[Hack SolarWinds] Một vụ hack sững sờ và run rẩy


Bất kể vụ tấn công nhắm vào Công ty giải pháp công nghệ SolarWinds (Texas) có phải do Nga đứng sau như cáo buộc của Washington hay không thì chiến dịch này được chính các chuyên gia công nghệ Mỹ thừa nhận là quá thần sầu và người ngoại đạo cũng có thể theo dõi như một bộ phim ly kỳ.

 Hackers lurking in the internet

Nửa đầu năm 2020, khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển, nhận được thông báo cập nhật định kỳ.

Ở thời “Internet vạn vật”, khi lò vi sóng cũng cần được cập nhật phần mềm, đây là chuyện quá sức bình thường. Vì thế mà gần 20.000 người dùng Orion khi đó đã click “Đồng ý cập nhật” không cần nghĩ. 

Chính họ, giới công nghệ và cả chính quyền Washington, không ngờ bản cập nhật gần như mang tính thủ tục này lại là khởi đầu cho một vụ tấn công tin tặc có độ tinh vi và phức tạp ở quy mô mà người Mỹ chưa từng chứng kiến, và cũng không tài nào lường trước được.

Con ngựa thành Troy

Một nhóm tin tặc mà Mỹ cáo buộc nhận chỉ đạo từ cơ quan tình báo Nga (Matxcơva dĩ nhiên chối phăng) đã lợi dụng bản cập nhật để đưa mã độc vào phần mềm Orion và sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.

“Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3 đến tháng 6-2020” – Sudhakar Ramakrishna, chủ tịch kiêm CEO SolarWinds, thừa nhận với Đài NPR.

Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng… 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc. 

Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.

Để hình dung mức độ ảnh hưởng của vụ tấn công, cần hiểu Orion là phần mềm cho phép bộ phận IT của một cơ quan, đơn vị giám sát toàn bộ hệ thống mạng – từ máy chủ, tường lửa cho đến các thiết bị ngoại vi như máy in – từ một khu vực điều khiển trung tâm. Nói cách khác, Orion lúc này chẳng khác gì một chú ngựa thành Troy mang địch quân vào thẳng cơ quan đầu não của phe ta.

Đài NPR, sau nhiều tháng trời ngâm cứu hồ sơ vụ tấn công và phỏng vấn hàng chục nhân vật có liên quan, rút ra kết luận không thể khác được rằng đây là “một cuộc tấn công không giống bất kỳ cuộc tấn công nào khác, được tung ra bởi một kẻ thù tinh vi nhắm vào điểm yếu chí tử của cuộc sống số: bản cập nhật phần mềm định kỳ”.

Ông Adam Meyers, phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.

Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử tổng thống Mỹ năm 2016.

 Ảnh: Getty Images

Nghệ thuật xâm nhập

Chiến dịch tấn công nhắm vào SolarWinds bắt đầu với một đoạn mã cực kỳ đơn giản mà nhóm của Meyers phát hiện đã tồn tại trong phần mềm Orion từ tận tháng 9-2019. Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không. Và thực tế là có.

Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.

Khi trở lại vào tháng 2-2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) – phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi nó được “đóng gói” và gửi đến người dùng dưới dạng bản cập nhật.

Nghe có vẻ đơn giản, nhưng thực tế để làm được chuyện này đòi hỏi lắm công phu. Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi. Chỗ này cũng giống giao hàng ngoài đời, thấy gói hàng không “nguyên seal” thì phải nghi ngờ ngay.

Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng – tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng. Vỏ hoàn hảo, nhưng ruột đã bị tráo từ lúc nào.

Theo Meyers, thủ thuật này gợi nhắc ông đến lời cha mẹ ở Mỹ thường dặn con mình khi đi xin bánh kẹo dịp Halloween phải kiểm tra thật kỹ bao bì bất cứ thứ gì trước khi bỏ vô miệng, đề phòng kẻ xấu giấu lưỡi lam bên trong những cái bánh kẹo ngon lành.

“Hãy tưởng tượng những cái bánh đang trên dây chuyền đóng gói, và trong tích tắc trước khi máy bắt đầu đóng hộp và niêm phong sản phẩm, thứ gì đó xuất hiện và đẩy lưỡi dao lam vào trong chiếc bánh” – Meyers nói. Thay vì lưỡi dao, hacker đổi file. Và dù là đóng gói bánh quy bơ đậu phộng hay bản cập nhật phần mềm thì cũng thế: sản phẩm được đóng gói, niêm phong đúng quy trình, dù nội dung đã khác.

Đây là một trong những chiến dịch gián điệp mạng hiệu quả nhất mọi thời đại. [Các hacker] không chỉ thể hiện sự nhạy bén về kỹ thuật, mà cách họ tiến hành vụ tấn công chứng tỏ rằng họ hiểu cách các công ty công nghệ và công ty phần mềm vận hành. – Alex Stamos (cựu giám đốc an ninh của Facebook)

Đánh nhanh, rút gọn

Điều khiến nhiều người ngạc nhiên là không một biện pháp phòng vệ tấn công tin tặc nào của Mỹ, dù là tư nhân hay chính phủ, đã phát hiện sớm để ngăn chặn đợt tấn công lần này.

Ông Christopher Krebs, người từng phụ trách CISA dưới thời cựu Tổng thống Donald Trump, nói với NPR rằng hệ thống hiện tại của Bộ An ninh nội địa Mỹ chỉ phát hiện được các mối đe dọa đã biết, trong khi kỹ thuật được áp dụng trong vụ tấn công SolarWinds đơn giản là “quá mới”.

Cơ quan an ninh quốc gia và Bộ chỉ huy mạng của quân đội Mỹ cũng hoàn toàn bị bất ngờ. Thông thường, những cơ quan này theo dõi các hệ thống mạng nước ngoài để tìm kiếm dấu hiệu của một cuộc tấn công trước khi nó xảy ra, tương tự như cơ chế cảnh báo nếu hình ảnh vệ tinh cho thấy một lượng lớn khí tài tập trung sát biên giới.

Nhóm hacker đã “di chuyển như những bóng ma” và qua mặt các biện pháp cảnh giới này bằng cách thuê máy chủ đặt tại Mỹ – thông qua các nhà cung cấp phổ thông như AWS hay GoDaddy – để làm điểm trung chuyển rồi từ đó mới phát động cuộc tấn công nhằm xóa hoàn toàn dấu vết yếu tố nước ngoài.

“Đánh nhanh” là một chuyện, “rút gọn” lại là một nghệ thuật khác mà các chuyên viên điều tra Mỹ cũng phải ngả mũ thán phục trước những kẻ tấn công SolarWinds. Như thám tử tìm kiếm dấu vân tay để lại hiện trường nhằm xác định kẻ thủ ác, để xác định danh tính hacker đứng sau một vụ tấn công, các chuyên gia giám định Mỹ phải để mắt đến những “dấu chỉ văn hóa” cực nhỏ, ví dụ như ký tự nước ngoài hoặc lỗi chính tả còn sót lại trong những đoạn mã độc.

Nhóm của Meyers đã hi vọng đoạn mã sẽ có một vài chỗ viết bằng chữ không phải tiếng Latin để cung cấp manh mối cho các điều tra viên xác định ai là người viết ra những dòng code đó. Nhưng đoạn mã là một hiện trường sạch sẽ. “Họ đã xóa sạch toàn bộ dấu vết của con người và công cụ hỗ trợ. Thật đáng kinh ngạc là [các hacker] có khả năng che giấu mọi thứ mà một người bình thường đã có thể vô thức để lại làm manh mối” – Meyers nhận xét.

3.500 dòng code và 90 triệu USD

Dù dấu hiệu bất thường đầu tiên liên quan đến Orion được một công ty an ninh mạng ở Washington DC ghi nhận trên máy tính khách hàng từ tháng 7-2020, phải đến cuối năm ngoái Cục Điều tra liên bang (FBI) mới nhận được báo cáo đầu tiên liên quan đến vụ việc từ Công ty an ninh mạng FireEye.

Đến giữa tháng 1-2021, nhóm của Meyers đã tìm được đến “trái tim” của cuộc tấn công: một đoạn code súc tích chỉ vỏn vẹn 3.500 dòng. Đây là con số khá nhỏ so với thiệt hại mà nó gây ra. Các đơn vị bảo hiểm mạng có thể sẽ phải chi trả đến 90 triệu USD để thanh toán phí điều tra và khắc phục sự cố cho các nạn nhân của vụ tấn công liên quan đến SolarWinds, trang CRN dẫn lời một chuyên gia trong ngành ước tính.

Những mục tiêu lớn hơn

Nhiều chuyên gia lo ngại đòn đánh vào SolarWinds chỉ là mưa rào so với một cơn bão dữ dội hơn sắp đổ bộ. Meyes cũng cho rằng nỗi lo nhất sau tất cả là đoạn mã của các hacker không chỉ được thiết kế dành riêng cho SolarWinds, mà có thể được tùy biến để tấn công bất kỳ sản phẩm phần mềm của công ty nào khác sử dụng cùng một trình biên dịch.

Trong vụ hack Ukraine năm 2017, tin tặc đã rải ransomware (mã độc đòi tiền chuộc) làm tê liệt hoạt động các công ty đa quốc gia và khóa vĩnh viễn hàng chục ngàn máy tính. Đây được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.

Trong vụ SolarWinds, các tin tặc đã có thời gian để gây thiệt hại còn nhiều hơn thế khi lang thang khắp các hệ thống mạng máy tính cơ yếu của Mỹ trong suốt 9 tháng mà không bị phát hiện. Thiệt hại hữu hình thì chưa ghi nhận, nhưng thứ không thấy mới đáng ngại hơn: liệu nhóm hacker này có thật sự chỉ đọc lén email và làm những việc mà gián điệp thường làm, hay liệu họ đã âm thầm cài cắm thứ gì đó có khả năng phá hoại khủng khiếp hơn để sử dụng trong tương lai?

Khi đã truy cập được vào hệ thống mạng của chính phủ, tin tặc có thể “phá hủy hay thay đổi dữ liệu và mạo danh người khác” – Tom Bossert, cố vấn an ninh nội địa dưới thời ông Trump, viết trên The New York Times.

Kevin Mandia – CEO Công ty an ninh mạng FireEye, đơn vị đầu tiên phát hiện và phát đi cảnh báo về vụ tấn công SolarWinds – cho rằng các dịch vụ công và y tế công cộng có thể nằm trong danh sách tiếp theo bị tấn công, nếu một đợt tấn công nữa xảy ra.

Alex Stamos, cựu giám đốc an ninh của Facebook, nhận xét rằng nghệ thuật lên kế hoạch và tấn công của các hacker trong vụ SolarWinds “chắc chắn sẽ thay đổi cách nghĩ của các doanh nghiệp lớn về phần mềm mà họ cài đặt cũng như cách họ xử lý các bản cập nhật”.

Meyers gọi chiến dịch tin tặc nhằm vào SolarWinds là “một hoạt động tình báo nhằm đánh cắp thông tin”, và cảnh báo đây sẽ không phải là lần cuối cùng một vụ tấn công như vậy xảy ra. “Nó sẽ là chuyện cơm bữa… Và tôi nghĩ tất cả chúng ta sẽ có nhiều việc phải làm để cùng nhau ngăn chặn một tương lai như vậy” – ông nói.

Ngày 15-4, chính quyền Tổng thống Mỹ Joe Biden công bố một loạt các biện pháp trừng phạt cứng rắn nhắm vào Nga, như một cách phản ứng trước sự vụ SolarWinds, dù Matxcơva vẫn một mực khẳng định không liên can.

Nhà Trắng cũng đang tiếp tục soạn thảo một loạt sắc lệnh hành pháp buộc các công ty cung cấp phần mềm cho cơ quan chính phủ phải đạt những tiêu chuẩn an toàn thông tin nhất định, cũng như yêu cầu các cơ quan liên bang thực hiện nghiêm các biện pháp phòng vệ cơ bản như mã hóa dữ liệu trong hệ thống.

Những công ty phần mềm như SolarWinds có thể sẽ được yêu cầu xây dựng hệ thống đóng gói phần mềm trong môi trường không có kết nối Internet để đảm bảo an ninh, theo thông tin của NPR.

Hoa Kim / TTCT

Microsoft đang là “ông kẹ” trong một lĩnh vực lần theo dấu vết “hacker mũ đen”


Không chỉ có Office hay Windows, Microsoft còn đang là “ông kẹ” trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết “hacker mũ đen”

Mạng Internet ngày một rộng, sân chơi của hacker ngày một nở ra về mọi hướng. Giữa sự giãn nở vô tận đó, ta có những phòng tuyến vững chãi – những công ty công nghệ giang tay chặn lại từng đợt tấn công như vũ bão.

Số tiền càng cao, trách nhiệm càng lớn: Lầu Năm Góc trao cho Microsoft bản hợp đồng trị giá 10 tỷ USD, yêu cầu công ty công nghệ lớn nhất nhì thế giới này phải thay đổi bộ mặt của hệ thống điện toán đám mây cả nước, bên cạnh đó giúp chính phủ Mỹ điều hành nó. Câu hỏi trách nhiệm xuất hiện, gánh nặng khổng lồ đè lên vai Microsoft, liệu họ có thể đảm bảo sự an toàn cho Lầu Năm Góc, trước sự công kích của những hacker giàu kinh nghiệm, những kẻ kiên trì nhất thế giới được “chống lưng” bởi những thế lực khổng lồ?

Họ bị tấn công liên tục, vào mọi giờ trong ngày”, James Lewis, phó chủ tịch Trung tâm Nghiên cứu Chiến lược và Quốc tế cho hay.

Microsoft đành phải đấu tranh gay gắt với Amazon – đối thủ đáng gờm trong mảng điện toán đám mây để có được bản hợp đồng tỷ đô, và thành công này đồng nghĩa với việc hệ thống thu thập tin tình báo của Mỹ sẽ được đổ dồn về Redmond, ngoại ô thủ đô Washington, nơi đặt trung tâm đầu não của Microsoft. Hoạt động thu thập tin tình báo vốn chỉ quanh quẩn trong nội thành Washington, đây là lần đầu nó “chạy” ra tới rìa bang Washington.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 1.

Ở miền đất Redmond xum xuê cây cối, hàng chục kỹ sư và nhà phân tích tin tình báo ngồi hàng giờ trước máy tính để theo dõi động thái của hacker trên toàn thế giới.

Thành viên đội MSTIC – Trung tâm Đánh giá mức độ nguy hại của Tin tình báo Microsoft tập trung trí lực để quan sát những cái tên khét tiếng trong làng tin tặc: một nhóm theo dõi Strontium – biệt danh của một hacker người Nga, một nhóm khác để mắt tới Holmium – một chuyên gia tin tặc người Iran. Danh sách hacker cần theo dõi của MSTIC bao gồm 70 cái tên đáng chú ý nhất, hàng trăm cái tên khác chưa đủ tầm quan trọng để được “chăm sóc đặc biệt”, nhưng vẫn đủ nguy hiểm để lọt vào danh sách dài.

Trụ sở Microsoft cũng mang dáng dấp mê cung không lối thoát, chẳng khác nhiều các cơ quan đầu não còn lại của chính phủ; nó là một khu tổ hợp của hàng chục tòa nhà và hàng ngàn nhân viên. Nhân vật chính của bài viết không phải một cái tên cụ thể, mà là nhóm người đang lần dấu những hacker nguy hiểm nhất Hệ Mặt Trời.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 2.

John Lambert đã làm việc tại Microsoft từ tận thế kỷ trước: ông bắt đầu công việc vào năm 2000, thời điểm cả thủ đô Washington và Microsoft nhận ra tầm quan trọng của an ninh mạng.

Microsoft, lúc ấy là điểm tập trung công nghệ lớn của thế giới và nắm thế độc tôn trong lĩnh vực phần mềm máy tính, cũng mới bắt đầu hiểu sức mạnh bề nổi của mạng lưới Internet. Với Windows XP thống lĩnh thị trường nhưng lại có quá nhiều lỗ hổng bảo mật, đội ngũ phát triển phần mềm tại Microsoft đối mặt với hàng loạt scandal đáng xấu hổ.

Những cú vấp khiến Microsoft mất điểm trong mắt khách hàng, không chỉ người sử dụng bình thường như chúng ta mà còn một loạt cơ quan chính phủ cũng như các cơ sở tư nhân; Microsoft lung lay trước cơn bão mất lòng tin. Mọi chuyện mờ mịt cho tới năm 2002, Bill Gates gửi đi một bức tâm thư cho mọi nhân viên toàn thời gian của Microsoft, nhấn mạnh tầm quan trọng của cụm từ “Điện toán Đáng tin cậy – Trustworthy Computing”, rồi chỉ ra 4 khu vực trọng yếu cần được đầu tư: Bảo mật, Quyền riêng tư, Độ tin cậy và Tính chính trực trong Kinh doanh.

Đó là thời điểm trụ sở Microsoft tại Redmond nhận ra tầm quan trọng của bảo mật trên không gian mạng, và cũng là lúc John Lambert hứng thú với tấn công bảo mật, không còn chỉ nghĩ theo hướng bị động, bị tấn công thì ứng phó.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 3.

Ở cả tấn công và phòng thủ, đều tồn tại những giới hạn mà tại đó ta cần đạt ngưỡng lý tưởng. Để phòng ngự tốt, bạn cần biết cách tấn công. Bạn cần có một bộ óc biết công kích; nếu không thể nghĩ ra những cách công kích sáng tạo thì bạn sẽ mãi kẹt trong giới hạn chật hẹp của phòng thủ”, John Lambert nói.

Sau khi chứng kiến hàng loạt chiến dịch tấn công bảo mật có tổ chức quy củ, Lambert sử dụng đầu óc đã được khai sáng của mình để thay đổi cách tiếp cận vấn đề của Microsoft. Mục đích chính: nhóm nghiên cứu bảo mật phải rời vùng đất chìm trong bóng tối – nơi đội bảo mật ngồi chờ đợi trong vô vọng, chờ những đợt tấn công vũ bão từ những hacker được trang bị tới tận răng, lợi dụng những lỗ hổng zero-day đến họ còn chẳng biết.

Nơi đó sẽ sớm trở thành vùng đất chết, nơi nhóm nghiên cứu bảo mật chờ nước đến cổ mới nhảy. “Siêu sức mạnh của Microsoft đâu rồi?”, ông Lambert nhớ như in việc mình đã tự đặt câu hỏi đó cho mình và các đồng nghiệp.

Hóa ra câu trả lời đơn giản vô cùng: những hệ điều hành, các phần mềm nhiều lỗ hổng là tài sản của Microsoft chứ đâu? Họ phải là người hiểu rõ đàn con tinh thần của mình nhất, và chính những phần mềm có mặt trên hầu hết máy tính toàn cầu đã cho Microsoft một cánh cổng không gian, cho phép họ nhìn vào thế giới hỗn mang của Internet thuở trứng nước.

Cánh cổng còn mở ra những câu hỏi bảo mật, quyền riêng tư đến giờ ta vẫn chưa trả lời xong. Nhưng quan trọng ngang ngửa, đó là nó cho Microsoft một lợi thế khổng lồ, một cú vọt để họ vượt mặt những hacker khét tiếng.

Các sản phẩm của Microsoft đã có sẵn hệ thống Báo cáo Lỗi Windows để hiểu hơn về các bug chung của hệ thống, những hỏng hóc liên quan tới truyền tín hiệu và dữ liệu phần cứng và phần mềm trên thiết bị. Nhờ tay Lambert và các cộng sự trong đội ngũ bảo mật, họ biến đổi hệ thống truyền tín hiệu thành một công cụ bảo mật hiệu quả nhất thế giới.

Trước đây, đội nghiên cứu bảo mật sẽ phải chạm hẳn tay vào hệ thống máy tính hổng bảo mật để lấy dữ liệu từ ổ cứng, từng bước chậm chạp phân tích những gì đã xảy ra. Nhưng sau khi Lambert và cộng sự thay đổi cục diện, những cỗ máy kia tự động báo sự cố ngược về Microsoft. Điều đó có nghĩa Microsoft nhận thông báo về mọi lần máy tính crash, biết về mọi trường hợp đáng nghi, tìm ra được “con” malware trước bất kỳ ai.

Có một ví dụ như thế, là  malware có tên Bad Rabbit – Thỏ Hư xuất hiện hồi 2017, giả danh cập nhật Adobe Flash để khóa trái ổ cứng của nạn nhân xấu số. Nhờ “ơn” Bad Rabbit, chúng ta đã biết tới sức mạnh đáng ngưỡng mộ của Microsoft: chỉ trong 14 phút, tính từ thời điểm Thỏ sổng chuồng, thuật toán machine learning của Microsoft đã lọc được dữ liệu và hiểu rõ về độ nguy hiểm của con Thỏ, và ngay lập tức chặn nó lại, trước cả khi người dùng biết chuyện gì xảy ra và có thể xảy ra.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 4.

Đó là lợi thế không ai có được: dữ liệu và khả năng nhìn thấu chúng. Những dữ liệu không ai có được nằm xen giữa mỗi lần hệ thống crash, trong lòng hệ điều hành và giữa các lớp phần mềm”, Jake Williams, cựu thành viên của Cơ quan An ninh Quốc gia Mỹ NSA cho hay.

Kể cả khi phần mềm của bên thứ ba crash, chúng cũng có hệ thống truyền tin của riêng mình để báo báo sự việc. Khi một hacker bắt đầu tìm mục tiêu để xâm nhập, Microsoft lại có khả năng nhìn thẳng vào hệ thống bằng chính đường truyền tin đó”. Chính nó biến mọi cỗ máy chạy Windows hay phần mềm Windows thành một nguồn cung cấp tin cho Microsoft, cho họ dữ liệu, sự kiện diễn ra trong hệ thống, và ngay lập tức báo về bất cứ diễn biến đáng nghi nào.

Microsoft nhìn thấy được những thứ chẳng ai thấy cả”, ông William, giờ đây đã là người sáng lập doanh nghiệp bảo mật mạng Rendition Infosec, nói. “Chúng tôi thường xuyên thấy những lỗ hổng bảo mật, để tôi ví dụ cho dễ hiểu nhé, như hành động cắm cờ cảnh báo IP độc hại trên Office 365 do chính Microsoft chỉ ra chẳng hạn, chúng tôi không tìm thấy một lỗ hổng tương tự ở bất kỳ đâu cho tới nhiều tháng về sau”.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 5.

Thu thập thông tin về nguy cơ bảo mật là cốt lõi của ngành tình báo; một bộ phận như thế sẽ phải lần theo từng dấu vết nhỏ, tìm ra những thông tin hữu ích giúp quân ta dễ thở hơn và kẻ địch bên kia chiến tuyến khó sống hơn. Để đạt được mục đích, đội ngũ MSTIC 5 năm tuổi đời, với những thành viên nhiều năm tuổi ngành tình báo, biên dịch ra những thông tin cốt yếu chỉ với chút ít manh mối.

Đội ngũ của chúng tôi sử dụng dữ liệu khai thác được để kết nối các chứng cứ, viết nên câu chuyện toàn cảnh, theo dõi các nhân tố tham gia và các hành vi của họ”, Jeremy Dallman, giám đốc chiến lược của MSTIC cho hay. “Chúng tôi săn lùng kẻ xấu – bằng cách xác định chúng đang di chuyển tới đâu, đang có kế hoạch gì và đang nhắm vào ai – để đi trước chúng một bước”.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 6.

Một cái tên đáng chú ý khác là Tanmay Ganacharya, người dẫn đầu mảng nghiên cứu bảo mật tiên tiến thuộc đội ngũ Microsoft Defender; công việc của nhóm là ứng dụng khoa học dữ liệu vào lượng tín hiệu đầu vào khổng lồ, nhằm tìm ra cách xây nên một lớp rào chắn nữa trước khả năng xâm nhập ngày một tinh vi của hacker.

Bởi chúng tôi có đủ các loại sản phẩm trong bất cứ lĩnh vực nào bạn có thể biết tới, và các cảm biến đầu vào biết rõ đâu là thứ tín hiệu chúng tôi cần cho việc nghiên cứu bảo mật”, ông Ganacharya nói.

Microsoft, cũng tương tự các ông lớn công nghệ khác như Google và Facebook, thường xuyên thông báo cho người dùng khi họ bị tấn công bởi các hacker có tổ chức chính phủ đứng sau hậu thuẫn. Nội trong năm ngoái, MSTIC đã cảnh báo cho tổng cộng 10.000 khách hàng sử dụng dịch vụ của Microsoft; họ đã giúp được cho ít nhất 10.000 người tránh được con mắt nhòm ngó của tin tặc.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 7.

Bắt đầu từ tháng Tám năm nay, MSTIC phát hiện ra một chiến dịch đánh cắp tài khoản bằng phương pháp password spraying; phương pháp này tương tự với brute force attack, liên tục “đoán mò” mật khẩu để vào được tài khoản, nhưng khác ở chỗ hacker sẽ dùng một mật khẩu đoán mò để cố gắng đăng nhập vào một loạt tài khoản, rồi mới chuyển sang mật khẩu đoán mò thứ hai để cố gắng lại, những mật khẩu đại trà kiểu “Password1” sẽ được thử đầu tiên. Phương pháp “xưa như Trái Đất” này sẽ tránh việc hệ thống bảo mật phát hiện ra có người cố gắng đăng nhập nhiều lần vào một tài khoản trong thời gian ngắn.

MSTIC thống kê: hacker đã đoán mật khẩu tổng cộng 2.700 lần, nhắm vào những tài khoản có liên quan tới sự kiện tranh cử Tổng thống Mỹ, các quan chức chính phủ và nhà báo có tiếng. Đã có 4 tài khoản gục ngã trước phương pháp password spraying trong đợt tấn công vũ bão.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 8.

Các nhà phân tích bảo mật tại MSTIC phát hiện ra chiến dịch tấn công này là nhờ một phần công sức của nền tảng cơ sở hạ tầng Microsoft đã gây dựng được, họ lần theo dấu vết và phát hiện ra nhóm tin tặc đứng sau tới từ Iran, sử dụng mật danh Phosphorus.

Một khi chúng tôi hiểu được cơ sở hạ tầng của hacker – chúng tôi biết được địa chỉ IP họ sử dụng để tiến hành tấn công – từ đó có thể theo dõi được lịch sử DNS, những tên miền mới xuất hiện, lượt truy cập vào nền tảng đó”, giám đốc Dallman nói. “Khi họ lại lần nữa sử dụng cấu trúc cơ sở hạ tầng đang bị theo dõi để tiến hành tấn công tiếp, chúng tôi biết ngay bởi lẽ đã bắt đầu theo dõi những hành động đáng nghi này từ khi chúng bắt đầu xuất hiện rồi”.

Sau khi do thám tình hình một cách tỉ mỉ, Phosphorus bắt đầu lợi dụng số điện thoại công khai của mục tiêu để can thiệp vào quá trình xin cấp lại mật khẩu/lấy lại tài khoản. MSTIC phát hiện ra thêm nhiều tổ chức tin tặc khác cũng liên tục sử dụng chiến thuật này để lấy được mã xác nhận mật khẩu hai lớp của nạn nhân.

Điều làm Microsoft lo ngại là Phosphorus bắt đầu đa dạng hóa mục tiêu, nhắm vào những tổ chức phi chính phủ và các tổ chức quốc tế lớn. Mục tiêu thay đổi sẽ đi kèm với khác biệt trong chiến thuật, phạm vi rộng hơn tương đương với đôi chân chạy theo hacker sẽ mỏi hơn.

Chuyện này cũng chẳng lạ, nhưng điểm khác biệt ở đây là chiến dịch tấn công này có quy mô lớn hơn nhiều những gì chúng tôi từng thấy”, ông Dallman nói. “Hacker thường xuyên nhắm vào những người này, nhưng quy mô và công sức do thám mới đáng chú ý”.

Không chỉ có Office hay Windows, Microsoft còn đang là ông kẹ trong một lĩnh vực vô cùng khó nhằn khác: lần theo dấu vết hacker mũ đen - Ảnh 9.

Trong hai thập kỷ cống hiến cho Microsoft của chuyên gia Lambert, những công cụ và vũ khí của thế giới mạng đã sinh sôi khắp chốn, hàng trăm nhóm tội phạm số xuất hiện, càng thêm nhiều các tổ chức hacker được các “ông lớn” hậu thuẫn, sẵn sàng bán dịch vụ cho bất cứ ai trả giá cao.

Hacker sinh sôi đồng nghĩa với việc số lượng nạn nhân tăng vọt. Và rồi chúng tôi càng phải theo dõi nhiều tin tặc hơn nữa”, ông Lambert nói.

Lĩnh vực này đang ngày một đông đúc đến mức chật chội”, ông Dallman đồng tình. “Hacker đang học hỏi từ nhau. Và khi họ học thêm được những chiến lược mới từ những cái tên có tiếng, họ xoay chuyển kiến thức học được và tái sử dụng chúng”.

Cả chúng ta, cả các tổ chức lớn đều trông đợi vào Microsoft. Với khoản tiền đầu tư tỷ đô, cùng với mạng lưới tai mắt – phần mềm được cài đặt khắp nơi, ta có thể đặt niềm tin vào siêu sức mạnh ấy của Microsoft.

Tham khảo MIT Technology Review

Dink; Thiết kế: Jordy , Theo Trí Thức Trẻ