thế giới an ninh mạng đã chuẩn bị cho những cuộc tấn công phá hủy có thể đi kèm hoặc báo trước cho một cuộc xâm lược của Nga vào Ukraine. Bây giờ, có vẻ như là đợt tấn công đầu tiên của những cuộc tấn công đó đã xuất hiện. Mặc dù cho đến nay chỉ trên một quy mô nhỏ, chiến dịch này sử dụng các kỹ thuật cho thấy dấu hiệu của việc lặp lại chiến dịch tấn công mạng lớn của Nga gây quậy rối toàn diện hệ thống chính phủ và cơ sở hạ tầng quan trọng của Ukraine trong những năm trước đó.
Phần mềm phá hủy dữ liệu, giả mạo thành mã độc hại tống tiền, đã tấn công vào các máy tính trong các cơ quan chính phủ Ukraine và các tổ chức liên quan, các nhà nghiên cứu an ninh tại Microsoft cho biết vào tối thứ Bảy. Các nạn nhân bao gồm một công ty IT quản lý một bộ sưu tập trang web, cũng là những trang web mà các hacker đã làm xấu đi với một thông điệp chống Ukraine vào sáng sớm thứ Sáu. Nhưng Microsoft cũng cảnh báo rằng số lượng nạn nhân có thể vẫn tăng lên khi phần mềm phá hủy dữ liệu được phát hiện trên nhiều mạng.
Viktor Zhora, một quan chức cấp cao tại cơ quan an ninh mạng của Ukraine, được biết đến với tên gọi là Cơ quan Dịch vụ cho Truyền thông Đặc biệt và Bảo vệ Thông tin, hoặc SSSCIP, nói rằng anh đầu tiên nghe nói về các thông điệp tống tiền vào thứ Sáu. Quản trị viên phát hiện ra các máy tính bị khóa và hiển thị một thông điệp đòi $10,000 bằng bitcoin, nhưng ổ cứng của máy tính bị hỏng vĩnh viễn khi quản trị viên khởi động lại chúng. Anh nói rằng SSSCIP chỉ tìm thấy phần mềm độc hại trên một số máy tính, nhưng cũng là Microsoft cảnh báo người Ukraina rằng họ có bằng chứng cho thấy phần mềm độc hại đã lây nhiễm vào hàng chục hệ thống. Đến sáng Chủ nhật giờ ET, có vẻ như đã có một nỗ lực để thanh toán một khoản tiền chuộc đầy đủ.
"Chúng tôi đang cố xem xét xem điều này có liên quan đến một cuộc tấn công lớn hơn hay không," nói Zhora. "Đây có thể là giai đoạn đầu tiên, một phần của những vấn đề nghiêm trọng hơn có thể xảy ra trong tương lai gần. Đó là lý do tại sao chúng tôi rất lo lắng."
Microsoft cảnh báo rằng khi một máy tính cá nhân bị nhiễm mã độc hại tống tiền giả mạo và được khởi động lại, phần mềm độc hại sẽ ghi đè lên bản ghi khởi động chính của máy tính, hay MBR, thông tin trên ổ cứng cho biết máy tính cách nạp hệ điều hành của nó. Sau đó, nó chạy một chương trình phá hủy tệp tin ghi đè lên một danh sách dài các loại tệp tin trong các thư mục nhất định. Những kỹ thuật phá hủy đó là khá bất thường đối với mã độc hại tống tiền, như Microsoft chú ý trong bài đăng trên blog, vì chúng không dễ dàng đảo ngược nếu nạn nhân thanh toán một khoản tiền chuộc. Cả phần mềm độc hại lẫn thông điệp chuộc tiền đều không được tùy chỉnh cho từng nạn nhân trong chiến dịch này, gợi ý rằng các hacker không có ý định theo dõi nạn nhân hoặc mở khóa máy tính cho những người thanh toán.
Cả hai kỹ thuật phá hủy của phần mềm độc hại, cũng như thông điệp tống tiền giả mạo của nó, mang lại những ký ức đáng sợ về cuộc tấn công mạng xóa dữ liệu mà Nga thực hiện trên hệ thống của Ukraine từ năm 2015 đến 2017, đôi khi mang lại kết quả tàn khốc. Trong những đợt tấn công đó năm 2015 và 2016, một nhóm hacker được biết đến với tên Sandworm, sau đó được xác định là một phần của cơ quan tình báo quân đội GRU của Nga, sử dụng phần mềm độc hại tương tự như loại mà Microsoft đã xác định để xóa sổ hàng trăm máy tính bên trong các phương tiện truyền thông, công ti điện, hệ thống đường sắt và các cơ quan chính phủ của Ukraine bao gồm quỹ và quỹ hưu trí của nó.
Các cuộc phá hủy được mục tiêu, nhiều trong số đó sử dụng các thông điệp ransomware giả mạo tương tự nhằm nhầm lẫn các nhà điều tra, đã leo thang với việc Sandworm phát hành loại worm NotPetya vào tháng 6 năm 2017, lan tỏa tự động từ máy này sang máy khác trong các mạng. Như cuộc tấn công hiện tại, NotPetya đã ghi đè lên bản ghi khởi động chính cũng như danh sách loại tệp, làm đình trệ hàng trăm tổ chức Ukraina, từ ngân hàng đến bệnh viện Kyiv và hoạt động giám sát và làm sạch Chernobyl. Trong vài giờ, NotPetya lan rộng trên toàn cầu, gây tổn thất lên đến 10 tỷ USD, cuộc tấn công mạng đắt tiền nhất trong lịch sử.
Sự xuất hiện của phần mềm độc hại ngay cả mơ hình như giống những cuộc tấn công trước đó đã làm tăng cường cảnh báo trong cộng đồng an ninh mạng toàn cầu, mà đã cảnh báo về sự leo thang phá hủy dữ liệu do căng thẳng trong khu vực. Công ty an ninh Mandiant, ví dụ, đã phát hành một hướng dẫn chi tiết vào thứ Sáu để tăng cường hệ thống IT chống lại các cuộc tấn công phá hủy tiềm ẩn của loại mà Nga đã thực hiện trong quá khứ. "Chúng tôi đã cảnh báo đặc biệt cho khách hàng của mình về một cuộc tấn công phá hủy mà dường như là ransomware," nói John Hultquist, người dẫn đầu trí tuệ đe doạ của Mandiant.
Microsoft đã cẩn thận chỉ ra rằng họ không có bằng chứng về trách nhiệm của bất kỳ nhóm hacker nào đối với phần mềm độc hại mới mà họ phát hiện. Nhưng Hultquist nói rằng anh không thể không chú ý đến sự tương đồng giữa phần mềm độc hại này và những công cụ xóa phá được sử dụng bởi Sandworm. GRU có một lịch sử dài dằng thực hiện các hành động phá hủy và làm trục trặc tại "lân cận" của Nga, các quốc gia thuộc Liên Xô cũ. Và Sandworm cụ thể có một lịch sử gia tăng những cuộc tấn công hủy diệt của mình trong những thời điểm căng thẳng hoặc xung đột hoạt động giữa Ukraine và Nga. "Trong bối cảnh của cuộc khủng hoảng này, chúng tôi dự kiến GRU sẽ là nhà hành động mạnh mẽ nhất," Hultquist nói. "Vấn đề này là lĩnh vực chính của họ."
Hiện tại, bất kỳ liên kết nào giữa phần mềm độc hại phá hủy mới nhất này và Sandworm, GRU, hoặc thậm chí là Nga vẫn chưa chắc chắn. Trước bài đăng của Microsoft chi tiết về phần mềm độc hại mới, chính phủ Ukraina đã đổ lỗi cho một nhóm có tên là Ghostwriter về việc hack và làm hỏng 15 trang web của chính phủ Ukraina với một thông điệp chống Ukraine được thiết kế để có vẻ xuất phát từ Ba Lan. Mandiant và các nhà nghiên cứu an ninh của Google đã liên kết Ghostwriter trong quá khứ với các dịch vụ tình báo của Belarus, tuy nhiên Mandiant cũng đã gợi ý rằng nó có thể làm việc chặt chẽ với GRU.
Một quan chức Ukraine khác, Phó Thư ký Hội đồng An ninh và Quốc phòng quốc gia Ukraine Serhiy Demedyuk, cho biết vào Reuters rằng phần mềm độc hại phá hủy được phát hiện liên quan đến cuộc tấn công làm hỏng đó "rất tương tự về đặc điểm" với phần mềm độc hại được sử dụng bởi APT29, còn được biết đến với tên gọi là Cozy Bear. Nhưng nhóm hacker đặc biệt đó được cho là một phần của cơ quan tình báo nước ngoài SVR của Nga, thường được giao nhiệm vụ làm gián điệp một cách âm thầm thay vì phá hủy. (Zhora của SSSCIP nói rằng anh ta không thể xác nhận những phát hiện của Demedyuk.) "Việc làm hỏng các trang web chỉ là một cách che đậy cho những hành động phá hủy hơn đang diễn ra sau cánh cửa và hậu quả của nó chúng ta sẽ cảm nhận trong tương lai gần," Demedyuk viết cho Reuters.
Chính những gì những hacker đằng sau phần mềm độc hại mới hy vọng đạt được hiện chưa rõ ràng. Hultquist nói rằng những ý định đó khó có thể lựa chọn mà không biết rõ mục tiêu cụ thể của những hacker. Nhưng anh ta lập luận rằng chúng có khả năng lớn là giống như trong các cuộc tấn công mạng Nga trước đó thực hiện trong bối cảnh chiến tranh với Ukraine: tạo ra hỗn loạn và làm nhục chính phủ Ukraine, làm suy giảm ý chí của họ trong một khoảnh khắc quan trọng.
"Nếu bạn đang cố gắng trông giống như một chính phủ mạnh mẽ, việc hệ thống của bạn bị tắt và truy cập internet của bạn biến mất không phải là một hình ảnh đẹp," Hultquist nói. "Các cuộc tấn công phá hủy tạo ra sự hỗn loạn. Chúng đào thải quyền lực và làm mòn các tổ chức." Cho dù những cuộc tấn công mạng nhỏ cỡ này cho thấy Nga có ý định bắt đầu một cuộc chiến tranh mới ở Ukraine hay không, chúng trông giống nhau một cách không thoải mái với những đợt đầu tiên của cuộc chiến tranh mạng trước đó.
- 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- Cuộc sống đầy thăng trầm của Kai Lenny trong thế giới ảo
- Các trò chơi xây dựng thành phố độc lập đối mặt với biến đổi khí hậu
- Những vụ hack tồi tệ nhất của năm 2021, từ ransomware đến vi phạm dữ liệu
- Đây là cảm giác thực sự khi làm việc trong thế giới ảo
- Làm thế nào để thực hành chiêm tinh có trách nhiệm?
- 👁️ Khám phá Trí tuệ Nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
- ✨ Tối ưu hóa cuộc sống gia đình của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ máy hút bụi robot đến đệm giá rẻ đến loa thông minh