NotPetya, cuộc tấn công mạng tàn khốc nhất trong lịch sử - Kỳ 1

KHI NGƯỜI KHỔNG LỒ VẬN TẢI BIỂN BỊ 'ĐUỐI NƯỚC'

"Người khổng lồ" vận tải biển Maersk đã hứng chịu một cuộc khủng hoảng do bị mã độc NotPetya tấn công. Ảnh: Graham Cluley

Buổi chiều hoảng loạn

Đó là một buổi chiều hè đầy nắng hoàn hảo ở Copenhagen (Đan Mạch) nhưng cũng là khi tập đoàn vận tải biển lớn nhất thế giới bắt đầu rơi vào hỗn loạn.

Trụ sở chính của A.P. Møller-Maersk, thường được biết đến với cái tên Maersk, nằm bên cạnh lối đi dạo lát đá cuội mát mẻ của bến cảng Copenhagen. Cột buồm của một con tàu mang cờ Đan Mạch được cắm ở góc đông bắc của tòa nhà và sáu tầng đều có cửa sổ màu xanh nhìn ra mặt biển, đối diện với bến tàu nơi hoàng gia Đan Mạch đỗ du thuyền. Trong tầng hầm của tòa nhà, nhân viên có thể dạo qua một cửa hàng quà tặng của công ty, nơi bày bán các loại túi và cà vạt mang nhãn hiệu Maersk, thậm chí cả mô hình Lego hiếm hoi của con tàu container Triple-E khổng lồ của công ty, một con tàu lớn gần bằng Tòa nhà Empire State.

Cửa hàng quà tặng đó cũng có một trung tâm trợ giúp công nghệ, một bàn làm việc duy nhất có nhân viên khắc phục sự cố công nghệ thông tin (IT), ngồi bên cạnh nhân viên thu ngân của cửa hàng.

Vào chiều ngày 27/6/2017, các nhân viên Maersk bắt đầu tập trung tại bàn trợ giúp đó theo từng nhóm hai và ba người, hầu hết đều mang theo máy tính xách tay. Trên màn hình của họ là những dòng chữ màu đỏ và đen. Một số ghi “đang sửa chữa hệ thống tệp trên C”, với cảnh báo là không được tắt máy tính. Trên những laptop khác, kỳ lạ hơn, là dòng chữ “Rất tiếc, các tệp quan trọng của bạn đã được mã hóa” và yêu cầu thanh toán số bitcoin trị giá 300 USD để giải mã chúng.

Bên kia đường, một quản trị viên IT tên là Henrik Jensen đang làm việc tại một khu vực khác của khu phức hợp Maersk. Giống như hầu hết các nhân viên của Maersk, Jensen lo ngại hậu quả của việc lên tiếng công khai về rắc rối này. Anh đang bận chuẩn bị cập nhật phần mềm cho gần 80.000 nhân viên của Maersk thì máy tính cá nhân tự dưng khởi động lại.

Jensen lặng lẽ chửi thề trong hơi thở. Anh cho rằng việc khởi động lại ngoài dự định là một động thái thô bạo thường thấy của bộ phận IT trung tâm của Maersk, một đơn vị ít được yêu thích ở Vương quốc Anh, nơi giám sát hầu hết đế chế vận tải biển này, với 8 mảng kinh doanh trải dài từ cảng, hậu cần đến khoan dầu, tại 574 văn phòng ở 130 quốc gia trên toàn cầu.

Jensen ngước lên hỏi xem có ai khác trong văn phòng bị gián đoạn một cách thô lỗ như vậy không. Và khi nghển cổ lên, anh kinh ngạc thấy tất cả màn hình máy tính khác xung quanh phòng nhấp nháy liên tục.

“Tôi thấy một làn sóng màn hình chuyển sang màu đen. Đen, đen, đen”, anh nói. Jensen và những người đồng nghiệp nhanh chóng phát hiện ra rằng những chiếc PC này đã bị khóa không thể phục hồi được. Việc khởi động lại chỉ đưa chúng trở lại cùng một màn hình đen.

Màn hình máy tính khi bị mã độc tấn công. Ảnh minh họa: crowdstrike

Khắp các trụ sở của Maersk, quy mô toàn diện của cuộc khủng hoảng bắt đầu trở nên rõ ràng. Trong vòng nửa giờ, các nhân viên Maersk chạy dọc hành lang, la hét yêu cầu đồng nghiệp tắt máy tính hoặc ngắt kết nối khỏi mạng trước khi bị phần mềm độc hại lây nhiễm. Họ hiểu rằng thêm mỗi phút có thể có nghĩa là có thêm hàng chục hoặc hàng trăm PC bị hỏng. Các nhân viên công nghệ chạy vào phòng họp và rút phích cắm điện ngay giữa cuộc họp.

Việc ngắt kết nối toàn bộ mạng lưới toàn cầu của Maersk đã khiến đội ngũ IT của công ty mất hơn hai giờ đồng hồ hoảng loạn.

Khoảng 3 giờ chiều, một giám đốc điều hành của Maersk bước vào phòng, nơi Jensen và khoảng hơn chục đồng nghiệp đang hồi hộp chờ đợi tin tức và bảo họ về nhà. Mạng của Maersk bị hỏng nặng đến mức ngay cả nhân viên IT cũng bất lực.

Jensen bước ra khỏi tòa nhà và hòa mình vào bầu không khí ấm áp của buổi chiều cuối tháng Sáu. Giống như đại đa số nhân viên của Maersk, anh không biết khi nào mình có thể quay lại làm việc. Người khổng lồ hàng hải - nơi đã thuê Jensen chịu trách nhiệm quản lý 76 cảng trên khắp thế giới và gần 800 tàu biển, bao gồm cả tàu container chở hàng chục triệu tấn hàng hóa, chiếm gần 1/5 năng lực vận tải biển của toàn thế giới - lúc này như chìm trong biển nước.

Nơi khởi phát mã độc

Ở rìa khu phố Podil thời thượng ở thủ đô Kiev của Ukraine, một khung cảnh công nghiệp ảm đạm hiện ra. Dưới một cầu vượt đường cao tốc, là trụ sở bốn tầng của Linkos Group, doanh nghiệp phần mềm nhỏ do một gia đình Ukraine điều hành.

Khu phố Podil thời thượng ở thủ đô Kiev của Ukraine. Ảnh: kyivtravel

Lên ba tầng cầu thang trong tòa nhà đó là một phòng máy chủ, nơi có một giá chứa các máy tính cỡ hộp bánh pizza được kết nối bằng một mớ dây và được đánh dấu bằng các nhãn viết tay, đánh số. Vào một ngày bình thường, các máy chủ này đưa ra các bản cập nhật định kỳ - sửa lỗi, bản vá bảo mật, tính năng mới - cho một phần mềm kế toán có tên M.E.Doc, phần mềm này ít nhiều tương đương với TurboTax hoặc Quicken của Ukraine. Nó được hầu hết những người nộp thuế hoặc kinh doanh trong nước sử dụng.

Nhưng trong một khoảnh khắc của năm 2017, những cỗ máy đó đóng vai trò là điểm khởi đầu cho cuộc tấn công mạng tàn khốc nhất kể từ khi Internet được phát minh.

Trong bốn năm rưỡi kể từ 2014, Ukraine đã mắc kẹt trong một cuộc xung đột không công khai với Nga ở vùng Donbas miền đông nước này, khiến hơn 10.000 người Ukraine thiệt mạng và hàng triệu người khác phải di dời. Cuộc xung đột cũng đã chứng kiến Ukraine trở thành nơi thử nghiệm các chiến thuật chiến tranh mạng.

Vào năm 2015 và 2016, trong khi các hacker có tên Fancy Bear đang bận rộn đột nhập vào máy chủ của Ủy ban Quốc gia Đảng Dân chủ Mỹ, thì một nhóm khác có tên Sandworm đã xâm nhập vào hàng chục tổ chức và công ty chính phủ Ukraine. Chúng xâm nhập vào mạng lưới của các nạn nhân, từ các cơ quan truyền thông đến các công ty đường sắt, kích nổ những “quả bom” phá hủy hàng terabyte dữ liệu. Vào mùa đông của cả hai năm, những kẻ phá hoại đã gây ra tình trạng mất điện trên diện rộng, lần đầu tiên được xác nhận là do tin tặc gây ra.

Nhưng những cuộc tấn công đó vẫn chưa phải là màn kết thúc hoành tráng của Sandworm. Vào mùa xuân năm 2017, không ai ở Linkos Group biết, tin tặc đã chiếm quyền điều khiển máy chủ cập nhật của công ty để tạo cho họ một “cửa sau”, xâm nhập vào hàng nghìn PC trên khắp đất nước và thế giới, những máy đã cài đặt phần mềm kế toán M.E.Doc. Sau đó, vào tháng 6/2017, những kẻ phá hoại đã sử dụng cửa sau đó để tung ra một phần mềm độc hại có tên NotPetya, vũ khí mạng tàn độc nhất của chúng.

Xem tiếp Kỳ 2: Vụ nổ có bán kính toàn thế giới

Thu Hằng/Báo Tin tức (Theo Wired)