Năm 2013 đã khiến không ít các chuyên gia bảo mật web phải đau đầu với tình trạng các tổ chức bị mất cắp dữ liệu, người dùng bị vi phạm quyền riêng tư, bẫy mã độc tinh vi, tấn công DDoS dữ dội...hãy cùng Vivicorp nhìn nhận lại các sự kiện đáng chú ý này.
1) Tiết lộ động trời về chương trình nghe lén của Mỹ
Đình đám nhất trong các sự kiện bảo mật năm qua phải kể đến vụ Edward Snowden tung hê bí mật chương trình nghe lén của Mỹ vào tháng 6/2013. Snowden được cho là có thể đã tiết lộ cho giới truyền thông khoảng 50.000 – 200.000 tài liệu trong số rất nhiều tài liệu “Tuyệt mật” và cả những tài liệu đóng dấu “Tình báo đặc biệt” của Cơ quan an ninh quốc gia Mỹ (NSA) mà Snowden đã tiếp cận được khi còn làm công việc quản lý hệ thống máy tính của NSA. Dữ liệu Snowden thu thập được bao gồm những tài liệu kỹ thuật chi tiết về các hoạt động tình báo của Mỹ và các nước đồng minh, trong đó đặc biệt là các tài liệu từ những chương trình do thám ít ai biết tới như PRISM, Boundless Informant, và Tempora, qua đó đã để lộ ra quy trình quản lý lỏng lẻo, thiếu sự giám sát đối với những chương trình đặc biệt nhạy cảm này.
Những thông tin nhạy cảm được báo chí đăng tải dựa trên những tài liệu do Snowden cung cấp dẫn đến nhiều phiên điều trần về vụ việc tại Quốc hội Mỹ. Nhiều cuộc tranh luận nổ ra trên các phương tiện thông tin đại chúng, và Snowden được tôn là người hùng, nhưng cũng bị gọi là kẻ thù nước Mỹ. Trong tháng 6/2013, các công tố viên liên bang Mỹ đã cáo buộc Snowden phạm tội trộm cắp trái phép tài sản của chính phủ và làm lộ thông tin bí mật quốc phòng. Hiện, Snowden đang tạm cư tại Nga sau khi được chính phủ nước này cho phép tị nạn tạm thời một năm vào hôm 1/8 vừa qua.
Tiết lộ động trời của Snowden cũng đồng thời tạo ra những mối hiểm họa khó lường. Nhân viên tại tờ nhật báo Anh The Guardian (tờ báo đầu tiên cho đăng tải thông tin do Snowden cung cấp) đang đối mặt với nguy cơ bị tấn công khủng bố; Silent Circle và Lavabit đã tuyên bố đóng cửa dịch vụ email mã hóa cao cấp của họ do lo ngại sự giám sát của chính phủ Mỹ. Tuy nhiên, về phía ngược lại, vụ Snowden khiến người dùng có ý thức cẩn trọng hơn trong giao tiếp qua mạng. Nhiều người quan tâm tới quyền riêng tư bắt đầu tìm tới các tiêu chuẩn giao tiếp an toàn ít được dùng lâu nay, như: sử dụng phương thức mã hóa Off-the-Record (OTR) để bảo mật chat, mã hóa email bằng Pretty Good Privacy (PGP), và dùng Tor cho trình duyệt web.
2) Quân đội điện tử Syria
Tình trạng hỗn loạn năm qua của Syria có phần đóng góp cực kỳ quan trọng của cuộc chiến trên không gian mạng. Phe nổi dậy nỗ lực sử dụng môi trường mạng Internet bị kiểm duyệt gắt gao để phát động cuộc kháng chiến và kêu gọi sự ủng hộ từ cả trong và ngoài nước, đáp lại nhóm tin tặc ủng hộ Tổng thống Basharal Assad mang tên Quân đội điện tử Syria (Syrian Electronic Army – SEA) đã tiến hành hàng loạt chiến dịch tuyên truyền cho chính quyền Damascus.
SEA hoạt động từ giữa năm 2012, nhưng chỉ bắt đầu gây sự chú ý vào năm 2013 qua một loạt vụ lừa đảo phishing chiếm tài khoản mạng xã hội của nhiều hãng tin phương Tây nổi tiếng được cho là ủng hộ phe nổi dậy, như: CNN, Reuters, Bưu điện New York, Bưu điện Washington, Tuần tin tức Mỹ, Người bảo vệ (The Guardian), AP, CBS News, NBC News, Fox News... Vào tháng 5/2013, Twitter đã cảnh báo các tổ chức truyền thông coi chừng mắc bẫy phishing của SEA và cần có biện pháp phòng ngừa để bảo vệ tài khoản của họ. Cảnh báo được phát ra sau khi tài khoản Twitter của hãng thông tấn AP bị SEA lừa chiếm và dùng để phát đi tin báo giả Tổng thống Obama bị thương trong một vụ nổ xảy ra tại Nhà Trắng khiến thị trường chứng khoán Mỹ được một phen chao đảo.
Cũng bằng chiêu thức lừa phishing, SEA tấn công Outbrain.com, nơi cung cấp dịch vụ gợi ý các liên kết cho độc giả ngay bên dưới các bài viết của hơn 400 website. Theo Outbrain.com, SEA gửi email giả mạo CEO của công ty tới các nhân viên và lừa dẫn họ tới một trang khác yêu cầu điền tên tài khoản và mã truy cập để nhận thêm thông tin. Bằng cách như vậy, SEA có được quyền xâm nhập hợp pháp hệ thống Outbrain và tìm ra những mật khẩu khác.
SEA còn dùng chiêu thức lừa đảo phi kỹ thuật hay còn gọi là kỹ thuật xã hội (Social engineering) để lừa chiếm tài khoản Twitter của tờ Bưu điện New York vào tháng 8/2013, nhưng thay vì tuyên truyền, SEA chỉ để lại thông điệp
"Quân đội điện tử Syria đã ở đây". Những hoạt động của SEA chỉ yếu dần kể từ đầu tháng 9/2013.
3) Trung Quốc nghi vấn bảo trợ tin tặc
Tháng 2/2013, hãng bảo mật Mandiant của Mỹ phát hành một báo cáo dài 60 trang, trong đó cáo buộc nhóm APT1 được điều hành bởi Đơn vị 61398 của Quân đội Giải phóng Nhân dân Trung Quốc, thực hiện nhiều vụ tấn công nhắm vào hệ thống mạng của chính phủ và nhiều tập đoàn lớn của Mỹ. Mandiant gọi nhóm này là một trong những mối nguy hiểm dai dẳng nhất trên không gian mạng của Trung Quốc, và cho rằng nhóm đã lên một danh sách để thu thập thông tin và gây hại cho 141 công ty thuộc 20 ngành công nghiệp trọng yếu của Mỹ
Báo cáo của Mandiant ngay lập tức tạo nên cơn bão truyền thông về nguy cơ tin tặc được hỗ trợ bởi một chính phủ, khơi ngòi cho nhiều cuộc tranh cãi trên các phương tiện thông tin đại chúng và lời qua tiếng lại giữa các quốc gia. Tại thời điểm báo cáo được phát hành, Trung Quốc đã lên tiếng phản đối và phủ nhận trách nhiệm đối với các cuộc tấn công mạng nhắm vào Bộ Ngoại giao Mỹ, đồng thời lưu ý rằng Mỹ chính là nơi khởi nguồn lớn nhất các vụ tấn công mạng nhắm vào Trung Quốc.
Trung Quốc còn được cho là đã đứng đằng sau những cuộc tấn công nhắm vào Hàn Quốc trong tháng 3/2013. Khoảng thời gian này, hệ thống mạng của các hãng truyền hình và ngân hàng lớn tại Hàn Quốc trở thành mục tiêu tấn công của mã độc. Khoảng 48.000 máy tính đã bị phần mềm độc hại lây nhiễm, xóa bản ghi khởi động MBR (Master Boot Record). Hãng bảo mật McAfee sau khi tiến hành kiểm tra các cuộc tấn công phá hoại này đã khẳng định đây chỉ là một phần của chiến dịch lớn hơn nhằm mục tiêu ăn cắp bí mật quân sự. Các chuyên gia phân tích mã độc nhận thấy sau khi lây nhiễm thành công vào các hệ thống, chúng tìm kiếm các tài liệu quan trọng và gửi một bản sao cho những kẻ tấn công.
Tuy nhiên, tới tháng 7/2013, Chun Kilsoo, giám đốc Trung tâm bảo mật Internet của Hàn Quốc lại đổ lỗi cho Triều Tiên đứng sau các cuộc tấn công DDoS vào các trang web của chính phủ Hàn Quốc trước đó một tháng, vào dịp kỷ niệm 63 năm cuộc chiến Triều Tiên, với lý do các cuộc tấn công xuất phát từ địa chỉ IP của Triều Tiên. Các chuyên gia bảo mật còn cho rằng những "chiến binh ảo" từ Triều Tiên thường mở đường vòng dùng máy tính có địa chỉ IP của Trung Quốc để tấn công mạng nhắm đến Hàn Quốc.
4) DDoS vì mục đích chính trị hoặc xã hội
DDoS không phải là phương thức tấn công mới nhưng vẫn được tin tặc chuộng bởi có thể làm ngập lụt bất cứ hệ thống mục tiêu nào.
Xu hướng tấn công đánh cắp, phá hoại dữ liệu hay làm ngưng trệ hoạt động của một hệ thống máy tính vì mục đích chính trị hoặc xã hội vẫn tiếp tục. Báo cáo của Kaspersky Lab về các sự kiện bảo mật trên thế giới trong năm 2013 chỉ ra một trong những vũ khí được các nhà hoạt động trực tuyến ưa thích là DDoS. Tấn công từ chối dịch vụ phân tán không phải là phương thức mới nhưng vẫn có hiệu quả rõ rệt, và gần đây đã nổi lên những vụ đáng chú ý.
Hồi tháng 3/2013, tổ chức chống thư rác Spamhaus tại Thụy Điển bị tấn công DDoS dữ dội, lúc cao điểm phải chịu lưu lượng truy cập dồn về lên tới 300 Gpbs. Nhà cung cấp dịch vụ lưu trữ website Cyberbunker của Hà Lan bị nghi ngờ vì vốn có hiềm khích với Spamhaus từ năm 2011 do bị tổ chức này đưa vào danh sách đen những đối tượng gửi thư rác. Chủ sở hữu Cyberbunker phủ nhận trách nhiệm nhưng tuyên bố mình là người phát ngôn cho những thế lực đứng sau chiến dịch DDoS lớn nhất lịch sử Internet này. Spamhaus đã phải nhờ tới sự hỗ trợ của công ty an ninh mạng CloudFlare mới có thể đứng vững trước cuộc tấn công.
DDoS cũng là vũ khí được nhóm Anonymous sử dụng để tiến hành nhiều cuộc tấn công trong năm 2013 nhằm phản đối nhiều tổ chức, chính phủ vì những nguyên nhân khác nhau ở Ba Lan, Hy Lạp, Singapore, Indonesia, và Australia. Đầu năm 2013, Anonymous đã tấn công DDoS và đổi giao diện web của Viện công nghệ Massachusetts (MIT) và Bộ Tư pháp Mỹ để trả đũa cho cái chết của Aaron Swartz – một tin tặc thiên tài người Mỹ đã treo cổ tự tử trước áp lực bị tòa xử về tội tải về và phân phát miễn phí nhiều tài liệu học thuật trên mạng vốn chỉ dành cho người trả tiền.
Trong bản đánh giá tình hình bảo mật năm qua, Kaspersky lưu ý thế giới ngày nay đang quá phụ thuộc vào công nghệ cũng như sức mạnh xử lý khủng khiếp của máy tính, nghĩa là nhóm hoạt động nào hay ai đó đều có thể khai thác các lỗ hổng tiềm ẩn để tấn công bất kỳ tổ chức nào vì những động cơ riêng. Và chúng ta không thể trông chờ sẽ chấm dứt được tình trạng này.
5) Adobe bị hack mất mã nguồn và dữ liệu người dùng
Sự cố mất an ninh thông tin tại Adobe là trường hợp đáng chú ý không chỉ bởi ảnh hưởng tới nhiều khách hàng trên diện rộng mà mã nguồn của các phần mềm Adobe Acrobat, Photoshop, ColdFusion, và ColdFusion Builder cũng bị những kẻ tấn công đánh cắp.
Hồi đầu tháng 10/2013, Adobe công khai thừa nhận là nạn nhân của vụ tấn công truy cập dữ liệu bất hợp pháp gây ảnh hưởng tới 2,9 triệu tài khoản người dùng trên toàn thế giới. Giám đốc an ninh Adobe, Brad Arkin, cho biết những kẻ tấn công đã truy đánh cắp Adobe ID của khách hàng cùng các mật khẩu đã được mã hóa, tên khách hàng, các số thẻ tín dụng và thẻ ghi nợ đã được mã hóa, ngày hết hạn và "thông tin khác". Một tuần sau đó, Adobe thông báo thực tế có tới 38 triệu người dùng bị ảnh hưởng, và một tập tin chứa tên người dùng và mã truy cập của hơn 150 triệu người sử dụng Adobe đã bị tung lên mạng. Điều tệ hại, theo như thừa nhận của Adobe vào đầu tháng 11, là những mã truy cập rơi vào tay tin tặc tuy đã được mã hóa nhưng chưa đủ độ an toàn. Công ty đã không dùng mã băm (hash) để thực hiện mã hóa.
Sự cố của Adobe là lời cảnh báo các công ty lớn cũng dễ có khả năng bị tấn công vì mắc sai lầm căn bản như với mọi công ty khác. Bài học lớn ở đây là để giữ gìn an ninh an toàn thông tin phải hết sức kỳ công, bởi chỉ một sai lầm nhỏ cũng có thể dẫn đến hậu quả khôn lường. Kẻ tấn công chỉ cần thành công một lần là đủ, trong khi phía phòng thủ phải luôn kín kẽ, một công việc tưởng chừng quá khó cho bất kỳ công ty nào. Như trường hợp mới đây, 110 triệu tài khoản khách hàng Target bị đánh cắp thông tin thẻ ghi nợ và tín dụng vào mùa mua sắm cuối năm vừa qua do lỗ hổng bảo mật trong phần mềm thanh toán tại thiết bị chấp nhận thẻ không được phát hiện kịp thời.
6) Tấn công mạng có mục tiêu, kiểu “watering hole”
Như kiểu làm nhiễm độc hố nước, tấn công “watering hole” đang được giới tội phạm có tổ chức cũng như nhiều chính phủ ưa thích dùng để tiến hành những chiến dịch đánh cắp thông tin có mục tiêu hay theo dõi những nhóm người có chính kiến bất đồng. Qua việc tìm hiểu thói quen truy cập của các nạn nhân để lừa hướng họ sang các trang web bị nhiễm, hoặc lợi dụng lỗ hổng ngay trên trang nạn nhân thường ghé thăm để cài mã độc vào, phục sẵn chờ lây nhiễm vào máy tính của nạn nhân. Một trong những cuộc tấn công kiểu “watering hole” lớn nhất trong năm qua là nhắm vào các nhân viên Facebook, Apple, và Twitter.
Vào tháng 1/2013, diễn đàn iPhoneDevSDK đã bị tin tặc khai thác một lỗ hổng Zero-Day của Java. Các cuộc tấn công đã được phát hiện một tháng sau đó, nhưng không phải trước khi các nhà phát triển Facebook, Apple, và Twitter bị xâm hại. Dù không được xác nhận, nhưng người ta tin rằng các nhà phát triển tại Microsoft cũng bị “dính chưởng” cuộc tấn công này. Cuộc điều tra sau đó cho thấy mã độc được những kẻ tấn công cấy vào trang iPhoneDevSDK bắt đầu phát huy tác dụng từ đầu tháng 9/2012. Reuters cho biết nguồn tin thân cận từ cơ quan điều tra xác nhận hàng trăm công ty, bao gồm cả các nhà thầu quốc phòng, đã bị nhiễm cùng loại mã độc.
Cũng vào đầu năm ngoái, các cuộc tấn công
“watering hole” đã được phát hiện nhắm vào website của người Tây Tạng, với mục tiêu có chọn lọc là những người nói tiếng Trung Quốc đến thăm Cục Quản lý Trung ương Tây Tạng (Central Tibetan Administration) và Quỹ chăm sóc trẻ em nghèo Tây Tạng (Tibetan Homes Foundation).
7) Tấn công thông qua... hãng bảo mật
Tháng 2/2013, hãng bảo mật Bit9 xác nhận đã bị tin tặc lợi dụng làm bệ phóng để cấy mã độc cho ba khách hàng. Bit9 chuyên cung cấp nền tảng bảo mật cho khách hàng để chặn tin tặc cài mã độc lên hệ thống của họ. Theo báo cáo của Bit9, hãng đã sơ suất quên cài phần mềm bảo mật của chính mình trên một phần mạng nội bộ. Do sai lầm này, những kẻ tấn công đã giành được quyền truy cập vào các chứng thư số cho phần mềm và dùng chúng để chứng thực cho mã độc. Các chữ ký số đã chứng thực các ứng dụng độc hại là đáng tin cậy, vì vậy khách hàng của Bit9 không hề nghi ngờ gì, và những hàng rào phòng thủ do họ triển khai để chống lại một cuộc tấn công như vậy đã bị đánh bại bởi một con sói công nghệ đội lốt cừu. Bit9 cho biết những kẻ tấn công đã khai thác thành công một lỗ hổng SQL Injection trong một máy chủ Web kết nối trực tiếp Internet của hãng và đã chứng thực được 32 ứng dụng độc hại bằng chứng thư số của Bit9.
Các nhà nghiên cứu tại Symantec đã xác định thủ phạm vụ tấn công Bit9 là nhóm tin tặc đánh thuê thiện chiến của Trung Quốc mang tên Hidden Lynx. Theo Symantec, nhóm Hidden Lynx có khả năng tiến hành cùng lúc nhiều chiến dịch tấn công và đã từng đột nhập thành công những tổ chức được bảo vệ tốt nhất thế giới.