TiaSang
Thứ 6, Ngày 19 tháng 7 năm 2019
Khoa học và Công nghệ

NotPetya - Thảm họa an ninh mạng lớn nhất trong lịch sử (Kỳ 2)

06/03/2019 08:56 - Andy Greenberg

Tóm tắt kì trước: Phần mềm NotPetya của Nga đã đánh gục toàn bộ máy tính trên đất Ukraine. Bề ngoài giống như là một virus tống tiền nhưng ngay cả khi trả tiền chuộc cũng không có tác dụng. Khắp nơi trên cả nước, người Ukraine tự hỏi không biết họ còn đủ tiền mặt để mua đồ ăn và xăng cho đến khi qua cơn khủng hoảng hay không, không biết họ còn nhận được lương hay lương hưu hay không, không biết họ có còn mua được thuốc hay không. Nhưng chưa dừng lại ở đó, con virus này đã lây lan khắp thế giới, điều mà chính những người tạo ra nó cũng không kiểm soát được…

Người khổng lồ Maersk bị đánh gục

Trong cơn dịch đó, có một ca lây nhiễm định mệnh đối với Maersk (Tập đoàn Đan Mạch hoạt động trong các lĩnh vực vận tải, hậu cần, năng lượng – ND): Ở một chi nhánh ở thành phố cảng Odessa bên bờ Biển Đen, một giám đốc tài chính của Maersk Ukraine đã nhờ các quản trị viên tin học cài phần mềm kế toán M.E.Doc lên đúng một chiếc máy tính. Đó là điểm tựa duy nhất cho NotPetya, và nó chỉ cần có thế.
Bến tàu ở Elizabeth, New Jersey (Mỹ - ND) – một trong 76 cảng thuộc APM Terminals, bộ phận cảng của Maersk – nằm trên một bán đảo nhân tạo rộng một dặm vuông [giữa 2 và 3 km2] vươn ra vịnh Newark. Hàng chục nghìn container xếp chồng lên nhau phủ kín mặt đất, các cần trục cao hàng chục mét sừng sững soi xuống vịnh. Nhìn từ đỉnh các tòa nhà chọc trời ở khu Hạ Manhattan cách đó năm dặm [khoảng 8 km], trông chúng như một bầy khủng long cổ dài quây quần bên một hồ nước kỷ Jura.
Thường mỗi ngày có khoảng 3000 xe tải đến bến, mỗi cái chở đến hoặc mang đi hàng chục tấn hàng hóa, từ tã đến quả bơ rồi phụ tùng máy kéo. Hệt như hành khách đi máy bay, đầu tiên chúng làm thủ tục vào bến ở cổng: các máy quét tự động đọc các mã vạch của container và một nhân viên trực cổng của Maersk nói chuyện với tài xế qua loa; tài xế được in cho một thẻ cho biết chỗ đậu xe, ở đó một cần trục khổng lồ sẽ cẩu container lên và xếp vào bãi, từ đó nó sẽ được tải lên tàu chở hàng vượt đại dương – hoặc ngược lại.
Sáng 27 tháng 6, Pablo Fernández chuẩn bị đưa hơn một chục xe tải hàng hóa ra khỏi Elizabeth, đến một cảng ở Trung Đông. Fernández (không phải tên thật của anh ta) là một người trung gian, được chủ hàng hóa thuê để đảm bảo hàng hóa của mình đi nửa vòng trái đất đến nơi an toàn.
Khoảng 9 giờ sáng giờ địa phương, điện thoại của Fernández bắt đầu liên tục nhận được những cuộc gọi từ những chủ hàng giận dữ quát tháo. Tất cả bọn họ vừa được tài xế xe tải của mình báo cáo là xe bị ách lại bên ngoài bến Elizabeth. “Mọi người nhảy chồm chồm,” Fernández nói. “Họ không thể đưa container ra hoặc vào cổng.”
Cái cổng độc đạo của toàn bộ bộ phận cảng của Maersk ở New Jersey chết cứng. Các nhân viên trực cổng câm lặng. 
Chẳng mấy chốc, hàng trăm xe tải 18 bánh xếp thành một hàng dài hàng cây số bên ngoài bến. Một nhân viên ở một bến tàu của một công ty khác ở gần đó, cũng trong cảng New Jersey, chứng kiến xe tải cứ đến thêm vào hàng, đến xa ngút tầm mắt. Trước đó, anh ta từng thấy các hệ thống cổng bị trục trặc 15 phút hoặc nửa tiếng. Nhưng sau vài giờ, không nhận được gì mới từ Maersk, ban quản lý cảng New Jersey ra thông báo rằng bến tàu Elizabeth sẽ đóng cửa đến hết ngày. “Đó là lúc chúng tôi bắt đầu nhận ra,” nhân viên bến tàu kia nhớ lại, “đây là một vụ tấn công.” Cảnh sát bắt đầu đến bảo các tài xế quay đầu những chiếc xe khổng lồ và giải tán.
Fernández và vô số các khách hàng đang phát điên khác của Maersk có vài lựa chọn. Họ có thể thử đưa chuyến hàng giá trị của mình lên những con tàu khác, với giá giờ chót rất cao, thường phải chờ đến khi có chỗ. Hoặc nếu chuyến hàng của họ là một phần của một chuỗi cung ứng rất hẹp, chẳng hạn các thiết bị cho một nhà máy, sự cố của Maersk có nghĩa phải trả một cái giá trên trời cho vận chuyển đường hàng không, hoặc có nguy cơ phải tạm ngưng sản xuất, mà một ngày không hoạt động gây thiệt hại hàng trăm nghìn USD. Các container đông lạnh chứa đồ dễ hư hỏng cần được giữ lạnh. Chúng phải được cắm điện, nếu không đồ chứa bên trong sẽ thối rữa.
Fernández phải bon chen để tìm được một nhà kho ở New Jersey để lưu hàng hóa của khách hàng trong khi chờ liên hệ với Maersk. Cả ngày đầu tiên, anh chỉ nhận được một email chính thức, mà theo lời anh là đọc rất “lộn xộn”, từ tài khoản gmail của một nhân viên Maersk mệt mỏi, không đưa ra một lời giải thích nào về cuộc khủng hoảng càng lúc càng nghiêm trọng. Trang web đặt hàng chính của công ty, Maerskline.com, thì không hoạt động, và không một nhân viên nào nghe điện thoại. Một số container anh đã gửi đi hôm đó trên tàu của Maersk sẽ thất lạc ở các bãi và cảng trên khắp thế giới trong ba tháng sau đó. “Maersk lúc đó như một hố đen,” Fernández thở dài nhớ lại. “Một mớ bòng bong.”
Thực sự nó là một mớ bòng bong của các mớ bòng bong. Tình cảnh tương tự xảy ra ở 17 trong số 76 bến tàu của Maersk, từ Los Angeles tới Algeciras ở Tây Ban Nha, tới Rotterdam ở Hà Lan, tới Mumbai ở Ấn Độ. Cổng không mở. Cần trục đứng yên. Hàng chục nghìn xe tải phải quay đầu rời khỏi những bến tàu hôn mê trên toàn cầu.


17 trong số 76 bến tàu của Maersk, từ Los Angeles tới Algeciras ở Tây Ban Nha, tới Rotterdam ở Hà Lan, tới Mumbai ở Ấn Độ tê liệt. Cổng không mở. Cần trục đứng yên. 

Không có thêm đơn hàng nào, điều đó về cơ bản cắt mất nguồn thu chính của Maersk từ vận tải biển. Máy tính trên các con tàu của Maersk thì không bị làm sao. Nhưng phần mềm ở bến tàu để tiếp nhận các file dữ liệu từ trên tàu cho biết tàu chở gì thì bị xóa sạch toàn bộ. Và các bến tàu của Maersk không còn hướng dẫn để thực hiện trò chơi xếp hình vĩ đại với các chồng container cao ngất.
Suốt nhiều ngày sau đó, một trong những bộ máy phân tán phức tạp nhất và kết nối rộng nhất của thế giới, một bộ máy gánh vác hệ tuần hoàn của nền kinh tế toàn cầu, vẫn bị hỏng. “Rõ ràng đây là một vấn đề lớn chưa bao giờ thấy trong vận tải toàn cầu,” một khách hàng của Maersk nhớ lại. “Trong lịch sử tin học vận tải biển, chưa ai phải trải qua một cuộc khủng hoảng lớn như thế.”
Vài ngày sau khi màn hình của anh tắt phụt ở một góc văn phòng Maersk, Henrik Jensen ở trong căn hộ của mình ở Copenhagen, thưởng thức một bữa sáng muộn, với trứng chần, bánh mỳ nướng và mứt. Từ lúc rời chỗ làm hôm thứ ba, anh không nhận được tin gì từ cấp trên. Thế rồi điện thoại đổ chuông.
Anh nghe máy, đó là một cuộc gọi hội thảo với ba nhân viên Maersk. Họ bảo anh cần đến văn phòng của Maersk ở Maidenhead, một thị trấn ở phía tây London, ở nước Anh. Đó là trụ sở của bộ phận Cơ sở hạ tầng của tập đoàn Maersk, tức là “trùm” tin học của tập đoàn. Họ yêu cầu anh hoãn mọi việc và tới đó. Ngay lập tức.

Maersk hồi phục

Hai giờ sau, Jensen đã ở trên máy bay đi London, sau đó đi ô-tô đến một tòa nhà gạch-và-kính tám tầng ở trung tâm Maidenhead. Tới nơi, anh thấy tầng bốn và tầng năm đã được biến thành một trung tâm hành động khẩn cấp 24/7. Mục đích duy nhất của nó là xây dựng lại mạng máy tính toàn cầu của Maersk sau cơn khủng hoảng NotPetya.
Jensen tìm hiểu và biết rằng một số nhân viên Maersk đã có mặt từ thứ ba, lúc NotPetya bắt đầu tấn công. Có người ngủ lại tại chỗ, dưới gầm bàn hoặc trong góc phòng họp. Những người khác, mang theo hành lý, có vẻ như đến từ mọi nơi trên thế giới. Maersk đã thuê hầu như tất cả các phòng khách sạn trong vòng vài chục cây số, mọi phòng trọ giá rẻ, mọi phòng trống bên trên các quán rượu. Bữa ăn của các nhân viên là các thứ ăn vặt ai đó đã mua từ cửa hàng tạp hóa gần đó về chất đầy trong bếp ăn của công ty.
Trung tâm khôi phục Maidenhead do Deloitte điều khiển. Maersk về cơ bản gật đầu với mọi cái giá mà công ty tư vấn của nước Anh đưa ra, để thoát khỏi vấn đề NotPetya và lúc nào cũng có tới 200 nhân viên Deloitte ở văn phòng Maidenhead, cùng với 400 nhân viên Maersk. Tất cả các thiết bị máy tính của Maersk được sử dụng trước khi NotPetya bùng nổ đều bị tịch thu để phòng việc nó lây nhiễm cho hệ thống mới, và cảnh báo kỷ luật cho việc sử dụng chúng được dán khắp nơi. Thay vào đó, các nhân viên đi khắp các cửa hàng điện tử ở Maidenhead và mua hàng đống máy tính xách tay và thiết bị phát wi-fi trả trước. Jensen, như hàng trăm nhân viên tin học khác của Maersk, được phát cho một cái máy tính xách tay mới và yêu cầu làm việc. “Đại khái là Tìm lấy một góc và làm bất cứ cái gì cần làm”, anh nói.
Lúc bắt đầu việc khôi phục, các nhân viên tin học của Maersk nhận ra một điều thất vọng ghê gớm. Họ đã tìm được các bản sao lưu của hầu hết các máy chủ của Maersk, được lập trong khoảng từ ba đến bảy ngày trước NotPetya. Nhưng không ai tìm được một bản sao lưu của một phần quyết định của hệ thống mạng của công ty: các máy chủ điều khiển miền. Chúng có vai trò như một bản đồ chi tiết của cả hệ thống mạng của Maersk và đặt các quyền truy cập vào các hệ thống cho các người dùng.
Khoảng 150 máy chủ điều khiển miền của Maersk được lập trình để đồng bộ hóa dữ liệu với nhau, sao cho, trên lý thuyết, mỗi máy có thể được coi như một bản sao lưu cho các máy khác. Nhưng chiến lược sao lưu phi tập trung này không tính đến một kịch bản: khi tất cả các máy chủ điều khiển miền đồng thời bị xóa sạch dữ liệu. “Nếu không khôi phục được máy chủ điều khiển miền, chúng tôi sẽ không khôi phục được gì cả,” một nhân viên tin học nhớ lại.
Sau một cuộc tìm kiếm điên cuồng, có cả việc gọi điện thoại cho hàng trăm quản trị viên tin học của  nhiều trung tâm dữ liệu trên khắp thế giới, các quản trị viên tuyệt vọng của Maersk cuối cùng cũng tìm được một máy chủ điều khiển miền duy nhất còn sống sót, ở một văn phòng xa xôi, tận Ghana. Một lúc trước khi NotPetya tấn công đã xảy ra mất điện khiến cho chiếc máy tính ở Ghana bị ngoại tuyến, và nó bị ngắt kết nối với cả hệ thống mạng. Như vậy, nó chứa bản sao lưu duy nhất của dữ liệu điều khiển miền không bị ảnh hưởng bởi phần mềm độc – tất cả nhờ mất điện. “Có rất nhiều tiếng hò reo phấn khích khi chúng tôi tìm thấy nó,” một quản trị viên của Maersk kể lại.
Nhưng khi các kỹ sư căng thẳng ở Maidenhead thiết lập một kết nối với văn phòng Ghana, họ mới biết tốc độ đường truyền chậm đến nỗi sẽ phải mất nhiều ngày để chuyển hàng trăm gigabyte dữ liệu sang Anh. Ý tưởng mới: cho một nhân viên Ghana bay sang London. Nhưng không ai ở văn phòng Tây Phi đó có visa Anh.
Thế là lực lượng Maidenhead sắp xếp một cuộc chạy tiếp sức. Một nhân viên từ văn phòng Ghana bay tới Nigeria và trao cho một nhân viên Maersk khác chiếc ổ cứng vô cùng quý giá. Nhân viên này lại đáp một chuyến bay sáu tiếng rưỡi tới sân bay Heathrow, mang theo chìa khóa mở ra toàn bộ quá trình khôi phục của Maersk.
Xong vụ giải cứu đó, văn phòng Maidenhead đã có thể bắt đầu đưa các dịch vụ cốt yếu của Maersk hoạt động trở lại. Sau mấy ngày đầu tiên, bộ phận cảng của Maersk đã lại có thể đọc các dữ liệu hàng hóa trên tàu, nhờ thế các nhân viên điều hành biết được tàu nào chở những gì, 18.000 tàu container cập được cảng. Nhưng phải sau vài ngày, Maersk mới lại bắt đầu nhận thêm vận chuyển mới qua trang Maerskline.com, và phải sau hơn một tuần thì các bến tàu trên khắp thế giới mới bắt đầu hoạt động một cách tương đối bình thường.
Trong lúc đó, nhân viên của Maersk làm việc với mọi công cụ sẵn có. Họ in tài liệu ra giấy rồi dán lên container ở các bến tàu của APM, nhận đặt hàng qua tài khoản gmail cá nhân, qua phần mềm nhắn tin WhatsApp, qua bảng tính Excel. “Tôi nói anh biết, thật kỳ cục khi đặt vận chuyển 500 container qua WhatsApp, nhưng chúng tôi đã làm như thế đấy,” một khách hàng của Maersk nói.
Khoảng hai tuần sau vụ tấn công, hệ thống mạng của Maersk đã được khôi phục đến độ đủ để bắt đầu phát lại máy tính cá nhân cho phần lớn nhân viên. Tại trụ sở chính ở Copenhagen, một quán cà-phê dưới tầng hầm đã được biến thành nơi cài đặt máy tính. Từng đợt 20 chiếc máy tính xếp hàng trên các bàn ăn, các nhân viên hỗ trợ đi lại dọc các hàng, cắm những chiếc USB được sao chép hàng tá vào các máy tính và nhấp chuột, cứ như thế hàng giờ đồng hồ.
Vài ngày sau khi quay về từ Maidenhead, Henrik Jensen thấy máy tính của mình giữa một chồng hàng trăm cái được xếp theo thứ tự bảng chữ cái, ổ cứng bị xóa sạch, một bản Windows mới tinh mới được cài. Tất cả mọi thứ mà anh, và mọi nhân viên Maersk khác, đã lưu trên máy, từ ghi chép cá nhân tới danh bạ tới ảnh gia đình, đều mất.

Sự sợ hãi chưa nguôi

Năm tháng kể từ khi Maersk hồi phục sau vụ tấn công của NotPetya, chủ tịch Jim Hageman Snabe ngồi trên sân khấu tại cuộc gặp Diễn đàn Kinh tế Thế giới ở Davos, Thụy Sĩ, và ca ngợi “nỗ lực anh hùng” của cuộc giải cứu hệ thống tin học của công ty. Tính từ ngày 27 tháng 6, khi ông bị đánh thức ở California bởi một cuộc gọi lúc 4 giờ sáng, trước một cuộc hội thảo dự kiến ở Stanford, ông kể, công ty chỉ mất 10 ngày để xây dựng lại toàn bộ hệ thống với 4000 máy chủ và 45000 máy tính cá nhân. (Việc phục hồi hoàn toàn kéo dài hơn: một số nhân viên ở nhiệm vụ Maidenhead tiếp tục làm việc suốt ngày đêm gần hai tháng để xây dựng lại hệ thống phần mềm của Maersk.) “Chúng tôi vượt qua bằng sự bền bỉ của con người”, Snabe nói với cử tọa.
Từ đó, Snabe tiếp tục, Maersk không chỉ làm việc để cải thiện an toàn thông tin, mà còn để biến nó thành một “ưu thế cạnh tranh”. Quả vậy, sau NotPetya, các nhân viên tin học cho biết gần như mọi biện pháp bảo mật họ đề xuất đều được duyệt một cách tức thời. Xác thực đa nhân tố được triển khai ở toàn công ty, cùng với việc nâng cấp lên Windows 10 vốn bị trì hoãn từ lâu.
Nhưng Snabe không nói nhiều về tình hình bảo mật của công ty trước NotPetya. Một số nhân viên bảo mật của Maersk cho chúng tôi biết rằng cho đến thời điểm bị tấn công, một số máy chủ của công ty vẫn chạy Windows 2000, một hệ điều hành cũ đến mức Microsoft đã ngừng hỗ trợ. Năm 2016, một nhóm lãnh đạo tin học đã thúc đẩy việc thiết kế lại của toàn bộ hệ thống mạng toàn cầu của Maersk vì lý do bảo mật phòng ngừa. Họ chỉ ra quá trình cập nhật phần mềm kém hoàn hảo, hệ điều hành lỗi thời, và trên hết là sự phân nhỏ mạng chưa đủ của Maersk. Họ cảnh báo rằng đặc biệt điểm yếu sau cùng có thể cho phép phần mềm độc từ một phần của hệ thống nhanh chóng lan rộng khắp, chính xác như những gì xảy ra với NotPetya vào năm sau đó.
Việc nâng cấp bảo mật được bật đèn xanh và được cho ngân quỹ. Nhưng thành công của nó không bao giờ được dùng để tính chỉ số đánh giá công việc cho những lãnh đạo tin học cao cấp nhất, vì vậy việc thực hiện nó không làm tăng tiền thưởng của họ. Họ không bao giờ phát triển những nâng cấp về bảo mật.
Ít công ty phải trả giá đắt như vậy vì chậm trễ trong bảo mật. Trong bài nói chuyện ở Davos, Snabe tuyên bố nhờ những nỗ lực nhanh chóng và nhờ những biện pháp khắc phục thủ công, công ty bị giảm 20 phần trăm lượng vận tải biển trong cuộc khủng hoảng NotPetya. Nhưng ngoài thiệt hại trong kinh doanh và do ngừng hoạt động, và chi phí xây dựng lại hệ thống mạng, Maersk còn phải đền bù nhiều khách hàng chi phí lưu trữ hoặc vận chuyển hàng hóa bằng đường khác. Một khách hàng Maersk tiết lộ nhận được một ngân phiếu bảy chữ số để thanh toán chi phí thuê máy bay gửi hàng vào phút chót. “Họ trả tôi một triệu mà không cần quá hai phút thảo luận”, người này nói.
Gộp tất cả, Snabe ước lượng ở Davos, NotPetya làm tiêu tốn của Maersk khoảng từ 250 đến 300 triệu USD. Phần lớn các nhân viên được chúng tôi tiếp xúc riêng ngờ rằng bộ phận kế toán của công ty đã làm nhẹ con số.
Dù thế nào đi nữa, những con số đó mới chỉ bắt đầu cho thấy mức độ thiệt hại. Chẳng hạn, không phải tất cả các công ty hậu cần phụ thuộc vào các bến tàu của Maersk đều được đối xử tốt như các khách hàng của Maersk. Jeffrey Bader, chủ tịch của Association of Bi-State Motor Carriers, một công ty xe tải đặt trụ sở ở cảng Newark, ước lượng chỉ riêng những chi phí không được bồi thường của các công ty và tài xế xe tải đã vào cỡ vài chục triệu USD. “Đó là một cơn ác mộng”, Bader nói. “Chúng tôi mất rất nhiều tiền, và chúng tôi phẫn nộ”.
Thiệt hại rộng hơn mà sự đình trệ của Maersk gây ra đối với chuỗi cung ứng toàn cầu, vốn phụ thuộc vào việc giao đúng hẹn sản phẩm và các thành phần sản xuất, thì khó đo đếm hơn. Và tất nhiên, Maersk cũng chỉ là một nạn nhân. Merck, phải tạm ngừng sản xuất một số loại thuốc vì NotPetya, báo với cổ đông rằng công ty mất 870 triệu USD vì phần mềm độc đó. FedEx, có công ty con ở châu Âu là TNT Express bị làm tê liệt bởi vụ tấn công và mất hàng tháng để khôi phục một phần dữ liệu, bị giáng một cú 400 triệu USD. Gã khổng lồ xây dựng Saint-Gobain của Pháp cũng mất cỡ chừng ấy. Reckitt Benckiser, nhà sản xuất bao cao su Durex của Anh, mất 129 triệu USD, và Mondelēz, công ty mẹ của hãng socola Cadbury, mất 188 triệu USD. Và không biết bao nhiêu nạn nhân không được kể đến, không có cổ đông, phải âm thầm tính thiệt hại.
Chỉ khi bắt đầu nhân rộng câu chuyện của Maersk – tưởng tượng cùng một sự tê liệt, cùng những cuộc khủng hoảng liên tiếp, cùng quá trình hồi phục tơi tả – cho hàng tá nạn nhân khác của NotPetya và vô số các ngành công nghiệp khác, chúng ta mới thấy hiện ra quy mô thực sự của tội ác trong cuộc chiến tranh mạng của Nga.
“Đây là một lời cảnh báo quan trọng,” Snabe nói ở Davos. Rồi ông nhấn mạnh thêm: “Một lời cảnh báo rất đắt giá.”
Một tuần sau khi NotPetya bùng nổ, cảnh sát Ukraine mang trang bị đặc nhiệm và súng tiểu liên tràn ra khỏi các xe tải và lao vào trụ sở khiêm tốn của Linkos Group, chạy lên cầu thang như Đội 6 biệt kích SEAL đột nhập nơi ở của Osama bin Laden.
Họ chĩa súng vào các nhân viên bối rối, bắt họ xếp hàng dọc hành lang, người sáng lập công ty Olesya Linnyk kể. Cạnh phòng làm việc của bà ở tầng hai, cảnh sát vũ trang thậm chí còn dùng một thanh kim loại để phá một cánh cửa, dù Linnyk đã đưa họ chìa khóa. “Đó là một tình huống không tưởng,” Linnyk nói sau một tiếng thở dài bức xúc.
Lực lượng cảnh sát vũ trang cuối cùng cũng thấy thứ họ tìm: cái giá để máy chủ có vai trò truyền bệnh đầu tiên trong cơn dịch NotPetya. Họ tịch thu các máy tính và cho chúng vào các túi nhựa.
Đến tận bây giờ, hơn một năm sau khi vụ tấn công lan rộng, các chuyên gia bảo mật vẫn đang tranh luận về những bí ẩn của NotPetya. Mục đích thực sự của kẻ tấn công là gì? Các nhân viên ở Kiev của công ty bảo mật ISSP, gồm cả Oleh Derevianko và Oleksii Yasinsky, vẫn cho rằng cuộc tấn công không chỉ nhằm phá hoại mà còn để xóa dấu vết. Rốt cuộc thì những hacker phát tán nó có hàng tháng trời thoải mái truy cập vào hệ thống mạng của các nạn nhân. Ngoài những hoảng loạn và gián đoạn mà nó gây ra, NotPetya rất có thể đã xóa đi bằng chứng gián điệp, hoặc việc thu thập thông tin cho những cuộc tấn công trong tương lai. Mới tháng 5 năm 2018, bộ Tư pháp Mỹ và các cơ quan tình báo Ukraine tuyên bố đã phá vỡ một điệp vụ của Nga, đã nhiễm một loại phần mềm độc hủy diệt mới vào nửa triệu thiết bị định tuyến internet, phần lớn ở Ukraine.
Trong khi nhiều người trong cộng đồng bảo mật vẫn cho rằng các nạn nhân quốc tế của NotPetya là thiệt hại bên lề, Craig Williams ở Cisco lập luận rằng Nga thừa biết mức độ ảnh hưởng quốc tế của phần mềm độc. Theo ông, thảm họa đó là để trừng phạt tất cả những ai dám đặt văn phòng bên trong biên giới của kẻ thù của Nga. “Nếu nghĩ rằng đây là tai nạn là đang mơ tưởng,” Williams nói. “Đây là một phần mềm độc mang theo một thông điệp chính trị: Ai làm ăn với Ukraine sẽ gặp tai họa.”
Tuy nhiên, hầu như tất cả mọi người nghiên cứu NotPetya thống nhất ở một điểm: nó có thể tái diễn, thậm chí ở mức độ lớn hơn. Các tập đoàn toàn cầu có quá nhiều liên kết, bảo mật thông tin thì quá phức tạp, những mặt có thể bị tấn công thì quá rộng để có thể được bảo vệ trước những hacker được chính phủ đào tạo và chỉ muốn tung ra thứ mã độc làm rung chuyển thế giới tiếp theo. Trong khi đó, Nga hầu như không có vẻ gì là bị kiềm chế bởi những trừng phạt của Mỹ vì NotPetya, được áp dụng tám tháng sau vụ tấn công, và những sự trừng phạt lẫn lộn với những thông điệp lên án Nga về mọi thứ, từ việc nhiễu loạn thông tin trong cuộc bầu cử tổng thống năm 2016 đến việc hacker Nga thăm dò mạng lưới điện quốc gia Mỹ. “Việc thiếu một lời đáp trả đúng đắn gần như là lời mời gọi leo thang”, lời Thomas Rid, một giáo sư khoa học chính trị tại trường Nghiên cứu quốc tế cao cấp thuộc Đại học Johns Hopkin.
Nhưng bài học khách quan lâu dài nhất của NotPetya có khi chỉ là khung cảnh chiến trường kỳ lạ của chiến tranh mạng. Đây là địa lý khó hiểu của chiến tranh mạng. Bằng cách nào đó, thách thức trực quan của con người, những bóng ma trong phòng máy chủ của M.E.Doc ở một xó ở Kiev gieo rắc hỗn loạn trong những phòng họp dát vàng trong các cơ quan nhà nước ở thủ đô, trong những cảng biển khắp nơi trên thế giới, trong trụ sở trang nghiêm của Maersk bên cảng Copenhagen, và khắp nền kinh tế toàn cầu. “Bằng cách nào đó mà lỗ hổng trong phần mềm kế toán Ukraine này ảnh hưởng tới kho dự trữ vaccine của Mỹ và vận tải biển toàn cầu?” Joshua Corman, một học giả bảo mật, đặt câu hỏi tại diễn đàn Atlantic Council, như thể đang thắc mắc về hình dạng của một lỗ giun kết nối nhân-quả. “Các quy luật của không gian mạng khác hoàn toàn so với các lĩnh vực chiến tranh khác”.
Trong không gian đó, như NotPetya nhắc nhở chúng ta, khoảng cách không giúp phòng thủ. Mọi kẻ thù man rợ đã ở ngay trước cửa. Và cái mạng lưới nhằng nhịt trong không gian đó, mạng lưới trong 25 năm qua đã hợp nhất và nâng cao thế giới, có thể, trong vài giờ của một ngày mùa hè, làm cho thế giới ngừng quay. □

Nguyễn Hoàng Thạch dịch

Nguồn: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/