Có một Biển Đông trên không gian mạng
Thái Dương
Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnect và ESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.
Mạng máy tính chính phủ Việt Nam liên tục bị tấn công khi có căng thẳng trên Biển Đông
ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.
Trên Internet có nhiều nhóm hacker với các động cơ khác nhau. Có những thanh niên đang tập tễnh vào nghề an ninh mạng muốn tấn công để chứng tỏ kỹ năng, cũng có những tập đoàn tội phạm tấn công để kiếm tiền. Những nhóm này thường quét toàn bộ Internet để tìm mục tiêu, gặp ai hack đó, không cần biết lý do. Không quá khó để ngăn chặn những nhóm hacker như vầy, vì họ chỉ muốn tìm những mục tiêu dễ nhất.
Một số nhóm hacker lại thường ra tay để thể hiện lòng yêu nước hay để gửi đi một thông điệp chính trị (hacktivism). Nếu ở Phương Tây có nhóm Anonymous thì ở Trung Quốc có nhóm 1937CN, vừa qua đã phá hoại hệ thống mạng máy tính ở sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines. Mục đích của những nhóm hacker này là tạo tiếng vang, nên họ thường chọn mục tiêu theo dòng sự kiện. Do thiếu một chiến lược lâu dài cùng với sự tổ chức quy cũ bài bản, các nhóm hacktivism thường chỉ có tác động ngắn hạn, nổi lên một vài năm rồi sẽ tan rã, một phần trong số đó sẽ gia nhập vào các nhóm hacker được bảo trợ bởi chính phủ và thuộc biên chế quân đội các nước. Đây chính là những nhóm hacker đáng lo ngại nhất. Với nguồn tài chính dồi dào, nguồn nhân lực chất lượng cao, những “tiểu đội” hacker này có nhiệm vụ xâm nhập vào hệ thống mạng máy tính của các cơ quan nhà nước ở các quốc gia khác để do thám (espionage) và phá hoại (sabotage). Là cánh tay nối dài của những cơ quan tình báo, những nhóm hacker này có tầm nhìn dài hạn, có chiến lược được tính bằng thập kỷ, rất kiên nhẫn, không dễ gì bỏ cuộc.
Tấn công mà ESET mô tả là một tấn công được thực hiện bởi một nhóm hacker như vậy. Kẻ tấn công hiểu rõ nạn nhân (máy tính có cài đặt BKAV) và toàn bộ chiếc dịch của họ chỉ nhằm vào một mục tiêu duy nhất. Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.
Một phần của mã độc được gửi đến Bộ Tài Nguyên Môi Trường Việt Nam. Đoạn mã này sẽ vô hiệu hóa phần mềm BKAV. Nguồn: http://www.welivesecurity.com/2014/06/20/targeted-attack-against-vietnamese-government-right-on-the-monre/.
Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.
Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì dàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.
Trích đoạn một tài liệu tiếng Việt được nhóm hacker Trung Quốc với biệt danh Yêu Tinh Gấu Trúc sử dụng để làm mồi nhử cho các cuộc tấn công vào các cơ quan nhà nước Việt Nam. Câu đầu tiên của văn bản này có nhắc đến dàn khoan HD-981. Nguồn: http://go.crowdstrike.com/rs/281-OBQ-266/images/ReportGlobalThreatIntelligence.pdf.
Sự kiện mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị phá hoại vào cuối tháng 7 năm 2016 thật ra là một tin vui đối với những ai lo lắng cho tình hình an ninh mạng ở Việt Nam. Thiệt hại của vụ tấn công này không lớn, nhưng đã giúp hướng sự chú ý đến mạng máy tính ở những hệ thống trọng yếu, nhạy cảm và có thể sẽ giúp phát hiện ra những nhóm hacker “lạ", chúng tôi tin rằng, đã “nằm vùng" từ rất lâu ở những nơi này.
Trung Quốc muốn thiết lập vùng cấm bay ở Biển Đông, nên từ mấy năm nay các nhóm hacker Gấu Trúc đã âm thầm tấn công các hãng máy bay trong khu vực. Bọn chúng muốn xâm nhập Vietnam Airlines, chúng tôi dự đoán, để lấy cắp thông tin về các chuyến bay, các kế hoạch mở rộng đường bay, kể cả lịch của các chuyến bay quân sự mà Bộ Quốc Phòng Việt Nam có thể đã chia sẻ với Vietnam Airlines.
Hệ thống mạng máy tính Việt Nam rất dễ bị tổn thương
Chúng tôi không ngạc nhiên khi hacker Trung Quốc (và có thể nhiều nước khác) dễ dàng “ra vô như đi chợ" hệ thống mạng của các cơ quan chính phủ Việt Nam. Phương thức tấn công nhúng mã độc vào các tệp văn bản rồi gửi đến hộp thư điện tử của nạn nhân (spear phishing) rất đơn giản nhưng cũng cực kỳ hiệu quả, đơn giản vì đại đa số máy tính ở Việt Nam cài đặt sử dụng phần mềm không rõ nguồn gốc hoặc không được cập nhật thường xuyên và đại đa số người dân thiếu những kiến thức cơ bản về an toàn thông tin.
Theo thống kê của hãng phần mềm Microsoft, từ năm 2011 đến nay Việt Nam luôn nằm trong nhóm các quốc gia có tỉ lệ nhiễm mã độc cao nhất thế giới. Nếu như quý 1 năm 2015, tỉ lệ các máy tính đã từng ít nhất một lần chạm trán mã độc ở Việt Nam chỉ là 37.1% thì đến quý 4 năm 2015, tỉ lệ này đã là 50.7%. Ngoài ra nếu như trong trong quý 1 năm 2015, cứ 1000 máy tính thì ít nhất 30 máy tính đã từng bị nhiễm mã độc thì cho đến quý 4 năm 2015 tỉ lệ này đã tăng lên 40/1000. Đây là một quả bom nổ chậm cần phải được tháo ngòi càng sớm càng tốt nếu muốn đảm bảo an ninh quốc gia và an toàn ổn định xã hội.
Ở một xã hội thiếu niềm tin như Việt Nam, nơi mà một tin đồn không rõ nguồn gốc có thể khiến người dân lũ lượt kéo nhau ra rút tiền vì sợ chủ ngân hàng sẽ bỏ trốn, chuyện gì sẽ diễn ra nếu như một buổi sáng 50% người sử dụng máy tính ở Việt Nam khi truy cập vào các tờ báo điện tử đều thấy thông tin thị trường chứng khoán sụp đổ và các nhà băng chuẩn bị đóng cửa? Đây không phải là chuyện viễn tưởng, với tình trạng nhiễm mã độc hiện tại, những nhóm hacker đứng đằng sau các mã độc đang hoành hành ở Việt Nam hoàn toàn có thể thực hiện được kịch bản này và hậu quả cho nền kinh tế Việt Nam sẽ là không thể tưởng tượng được.
Đại dịch mã độc không phải là vấn đề an toàn thông tin lớn nhất ở Việt Nam. Vấn đề lớn nhất là đầu tư chệch hướng. Như chúng tôi đã cảnh báo trong một bài báo trên Tuổi Trẻ, phần lớn ngân sách an toàn thông tin được dùng để mua sắm trang thiết bị, giải pháp sẵn có, thay vì đầu tư đào tạo, tuyển dụng đội ngũ kỹ sư, chuyên gia, người quản lý an toàn thông tin có trình độ chuyên môn cao. Chẳng hạn như để ngăn chặn đại dịch mã độc, nhiều nơi sẽ tính đến chuyện đi mua các giải pháp chống mã độc của BKAV, Kaspersky hay các hãng khác. Nhưng, xin nhắc lại, các máy tính của Bộ Tài Nguyên Môi Trường đều cài đặt BKAV và mã độc đã dễ dàng vô hiệu hóa!
Không phải chỉ có BKAV, tất cả phần mềm chống mã độc đều dễ dàng bị vượt qua hoặc vô hiệu hóa. Năm 2013, sau khi đưa thông tin về tài sản của gia đình thủ tướng Trung Quốc Ôn Gia Bảo, tờ New York Times thông báo rằng họ đã bị hacker Trung Quốc xâm nhập. Lúc bấy giờ mạng máy tính của tờ New York Times sử dụng phần mềm chống mã độc của hãng Symantec, nhưng phần mềm này chỉ bắt được duy nhất 01 mã độc, trong tổng số 45 mã độc mà hacker Trung Quốc cài cắm vào hệ thống của New York Times. Trả lời phỏng vấn báo chí, người phát ngôn của Symantec nói rằng “Một mình phần mềm chống mã độc là không đủ" và đề nghị New York Times… mua thêm giải pháp khác của họ.
Muốn đảm bảo an toàn thông tin phải giải quyết được ba vấn đề lớn: phòng chống, phát hiện và xử lý xâm nhập. Một tòa nhà an toàn phải có cửa kiên cố để phòng chống trộm, phải có hệ thống camera theo dõi để phát hiện kẻ gian và cuối cùng phải có bảo vệ túc trực để xử lý khi có ai đó muốn đột nhập. Trao đổi với chúng tôi anh Phương N., một trong số các chuyên gia bảo mật Việt Nam được biết đến trên thế giới, cho rằng Việt Nam quá tập trung vào phòng chống nhưng lại không có người cho hai khâu còn lại, khi xảy ra sự cố thì không biết xử lý thế nào. Một ngân hàng dẫu có cửa sắt kiên cố đến chừng nào mà không có camera quan sát theo dõi và đội ngũ bảo vệ túc trực thì cũng sẽ bị trộm viếng thăm. Các giải pháp bảo mật sẵn có không thể nào chống lại những tay hacker lành nghề, giống như cửa sắt có kiên cố cỡ nào cũng không thể chống lại các bậc thầy nhập nha.
Nói tóm lại, không thể nào chống lại hacker bằng cách đi mua giải pháp có sẵn. Máy móc thiết bị chỉ là dụng cụ hỗ trợ, cách duy nhất chống được hacker là phải có chuyên gia giỏi hơn. Những chuyên gia giỏi nhất của Việt Nam có trình độ không thua kém các nước trong khu vực, thực tế trong các cuộc thi về hacking ở Đông Nam Á Việt Nam thường đứng đầu. Nhưng nếu so với Trung Quốc và các cường quốc trên thế giới thì hiện tại Việt Nam thua xa cả về số lượng lẫn chất lượng. Chính sự thiếu hụt chuyên gia lành nghề là nguyên nhân dẫn đến tình trạng xuống cấp của hệ thống mạng máy tính ở các cơ quan chính phủ Việt Nam.
Việt Nam phải bắt đầu bằng cách xây dựng một đội ngũ hạt nhân bao gồm các chuyên gia giỏi nhất mà Việt Nam đang có. Nhưng ngành an toàn thông tin có đặc thù là rất khó đánh giá trình độ thật sự của chuyên gia. Không có chuyên gia đã đành, tin nhầm chuyên gia dởm tiền mất tật mang. Cách tốt nhất để đánh giá một nhà khoa học là hỏi ý kiến một nhà khoa học khác làm cùng ngành. Tương tự như vậy, cách tốt nhất để đánh giá một chuyên gia bảo mật là hỏi ý kiến các chuyên gia bảo mật khác. Phải hỏi không chỉ chuyên gia Việt Nam, mà còn phải hỏi cả chuyên gia nước ngoài, vì Việt Nam có nhiều chuyên gia rất nổi tiếng hoàn toàn không được biết đến trên thế giới.