Dường như tin tặc đáng sợ của Nga đang gặp khó khăn ở Ukraine

Evan Dyer | DCVOnline

Tin tặc của Nga —  như quân đội của họ — có thể không đáng sợ như thế giới tưởng

Một ngày sau khi xe tăng Nga đột nhập biên giới của Ukraine vào ngày 24 tháng 2, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh cáo hiếm thấy, “Shields Up”, yêu cầu “mọi tổ chức — lớn và nhỏ — phải chuẩn bị sẵn sàng để ứng phó với những hoạt động gây rối không gian mạng.”

Người ta tin rằng Nga sẽ không chỉ tấn công Ukraine mà còn nhắm vào cả những đồng minh phương Tây của Ukraine.

Vì nhiều lý do, chuyện đó đã không thực sự xảy ra một cách quy mô.

Sami Khoury, người đứng đầu Trung tâm An ninh mạng Canada, nói với CBC News:

“Chúng tôi chưa thấy bất cứ điều gì có thể quy trực tiếp cho việc Nga chuyển hướng nhắm vào Canada. Có thể có những ảnh hưởng tràn sang Canada trong vài trường hợp, nhưng chúng tôi chưa thấy bất cứ điều gì nhắm trực tiếp vào cơ sở hạ tầng của Canada hoặc hệ thống mạng của Canada.”

Sami Khoury

Thay vào đó, Nga đã nhận thấy họ bị tấn công — trong một trường hợp với kết quả đáng xấu hổ mà chắc chắn phải làm lu mờ lễ kỷ niệm Ngày Chiến thắng của Tổng thống Vladimir Putin.

Khi RuTube, một loại YouTube của Nga, bị tin tặc gỡ xuống, trong khi YouTube vẫn hoạt động bình thường ở Nga và tiếp tục truyền tải những video cho thấy sự thống trị không gian thông tin mạng của Ukraine trong cuộc chiến này.

Các nhóm hacker như Tiểu đoàn 65 đã đánh cắp hàng loạt email và dữ liệu ở những trang web của chính phủ và công ty Nga. Vào tháng 3, lần đầu tiên, nhiều danh khoản email của Nga bị rò rỉ trực tuyến hơn bất kỳ quốc gia nào khác.

Tin tặc Nga thậm chí đã không thể làm gián đoạn cuộc bỏ phiếu trong Cuộc thi Bài hát Eurovision. (Ukraine đã thắng.)

Cũng giống như các sư đoàn thiết giáp của Nga đang xâm lăng Ukraine với danh tiếng đáng nể, rốt cuộc chỉ là sự thổi phồng quá mức, tầm hoạt động của các quân đoàn không gian mạng của Moscow có thể đã được đánh giá quá cao. Và cũng giống như cuộc chiến của Nga đã làm giảm uy tín của vũ khí Nga, nó cũng có thể dẫn đến việc đánh giá lại sức mạnh tương đối của các quốc gia trong thế giới ảo.

Ukraine có mọi lý do để mong đợi tifh trạng tồi tệ nhất đến với họ. Những cuộc tấn công trên mạng đã xảy ra ở đó kể từ khi chiến tranh bắt đầu vào năm 2014.

Lo ngại tình trạng xấu nhất

Một “nhóm đe dọa dai dẳng” của Nga được gọi là Sandworm đứng sau một cuộc tấn công vào tháng 12 năm 2015 vào lưới điện khiến Ukraine bị mất điện ở nhiều nơi.

Một năm sau, vào tháng 12 năm 2016, hệ thống tài chính Ukraine đã là mục tiêu của cuộc tấn công bằng phần mềm độc hại Năng lượng Đen cũng gây ra tình trạng cắt điện ở Kyiv.

Sau đó vào tháng 6 năm 2017, cùng một nhóm lại tấn công bằng một phần mềm độc hại mới rất mạnh tên Petya, gây ra sự hỗn loạn tại các bộ chính phủ, buộc các ngân hàng phải đóng cửa, gây nhiễu mạng viễn thông và một lần nữa làm gián đoạn lưới điện của Ukraine. Nhiều phi trường và đường sắt bị ảnh hưởng và hệ thống giám sát bức xạ của Chernobyl bị gián đoạn.

Giới chức chính phủ Ukraine và phương Tây quy trách nhiệm những cuộc tấn công cho GRU (cơ quan tình báo chính) và SVR (cơ quan tình báo nước ngoài) của Nga.

Năm ngoái, cơ quan an ninh SBU của Ukraine cho biết họ đã “vô hiệu hóa” trung bình 4 cuộc tấn công mạng mỗi ngày.

Vì vậy, nhiều người cho rằng một đoàn quân bot sẽ giữ vai trò tiên phong cho bất kỳ cuộc xâm lược thực sự nào bằng cách cắt điện và thông tin liên lạc, làm tắc nghẽn các liên kết giao thông và nói chung là gây ra sự nhầm lẫn.

Nga đã thử làm một cách khiêm tốn theo khuynh hướng đó.

Vào giữa tháng Giêng, một cuộc tấn công mạng đã tấn công khoảng 70 trang web của chính phủ Ukraine vài giờ sau khi các cuộc đàm phán giữa Nga và NATO không đạt được những nhượng bộ mà Điện Kremlin mong đợi. Một thông báo trên màn hình bật lên cho biết

“Tất cả thông tin về bạn đã được công bố, hãy sợ và đợi điều tồi tệ nhất. Tất cả quá khứ, hiện tại và tương lai của bạn.”

Nó lặp lại những câu ngụ ý quen thuộc của Điện Kremlin về Đức Quốc xã và cuộc đàn áp những người nói tiếng Nga.

Ngoài việc tấn công các trang mạng của chính phủ và quân đội, các cuộc tấn công từ chối dịch vụ (DDOS) còn nhắm vào hai ngân hàng, đóng cửa các máy ATM và các giao dịch bằng thẻ tín dụng.

Hack và tấn công

Nga mở một cuộc tấn công mạng khác vào Ukraine vào ngày xâm lăng với một Phần mềm ác tính tên Hermetic Wiper nhằm phá ổ cứng.

Tuần trước, chính phủ Canada tố cáo quân đội Nga đã “nhắm trực tiếp vào dịch vụ Internet vệ tinh Viasat KA—SAT ở Ukraine” hồi tháng Hai. Chính phủ Anh cho biết cuộc tấn công cũng nhằm vào các mục tiêu phụ như các trại điện gió ở Trung Âu.

Nhưng các đoàn tàu vẫn tiếp tục chạy và chính phủ Ukraine vẫn tiếp tục hoạt động. Cuộc tấn công ít gây thiệt hại hơn nhiều so với cuộc tấn công năm 2007 vào Estonia, hoặc các cuộc tấn công trước cuộc xâm lược Gruzia năm 2008.

Ali Dehghantanha, Chủ tịch nhóm nghiên cứu Canada về An ninh mạng và Tình báo về Đe dọa tại Đại học Guelph, cho biết Nga có thể đã sử dụng dưới khả năng tấn công mạng vì họ tự tin sẽ nhanh chóng thắng về mặt quân sự.

Nhưng Ukraine cũng đã tăng cường phòng thủ tốt hơn sau nhiều năm liên tiếp bị tấn công, Dehghantanha nói thêm.

“Vì kinh nghiệm trước đây của họ với Nga, vào thời điểm xảy ra xung đột ở Crimea, Ukraine — với sự hỗ trợ của các đồng minh phương Tây — lần này đã bảo vệ cơ sở hạ tầng vật chất rất vững.”

Sự tham gia của phương Tây

Các đối tác phương Tây đó kể cả cơ quan chống gián điệp kỹ thuật số của Canada, Cơ quan An ninh Truyền thông (CSE).

Ryan Foreman của CSE nói với CBC News:

“Mặc dù chúng tôi không thể nói về các hoạt động cụ thể, nhưng chúng tôi có thể xác nhận rằng CSE đã theo dõi hoạt động đe dọa mạng liên quan đến cuộc khủng hoảng hiện tại.

CSE đã và đang chia sẻ thông tin tình báo về mối đe dọa mạng rất giá trị với các đối tác quan trọng ở Ukraine và tiếp tục làm việc với quân đội Canada để hỗ trợ Ukraine.”

Ryan Foreman

Tất nhiên CSE cũng phải lo ngại về tài sản của chính Canada.

Trong nhiều năm, những cuộc tấn công mạng lớn vào các tài sản ở Bắc Mỹ đã diễn ra thường xuyên. CISA đã tổng hợp một danh sách dài các tài sản trên mạng của Mỹ mà họ coi là mục tiêu thèm muốn của những hoạt động gây rối và trộm cắp của Nga, kể cả “những nghiên cứu COVID-19, chính phủ, tổ chức bầu cử, y tế và dược phẩm, quốc phòng, năng lượng, trò chơi điện tử, hạch tâm, cơ sở thương mại , nước, hàng không và sản xuất quan trọng.”

Ông Foreman nói với CBC:

“Nga có khả năng đáng kể trên không gian mạng và đã cho thấy một lịch sử sử dụng khả năng đó một cách vô trách nhiệm. Việc này gồm thỏa hiệp mạng SolarWinds, phát triển vaccine COVID-19, tiến trình dân chủ của Georgia và phần mềm độc hại NotPetya.”

Ryan Foreman

Chiến thuật dùng súng săn

Dehghantanha cho biết các tin tặc do nhà nước bảo trợ hiện đang chuyển từ việc xây dựng phần mềm độc hại tinh vi nhất sang sử dụng nhiều phương pháp phân tán hơn — một phương pháp liên quan đến việc cài đặt các cửa sau đơn giản hơn vào một loạt các mục tiêu cơ sở hạ tầng ít được bảo vệ kỹ lưỡng. Ông nói:

“Trước năm 2020, chúng tôi thấy có rất nhiều nỗ lực  xây dựng phần mềm độc hại tốt nhất hoặc trình gạt tốt nhất hoặc cách khai thác tốt nhất. Vấn đề là, nếu đối thủ của bạn phát giác ra phần mềm độc hại đó, họ biết rất nhiều về bạn, về khả năng của bạn, tất cả các khoản đầu tư của bạn.

Vì vậy, nếu bạn dùng phần mềm độc hại tiên tiến nhất, bạn có thể mất hai hoặc ba năm nghiên cứu và phát triển. Nhưng kể từ thời điểm nó được sử dụng và bắt đầu gây ra ảnh hưởng, nạn nhân chỉ mất vài tuần để giải quyết nó.”

Ali Dehghantanha

Hacktivists ở chiến trường

Dehghantanha cho biết tin tặc của Nga đã đạt chút thành công trong lĩnh vực mới nổi là “an ninh mạng xã hội”; ở đó nơi mà các tin tặc hành xử giống như những kẻ tấn công.

Ông nói:

“Chi phí xây dựng nội dung giả mạo trông rất thuyết phục với công chúng ngày nay khá thấp. Và tôi nhận thấy sự thay đổi nhanh chóng trong hoạt động của các nhóm tin tặc theo hướng đó. Thay vì cố gắng gây ảnh hưởng đến cơ sở hạ tầng tài chính hoặc cơ sở hạ tầng kỹ thuật thông tin, chúng ta có thể gây ảnh hưởng đến con người và đạt được kết quả tương tự.”

Ali Dehghantanha

Một ví dụ về một cuộc tấn công “hacktivist giả” như vậy có thể là một chiến dịch phát tán sông tin sai lệch nhằm gieo rắc sự hoảng sợ trong một ngôi làng hoặc huyện cụ thể.

Dehghantanha nói: “Họ cố tình gây ảnh hưởng ở độ vi mô đó.”

Ukraine cũng cảnh cáo rằng họ có thể chưa thấy được hết những ảnh hưởng tiêu cực cuộc tấn công trên mạng của Nga.

Viên chức hàng đầu phụ trách mạng của nước này, Victor Zhora, cho biết gần đây, Nga đã đánh cắp dữ liệu của chính phủ Ukraine để cung cấp cho quân đội của họ danh một sách những người, cần bắt giữ hoặc ám sát trong các khu vực bị chiếm đóng. Ông ấy nói rằng ông lo ngại rằng dữ liệu đó đã được sử dụng.

Dưới bụng vẫn yếu, dễ bị tấn công

Dehghantanha cho biết Canada vẫn dễ bị tấn công — “đặc biệt là những yếu kém của cơ sở hạ tầng quan trọng như hệ thống lọc nước, ngành nông nghiệp, bất kỳ chuỗi cung ứng đơn lẻ nào và tất nhiên, đường ống dẫ dâu khí.”

Ngày càng nhiều, những kẻ thù địch đã gieo mầm phần mềm độc hại từ trước nhằm mục đích tấn công nhiều tháng hoặc nhiều năm trong tương lai. Dehghantanha cho biết Canada nên siết chặt những yêu cầu đối với những công ty tư nhân điều hành cơ sở hạ tầng quan trọng.

Nhà máy hạch tâm Pickering ở phía đông Toronto vào ngày 18 tháng 8 năm 2003. Cơ sở hạ tầng điện lực được coi là mục tiêu chính cho các cuộc tấn công mạng của phe thù địch. (Kevin Frayer / Báo chí Canada)

Dehghantanha nói,

“Chúng ta cần thay đổi chính sách, từ danh sách đen đổi sang danh sách trắng, có nghĩa là thay vì nói với bạn rằng bạn không thể cài đặt A, B và C và được phép đặt bất kỳ thứ gì khác, chúng ta cần nói rằng bạn chỉ có thể làm việc với A, B và C và không được phép làm với bất kỳ thứ nào khác.

Không có cách nào, không có nguồn tài nguyên nào cho một quốc gia có thể giám sát tất cả mọi thứ. Vì vậy, tốt hơn là chúng ta chỉ giới hạn mình ở những công ty cung cấp cụ thể, với một sản phẩm cụ thể mà chúng ta biết.”

Sự cân bằng có thể thay đổi nhanh chóng

Foreman cho biết CSE liên hệ thường xuyên “với các đối tác cơ sở hạ tầng quan trọng của Canada qua những kênh được bảo vệ” ngoài những những cố vấn công cộng của họ. Ông nói thêm,

“Bây giờ là lúc để thực hiện hành động phòng thủ và chủ động”

Ông nói, điều đó có nghĩa là cô lập các hệ thống quan trọng, tách chúng khỏi internet, tạo ra và kiểm soát những bản sao lưu cũng như thí nghiệm kiểm soát không tự động để  bảo đảm những hệ thống quan trọng vẫn hoạt động khi mạng bị lỗi.

Dehghantanha cho biết ông không muốn hạ thấp mối đe dọa do Nga gây ra chỉ vì nó đã bị áp đảo ở Ukraine. Ông nói,

“Chiến tranh mạng không giống như một bàn cân mà bạn có thể nói rằng tôi có súng lớn hơn hoặc nhiều máy bay hơn, vì vậy tôi mạnh hơn. Ở đây hoàn toàn không phải vậy.

Bạn có thể chỉ có mười tên tin tặc tấn công mạng giỏi tay nghề có thể dựng một cơ hội khai thác và có thể truy cập vào cơ sở hạ tầng quan trọng đó, và chúng tạo ra một sự thay đổi đáng kể.”

Tác giả | Evan Dyer đã là một nhà báo làm việc 18 năm với CBC, sau thời gian đầu làm nhà báo tự do ở Argentina. Ông làm việc trong Văn phòng Quốc hội và có thể liên lạc được tại [email protected].

© 2022 DCVOnline

Nếu đăng lại, xin ghi nguồn và đọc “Thể lệ trích đăng lại bài từ DCVOnline.net”

---

Nguồn:  Russia’s dreaded cyberwarriors seem to be struggling in Ukraine | Evan Dyer · CBC News · May 22, 2022