Nhờ một phát hiện nhỏ, anh chàng IT này đã ngăn chặn cuộc tấn công nhắm vào hàng trăm triệu máy tính

Trong thế giới ảo mà chúng ta coi mạng internet như một thực thể không bao giờ sai sót, ít ai biết rằng mạng lưới toàn cầu này hoạt động dựa trên sự chắp vá, gắn kết của những đoạn mã được duy trì qua nhiều thập kỷ.

Đằng sau không gian mạng đồ sộ đó là những nỗ lực không ngừng nghỉ của hàng ngàn kỹ sư lập trình, những người chịu trách nhiệm vá lỗi, sửa chữa các lỗ hổng và đảm bảo hàng nghìn tỷ USD GDP toàn cầu liên tục hoạt động một cách suôn sẻ. Một trong những nhân vật ẩn sau những nỗ lực khổng lồ đó chính là Andres Freund.

Andres Freund: Người anh hùng bảo vệ thế giới ảo

Làm việc tại Microsoft và đồng thời đóng góp cho dự án mã nguồn mở, Andres Freund là một trong những người tiên phong đứng sau những thành tựu của Internet ngày nay. Anh dành phần lớn thời gian để nghiên cứu và phát triển phần mềm cơ sở dữ liệu mã nguồn mở PostgreSQL, giúp đảm bảo hoạt động ổn định và an toàn cho mạng lưới toàn cầu.

Trong quá trình làm việc với phần mềm PostgreSQL, Freund tình cờ phát hiện ra một 'cửa sau' (hay còn gọi là backdoor), được ẩn giấu trong hệ điều hành Linux. Đáng chú ý, backdoor này có thể giúp hacker vượt qua hệ thống kiểm soát thông tin và tiến hành xâm nhập trực tiếp, từ đó tiềm ẩn nguy cơ tạo ra một cuộc tấn công mạng lớn, ảnh hưởng đến hàng trăm triệu máy tính trên toàn cầu.

Freund không giữ thông tin này cho riêng mình. Thay vào đó, anh đã ngay lập tức hành động, giúp cộng đồng nhanh chóng phát hiện và giải quyết vấn đề này. Nhờ vậy, anh đã ngăn chặn một thảm họa tiềm ẩn trên Internet cũng như thu hút sự chú ý vào những nhân vật phía sau thường bị lãng quên trong thế giới ảo của chúng ta.

Mục tiêu của hacker và tác động lớn đến thế giới internet

Backdoor là một kỹ thuật thường được hacker sử dụng để xâm nhập vào hệ thống; đây là loại phần mềm giúp họ vượt qua các quy trình xác thực thông tin và trực tiếp tấn công vào hệ thống mà không cần thông tin đặc biệt hay mật khẩu. Việc kích hoạt một backdoor có thể mở ra nguy cơ cho nhiều cuộc tấn công mạng tiếp theo.

Trong trường hợp của Freund, anh đã phát hiện ra một backdoor ẩn trong hệ điều hành Linux trong quá trình làm việc trên PostgreSQL. Điều này trở nên đáng lo ngại hơn khi PostgreSQL là một phần mềm quản lý cơ sở dữ liệu phổ biến, được sử dụng rộng rãi trong thế giới quản lý dữ liệu.

Thâm nhập vào PostgreSQL, hacker có cơ hội tiếp cận hàng trăm triệu máy tính trên toàn thế giới đang chạy SSH – Secure Shell, một giao thức mạng dùng để quản lý và thực hiện các lệnh từ xa.

Mục tiêu của hacker là tạo điều kiện thuận lợi cho các cuộc tấn công mạng lớn. Những cuộc tấn công kế hoạch hóa trước có thể gây ra thiệt hại lớn, từ việc làm gián đoạn hoạt động hàng ngày cho đến việc rò rỉ thông tin bí mật, thông tin nhân viên, sở hữu trí tuệ, hoặc thậm chí là thông tin cá nhân của khách hàng.

Các cuộc tấn công mà backdoor hỗ trợ có thể gây ảnh hưởng lớn đến an ninh mạng, từ việc gây hỏng hệ thống máy tính, tạo áp lực cho cơ sở hạ tầng kỹ thuật số, đến việc làm suy yếu khả năng hoạt động của tổ chức, doanh nghiệp và cá nhân trên toàn cầu.

Nếu không phát hiện và ngăn chặn kịp thời, backdoor này có thể mở ra một cuộc tấn công lớn, khiến hacker kiểm soát hoàn toàn hệ thống dữ liệu của hàng triệu máy tính trên thế giới, từ đó không chỉ gây ra sự cố ảnh hưởng đến an ninh thông tin mà còn đe dọa trực tiếp đến an ninh quốc gia, an ninh kinh tế của nhiều quốc gia trên thế giới.

Trực giác của Andres Freund và phát hiện lớn

Cách Freund phát hiện ra backdoor trong hệ thống rất đặc biệt. Khi nhớ lại, anh nhớ lại khoảnh khắc ấn tượng của mình vào đầu năm 2024, khi anh đang trên chuyến bay trở về sau khi thăm bố mẹ tại Đức. Dường như do trễ chuyến bay, anh tạm quên một số thông báo lỗi không đáng chú ý mà anh gặp trong quá trình xem lại lịch sử kiểm thử hệ thống.

Tuy nhiên, sau vài tuần, trong khi thử nghiệm thêm một số điều kiểm ở nhà, anh nhận thấy một ứng dụng SSH - dùng để đăng nhập vào máy tính từ xa - đang sử dụng nhiều tài nguyên xử lý hơn bình thường. Đối mặt với phát hiện bất ngờ này, trực giác của anh đã thúc đẩy anh tiến sâu hơn vào vấn đề này.

Freund đã nỗ lực tìm hiểu nguyên nhân trong bộ công cụ nén dữ liệu xz Utils và tự hỏi liệu nó có liên quan đến các lỗi đã gặp trước đó hay không. Khi kiểm tra mã nguồn của xz Utils, Freund chắc chắn rằng dữ liệu đã bị làm giả một cách cố ý.

Anh đi sâu hơn và phát hiện ra một đoạn mã - gọi là backdoor - đã được cài đặt trong phiên bản mới nhất của xz Utils. Đoạn mã này cho phép người tạo ra nó chiếm quyền kiểm soát kết nối SSH của người dùng và chạy mã của riêng họ trên máy của người dùng mà không cần biết thông tin đăng nhập.

Freund đã hoàn toàn công nhận phát hiện của mình một cách không thể nghi ngờ hơn. Đối mặt với khả năng rằng anh đã phát hiện ra một mối nguy bên trong một trong những phần mềm mã nguồn mở an toàn nhất thế giới, với sự trợ giúp của một nhóm các nhà phát triển phần mềm, anh đã gửi những phát hiện của mình và khẳng định rằng anh đã ngăn chặn một cuộc tấn công mạng tiềm ẩn.

Không ai có thể chắc chắn về chân dung thực sự của kẻ đứng sau mối nguy này. Cảnh quan phức tạp của sự tấn công đến mức một số nhà nghiên cứu ở Mỹ tuyên bố rằng chỉ có những kẻ tội phạm mạng thông minh và quyền lực như ở Nga hoặc Trung Quốc mới có thể thực hiện được như vậy.

Theo thông tin mà Freund thu thập, từ năm 2022, kẻ tấn công đã sử dụng tên gọi 'Jia Tan' để tham gia vào các hoạt động phát triển mã nguồn của xz Utils. Dường như người này đã dành nhiều thời gian để xây dựng niềm tin và dần dần kiểm soát nhiều quyền hạn trong dự án.

Sau một quá trình dài và tinh tế đứng sau sự phát triển của dự án, kẻ tấn công cuối cùng đã giữ vai trò bảo trì hệ thống và chèn mã backdoor vào đầu năm 2024. Freund nhận xét: 'Tình hình rất khó lường. Rõ ràng người này đã cố gắng rất nhiều để che giấu những gì họ đang làm'.

Sau khi công bố phát hiện này, Freund đã tham gia cùng các nhóm lập trình viên khác vào cuộc chiến để đảo ngược cuộc tấn công và xác định thủ phạm. Nhưng với Freund, chiến thắng này chỉ là một phần nhỏ trong công việc của anh.

'Tôi không có thời gian để ăn mừng,' Freund nói. Đối với anh, công việc đòi hỏi sự tập trung và cống hiến không ngừng, nhưng đó lại là điều anh muốn: tiếp tục phát triển phần mềm cơ sở dữ liệu PostgreSQL tiếp theo và bảo vệ an toàn cho mạng lưới Internet toàn cầu.

Tổng kết

Nhờ phát hiện của Freund, cộng đồng công nghệ và những nhà nghiên cứu an ninh mạng đánh giá anh như một anh hùng. Satya Nadella, CEO của Microsoft, khen ngợi 'tính tò mò và khéo léo' của ông. Tài khoản X @vx-underground ngưỡng mộ gọi anh là “trùm cuối của thế giới Internet”.

Mặc dù được coi là anh hùng, nhưng Freund cho rằng danh hiệu này đang mất đi ý nghĩa. Anh nói: 'Tôi cảm thấy nó rất kỳ quặc, tôi chỉ là một người khá kín tiếng, chỉ ngồi trước máy tính và gõ mã”. Điều này cho thấy anh không chỉ là một nhà nghiên cứu xuất sắc mà còn là người rất khiêm tốn, không tự mãn trước những thành tựu của mình.

• Ở Mỹ: Mỗi 100 người dùng smartphone, có 50 người sở hữu iPhone, trong khi điện thoại của Trung Quốc không có mặt
• Xem thêm bài viết trong chuyên mục Khám phá

Thông qua bài viết này, chúng ta có thể nhận thấy rằng vấn đề bảo mật thông tin đóng vai trò cực kỳ quan trọng trong thời đại số hóa. Việc chờ đợi một ai đó luôn bảo vệ chúng ta đang tự đặt mình vào tình thế thụ động, hãy tự chủ bảo vệ thông tin của mình bằng cách sử dụng phần mềm chính thống, đáng tin cậy như những gợi ý dưới đây!