NotPetya: Thảm họa an ninh mạng lớn nhất trong lịch sử


Một buổi chiều mùa hè hoàn hảo ở Copenhagen, tập đoàn vận tải lớn nhất thế giới bắt đầu phát điên.


Tổng thiệt hại của Maersk là 300 triệu USD sau vụ tấn công NotPetya. 

Tổng hành dinh của  A.P. Møller-Maersk [tập đoàn Đan Mạch hoạt động trong các lĩnh vực vận tải, hậu cần, năng lượng – ND.] nằm bên đại lộ lát đá lộng gió dọc bến cảng Copenhagen. Một cột buồm mang quốc kỳ Đan Mạch được dựng ở góc đông bắc, tòa nhà sáu tầng với những ô cửa sổ xanh da trời nhìn ra phía biển, đối diện với chỗ neo du thuyền của Hoàng gia Đan Mạch. Dưới tầng hầm của tòa nhà có cửa hàng đồ lưu niệm dành cho nhân viên, với đầy túi và cra-vát in tên công ty, và cả một mô hình Lego cực hiếm của con tàu container khổng lồ hạng “Triple-E” [ba chữ E – một loại tàu biển chở được hơn 18000 container] của công ty, một con tàu lớn bằng tòa nhà Empire State [một tòa nhà chọc trời hơn 100 tầng ở New York] nằm ngang, và có thể chở được một lượng hàng hóa tương đương với một tòa nhà Empire State nữa.


Trong cửa hàng còn có một trung tâm hỗ trợ kỹ thuật, là một bàn kỹ thuật viên tin học ở cạnh quầy thanh toán. Và buổi chiều ngày 27 tháng 6 năm 2017 đó, nhiều nhóm nhân viên Maersk bối rối bắt đầu tìm đến bàn hỗ trợ, hầu hết mang theo máy tính xách tay. Trên các màn hình máy tính là các dòng chữ màu đỏ và đen. Một số viết “đang sửa hệ thống file trên ổ C” và cảnh báo không được tắt máy. Những cái khác thì viết “ui, các file quan trọng của các người đã bị mã hóa” và đòi một khoản tiền chuộc 300 USD bằng đồng tiền ảo bitcoin để giải mã.


Bên kia phố, kỹ thuật viên quản lý hệ thống tin học Henrik Jensen đang làm việc trong một bộ phận khác của khu tổ hợp, một tòa nhà trang trí bằng đá trắng mà trong các thế kỷ trước là nơi lưu trữ hoàng gia bản đồ biển. (Henrik Jensen không phải là tên thật. Cũng như hầu hết các nhân viên, khách hàng, đối tác của Maersk được tôi phỏng vấn, Jensen sợ những hậu quả của việc công khai tiết lộ về câu chuyện này). Jensen đang chuẩn bị việc cập nhật phần mềm cho gần 80.000 nhân viên của Maersk thì máy tính của anh tự khởi động lại.


Anh lầm bầm chửi thề. Jensen nghĩ rằng việc khởi động lại bất ngờ lại là một hành động thô lỗ của bộ phận tin học tổng của Maersk. Đó là một bộ phận không mấy ai ưa, đóng ở Anh, và giám sát hầu hết đế chế của tập đoàn, với tám công ty con hoạt động trong các lĩnh vực từ cảng, hậu cần đến khai thác dầu, ở 574 chi nhánh đặt ở 130 nước trên toàn cầu.
Jensen định hỏi các đồng nghiệp kỹ sư tin học trong cùng văn phòng không gian mở xem có ai bị gián đoạn một cách thô bạo như thế không. Khi thò đầu lên nhìn, anh thấy tất cả các màn hình máy tính trong phòng liên tiếp tắt phụt.


“Tôi thấy một loạt màn hình trở thành tối đen. Đen, đen, đen. Đen đen đen đen đen,” anh nhớ lại. Jensen và các đồng nghiệp xung quanh nhanh chóng nhận ra rằng các máy tính đã bị khóa. Khởi động lại cũng vẫn chỉ dẫn đến màn hình đen.


Khắp tổng hành dinh Maersk, quy mô toàn diện của cuộc khủng hoảng bắt đầu trở nên rõ ràng. Chỉ sau nửa giờ, các nhân viên Maersk đã chạy dọc các hành lang, hô mọi người tắt máy tính hoặc ngắt kết nối với mạng máy tính của Maersk trước khi bị nhiễm phần mềm độc, bởi họ nhận ra rằng mỗi phút có thể có thêm hàng chục, hàng trăm máy tính bị lỗi. Các kỹ thuật viên chạy vào các phòng họp và rút điện máy tính ngay giữa các cuộc họp. Không lâu sau, các nhân viên bắt đầu trèo qua các cổng khóa từ bị phần mềm độc làm tê liệt, để đi báo động cho các khu khác của tòa nhà.


Bộ phận tin học của Maersk mất hơn hai giờ trong hoảng loạn để ngắt kết nối toàn bộ hệ thống mạng toàn cầu của công ty. Đến lúc đó, mọi nhân viên đã nhận được lệnh tắt máy tính và để nguyên nó trên bàn làm việc. Việc ngắt mạng khẩn cấp cũng vô hiệu hóa toàn bộ các máy điện thoại bàn sử dụng internet.


Khoảng 3 giờ chiều, một nhân viên quản lý của Maersk vào phòng bảo Jensen và hơn một chục đồng nghiệp, tất cả đang lo lắng chờ tin, đi về nhà. Mạng máy tính của Maersk bị hỏng nặng đến nỗi các kỹ thuật viên tin học cũng bó tay. Một ít nhân viên quản lý kiểu truyền thống yêu cầu nhân viên của mình ở lại. Nhưng nhiều người trở nên hoàn toàn vô dụng khi không có máy tính cá nhân, máy chủ, router, điện thoại bàn, và ra về.
Jensen ra khỏi tòa nhà trong buổi chiều tháng sáu ấm áp. Cũng như phần lớn nhân viên của Maersk, anh không biết khi nào mới có thể đi làm lại. Gã khổng lồ hàng hải nơi anh làm việc, quản lý 76 cảng trên toàn thế giới và một đội tàu biển gần 800 chiếc, trong đó có những tàu container chở hàng chục triệu tấn hàng, tức là gần một phần năm lượng hàng hóa đường biển toàn cầu, đang chết cứng.

NotPetya nhằm vào ai? 

Ra đến rìa khu Podil náo nhiệt ở thủ đô Kiev của Ukraine, các quán cà-phê và công viên đột ngột biến mất, thay vào đó là một khung cảnh công nghiệp ảm đạm. Ở bên dưới một đường cao tốc trên cao, bên kia đường tàu đầy rác, và qua một cái cổng bê tông là một ngôi nhà bốn tầng, trụ sở của Linkos Group, một công ty phần mềm gia đình nhỏ.


Ở tầng bốn của tòa nhà là một phòng máy chủ, trong đó có một giá để những chiếc máy tính to cỡ hộp đựng pizza, được nối với nhau bởi dây nhợ chằng chịt, và mang những nhãn đánh số viết bằng tay.Vào một ngày bình thường, những máy chủ này sẽ gửi đi những bản cập nhật thường xuyên – vá lỗi, bảo mật, tính năng mới – cho một phần mềm kế toán tên là M.E.Doc, có thể coi là phiên bản Ukraine của TurboTax hay Quicken [các phần mềm thuế, tài chính cá nhân nổi tiếng của Mỹ]. Ở Ukraine gần như ai kinh doanh hay làm hồ sơ thuế cũng dùng phần mềm này.


Nhưng năm 2017, có một lúc những máy chủ đó đã bị biến thành điểm khởi đầu cho vụ tấn công tin học gây thiệt hại nặng nề nhất kể từ khi internet ra đời – vụ việc mà ban đầu là một cuộc tấn công của một quốc gia nhằm vào một quốc gia khác.
Đã bốn năm rưỡi trôi qua kể từ khi Ukraine bị mắc vào cuộc chiến tranh không chính thức dai dẳng với Nga, cuộc chiến khiến hơn 10.000 người Ukraine thiệt mạng và khiến cho hàng triệu người khác phải sơ tán. Cuộc xung đột cũng biến Ukraine thành nơi thử nghiệm các chiến thuật chiến tranh mạng của Nga. Năm 2015 và năm 2016, trong lúc Fancy Bear, nhóm hacker được cho là có liên quan tới Kremlin, bận tìm cách đột nhập vào các máy chủ của Ủy ban quốc gia của Đảng Dân chủ Mỹ, một nhóm khác được biết đến dưới cái tên Sandworm đã tấn công được vào hàng chục công ty và tổ chức chính phủ của Ukraine. Họ đột nhập vào hệ thống mạng của các nạn nhân, từ các cơ quan truyền thông tới các công ty đường sắt, kích hoạt những “quả bom lô-gích” phá hủy hàng terabyte dữ liệu. Trong mùa đông của cả hai năm đó, những kẻ tấn công kết thúc chuỗi phá hoại của mình bằng việc gây ra mất điện trên diện rộng – đó là những vụ mất điện đầu tiên được khẳng định là do hacker gây ra.


Công ty dược phẩm Merck, Mỹ mới chịu thiệt hại lớn nhất sau vụ thảm họa này với 870 triệu USD. 

Nhưng đó chưa phải màn kết của Sandworm. Mùa xuân năm 2017, các hacker trong quân đội Nga lén xâm nhập vào các máy chủ dành cho cập nhật phần mềm của Linkos Group và tạo một cổng hậu bí mật tới hàng nghìn máy tính sử dụng phần mềm M.E.Doc ở Ukraine và trên thế giới. Không một ai ở Linkos Group phát hiện ra. Và tháng 6 năm 2017, những kẻ tấn công sử dụng cổng hậu đó để phát tán một phần mềm độc mang tên NotPetya, vũ khí tin học đáng sợ nhất của họ.


Mã độc đó được viết để tự động phát tán nhanh chóng và không phân biệt đối tượng. “Cho tới nay, nó là phần mềm độc lan truyền nhanh nhất mà chúng tôi từng biết đến,” Craig Williams ở công ty Talos của Cisco, một trong những công ty bảo mật đầu tiên tiến hành giải mã [nguyên văn “reverse engineer”, trong ngữ cảnh này là tìm cách viết lại mã nguồn] và phân tích NotPetya, cho biết. “Lúc các bạn thấy nó, trung tâm dữ liệu của các bạn đã không còn nữa.”
NotPetya hoạt động nhờ sử dụng song song hai khai thác bảo mật cực mạnh. Khai thác thứ nhất là một công cụ xâm nhập mang tên EternalBlue, do Cơ quan An ninh quốc gia Mỹ (NSA) tạo ra nhưng bị tuồn ra ngoài do một thảm họa lộ tài liệu tuyệt mật đầu năm 2017. EternalBlue tận dụng một lỗ hổng bảo mật trong một giao thức của Windows, qua đó cho hacker quyền chạy chương trình từ xa trên mọi máy tính chưa được vá lỗi.


Những tác giả của NotPetya kết hợp cái chìa khóa tổng đó với một thứ cũ hơn có tên là Mimikatz, được chuyên gia bảo mật người Pháp Benjamin Delpy viết ra năm 2011 để chứng minh việc Windows để mật khẩu của người dùng trong bộ nhớ của máy tính. Một khi những kẻ tấn công đã kiểm soát được một chiếc máy tính, Mimikatz sẽ đi tìm các mật khẩu đó trong bộ nhớ RAM và dùng chúng để xâm nhập vào các máy tính khác sử dụng cùng các thông tin đăng nhập. Trong một mạng mà trên mỗi máy tính có nhiều tài khoản người dùng, nó cho phép một cuộc tấn công tự động nhảy từ máy này sang máy khác.


Trước khi NotPetya xảy ra, Microsoft đã phát hành bản vá cho lỗ hổng EternalBlue. Nhưng sự kết hợp của EternalBlue và Mimikatz vẫn rất hiểm độc. “Anh có thể tấn công các máy tính chưa cập nhật bản vá, sau đó lấy mật khẩu từ những máy đó để đi tấn công các máy đã được vá lỗi,” Delpy giải thích.


Mã độc này được đặt tên NotPetya vì nó có vẻ giống với phần mềm tống tiền Petya, một mã độc xuất hiện đầu năm 2016 đòi nạn nhân trả tiền chuộc để mở khóa dữ liệu. Nhưng thông điệp đòi tiền chuộc của NotPetya là giả: mục đích của nó đơn thuần là phá hủy. Nó chỉ mã hóa một chiều bản ghi khởi động (phần đầu của ổ cứng, chỉ cho máy tính biết hệ điều hành nằm ở chỗ nào) của các máy tính. Mọi khoản tiền chuộc đều không có tác dụng. Không hề tồn tại chìa khóa giải mã để sắp xếp lại những nội dung đã bị xáo trộn.
Việc phát tán NotPetya thỏa mãn gần như mọi định nghĩa về một chiến tranh mạng – một cuộc chiến dường như bùng nổ vượt quá dự liệu của những người tạo ra nó. Trong vòng vài giờ kể từ lúc xuất hiện, phần mềm độc đã vượt ra khỏi Ukraine và lây nhiễm cho vô số máy tính trên khắp thế giới, từ các bệnh viện ở bang Pennsylvania đến một nhà máy sô-cô-la ở Tasmania. Nó làm tê liệt nhiều công ty đa quốc gia như Maersk, gã khổng lồ ngành dược Merck, công ty con TNT Express của FedEx ở châu Âu, công ty xây dựng Saint-Gobain của Pháp, công ty thực phẩm Mondelēz, nhà sản xuất hàng tiêu dùng Reckitt Benckiser. Thiệt hại nó gây ra ở mỗi trường hợp đều lên đến chín chữ số. Nó thậm chí quay ngược lại nước Nga và tấn công công ty dầu khí nhà nước Rosneft.


Thiệt hại tổng cộng là hơn 10 tỷ USD, theo một đánh giá của Nhà Trắng được xác nhận bởi cố vấn An ninh quốc gia Tom Bossert, người vào thời điểm xảy ra vụ tấn công là quan chức kỳ cựu nhất chuyên về an ninh thông tin dưới quyền Tổng thống Trump. Bossert và các cơ quan tình báo Mỹ cũng đã khẳng định, vào tháng 2 năm 2018, rằng quân đội Nga, nghi phạm chính trong mọi vụ tấn công tin học nhắm vào Ukraine, là thủ phạm phát tán mã độc. (Bộ Ngoại giao Nga liên tục từ chối bình luận về thông tin này.)
Để hình dung quy mô thiệt hại do NotPetya gây ra, chúng ta hãy xét vụ tấn công bằng phần mềm tống tiền đã gây tê liệt chính quyền thành phố Atlanta vào tháng 3 năm 2018: nó gây tiêu tốn 10 triệu USD, tức là một phần nghìn so với NotPetya. Đến cả WannaCry, phần mềm độc nổi đình đám lây lan một tháng trước NotPetya vào tháng 5 năm 2017, cũng “chỉ” có thiệt hại được ước tính từ 4 tỷ đến 8 tỷ USD. NotPetya vượt xa mọi thứ khác. “Mặc dù không có thiệt hại về người, nó tương đương với việc dùng một quả bom nguyên tử để đạt được một thắng lợi nhỏ về mặt chiến thuật,” Bossert nhận xét. “Đó là một sự liều lĩnh không thể tha thứ trên bình diện quốc tế.

Từ Ukraine đến toàn thế giới

Trong một năm kể từ khi NotPetya làm rung chuyển thế giới, chúng tôi đã tìm hiểu sâu về trải nghiệm của một tập đoàn khổng lồ bị con virus của nước Nga đánh quỵ: Maersk. Cuộc khủng hoảng của họ là một thí dụ có một không hai về sự đe dọa của chiến tranh mạng đối với cấu trúc hạ tầng của thế giới hiện đại. Các lãnh đạo của đế chế tàu biển, cũng như mọi nạn nhân bên ngoài Ukraine được chúng tôi tiếp cận để hỏi về NotPetya, từ chối bình luận. Bài tường thuật của chúng tôi thay vào đó được tổng hợp từ các nguồn đang hoặc từng là nhân viên của Maersk, phần lớn yêu cầu ẩn danh.
Nhưng câu chuyện về NotPetya không thực sự xoay quanh Maersk, thậm chí cũng không phải về Ukraine. Nó là câu chuyện về một vũ khí chiến tranh của một quốc gia, với một phương thức triển khai khiến cho các biên giới quốc gia trở nên vô nghĩa, với những thiệt hại bên lề xảy đến một cách tàn nhẫn và không ngờ: một cuộc tấn công nhắm vào Ukraine lại trúng vào Maersk, và một cuộc tấn công vào Maersk cũng đồng thời trúng vào mọi nơi khác.


Oleksii Yasinsky nghĩ rằng sẽ có một ngày đi làm thứ ba nhẹ nhàng. Ngày hôm sau là Ngày Hiến pháp Ukraine, một ngày nghỉ, và hầu hết các đồng nghiệp của ông nếu không đang lên kế hoạch đi nghỉ thì cũng đã đi rồi. Nhưng Yasinsky thì không. Đã một năm nay, ông làm trưởng phòng nghiên cứu tin học của Information Systems Security Partners (sau đây viết tắt là ISSP), lựa chọn hàng đầu của những nạn nhân tấn công tin học ở Ukraine. Công việc đó không cho phép nghỉ ngơi. Sự thực là kể từ vụ tấn công tin học đầu tiên của Nga và cuối năm 2015, ông nghỉ chỉ tổng cộng một tuần.
Bởi thế, Yasinsky vẫn bình thản khi giám đốc ISSP gọi cho ông sáng hôm đó và cho biết Oschadbank, ngân hàng lớn thứ hai của Ukraine, bị tấn công. Ngân hàng báo cho ISSP rằng họ bị nhiễm một phần mềm tống tiền, một loại khủng hoảng ngày càng phổ biến ở các công ty trên khắp thế giới, do tội phạm gây ra với mục đích kiếm tiền. Nhưng nửa giờ sau, khi Yasinsky bước vào trung tâm tin học của Oschadbank ở trung tâm Kiev, ông biết ngay có sự khác thường. “Nhân viên ngơ ngác, bối rối, bị sốc,” ông nhớ lại. Khoảng 90 phần trăm trong số hàng nghìn máy tính của ngân hàng bị khóa, trên màn hình hiển thị thông điệp tống tiền “sửa ổ cứng” của NotPetya.


Xem qua các file nhật ký còn sót lại của ngân hàng, Yasinsky thấy được rằng cuộc tấn công được gây ra bởi một phần mềm tự động bằng cách nào đó đã có được thông tin đăng nhập của quản trị. Nhờ đó, nó tung hoành trong mạng máy tính của ngân hàng như một tù nhân trộm được chìa khóa của cai ngục.
Khi trở về ISSP nghiên cứu kỹ hơn về vụ tấn công ngân hàng, Yasinsky bắt đầu nhận được những cuộc gọi và nhắn tin, từ khắp nơi ở Ukraine, về những vụ tương tự ở các công ty và cơ quan chính phủ khác. Một người cho ông biết một nạn nhân khác đã thử trả tiền chuộc. Đúng như Yasinsky nghi ngờ, tiền chuộc không có tác dụng. Đây không phải một phần mềm tống tiền bình thường. “Nó không có thuốc giải,” ông nói.


Cách đó một nghìn dặm [khoảng 1600 km] về phía nam, Roman Sologub, CEO của ISSP, đã có kế hoạch nghỉ kỳ nghỉ Ngày Hiến pháp ở bờ biển phía nam của Thổ Nhĩ Kỳ. Ông đang chuẩn bị cùng gia đình đi ra bãi biển thì điện thoại bắt đầu ngập với những cuộc gọi từ những khách hàng của ISSP, người thì đang chứng kiến NotPetya tàn phá mạng máy tính của mình, người thì đọc được tin về vụ tấn công và cuống cuồng tìm tư vấn.


Sologub quay về khách sạn và ở lại đó cả ngày, nhận hơn 50 cuộc gọi từ các khách hàng, hết người này đến người khác thông báo rằng hệ thống của họ đã bị lây nhiễm. Trung tâm an ninh của ISSP, vốn có nhiệm vụ theo dõi các mạng của khách hàng trong thời gian thực, cảnh báo Sologub rằng NotPetya đang chiếm trọn các hệ thống của khách hàng với một tốc độ kinh hoàng: nó chỉ mất 45 giây để đánh sập hệ thống mạng của một ngân hàng lớn của Ukraine. Một phần của một nút trung chuyển giao thông lớn của Ukraine, nơi ISSP đã cài đặt thử nghiệm các thiết bị của mình, bị nhiễm mã độc hoàn toàn trong 16 giây. Ukrenergo, công ty năng lượng được ISSP giúp xây dựng lại hệ thống mạng sau vụ mất điện do tấn công tin học năm 2016, cũng lại bị tấn công. “Chúng tôi đang dự định triển khai thêm các biện pháp bảo mật, anh còn nhớ chứ?” Sologub kể lại lời một giám đốc tin học của Ukrenergo nói với ông qua điện thoại. “Quá muộn rồi.”


Đến trưa, Oleh Derevianko, người sáng lập ISSP, cũng hủy kỳ nghỉ của mình. Khi các cuộc gọi về NotPetya ập tới, Derevianko đang lái xe về căn nhà nghỉ ở nông thôn của mình ở miền bắc để gặp gia đình. Ông nhanh chóng ra khỏi đường cao tốc và làm việc trong một nhà hàng ven đường. Đầu giờ chiều, ông yêu cầu tất cả những người gọi điện thoại ngắt ngay không do dự kết nối hệ thống mạng của mình, dù cho điều đó có khiến cho cả công ty ngừng hoạt động. Trong nhiều trường hợp, người ta đã chờ quá lâu. “Khi nói chuyện được với họ, hệ thống đã hỏng rồi,” Derevianko nói.


NotPetya đã ăn tươi nuốt sống các máy tính trên cả nước Ukraine. Trong các nạn nhân của nó có ít nhất bốn bệnh viện (chỉ tính riêng) ở Kiev, sáu công ty điện lực, hai sân bay, hơn 22 ngân hàng, các máy rút tiền tự động và các hệ thống thanh toán bằng thẻ trong bán lẻ và trong giao thông vận tải, và gần như mọi cơ quan nhà nước. “Chính phủ đã chết,” Bộ trưởng phụ trách Xây dựng và Giao thông vận tải Volodymyr Omelyan tóm tắt. Theo ISSP, ít nhất 300 công ty bị tấn công, và một quan chức chính phủ cao cấp của Ukraine ước lượng rằng 10 phần trăm số máy tính của cả nước bị xóa sạch dữ liệu. Vụ tấn công thậm chí đánh sập các máy tính của các nhà khoa học ở khu xử lý thảm họa Chernobyl, cách Kiev 60 dặm [gần 100 km] về phía bắc. Theo lời Omelyan, “Đó là một cuộc đánh bom ồ ạt trên toàn hệ thống của chúng tôi”.


Ra khỏi nhà hàng vào lúc chập tối, Derevianko dừng lại để đổ xăng và phát hiện ra rằng hệ thống thanh toán bằng thẻ của trạm xăng cũng đã bị NotPetya vô hiệu hóa. Không mang tiền mặt, ông nhìn đồng hồ xăng, băn khoăn không biết có đủ để đi đến làng mình không. Khắp nơi trên cả nước, người Ukraine cũng tự hỏi những câu tương tự: không biết họ có còn đủ tiền mặt để mua đồ ăn và xăng cho đến khi qua cơn khủng hoảng hay không, không biết họ có còn nhận được lương hay lương hưu hay không, không biết họ có còn mua được thuốc hay không. Tối hôm đó, trong khi người ta còn đang tranh luận xem NotPetya là phần mềm tống tiền của tội phạm hay là chiến tranh mạng do một nhà nước tài trợ, thì các nhân viên của ISSP đã coi nó là một loại hiện tượng mới: một “cuộc xâm lược mạng quy mô lớn, có phối hợp.”


(Còn tiếp) Tổng thiệt hại do NotPetya: 10 tỷ USD (ước tính của Nhà Trắng)
Năm 2017, phần mềm độc NotPetya từ các máy chủ của một công ty phần mềm khiêm tốn của Ukraine lan tới và làm tê liệt hoạt động của một số công ty lớn nhất trên thế giới. Sau đây là danh sách thiệt hại ước tính theo báo cáo của một số nạn nhân lớn nhất.


● Công ty dược phẩm Merck: 870 triệu USD
● Công ty chuyển phát FedEx (qua công ty con ở châu Âu là TNT Express): 400 triệu USD
● Công ty xây dựng Pháp Saint-Gobain: 384 triệu USD
● Công ty tàu biển Đan Mạch Maersk: 300 triệu USD
● Công ty thực phẩm Mondelēz (công ty mẹ của Nabisco và Cadbury): 188 triệu USD
● Công ty hàng tiêu dùng Anh Reckitt Benckiser (sản xuất các loại nước lau rửa Lysol và bao cao su Durex): 129 triệu USD.

Tóm tắt kì trước: Phần mềm NotPetya của Nga đã đánh gục toàn bộ máy tính trên đất Ukraine. Bề ngoài giống như là một virus tống tiền nhưng ngay cả khi trả tiền chuộc cũng không có tác dụng. Khắp nơi trên cả nước, người Ukraine tự hỏi không biết họ còn đủ tiền mặt để mua đồ ăn và xăng cho đến khi qua cơn khủng hoảng hay không, không biết họ còn nhận được lương hay lương hưu hay không, không biết họ có còn mua được thuốc hay không. Nhưng chưa dừng lại ở đó, con virus này đã lây lan khắp thế giới, điều mà chính những người tạo ra nó cũng không kiểm soát được…

Người khổng lồ Maersk bị đánh gục

Trong cơn dịch đó, có một ca lây nhiễm định mệnh đối với Maersk (Tập đoàn Đan Mạch hoạt động trong các lĩnh vực vận tải, hậu cần, năng lượng – ND): Ở một chi nhánh ở thành phố cảng Odessa bên bờ Biển Đen, một giám đốc tài chính của Maersk Ukraine đã nhờ các quản trị viên tin học cài phần mềm kế toán M.E.Doc lên đúng một chiếc máy tính. Đó là điểm tựa duy nhất cho NotPetya, và nó chỉ cần có thế.


Bến tàu ở Elizabeth, New Jersey (Mỹ – ND) – một trong 76 cảng thuộc APM Terminals, bộ phận cảng của Maersk – nằm trên một bán đảo nhân tạo rộng một dặm vuông [giữa 2 và 3 km2] vươn ra vịnh Newark. Hàng chục nghìn container xếp chồng lên nhau phủ kín mặt đất, các cần trục cao hàng chục mét sừng sững soi xuống vịnh. Nhìn từ đỉnh các tòa nhà chọc trời ở khu Hạ Manhattan cách đó năm dặm [khoảng 8 km], trông chúng như một bầy khủng long cổ dài quây quần bên một hồ nước kỷ Jura.


Thường mỗi ngày có khoảng 3000 xe tải đến bến, mỗi cái chở đến hoặc mang đi hàng chục tấn hàng hóa, từ tã đến quả bơ rồi phụ tùng máy kéo. Hệt như hành khách đi máy bay, đầu tiên chúng làm thủ tục vào bến ở cổng: các máy quét tự động đọc các mã vạch của container và một nhân viên trực cổng của Maersk nói chuyện với tài xế qua loa; tài xế được in cho một thẻ cho biết chỗ đậu xe, ở đó một cần trục khổng lồ sẽ cẩu container lên và xếp vào bãi, từ đó nó sẽ được tải lên tàu chở hàng vượt đại dương – hoặc ngược lại.
Sáng 27 tháng 6, Pablo Fernández chuẩn bị đưa hơn một chục xe tải hàng hóa ra khỏi Elizabeth, đến một cảng ở Trung Đông. Fernández (không phải tên thật của anh ta) là một người trung gian, được chủ hàng hóa thuê để đảm bảo hàng hóa của mình đi nửa vòng trái đất đến nơi an toàn.
Khoảng 9 giờ sáng giờ địa phương, điện thoại của Fernández bắt đầu liên tục nhận được những cuộc gọi từ những chủ hàng giận dữ quát tháo. Tất cả bọn họ vừa được tài xế xe tải của mình báo cáo là xe bị ách lại bên ngoài bến Elizabeth. “Mọi người nhảy chồm chồm,” Fernández nói. “Họ không thể đưa container ra hoặc vào cổng.”
Cái cổng độc đạo của toàn bộ bộ phận cảng của Maersk ở New Jersey chết cứng. Các nhân viên trực cổng câm lặng. 


Chẳng mấy chốc, hàng trăm xe tải 18 bánh xếp thành một hàng dài hàng cây số bên ngoài bến. Một nhân viên ở một bến tàu của một công ty khác ở gần đó, cũng trong cảng New Jersey, chứng kiến xe tải cứ đến thêm vào hàng, đến xa ngút tầm mắt. Trước đó, anh ta từng thấy các hệ thống cổng bị trục trặc 15 phút hoặc nửa tiếng. Nhưng sau vài giờ, không nhận được gì mới từ Maersk, ban quản lý cảng New Jersey ra thông báo rằng bến tàu Elizabeth sẽ đóng cửa đến hết ngày. “Đó là lúc chúng tôi bắt đầu nhận ra,” nhân viên bến tàu kia nhớ lại, “đây là một vụ tấn công.” Cảnh sát bắt đầu đến bảo các tài xế quay đầu những chiếc xe khổng lồ và giải tán.


Fernández và vô số các khách hàng đang phát điên khác của Maersk có vài lựa chọn. Họ có thể thử đưa chuyến hàng giá trị của mình lên những con tàu khác, với giá giờ chót rất cao, thường phải chờ đến khi có chỗ. Hoặc nếu chuyến hàng của họ là một phần của một chuỗi cung ứng rất hẹp, chẳng hạn các thiết bị cho một nhà máy, sự cố của Maersk có nghĩa phải trả một cái giá trên trời cho vận chuyển đường hàng không, hoặc có nguy cơ phải tạm ngưng sản xuất, mà một ngày không hoạt động gây thiệt hại hàng trăm nghìn USD. Các container đông lạnh chứa đồ dễ hư hỏng cần được giữ lạnh. Chúng phải được cắm điện, nếu không đồ chứa bên trong sẽ thối rữa.


Fernández phải bon chen để tìm được một nhà kho ở New Jersey để lưu hàng hóa của khách hàng trong khi chờ liên hệ với Maersk. Cả ngày đầu tiên, anh chỉ nhận được một email chính thức, mà theo lời anh là đọc rất “lộn xộn”, từ tài khoản gmail của một nhân viên Maersk mệt mỏi, không đưa ra một lời giải thích nào về cuộc khủng hoảng càng lúc càng nghiêm trọng. Trang web đặt hàng chính của công ty, Maerskline.com, thì không hoạt động, và không một nhân viên nào nghe điện thoại. Một số container anh đã gửi đi hôm đó trên tàu của Maersk sẽ thất lạc ở các bãi và cảng trên khắp thế giới trong ba tháng sau đó. “Maersk lúc đó như một hố đen,” Fernández thở dài nhớ lại. “Một mớ bòng bong.”


Thực sự nó là một mớ bòng bong của các mớ bòng bong. Tình cảnh tương tự xảy ra ở 17 trong số 76 bến tàu của Maersk, từ Los Angeles tới Algeciras ở Tây Ban Nha, tới Rotterdam ở Hà Lan, tới Mumbai ở Ấn Độ. Cổng không mở. Cần trục đứng yên. Hàng chục nghìn xe tải phải quay đầu rời khỏi những bến tàu hôn mê trên toàn cầu.


17 trong số 76 bến tàu của Maersk, từ Los Angeles tới Algeciras ở Tây Ban Nha, tới Rotterdam ở Hà Lan, tới Mumbai ở Ấn Độ tê liệt. Cổng không mở. Cần trục đứng yên. 

Không có thêm đơn hàng nào, điều đó về cơ bản cắt mất nguồn thu chính của Maersk từ vận tải biển. Máy tính trên các con tàu của Maersk thì không bị làm sao. Nhưng phần mềm ở bến tàu để tiếp nhận các file dữ liệu từ trên tàu cho biết tàu chở gì thì bị xóa sạch toàn bộ. Và các bến tàu của Maersk không còn hướng dẫn để thực hiện trò chơi xếp hình vĩ đại với các chồng container cao ngất.


Suốt nhiều ngày sau đó, một trong những bộ máy phân tán phức tạp nhất và kết nối rộng nhất của thế giới, một bộ máy gánh vác hệ tuần hoàn của nền kinh tế toàn cầu, vẫn bị hỏng. “Rõ ràng đây là một vấn đề lớn chưa bao giờ thấy trong vận tải toàn cầu,” một khách hàng của Maersk nhớ lại. “Trong lịch sử tin học vận tải biển, chưa ai phải trải qua một cuộc khủng hoảng lớn như thế.”


Vài ngày sau khi màn hình của anh tắt phụt ở một góc văn phòng Maersk, Henrik Jensen ở trong căn hộ của mình ở Copenhagen, thưởng thức một bữa sáng muộn, với trứng chần, bánh mỳ nướng và mứt. Từ lúc rời chỗ làm hôm thứ ba, anh không nhận được tin gì từ cấp trên. Thế rồi điện thoại đổ chuông.
Anh nghe máy, đó là một cuộc gọi hội thảo với ba nhân viên Maersk. Họ bảo anh cần đến văn phòng của Maersk ở Maidenhead, một thị trấn ở phía tây London, ở nước Anh. Đó là trụ sở của bộ phận Cơ sở hạ tầng của tập đoàn Maersk, tức là “trùm” tin học của tập đoàn. Họ yêu cầu anh hoãn mọi việc và tới đó. Ngay lập tức.

Maersk hồi phục

Hai giờ sau, Jensen đã ở trên máy bay đi London, sau đó đi ô-tô đến một tòa nhà gạch-và-kính tám tầng ở trung tâm Maidenhead. Tới nơi, anh thấy tầng bốn và tầng năm đã được biến thành một trung tâm hành động khẩn cấp 24/7. Mục đích duy nhất của nó là xây dựng lại mạng máy tính toàn cầu của Maersk sau cơn khủng hoảng NotPetya.
Jensen tìm hiểu và biết rằng một số nhân viên Maersk đã có mặt từ thứ ba, lúc NotPetya bắt đầu tấn công. Có người ngủ lại tại chỗ, dưới gầm bàn hoặc trong góc phòng họp. Những người khác, mang theo hành lý, có vẻ như đến từ mọi nơi trên thế giới. Maersk đã thuê hầu như tất cả các phòng khách sạn trong vòng vài chục cây số, mọi phòng trọ giá rẻ, mọi phòng trống bên trên các quán rượu. Bữa ăn của các nhân viên là các thứ ăn vặt ai đó đã mua từ cửa hàng tạp hóa gần đó về chất đầy trong bếp ăn của công ty.


Trung tâm khôi phục Maidenhead do Deloitte điều khiển. Maersk về cơ bản gật đầu với mọi cái giá mà công ty tư vấn của nước Anh đưa ra, để thoát khỏi vấn đề NotPetya và lúc nào cũng có tới 200 nhân viên Deloitte ở văn phòng Maidenhead, cùng với 400 nhân viên Maersk. Tất cả các thiết bị máy tính của Maersk được sử dụng trước khi NotPetya bùng nổ đều bị tịch thu để phòng việc nó lây nhiễm cho hệ thống mới, và cảnh báo kỷ luật cho việc sử dụng chúng được dán khắp nơi. Thay vào đó, các nhân viên đi khắp các cửa hàng điện tử ở Maidenhead và mua hàng đống máy tính xách tay và thiết bị phát wi-fi trả trước. Jensen, như hàng trăm nhân viên tin học khác của Maersk, được phát cho một cái máy tính xách tay mới và yêu cầu làm việc. “Đại khái là Tìm lấy một góc và làm bất cứ cái gì cần làm”, anh nói.
Lúc bắt đầu việc khôi phục, các nhân viên tin học của Maersk nhận ra một điều thất vọng ghê gớm. Họ đã tìm được các bản sao lưu của hầu hết các máy chủ của Maersk, được lập trong khoảng từ ba đến bảy ngày trước NotPetya. Nhưng không ai tìm được một bản sao lưu của một phần quyết định của hệ thống mạng của công ty: các máy chủ điều khiển miền. Chúng có vai trò như một bản đồ chi tiết của cả hệ thống mạng của Maersk và đặt các quyền truy cập vào các hệ thống cho các người dùng.


Khoảng 150 máy chủ điều khiển miền của Maersk được lập trình để đồng bộ hóa dữ liệu với nhau, sao cho, trên lý thuyết, mỗi máy có thể được coi như một bản sao lưu cho các máy khác. Nhưng chiến lược sao lưu phi tập trung này không tính đến một kịch bản: khi tất cả các máy chủ điều khiển miền đồng thời bị xóa sạch dữ liệu. “Nếu không khôi phục được máy chủ điều khiển miền, chúng tôi sẽ không khôi phục được gì cả,” một nhân viên tin học nhớ lại.


Sau một cuộc tìm kiếm điên cuồng, có cả việc gọi điện thoại cho hàng trăm quản trị viên tin học của  nhiều trung tâm dữ liệu trên khắp thế giới, các quản trị viên tuyệt vọng của Maersk cuối cùng cũng tìm được một máy chủ điều khiển miền duy nhất còn sống sót, ở một văn phòng xa xôi, tận Ghana. Một lúc trước khi NotPetya tấn công đã xảy ra mất điện khiến cho chiếc máy tính ở Ghana bị ngoại tuyến, và nó bị ngắt kết nối với cả hệ thống mạng. Như vậy, nó chứa bản sao lưu duy nhất của dữ liệu điều khiển miền không bị ảnh hưởng bởi phần mềm độc – tất cả nhờ mất điện. “Có rất nhiều tiếng hò reo phấn khích khi chúng tôi tìm thấy nó,” một quản trị viên của Maersk kể lại.


Nhưng khi các kỹ sư căng thẳng ở Maidenhead thiết lập một kết nối với văn phòng Ghana, họ mới biết tốc độ đường truyền chậm đến nỗi sẽ phải mất nhiều ngày để chuyển hàng trăm gigabyte dữ liệu sang Anh. Ý tưởng mới: cho một nhân viên Ghana bay sang London. Nhưng không ai ở văn phòng Tây Phi đó có visa Anh.


Thế là lực lượng Maidenhead sắp xếp một cuộc chạy tiếp sức. Một nhân viên từ văn phòng Ghana bay tới Nigeria và trao cho một nhân viên Maersk khác chiếc ổ cứng vô cùng quý giá. Nhân viên này lại đáp một chuyến bay sáu tiếng rưỡi tới sân bay Heathrow, mang theo chìa khóa mở ra toàn bộ quá trình khôi phục của Maersk.
Xong vụ giải cứu đó, văn phòng Maidenhead đã có thể bắt đầu đưa các dịch vụ cốt yếu của Maersk hoạt động trở lại. Sau mấy ngày đầu tiên, bộ phận cảng của Maersk đã lại có thể đọc các dữ liệu hàng hóa trên tàu, nhờ thế các nhân viên điều hành biết được tàu nào chở những gì, 18.000 tàu container cập được cảng. Nhưng phải sau vài ngày, Maersk mới lại bắt đầu nhận thêm vận chuyển mới qua trang Maerskline.com, và phải sau hơn một tuần thì các bến tàu trên khắp thế giới mới bắt đầu hoạt động một cách tương đối bình thường.


Trong lúc đó, nhân viên của Maersk làm việc với mọi công cụ sẵn có. Họ in tài liệu ra giấy rồi dán lên container ở các bến tàu của APM, nhận đặt hàng qua tài khoản gmail cá nhân, qua phần mềm nhắn tin WhatsApp, qua bảng tính Excel. “Tôi nói anh biết, thật kỳ cục khi đặt vận chuyển 500 container qua WhatsApp, nhưng chúng tôi đã làm như thế đấy,” một khách hàng của Maersk nói.


Khoảng hai tuần sau vụ tấn công, hệ thống mạng của Maersk đã được khôi phục đến độ đủ để bắt đầu phát lại máy tính cá nhân cho phần lớn nhân viên. Tại trụ sở chính ở Copenhagen, một quán cà-phê dưới tầng hầm đã được biến thành nơi cài đặt máy tính. Từng đợt 20 chiếc máy tính xếp hàng trên các bàn ăn, các nhân viên hỗ trợ đi lại dọc các hàng, cắm những chiếc USB được sao chép hàng tá vào các máy tính và nhấp chuột, cứ như thế hàng giờ đồng hồ.
Vài ngày sau khi quay về từ Maidenhead, Henrik Jensen thấy máy tính của mình giữa một chồng hàng trăm cái được xếp theo thứ tự bảng chữ cái, ổ cứng bị xóa sạch, một bản Windows mới tinh mới được cài. Tất cả mọi thứ mà anh, và mọi nhân viên Maersk khác, đã lưu trên máy, từ ghi chép cá nhân tới danh bạ tới ảnh gia đình, đều mất.

Sự sợ hãi chưa nguôi

Năm tháng kể từ khi Maersk hồi phục sau vụ tấn công của NotPetya, chủ tịch Jim Hageman Snabe ngồi trên sân khấu tại cuộc gặp Diễn đàn Kinh tế Thế giới ở Davos, Thụy Sĩ, và ca ngợi “nỗ lực anh hùng” của cuộc giải cứu hệ thống tin học của công ty. Tính từ ngày 27 tháng 6, khi ông bị đánh thức ở California bởi một cuộc gọi lúc 4 giờ sáng, trước một cuộc hội thảo dự kiến ở Stanford, ông kể, công ty chỉ mất 10 ngày để xây dựng lại toàn bộ hệ thống với 4000 máy chủ và 45000 máy tính cá nhân. (Việc phục hồi hoàn toàn kéo dài hơn: một số nhân viên ở nhiệm vụ Maidenhead tiếp tục làm việc suốt ngày đêm gần hai tháng để xây dựng lại hệ thống phần mềm của Maersk.) “Chúng tôi vượt qua bằng sự bền bỉ của con người”, Snabe nói với cử tọa.
Từ đó, Snabe tiếp tục, Maersk không chỉ làm việc để cải thiện an toàn thông tin, mà còn để biến nó thành một “ưu thế cạnh tranh”. Quả vậy, sau NotPetya, các nhân viên tin học cho biết gần như mọi biện pháp bảo mật họ đề xuất đều được duyệt một cách tức thời. Xác thực đa nhân tố được triển khai ở toàn công ty, cùng với việc nâng cấp lên Windows 10 vốn bị trì hoãn từ lâu.


Nhưng Snabe không nói nhiều về tình hình bảo mật của công ty trước NotPetya. Một số nhân viên bảo mật của Maersk cho chúng tôi biết rằng cho đến thời điểm bị tấn công, một số máy chủ của công ty vẫn chạy Windows 2000, một hệ điều hành cũ đến mức Microsoft đã ngừng hỗ trợ. Năm 2016, một nhóm lãnh đạo tin học đã thúc đẩy việc thiết kế lại của toàn bộ hệ thống mạng toàn cầu của Maersk vì lý do bảo mật phòng ngừa. Họ chỉ ra quá trình cập nhật phần mềm kém hoàn hảo, hệ điều hành lỗi thời, và trên hết là sự phân nhỏ mạng chưa đủ của Maersk. Họ cảnh báo rằng đặc biệt điểm yếu sau cùng có thể cho phép phần mềm độc từ một phần của hệ thống nhanh chóng lan rộng khắp, chính xác như những gì xảy ra với NotPetya vào năm sau đó.


Việc nâng cấp bảo mật được bật đèn xanh và được cho ngân quỹ. Nhưng thành công của nó không bao giờ được dùng để tính chỉ số đánh giá công việc cho những lãnh đạo tin học cao cấp nhất, vì vậy việc thực hiện nó không làm tăng tiền thưởng của họ. Họ không bao giờ phát triển những nâng cấp về bảo mật.


Ít công ty phải trả giá đắt như vậy vì chậm trễ trong bảo mật. Trong bài nói chuyện ở Davos, Snabe tuyên bố nhờ những nỗ lực nhanh chóng và nhờ những biện pháp khắc phục thủ công, công ty bị giảm 20 phần trăm lượng vận tải biển trong cuộc khủng hoảng NotPetya. Nhưng ngoài thiệt hại trong kinh doanh và do ngừng hoạt động, và chi phí xây dựng lại hệ thống mạng, Maersk còn phải đền bù nhiều khách hàng chi phí lưu trữ hoặc vận chuyển hàng hóa bằng đường khác. Một khách hàng Maersk tiết lộ nhận được một ngân phiếu bảy chữ số để thanh toán chi phí thuê máy bay gửi hàng vào phút chót. “Họ trả tôi một triệu mà không cần quá hai phút thảo luận”, người này nói.


Gộp tất cả, Snabe ước lượng ở Davos, NotPetya làm tiêu tốn của Maersk khoảng từ 250 đến 300 triệu USD. Phần lớn các nhân viên được chúng tôi tiếp xúc riêng ngờ rằng bộ phận kế toán của công ty đã làm nhẹ con số.
Dù thế nào đi nữa, những con số đó mới chỉ bắt đầu cho thấy mức độ thiệt hại. Chẳng hạn, không phải tất cả các công ty hậu cần phụ thuộc vào các bến tàu của Maersk đều được đối xử tốt như các khách hàng của Maersk. Jeffrey Bader, chủ tịch của Association of Bi-State Motor Carriers, một công ty xe tải đặt trụ sở ở cảng Newark, ước lượng chỉ riêng những chi phí không được bồi thường của các công ty và tài xế xe tải đã vào cỡ vài chục triệu USD. “Đó là một cơn ác mộng”, Bader nói. “Chúng tôi mất rất nhiều tiền, và chúng tôi phẫn nộ”.


Thiệt hại rộng hơn mà sự đình trệ của Maersk gây ra đối với chuỗi cung ứng toàn cầu, vốn phụ thuộc vào việc giao đúng hẹn sản phẩm và các thành phần sản xuất, thì khó đo đếm hơn. Và tất nhiên, Maersk cũng chỉ là một nạn nhân. Merck, phải tạm ngừng sản xuất một số loại thuốc vì NotPetya, báo với cổ đông rằng công ty mất 870 triệu USD vì phần mềm độc đó. FedEx, có công ty con ở châu Âu là TNT Express bị làm tê liệt bởi vụ tấn công và mất hàng tháng để khôi phục một phần dữ liệu, bị giáng một cú 400 triệu USD. Gã khổng lồ xây dựng Saint-Gobain của Pháp cũng mất cỡ chừng ấy. Reckitt Benckiser, nhà sản xuất bao cao su Durex của Anh, mất 129 triệu USD, và Mondelēz, công ty mẹ của hãng socola Cadbury, mất 188 triệu USD. Và không biết bao nhiêu nạn nhân không được kể đến, không có cổ đông, phải âm thầm tính thiệt hại.
Chỉ khi bắt đầu nhân rộng câu chuyện của Maersk – tưởng tượng cùng một sự tê liệt, cùng những cuộc khủng hoảng liên tiếp, cùng quá trình hồi phục tơi tả – cho hàng tá nạn nhân khác của NotPetya và vô số các ngành công nghiệp khác, chúng ta mới thấy hiện ra quy mô thực sự của tội ác trong cuộc chiến tranh mạng của Nga.


“Đây là một lời cảnh báo quan trọng,” Snabe nói ở Davos. Rồi ông nhấn mạnh thêm: “Một lời cảnh báo rất đắt giá.”


Một tuần sau khi NotPetya bùng nổ, cảnh sát Ukraine mang trang bị đặc nhiệm và súng tiểu liên tràn ra khỏi các xe tải và lao vào trụ sở khiêm tốn của Linkos Group, chạy lên cầu thang như Đội 6 biệt kích SEAL đột nhập nơi ở của Osama bin Laden.


Họ chĩa súng vào các nhân viên bối rối, bắt họ xếp hàng dọc hành lang, người sáng lập công ty Olesya Linnyk kể. Cạnh phòng làm việc của bà ở tầng hai, cảnh sát vũ trang thậm chí còn dùng một thanh kim loại để phá một cánh cửa, dù Linnyk đã đưa họ chìa khóa. “Đó là một tình huống không tưởng,” Linnyk nói sau một tiếng thở dài bức xúc.Lực lượng cảnh sát vũ trang cuối cùng cũng thấy thứ họ tìm: cái giá để máy chủ có vai trò truyền bệnh đầu tiên trong cơn dịch NotPetya. Họ tịch thu các máy tính và cho chúng vào các túi nhựa.


Đến tận bây giờ, hơn một năm sau khi vụ tấn công lan rộng, các chuyên gia bảo mật vẫn đang tranh luận về những bí ẩn của NotPetya. Mục đích thực sự của kẻ tấn công là gì? Các nhân viên ở Kiev của công ty bảo mật ISSP, gồm cả Oleh Derevianko và Oleksii Yasinsky, vẫn cho rằng cuộc tấn công không chỉ nhằm phá hoại mà còn để xóa dấu vết. Rốt cuộc thì những hacker phát tán nó có hàng tháng trời thoải mái truy cập vào hệ thống mạng của các nạn nhân. Ngoài những hoảng loạn và gián đoạn mà nó gây ra, NotPetya rất có thể đã xóa đi bằng chứng gián điệp, hoặc việc thu thập thông tin cho những cuộc tấn công trong tương lai. Mới tháng 5 năm 2018, bộ Tư pháp Mỹ và các cơ quan tình báo Ukraine tuyên bố đã phá vỡ một điệp vụ của Nga, đã nhiễm một loại phần mềm độc hủy diệt mới vào nửa triệu thiết bị định tuyến internet, phần lớn ở Ukraine.


Trong khi nhiều người trong cộng đồng bảo mật vẫn cho rằng các nạn nhân quốc tế của NotPetya là thiệt hại bên lề, Craig Williams ở Cisco lập luận rằng Nga thừa biết mức độ ảnh hưởng quốc tế của phần mềm độc. Theo ông, thảm họa đó là để trừng phạt tất cả những ai dám đặt văn phòng bên trong biên giới của kẻ thù của Nga. “Nếu nghĩ rằng đây là tai nạn là đang mơ tưởng,” Williams nói. “Đây là một phần mềm độc mang theo một thông điệp chính trị: Ai làm ăn với Ukraine sẽ gặp tai họa.”


Tuy nhiên, hầu như tất cả mọi người nghiên cứu NotPetya thống nhất ở một điểm: nó có thể tái diễn, thậm chí ở mức độ lớn hơn. Các tập đoàn toàn cầu có quá nhiều liên kết, bảo mật thông tin thì quá phức tạp, những mặt có thể bị tấn công thì quá rộng để có thể được bảo vệ trước những hacker được chính phủ đào tạo và chỉ muốn tung ra thứ mã độc làm rung chuyển thế giới tiếp theo. Trong khi đó, Nga hầu như không có vẻ gì là bị kiềm chế bởi những trừng phạt của Mỹ vì NotPetya, được áp dụng tám tháng sau vụ tấn công, và những sự trừng phạt lẫn lộn với những thông điệp lên án Nga về mọi thứ, từ việc nhiễu loạn thông tin trong cuộc bầu cử tổng thống năm 2016 đến việc hacker Nga thăm dò mạng lưới điện quốc gia Mỹ. “Việc thiếu một lời đáp trả đúng đắn gần như là lời mời gọi leo thang”, lời Thomas Rid, một giáo sư khoa học chính trị tại trường Nghiên cứu quốc tế cao cấp thuộc Đại học Johns Hopkin.


Nhưng bài học khách quan lâu dài nhất của NotPetya có khi chỉ là khung cảnh chiến trường kỳ lạ của chiến tranh mạng. Đây là địa lý khó hiểu của chiến tranh mạng. Bằng cách nào đó, thách thức trực quan của con người, những bóng ma trong phòng máy chủ của M.E.Doc ở một xó ở Kiev gieo rắc hỗn loạn trong những phòng họp dát vàng trong các cơ quan nhà nước ở thủ đô, trong những cảng biển khắp nơi trên thế giới, trong trụ sở trang nghiêm của Maersk bên cảng Copenhagen, và khắp nền kinh tế toàn cầu. “Bằng cách nào đó mà lỗ hổng trong phần mềm kế toán Ukraine này ảnh hưởng tới kho dự trữ vaccine của Mỹ và vận tải biển toàn cầu?” Joshua Corman, một học giả bảo mật, đặt câu hỏi tại diễn đàn Atlantic Council, như thể đang thắc mắc về hình dạng của một lỗ giun kết nối nhân-quả. “Các quy luật của không gian mạng khác hoàn toàn so với các lĩnh vực chiến tranh khác”.
Trong không gian đó, như NotPetya nhắc nhở chúng ta, khoảng cách không giúp phòng thủ. Mọi kẻ thù man rợ đã ở ngay trước cửa. Và cái mạng lưới nhằng nhịt trong không gian đó, mạng lưới trong 25 năm qua đã hợp nhất và nâng cao thế giới, có thể, trong vài giờ của một ngày mùa hè, làm cho thế giới ngừng quay.

Nguyễn Hoàng Thạch dịch, Tiasang.com.vn
Tít phụ trong bài viết do tòa soạn đặt
Nguồn: Andy Greenberg

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/