2021 được coi là năm hoành hành của tin tặc khi các vụ tấn công ngày càng hung hãn và tăng đáng kể về tần suất.
Trong bối cảnh đại dịch vẫn lan rộng, các nhà quản trị hệ thống và lực lượng an ninh mạng toàn cầu cũng phải làm việc không ngừng nghỉ để đối phó với những cuộc khai thác mạng dồn dập.
Trò chơi mèo đuổi chuột giữa hai bên vẫn chưa có dấu hiệu chấm dứt. “2021 chứng kiến những vấn đề vốn chưa được giải quyết từ cách đây nhiều năm quay lại ám ảnh chúng ta”, John Scott-Railton, nhà nghiên cứu tại phòng thí nghiệm Citizen Lab của Đại học Toronto (Canada), nhận xét.
Colonial Pipeline
Hồi tháng 5, tin tặc tung đòn tấn công mã độc tống tiền (ransomware) nhằm vào Colonial Pipeline, nhà điều hành mạng lưới đường ống dài gần 8.900 km, cung cấp gần một nửa nhu cầu nhiên liệu cho Bờ Đông nước Mỹ. Công ty này phải đóng cửa một phần mạng lưới để kiểm soát phần mềm độc hại, trong khi hệ thống thanh toán cũng bị tin tặc vô hiệu hóa.
![Xe bồn tại cơ sở của Colonial Pipeline ở bang Alabama năm 2016. Ảnh: AP]({"default":{"load":"default","w":"68","h":"38","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9zbK.img?h=382&w=680&m=6&q=60&o=f&l=f"},"size3column":{"load":"default","w":"62","h":"35","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9zbK.img?h=351&w=624&m=6&q=60&o=f&l=f"},"size2column":{"load":"default","w":"62","h":"35","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9zbK.img?h=351&w=624&m=6&q=60&o=f&l=f"}})
Xe bồn tại cơ sở của Colonial Pipeline ở bang Alabama năm 2016. Ảnh: AP
Hàng chục bang từ Florida đến Virginia ban bố tình trạng khẩn cấp vì sự cố của Colonial Pipeline, khiến người dân kéo đến các trạm xăng mua nhiên liệu tích trữ. Bộ Giao thông Vận tải và Cơ quan Bảo vệ Môi trường Mỹ phải ra quyết định khẩn cấp nhằm nới lỏng các quy định vận chuyển nhiên liệu giữa các bang bị ảnh hưởng, giảm bớt tình trạng khan hiếm nguồn cung.
Cục Điều tra Liên bang Mỹ (FBI) cáo buộc nhóm tin tặc DarkSide đứng sau vụ hack. Nhằm xử lý sự cố, Colonial Pipelines đã trả khoản tiền chuộc 75 Bitcoin, tương đương 4 triệu USD khi đó. Sau đó, các cơ quan hành pháp Mỹ đã thu hồi được một phần số tiền này, nhưng DarkSide vẫn lẩn trốn. Bộ Ngoại giao Mỹ hồi tháng 11 treo thưởng 10 triệu USD cho thông tin về thủ lĩnh nhóm tin tặc.
Sự việc của Colonial Pipeline trở thành hồi chuông cảnh tỉnh cho Mỹ và nhiều nước về nhu cầu phải xử lý các vụ tấn công ransomware.
Kaseya
Vụ tấn công SolarWinds là một trong những sự cố đáng nhớ nhất liên quan tới chuỗi cung ứng phần mềm năm ngoái, trong khi đòn đánh nhằm vào Kaseya cũng để lại tác động tương tự hồi giữa năm nay.
Kaseya là công ty công nghệ có trụ sở tại bang Miami (Mỹ), chuyên cung cấp công cụ cho các doanh nghiệp gia công phần mềm và các tiện ích khác, chủ yếu là công ty vừa và nhỏ. Ngày 2/7, một nhóm hacker đã đột nhập vào bộ công cụ Quản trị Hệ thống Ảo (VSA) và dùng ransomware để tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này.
Ngày 5/7, CEO Kaseya xác nhận khoảng 800-1.500 doanh nghiệp khắp thế giới bị ảnh hưởng. Theo giới bảo mật, vụ Kaseya được xem là một trong những đợt tấn công ransomware có quy mô lớn kỷ lục trong lịch sử. Công ty an ninh mạng Eset thống kê khoảng 10 quốc gia bị ảnh hưởng, trong đó có cả trường học, cơ quan chính phủ, ngân hàng, tổ chức du lịch và giải trí.
![REvil được cho là thủ phạm tấn công hệ thống Kaseya. Ảnh: Lifars]({"default":{"load":"default","w":"68","h":"45","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9E7e.img?h=453&w=680&m=6&q=60&o=f&l=f"},"size3column":{"load":"default","w":"62","h":"42","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9E7e.img?h=416&w=624&m=6&q=60&o=f&l=f"},"size2column":{"load":"default","w":"62","h":"42","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9E7e.img?h=416&w=624&m=6&q=60&o=f&l=f"}})
REvil được cho là thủ phạm tấn công hệ thống Kaseya. Ảnh: Lifars
Ngày 5/7, nhóm hacker REvil nhận trách nhiệm, đồng thời yêu cầu mỗi doanh nghiệp nộp từ 45.000 đến 5 triệu USD để mở khóa dữ liệu. Nhóm cũng ra giá 70 triệu USD tiền chuộc nếu muốn cung cấp công cụ giải mã đầy đủ cho toàn bộ doanh nghiệp bị ảnh hưởng.
Tuy nhiên, nhóm hacker này mất tích không lâu sau đó. Cuối tháng 11, Bộ Tư pháp Mỹ thông báo đã bắt được một trong những nghi phạm của vụ tấn công và đang chờ dẫn độ từ Ba Lan.
Twitch
Ứng dụng livestream thuộc sở hữu của Amazon xác nhận bị xâm nhập hồi tháng 10, sau khi một tổ chức không rõ danh tính tung ra kho dữ liệu độc quyền 128 GB đánh cắp từ công ty này, trong đó chứa đầy đủ mã nguồn của Twitch.
Amazon cho biết sự việc bắt nguồn từ “thay đổi thiết lập máy chủ cho phép bên thứ ba truy cập trái phép”, đồng thời bác bỏ nguy cơ lộ mật khẩu người dùng. Tuy nhiên, Twitch thừa nhận dữ liệu doanh thu của các streamer đã bị đánh cắp, bên cạnh thông tin về hệ thống Twitch AWS và các bộ phần mềm độc quyền.
Microsoft Exchange
Một nhóm tin tặc đã lợi dụng điểm yếu trong hệ thống máy chủ Exchange của Microsoft, qua đó tấn công vào nhiều cơ quan trọng yếu của Mỹ và châu Âu. Tập đoàn phần mềm Mỹ nghi ngờ thủ phạm là nhóm hacker Hafnium với mục tiêu tấn công tập trung ở lĩnh vực như công nghiệp, luật, giáo dục, quốc phòng, các tổ chức nghiên cứu bệnh truyền nhiễm, tổ chức phi chính phủ.
![Lỗ hổng Exchange gây tác hại lớn đến hàng chục nghìn thực thể Mỹ và châu Âu. Ảnh: The Verge]({"default":{"load":"default","w":"68","h":"43","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9llY.img?h=429&w=680&m=6&q=60&o=f&l=f"},"size3column":{"load":"default","w":"62","h":"39","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9llY.img?h=394&w=624&m=6&q=60&o=f&l=f"},"size2column":{"load":"default","w":"62","h":"39","src":"//img-s-msn-com.akamaized.net/tenant/amp/entityid/AAS9llY.img?h=394&w=624&m=6&q=60&o=f&l=f"}})
Lỗ hổng Exchange gây tác hại lớn đến hàng chục nghìn thực thể Mỹ và châu Âu. Ảnh: The Verge
Microsoft đã phát hành bản cập nhật khẩn cấp để vá lỗi mà tin tặc có thể khai thác. Tuy nhiên, giới chuyên gia cho rằng đợt tấn công đã diễn ra từ lâu và nhiều tổ chức mất quá nhiều thời gian để cài đặt bản vá, thậm chí nhiều bên dường như cũng không hành động.
NSO Group
Công ty NSO Group (Israel) nổi tiếng với Pegasus, phần mềm do thám lợi dụng lỗ hổng zero-day của iPhone để âm thầm xâm nhập vào điện thoại và đọc dữ liệu trên đó, gồm cả tin nhắn và nhiều thông tin khác.
Tổ chức Ân xá Quốc tế đầu năm nay cho biết đã tìm thấy bằng chứng iPhone 12 bị tấn công, khiến 50.000 số điện thoại bị rò rỉ. Trong đó, phần mềm của NSO Group được dùng để theo dõi người thân của Jamal Khashoggi, nhà báo làm việc cho Washington Post bị sát hại ở Thổ Nhĩ Kỳ. Hồi tháng 9, Pegasus cũng được tìm thấy trên điện thoại của ít nhất 5 bộ trưởng Pháp. Công ty Meta cũng từng tố cáo NSO Group sử dụng máy chủ WhatsApp để phát tán phần mềm độc hại tới 1.400 điện thoại di động của các nhà báo, nhà ngoại giao, nhà hoạt động nhân quyền, quan chức chính phủ cấp cao.
NSO Group khẳng định Pegasus được xây dựng chỉ để chống tội phạm, khủng bố, đồng thời phủ nhận mọi cáo buộc rằng nó bị lợi dụng cho hoạt động gián điệp hay do thám.
Log4Shell
Tháng 12, giới bảo mật chấn động khi lỗ hổng Log4Shell được tìm thấy trong Apache Log4j – tập tin ghi lại nhật ký hoạt động của các ứng dụng thường dùng để truy vết lỗi. Lỗ hổng cho phép kẻ tấn công chiếm quyền điều khiển từ xa đối với hệ thống chạy ứng dụng bằng Java. Nhiều chuyên gia xem đây là lỗ hổng nguy hiểm nhất thập kỷ. Tổ chức giám sát sự phát triển phần mềm Apache Software Foundation xếp hạng lỗ hổng 10/10 điểm, tức ở mức nguy hiểm nhất.
Theo công ty an ninh mạng Check Point, hacker đã thực hiện hơn 1,2 triệu cuộc tấn công cuộc tấn công lợi dụng Log4Shell trong tháng 12.
Tại Việt Nam, Cục An toàn thông tin – Bộ Thông tin và Truyền thông cũng đưa ra cảnh báo lỗ hổng có thể gây ảnh hưởng đến nhiều hệ thống thông tin trong nước. Cục khuyến cáo các đơn vị kiểm tra, rà soát hệ thống thông tin có sử dụng Apache Log4j và cập nhật phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục.
Điệp Anh (theo Wired)
