[CyberSec] Một vụ tấn công mạng, nửa nước Mỹ “hết xăng”


Vụ tấn công mạng bí ẩn đã làm tê liệt hệ thống đường ống cung ứng một nửa lượng xăng dầu cho toàn bờ Đông Hoa Kỳ và đe dọa đảo lộn thị trường năng lượng toàn cầu ra sao.

Sáng thứ sáu 7-5, Colonial Pipeline – công ty tư nhân quản lý hệ thống đường ống dài 8.850km, mỗi ngày vận chuyển 2,5 triệu thùng xăng và nhiều loại nhiên liệu khác kết nối vùng công nghiệp lọc dầu chủ lực của Mỹ, Gulf Coast (tức khu vực duyên hải ven vịnh Mexico) với gần như toàn bộ vùng bờ Đông đông đúc dân cư – đột ngột thông báo ngừng hoạt động trên toàn hệ thống. 

Một kho chứa của Colonial Pipeline ở Maryland. -Ảnh: The New York Times

Lý do, theo thông báo chính thức của công ty, là họ bị tấn công mã độc tống tiền (ransomware) nên buộc phải ngừng hoạt động toàn hệ thống để đề phòng rủi ro.

Phải đặt quy mô của Colonial Pipeline và hệ thống đường ống hãng này vận hành vào bối cảnh thì mới hiểu tính chất nghiêm trọng của vụ tấn công.

Xây dựng từ năm 1962, hệ thống đường ống này được trang Oil Price gọi là “huyết mạch của bờ Đông”, là mạng lưới vận chuyển sản phẩm xăng dầu cuối cùng lớn nhất nước Mỹ, nối dài suốt từ Pasadena, Texas tới Linden, New Jersey và ra tận cảng New York. 

Hơn thế nữa, đường ống còn vận chuyển xăng máy bay phục vụ những sân bay lớn nhất nước, gồm sân bay đông đúc nhất thế giới Hartsfield Jackson ở Atlanta.

Tình trạng khẩn cấp

“Người ta chỉ có thể tiếp cận tĩnh mạch chủ của cơ sở hạ tầng Hoa Kỳ gần tới thế là cùng” – Reuters dẫn lời giáo sư Amy Myers Jaffe, giám đốc điều hành Tổ chức nghiên cứu Climate Policy Lab, ví von. “Đây không chỉ là một đường ống lớn. Ở Mỹ chỉ có duy nhất một hệ thống ống như thế”.

Hơn 8.500km đường ống nối vùng lọc dầu lớn nhất của Mỹ với vùng dân cư đông đúc ở bờ Đông và Đông Bắc Mỹ. Ảnh: Oil Price

Dù Colonial Pipeline là một công ty tư nhân, vụ tấn công nhắm vào họ rõ ràng đã nêu bật tính rủi ro của các hệ thống hạ tầng lớn đang được số hóa ngày càng triệt để, nhất là với một nước như Hoa Kỳ, nơi xe hơi, máy móc cơ giới, hệ thống vận tải… – và do đó là xăng dầu – đã trở thành không khác gì oxy để hít thở.

Vụ Colonial Pipeline nhanh chóng trở thành vấn đề an ninh quốc gia. Cục Điều tra liên bang (FBI) và Bộ Năng lượng đã vào cuộc. Tổng thống Joe Biden được báo cáo về sự cố ngay sáng thứ bảy, ngày 8-5, theo lời một người phát ngôn Nhà Trắng, và chính phủ đang hỗ trợ Colonial phục hồi hoạt động. 

Sang chủ nhật, ngày 9-5, Washington thậm chí phải ban bố tình trạng khẩn cấp, dỡ bỏ một số quy định về cấm vận chuyển xăng dầu liên tiểu bang bằng đường bộ để đề phòng những hỗn loạn có thể xảy ra do thiếu xăng dầu. 

Thị trường đã phản ứng tức thì với tin tức – giá xăng bắt đầu ngóc lên, nhất là trong bối cảnh kinh tế Mỹ đang tăng trưởng mạnh và mùa hè cũng là mùa dân chúng đi lại nhiều nhất.

Hiệp hội Xe hơi Hoa Kỳ nói nếu việc gián đoạn cung ứng kéo dài, giá xăng có thể tăng mạnh ở các cây xăng bán lẻ. Ngay sau khi tin tức loan đi vào thứ sáu, giá xăng mua trước ở thị trường hàng hóa thương phẩm New York đã tăng 0,6%, trong khi giá dầu diesel mua trước tăng 1,1%, đều cao hơn mức tăng của dầu thô. 

Xây dựng đường ống dẫn dầu ở Mỹ. Ảnh: CNBC

Ngược lại, giá xăng dầu mua ngay ở vùng Gulf Coast giảm do lo ngại mặt hàng này sẽ bị tồn đọng ở đây thay vì được chuyển đến các thị trường miền bắc.

Một vụ tống tiền táo tợn

“Táo tợn” thật ra vẫn còn là nói giảm nói tránh với vụ tấn công tin tặc này.

Những hệ thống đường ống siêu hạng như Colonial Pipeline đang ngày càng phụ thuộc vào các công nghệ tự động hóa, số hóa, và Internet hóa để theo dõi lưu lượng, áp lực, kiểm soát các gói hàng, lẫn bảo trì, bảo dưỡng… 

Đi kèm tất yếu là nguy cơ tấn công mạng. “Đây chắc chắn không phải là trò đùa của mấy nhóc học cấp III. Đây là một cuộc tấn công hết sức tinh vi, có chủ đích, vào một cơ sở hạ tầng tối quan trọng”, Financial Timesdẫn lời Robert Campbell, giám đốc nghiên cứu sản phẩm dầu mỏ ở Hãng tư vấn Energy Aspects.

Nhiều nguồn khác nhau nói vụ tấn công này là do một nhóm tội phạm mạng tên gọi DarkSide tiến hành. Theo đó, những tay tin tặc xâm nhập vào mạng lưới của Colonial hôm thứ năm tuần trước, ngày 6-5, và giữ gần 100 GB dữ liệu “làm con tin”. 

Ảnh: News24

Sau khi thu được các dữ liệu này, nhóm tin tặc khóa nó trong một số máy tính và máy chủ, rồi đòi một khoản tiền chuộc; nếu Colonial không trả, dữ liệu bị đe dọa sẽ được tung lên Internet.

The New York Times nói Colonial từ chối cho biết họ có định trả khoản tiền chuộc được yêu cầu hay không, “điều thường cho thấy một công ty đang cân nhắc sẽ trả tiền, hoặc thực ra là đã trả rồi”. 

Tức có khả năng cao là vụ tống tiền đã thành công. Trang công nghệ Wired dẫn một nghiên cứu của Công ty an ninh mạng Cyberseason nói Darkside đã tống tiền thành công khoảng 40 nạn nhân là các tổ chức khác nhau và đòi những khoản tiền chuộc từ 200.000 tới 2 triệu đôla.

Theo diễn giải của nhiều trang công nghệ, vụ việc chẳng khác gì một vụ đòi tiền bảo kê trong những phim hình sự, chỉ có điều giờ đây mọi chuyện diễn ra trên mạng. 

DarkSide thậm chí không phải là nhóm tin tặc khét tiếng nhất trong ngón nghề, nhưng vụ việc “đánh dấu sự xuất hiện của cả một hệ sinh thái tội phạm mạng tuy lặng lẽ nhưng giá trị tới hàng chục triệu đôla, điều chưa từng thấy ở ngành công nghiệp an ninh mạng từ trước tới giờ”, theo BBC.

Lỗi tại… COVID

James Chappell, đồng sáng lập và giám đốc sáng tạo của Hãng an ninh mạng Digital Shadows, tin rằng vụ tấn công Colonial Pipeline có thể diễn ra một phần là do COVID-19 khiến nhiều kỹ sư đang làm việc ở nhà hoặc từ xa, trong khi vẫn tiếp cận được hệ thống kiểm soát đường ống. 

 Mạng lưới đường ống của Colonial Pipeline gần như phủ kín bờ Đông Hoa Kỳ. Ảnh: Oil Price

Theo Chappell, kịch bản khả dĩ nhất là DarkSide đã mua được chi tiết tài khoản đăng nhập liên quan đến các phần mềm điều khiển máy tính từ xa như TeamViewer và Microsoft Remote Desktop.

Bất kỳ ai cũng có thể tìm các cổng đăng nhập cho máy tính có kết nối với Internet này trên các công cụ tìm kiếm như Shodan, rồi các tay tin tặc sau đó sẽ thử đi thử lại tên đăng nhập và mật khẩu cho tới khi nào được thì thôi. “Ngày càng có nhiều nạn nhân, và đây giờ đã là một vấn đề lớn và nghiêm trọng”, Chappell nói.

Wired gọi vụ tấn công là “cấp độ cực đoan mới với mã độc tống tiền”. Vụ Colonial Pipeline cho tới nay là vụ “ảnh hưởng lớn nhất lên hệ thống năng lượng Mỹ trong lịch sử”, theo lời Rob Lee, CEO của công ty an ninh chuyên về các hệ thống hạ tầng thiết yếu Dragos. 

Ngoài tác động tài chính, với giá xăng dầu, việc cung ứng nhiên liệu… như đã nói, Lee còn chỉ ra khoảng 40% sản lượng điện ở Mỹ năm 2020 sản xuất bằng đốt khí tự nhiên, đồng nghĩa những vụ tấn công đường ống kiểu này cũng sẽ là mối đe dọa với mạng lưới điện dân dụng.

Các hoạt động mã độc tống tiền đang có xu hướng nhắm ngày càng nhiều vào những hãng tư nhân. Hydro Norsk (hãng năng lượng tái tạo và nhôm Na Uy), Hexion và Momentive (hai công ty hóa chất Mỹ), và một công ty vận hành đường ống khí đốt không được nêu tên khác của Mỹ đều từng bị tấn công kiểu này vào năm 2019, theo Wired.

Trong các cuộc tấn công kiểu này, tin tặc có thể tiếp cận hệ thống công nghệ thông tin và/hoặc hệ thống “công nghệ điều hành” của mục tiêu. 

Trong trường hợp Colonial, chưa rõ tin tặc có thực sự can thiệp được vào hệ thống tới mức cho phép họ kiểm soát hay thay đổi tình trạng thực tế của các đường ống hay chưa. 

Nhưng chỉ tiếp cận được mạng lưới công nghệ thông tin thôi cũng đã đủ để khiến công ty phải tạm ngưng vận hành rồi, theo chuyên gia Joe Slowik ở Hãng an ninh Gigamon. 

“Hãng vận hành đã làm điều đúng trong trường hợp này”, Slowik nói với Wired. “Một khi ta không còn chắc chắn về việc kiểm soát được đầy đủ hoạt động, thì cần phải đóng cửa”. Nói cách khác, cũng giống như khi ta phát hiện mình làm mất thẻ ngân hàng, việc trước tiên là phải báo ngân hàng khóa thẻ.

James Chappell của Digital Shadows nói nghiên cứu ở công ty ông cho thấy nhóm tội phạm mạng DarkSide nhiều khả năng có trụ sở ở một nước nói tiếng Nga, do họ thường tránh tấn công công ty thuộc Cộng đồng các quốc gia độc lập, gồm Nga, Ukraine, Belarus, Gruzia, Armenia, Moldova, Azerbaijan, Kazakhstan, Kyrgyzstan, Tajikistan, Turkmenistan và Uzbekistan. Tuy nhiên, cũng không có bằng chứng cho thấy đằng sau DarkSide là một chính phủ hậu thuẫn.

CHIÊU VĂN / TTCT

Các mối đe dọa mạng lớn nhất cần đề phòng vào năm 2019


Các chuyên gia của The Chertoff Group, một công ty tư vấn bảo mật toàn cầu cho phép khách hàng điều hướng các thay đổi về rủi ro, công nghệ và chính sách bảo mật, đã phát triển một danh sách các mối đe dọa mạng lớn nhất cần phải lưu ý trong năm 2019.

Cryptojacking

Sự bùng nổ gần đây của ransomware là một dấu hiệu của việc các tổ chức tội phạm sẽ tiếp tục sử dụng phần mềm độc hại vì mục tiêu lợi nhuận. Cryptojacking, còn được gọi là “phần mềm độc hại đào tiền ảo “, sử dụng đồng thời hai phương pháp: xâm chiếm truy cập ban đầu và chèn script độc hại vào trang web, để lấy cắp tài nguyên từ các nạn nhân. Cryptojacking là một hình thức kiếm lợi nhuận âm thầm và xảo quyệt, ảnh hưởng đến các điểm cuối, thiết bị di động và máy chủ do nó chạy ở chế độ nền, lặng lẽ lấy cắp tài nguyên của máy tính để tạo ra lợi nhuận lớn hơn và rủi ro ít hơn. Do dễ triển khai, mức độ rủi ro thấp và khả năng sinh lời, báo cáo cho rằng xu hướng này sẽ tiếp tục tăng trong năm 2019.

Phần mềm quản lý và kiểm tra các phiên bản mã nguồn trong quá trình phát triển phần mềm

Trong khi khai thác lỗ hổng phần mềm là một chiến thuật lâu đời được sử dụng trong các cuộc tấn công mạng, các nỗ lực phá hoại quá trình phát triển phần mềm cũng đang gia tăng. Ví dụ, các nhà phát triển, trong một số trường hợp cụ thể, bị nhắm làm mục tiêu tấn công. Phần mềm độc hại cũng đã được phát hiện trong một số thư viện phần mềm nguồn mở nhất định. Khi mã phần mềm trở nên phức tạp và năng động hơn, cơ hội cho sự phá hoạt cũng tăng lên. Vào năm 2019, chúng ta sẽ thấy sự gia tăng liên tục trong việc sử dụng các ứng dụng hoặc dịch vụ của bên thứ ba như là một “kênh liên lạc” trong mạng thông qua sự sai lệch của phần mềm/firmware (và các bản cập nhật của chúng) của bên thứ ba; các kênh như vậy có thể vượt qua các khả năng bảo vệ và phát hiện truyền thống để ngăn chặn các sự cố bên ngoài và lây nhiễm mạng công ty.

Gia tăng các cuộc tấn công vào hệ sinh thái tiền điện tử

Việc sử dụng tiền điện tử cho các giao dịch hàng ngày đang trở nên phổ biến và chúng ta sẽ tiếp tục thấy sự gia tăng trong tấn công chống lại các cá nhân và tổ chức sử dụng tiền điện tử như một lựa chọn tiêu chuẩn trong hoạt động kinh doanh và các giao dịch của họ.

Xu hướng chính sách mạng

Sự tiến triển trong luật pháp riêng tư dữ liệu và bảo mật

Các vi phạm nổi tiếng cùng với việc triển khai GDPR và Đạo luật bảo vệ quyền riêng tư của người tiêu dùng của California sẽ giúp thúc đẩy các nỗ lực hướng tới  luật pháp toàn diện về bảo mật dữ liệu và quyền riêng tư, mặc dù sự phân chia trong Quốc Hội và lợi ích giới hạn từ Nhà Trắng có khả năng sẽ làm chậm tiến độ. Hy vọng rằng các tiểu bang khác sẽ đi theo California nếu Quốc hội không có hành động gì, bất chấp các vụ kiện được đệ trình bởi các công ty công nghệ hay Sở Tư pháp.

Các mối đe dọa mạng và các hoạt động ảnh hưởng

Sợ hãi, không chắc chắn và nghi ngờ tiếp tục gia tăng khi nói đến an ninh mạng của các công nghệ bầu cử và sẽ tiếp tục phát triển khi Mỹ tiến hành cuộc bầu cử tổng thống vào năm 2020.

Nâng cao kỳ vọng tiết lộ sự cố

Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) bắt đầu có hiệu lực từ ngày 25 tháng 5 năm 2018. GDPR yêu cầu các tổ chức phải báo cáo vi phạm dữ liệu cá nhân trong vòng 72 giờ sau khi nhận thức được. Tương tự như vậy, Sở Dịch vụ tài chính bang New York (DFS) đã áp đặt yêu cầu rằng các công ty là đối tượng thuộc quyền hạn của DFS phải thông báo cho DFS trong vòng 72 giờ sau khi xác định rằng một trong hai sự kiện sau đã xảy ra: (1) vi phạm dữ liệu cá nhân hoặc ( 2) các sự kiện có “khả năng gây tổn hại nghiêm trọng đến bất kỳ phần trọng yếu nào của (các) hoạt động bình thường” của pháp nhân được quy định. Những khung thời gian này rút ngắn đáng kể thời gian báo cáo, gây áp lực lên các tổ chức, yêu cầu các tổ chức hoàn thiện ứng phó sự cố và khả năng phục hồi để có thể đáp ứng các quy định mới này.

Hơn thế nữa, vào ngày 21 tháng 2, Ủy ban chứng khoán và sàn giao dịch Mỹ (SEC) đã phát hành hướng dẫn cập nhật về các yêu cầu công bố bảo mật an ninh mạng của công ty theo luật chứng khoán liên bang. Hướng dẫn tập trung vào hai chủ đề: (1) tầm quan trọng của việc duy trì các chính sách và quy trình mạng toàn diện, đặc biệt là báo cáo kịp thời các rủi ro và sự cố mạng và (2) việc áp dụng luật cấm giao dịch nội gián cho các rủi ro và sự cố an ninh mạng trọng yếu. Các sự cố gần đây tại Yahoo, Uber và Equifax đã buộc chính phủ và các công ty đại chúng phải xem xét kỹ hơn các quy tắc tiết lộ vi phạm. Câu hỏi được đặt ra ở đây là về tính trọng yếu. – theo định nghĩa, trọng yếu là khi nếu có một “khả năng đáng kể một nhà đầu tư hợp lý sẽ xem xét thông tin là quan trọng trong việc đưa ra quyết định đầu tư hoặc việc tiết lộ thông tin đã bị bỏ qua sẽ được nhà đầu tư hợp lý xem xét thay đổi đáng kể tổng số thông tin có sẵn.” Trong khi đó, Ủy ban quy định rằng “chúng tôi không mong các công ty tiết lộ công khai thông tin kỹ thuật cụ thể về hệ thống an ninh mạng của họ”, các công ty đại chúng được kỳ vọng sẽ “tiết lộ phạm vi vai trò của ban quản trị trong việc giám sát rủi ro của công ty, chẳng hạn như cách ban quản trị quản lý chức năng giám sát của nó và tác động của nó đối với cấu trúc lãnh đạo của hội đồng quản trị.” Một câu hỏi quan trọng là làm thế nào để ban điều hành và ban quản trị nâng cao hiểu biết của họ về rủi ro mạng để họ có thể đưa ra những đánh giá có hiểu biết về tính trọng yếu.

Quy trình xử lý lỗ hổng (Vulnerability Equities Process –VEP)

VEP là một quy trình được sử dụng bởi chính phủ Mỹ trong việc xác định cách xử trí lỗ hổng bảo mật chưa được công bố hoặc chưa được khắc phục trên cơ sở từng trường hợp một, hoặc là phổ biến thông tin về các lỗ hổng cho các đại lý / nhà cung cấp với hy vọng rằng nó sẽ được vá, hoặc sẽ tạm thời giới hạn hiểu biết về lỗ hổng ở chính phủ Hoa Kỳ và các đối tác tiềm năng khác để nó có thể được sử dụng cho mục đích an ninh quốc gia và thực thi pháp luật, chẳng hạn như thu thập tình báo, hoạt động quân sự, và / hoặc phản gián. ” Việc Eternal Blue, một chương trình của Cục an ninh quốc gia Hoa Kỳ khai thác lỗ hổng trong việc triển khai thực hiện giao thức SMB (Server Message Block) của Microsoft, bị một nhóm hacker tận dụng để tạo ra vụ tấn công Wannacry đã kêu gọi hành động nhằm giải quyết hạn chế của VEP, nghiêng về hướng tăng cường tiết lộ.

CISA và sự kháng cự của khu vực tư nhân

Đạo luật chia sẻ thông tin an ninh mạng (Cybersecurity Information Sharing Act – CISA) đã được thông qua để cải thiện an ninh mạng thông qua việc tăng cường chia sẻ thông tin về các mối đe dọa an ninh mạng giữa khu vực công và tư nhân. Mặc dù nó cung cấp bảo vệ trách nhiệm pháp lý cho khu vực tư nhân, nhiều công ty lớn tiếp tục thận trọng trong việc chia sẻ thông tin nhạy cảm, thông tin có khả năng giảm rủi ro với các công ty khác và chính phủ.

Sự mơ hồ về các tuyến phòng thủ

Các tổ chức tiếp tục gặp khó khăn trong việc xác định và thực hiện hiệu quả các tuyến phòng thủ đầu tiên và thứ hai. Mặc dù có một nhận thức chung rằng tuyến phòng thủ đầu tiên bao gồm các hoạt động bảo mật thông tin và tuyến phòng thủ thứ hai chịu trách nhiệm giám sát rủi ro mạng, các chuyên gia bảo mật, các nhà quản lý rủi ro và các cơ quan quản lý không nhất quán về việc thực hiện các khái niệm này. Sự mơ hồ trong lĩnh vực này có tác động quan trọng tới việc giảm thiểu rủi ro.

Xu hướng thị trường mạng

Tấn công giả lập để đo lường hiệu quả

Các tổ chức đang nắm lấy mô hình ATT & CK của MITER (Adversarial Tactics Techniques and Common Knowledge, kỹ thuật chiến thuật đối kháng và khung kiến thức chung có sẵn từ MITER, là một cơ sở tri thức được giám tuyển gồm 11 chiến thuật và hàng trăm kỹ thuật mà những kẻ tấn công có thể tận dụng khi xâm phạm doanh nghiệp) với một loạt sản phẩm và dịch vụ mới cung cấp những mô hình chi tiết, tốt hơn liên quan đến các chiến thuật đe dọa, các kỹ thuật và thủ tục đe dọa (Tactic-Technique-Procedure – TTP). Năm 2019 sẽ chứng kiến sự gia tăng các sản phẩm và dịch vụ có thể mô phỏng các chiến dịch tấn công, đe dọa và đề xuất các chiến lược giảm thiểu rủi ro và/hoặc xác thực tính hợp lệ của con người, quy trình và công nghệ để giải quyết các TTP này.

Các giải pháp nhận dạng di chuyển đến đám mây

Trước đây, các tổ chức thường ưu tiên quản lý tại chỗ các công cụ và dịch vụ danh tính của họ, đặc biệt là Active Directory (một dịch vụ thư mục của Microsoft) và quản lý tài khoản đặc quyền do tính chất nhạy cảm của thông tin cũng như tầm quan trọng chung trong việc bảo vệ thông tin để duy trì hoạt động kinh doanh. Ngày nay, các tổ chức đang dần chuyển sang các giải pháp quản lý danh tính và truy cập (Identity and Access Management – IAM) dựa trên đám mây do khả năng bảo mật ứng dụng dựa trên đám mây thực sự rất đáng khen ngợi. Việc di chuyển IAM sang đám mây tiếp tục quá trình di cư của sản phẩm bảo mật với bắt đầu là các sản phẩm phát hiện và phản hồi điểm cuối và được áp dụng trên toàn bộ các phân đoạn của ngành bảo mật.

Bùng nổ xác thực thông qua thiết bị di động

Việc chấp nhận và sử dụng sinh trắc học, nhận diện khuôn mặt, mã QR, vv thông qua thiết bị di động sẽ tăng lên khi các tổ chức và người dùng tin tưởng rằng các phương pháp này cung cấp bảo mật bổ sung cho các yếu tố “không an toàn” tại các địa điểm như buồng bỏ phiếu, đăng ký giấy phép phương tiện giao thông, v.v. Xu hướng chấp nhận đang gia tăng cũng liên kết với sự phát triển của hội tụ an ninh mạng-vật lý trong việc chứng minh danh tính – ví dụ, cần phải sử dụng nhận dạng khuôn mặt tại cửa an ninh, truy cập WiFi qua thiết bị, v.v.

Khách hàng ngày càng tập trung vào yếu tố quản lý rủi ro hiệu quả như một nhân tố tạo nên giá trị khác biệt

Các tác động của mã độc tống tiền “notPetya” đối với FedEx và vụ vi phạm dữ liệu tới Equifax không chỉ là các khoản chi phí – trong cả hai trường hợp, khách hàng đã rời bỏ công ty và công ty mất doanh thu. Hơn nữa, Equifax đã được chứng minhg là chống lại một số tiêu chuẩn bảo mật thông tin (ví dụ, PCI). Do đó, khách hàng sẽ không chỉ ngày càng tìm kiếm sự đảm bảo rằng các nhà cung cấp dịch vụ có các chương trình an ninh mạng tại chỗ mà còn nhìn vào các biện pháp tuân thủ để chứng minh hiệu quả thực tế.

Theo : http://ictvietnam.vn/

Thùy Linh