Vụ vi phạm tại Alpharetta, Colonial Pipeline có trụ sở tại Georgia là sự cố mới nhất trong một loạt các sự cố an ninh mạng đối đầu với chính quyền của Tổng thống Joe Biden - cũng như một lời nhắc nhở nổi bật rằng nhiều công ty vận hành cơ sở hạ tầng cơ bản nhất của quốc gia, từ các đập đến nhà máy điện, vẫn chưa chuẩn bị sẵn sàng để đối phó với các mối đe dọa do những con số độc hại gây ra.
Dưới đây là tóm tắt về cách một băng nhóm tội phạm quản lý để xâm nhập vào hệ thống của Colonial và tại sao công cụ chúng sử dụng - ransomware - lại là một mối đe dọa dai dẳng đến vậy.
Làm thế nào mà tin tặc có thể đóng cửa một đường ống?
Hôm 7-5, Colonial Pipeline cho biết họ biết được tin tặc đã lây nhiễm ransomware vào mạng máy tính của họ, mã độc được sử dụng để chiếm quyền kiểm soát máy tính và trích các khoản thanh toán từ nạn nhân. Vi phạm đã ảnh hưởng đến mạng lưới kinh doanh của Colonial, mạng lưới này sử dụng cho các nhiệm vụ như quản lý bảng lương và báo cáo dữ liệu cho các cơ quan quản lý.
Colonial đã vô hiệu hóa các hệ thống đó, nhưng nó cũng tắt công nghệ nhạy cảm hơn nhiều đang vận hành các hoạt động đường ống của nó - một biện pháp phòng ngừa nhằm ngăn chặn tin tặc tiếp cận nó nếu họ chưa làm vậy. Các hệ thống này giám sát dòng khí để tìm các tạp chất và rò rỉ, kiểm soát mức công suất và thực hiện các nhiệm vụ tự động khác để giữ cho đường ống hoạt động trơn tru.
Chính xác thì cái gì đã bị đóng cửa?
Colonial đóng cửa toàn bộ hệ thống đường ống chính của nó, dài hơn 5,500 miles từ Houston, Texas, to Linden, New Jersey. Đường ống này vận chuyển 45% xăng, nhiên liệu máy bay và dầu diesel cho Bờ Đông của Mỹ, theo công ty.
Sự cố ngừng hoạt động trong thời gian ngắn đã đẩy giá khí đốt bán buôn trên các thị trường tài chính ở khu vực bị ảnh hưởng lên cao, nhưng đợt phục hồi đó đã giảm nhẹ trong thời gian giao dịch hôm 10-5. Và trong khi một số nhà bán lẻ xăng dầu có thể cố gắng thêm vài xu một gallon vào giá tại máy bơm, không có báo cáo nào về tình trạng thiếu hụt tại các nhà cung cấp phục vụ các điểm bán lẻ đó.
Các nhà phân tích thị trường cho biết việc ngừng đường ống sẽ cần kéo dài ít nhất là đến giữa tuần để bắt đầu ảnh hưởng đến nguồn cung ở một số khu vực ở Đông Nam và các nhà máy lọc dầu của Houston sẽ không bắt đầu giảm sản lượng trừ khi Colonial ngừng hoạt động cho đến tuần sau.
Nhìn chung, Mỹ đang dự trữ 235 triệu thùng xăng, đủ cung cấp cho cả nước trong gần một tháng. Tuy nhiên, giá xăng dầu bán lẻ đã tăng đều đặn trong những tuần gần đây và bất kỳ sự lo lắng nào cũng có thể đẩy nhanh mức tăng khi đất nước tiến đến ngày cuối tuần của Ngày Tưởng niệm, điều mà ngành công nghiệp coi là bắt đầu của “mùa lái xe mùa hè” có nhu cầu cao.
Điều này có thể tồi tệ đến mức nào?
Nó phụ thuộc vào việc liệu việc ngừng hoạt động có trở thành một cuộc khủng hoảng kéo dài đối với khách hàng của Colonial, bao gồm các sân bay bận rộn và căn cứ quân sự của Mỹ hay không. Một số khách hàng có thể mua nhiên liệu từ các nhà cung cấp nước ngoài, nhưng họ sẽ phải đối mặt với áp lực tài chính nhiều hơn khi mạng lưới đường ống của Colonial vẫn hoạt động ngoại tuyến.
Colonial cho biết hôm 10-5 rằng họ đã bắt đầu kích hoạt lại các phân đoạn của đường ống và dự đoán “sẽ khôi phục đáng kể dịch vụ hoạt động vào cuối tuần”. Tuy nhiên, họ không giải thích “về cơ bản” nghĩa là gì và đã cung cấp một số chi tiết khác về cuộc điều tra vụ tấn công.
Ransomware là gì?
Ransomware là phần mềm mà tin tặc triển khai để khóa dữ liệu của nạn nhân để họ không thể truy cập hoặc sử dụng nó - trong trường hợp xấu nhất, về cơ bản là đóng cửa toàn bộ công ty hoặc văn phòng chính phủ. Sau đó, tin tặc yêu cầu một khoản tiền chuộc để đổi lấy việc cung cấp một khóa kỹ thuật số để mở khóa các tệp.
Trong vài năm qua, ransomware đã phát triển từ một mối phiền toái không thường xuyên thành một mối đe dọa khắp nơi. Nạn nhân bao gồm hệ thống bệnh viện, khu học chánh và sở cảnh sát DC, cũng như nhiều doanh nghiệp nhỏ. Theo báo cáo của FBI, các cuộc tấn công ransomware đã tăng 37% từ 2018-2019 và 20% từ 2019- 2020. Theo một báo cáo, đại dịch đã dẫn đến sự gia tăng đáng kể về ransomware, với số lượng các cuộc tấn công tăng hơn gấp đôi so với cùng kỳ năm ngoái, với một sự gia tăng đặc biệt lớn trong lĩnh vực chăm sóc sức khỏe.
Bộ Tư pháp gần đây đã tung ra một nhóm đặc nhiệm để khám phá các giải pháp mới cho vấn đề. Nhưng trong khi chờ đợi, vấn đề tiếp tục trở nên tồi tệ hơn khi các động cơ tội phạm ngày càng tăng.
Tại sao các đường ống và nhà máy điện không được bảo vệ tốt hơn trước ransomware?
Các công ty tư nhân vận hành phần lớn cơ sở hạ tầng quan trọng của Mỹ - các nhà máy điện, đập, đường ống dẫn khí đốt tự nhiên và các cơ sở quan trọng khác - thường bỏ qua việc thực hiện các giao thức an ninh mạng do chính phủ khuyến nghị.
Trong khi việc bảo vệ chống lại tin tặc của chính phủ nước ngoài đôi khi đòi hỏi công nghệ phức tạp mà các nhà khai thác cơ sở hạ tầng quan trọng nhỏ không đủ khả năng, thì việc bảo vệ chống lại phần mềm tống tiền lại không. Sử dụng mật khẩu mạnh, đào tạo nhân viên không nhấp vào các liên kết đáng ngờ và yêu cầu nhân viên sử dụng xác thực đa yếu tố - bao gồm việc nhập một số được tạo ngẫu nhiên sau khi nhập mật khẩu của một người - có thể ngăn chặn tất cả trừ các loại hack nâng cao nhất, bao gồm cả ransomware. Bất chấp nhiều năm cảnh báo từ các quan chức chính phủ và các chuyên gia an ninh mạng, hầu hết các công ty bên ngoài lĩnh vực tài chính được quản lý chặt chẽ đã không thực hiện nhiều bước trong số này.
Và ngay cả những tổ chức cố gắng coi trọng vấn đề an ninh mạng cũng có thể bị che lấp bởi những lỗ hổng nhỏ. Một nhân viên văn phòng bị bỏ quên từ lâu hoặc máy tính cũ trong tủ thường là liên kết yếu mở ra cánh cửa của tổ chức cho tin tặc.
Với rất nhiều công ty để lại cho mình những mục tiêu dễ dàng, nhiều tội phạm mạng đã bắt đầu sử dụng ransomware để kiếm tiền. Bằng cách chọn những nạn nhân mà chúng biết rằng không thể có thời gian chết, những tên tội phạm này hầu như đảm bảo cho mình một khoản lợi nhuận dễ dàng. Ngoài ra, nhiều nhà khai thác ransomware đã bắt đầu khai thác một nguồn lợi nhuận thứ cấp: bán lại dữ liệu bị đánh cắp trên web đen, nơi thông tin cá nhân nhạy cảm có thể thu được những khoản tiền khổng lồ.
Nằm giữa nạn nhân và tin tặc là hệ sinh thái tiền điện tử đang phát triển, bao gồm những người hỗ trợ thanh toán vô đạo đức sẵn sàng xử lý các giao dịch đòi tiền chuộc và thực thi pháp luật bức tường đá.
Các nạn nhân thường trả tiền chuộc như thế nào?
Chính phủ Mỹ không khuyến khích nạn nhân của ransomware trả tiền cho kẻ tấn công để lấy lại quyền truy cập vào dữ liệu của họ. Trong khi một số nhà khai thác ransomware tôn trọng các thỏa thuận của họ và mở khóa tệp của nạn nhân để nuôi dưỡng lòng tin và tăng cơ hội nhận được khoản tiền chuộc trong tương lai, nhiều tên tội phạm trong số này chỉ đơn giản lấy tiền và biến mất. Việc trả tiền chuộc cũng khuyến khích bọn tội phạm mạng tiếp tục tấn công.
Anne Neuberger, phó cố vấn an ninh quốc gia về không gian mạng và công nghệ mới nổi, cho biết: “Chúng tôi nhận ra rằng các nạn nhân của các cuộc tấn công mạng thường phải đối mặt với tình huống rất khó khăn và họ phải cân bằng giữa chi phí-lợi ích khi không có lựa chọn nào khác về việc trả tiền chuộc” - nói với các phóng viên hôm 10-5
Ở Mỹ, việc trả tiền chuộc để lấy lại quyền truy cập vào dữ liệu bị khóa không phải là bất hợp pháp. Tuy nhiên, việc trả tiền chuộc cho các thực thể nằm trong danh sách trừng phạt của Bộ Tài chính là bất hợp pháp và Bộ Tài chính đã cảnh báo các công ty trợ giúp nạn nhân thanh toán bằng ransomware tiến hành thẩm định các tin tặc trước khi thu xếp thanh toán.
DarkSide, nhóm đứng sau vụ tấn công là gì?
FBI đã xác nhận rằng vụ hack Colonial Pipeline là công của băng đảng ransomware DarkSide. Nhóm này là một nhóm tương đối mới tham gia vào hệ sinh thái ransomware, nhưng họ đã nổi tiếng với tính chuyên nghiệp, sự kiên nhẫn và nhu cầu tiền chuộc lớn.
Công ty bảo mật Cybereason viết trong một báo cáo vào tháng trước: “Nhóm có số điện thoại và thậm chí là bàn trợ giúp để tạo điều kiện đàm phán với nạn nhân, và họ đang nỗ lực rất nhiều trong việc thu thập thông tin về nạn nhân của họ - không chỉ thông tin kỹ thuật về môi trường của họ, nhưng thông tin tổng quát hơn về bản thân công ty, như quy mô của tổ chức và doanh thu ước tính.”
DarkSide có trụ sở tại Nga, nhưng cho đến nay, Mỹ cho biết họ không tin rằng các tin tặc đã hành động thay mặt cho chính phủ của Tổng thống Nga Vladimir Putin.
Ông Biden cho biết vào chiều 10-5: “Cho đến nay, không có bằng chứng… từ những người tình báo của chúng tôi rằng Nga có liên quan. Tuy nhiên, anh ấy nói thêm: “Có bằng chứng cho thấy phần mềm tống tiền của nam diễn viên ở Nga. Họ có một số trách nhiệm để giải quyết việc này.”
Giống như các băng đảng ransomware khác, DarkSide hoạt động trên một mô hình được gọi là “ransomware-as-a-service”, trong đó nó cung cấp mã cho những tin tặc kém tinh vi hơn và giúp chúng thực hiện các cuộc xâm nhập để đổi lấy phần lợi nhuận của chúng.
Sau khi bị giám sát chặt chẽ bởi vụ tấn công Colonial Pipeline, DarkSide dường như đang xem xét lại mô hình này. Vào 10-5, một tuyên bố có chủ đích từ các tin tặc DarkSide đã thông báo ý định của nhóm là sẽ xem xét kỹ lưỡng các cuộc tấn công được lên kế hoạch của các đối tác trong tương lai để “tránh hậu quả xã hội”.
“Mục tiêu của chúng tôi là kiếm tiền, và không tạo ra các vấn đề cho xã hội.”
Chính phủ Mỹ đang làm gì với vụ tấn công này?
Nhà Trắng đã thành lập một nhóm làm việc bao gồm Cơ quan An ninh mạng và Cơ sở hạ tầng của Bộ An ninh Nội địa; Cục Quản lý An toàn Đường ống và Vật liệu Nguy hiểm của Bộ Giao thông vận tải; FBI; và các bộ Năng lượng, Ngân khố và Quốc phòng.
Các cơ quan này đang làm việc cùng nhau để chuẩn bị cho các tình huống khác nhau nếu đường ống vẫn ngừng hoạt động, bao gồm cả việc lập kế hoạch cho tình trạng thiếu hụt và giá khí đốt cao hơn.
Ngoài ra, Bộ Giao thông Vận tải miễn trừ các quy định về việc giới hạn thời gian lái xe mà không cần nghỉ ngơi của các xe tải vận chuyển nhiên liệu tại 17 tiểu bang và Washington DC. Điều đó có thể giúp việc cung cấp cho khách hàng dễ dàng hơn do Colonial đóng cửa.
