NSA lung lay tận gốc sau vụ tấn công kho vũ khí mạng

Thứ Sáu, 24/11/2017, 11:45

Vụ tấn công kho vũ khí mạng của NSA do nhóm hacker Shadow Brokers thực hiện vào năm 2015 đã hầu như vét sạch các loại vũ khí tối tân nhất mà cơ quan này có được, rồi sau đó tung hê lên các diễn đàn mạng xã hội để các nhóm tin tặc tha hồ lợi dụng gây ra hàng loạt vụ tấn công mạng khắp thế giới trong thời gian gần đây.

Sau vụ tấn công đó, hoạt động “chiến tranh mạng” của NSA hầu như bị tê liệt, vì đối thủ đã nắm hết “tẩy” của cơ quan này. NSA hiện đang cố gắng gượng dậy sau sự cố, nhưng có lẽ sẽ mất nhiều thời gian.

Bị “đá vào hồng”

Jake Williams thức dậy vào một buổi sáng cuối tháng 4-2015, trong một khách sạn ở thành phố Orlando, bang Florida, nơi ông lưu trú trong một chuyến tập huấn về an ninh mạng. Khi vào trang mạng xã hội Twitter theo thói quen, Williams tá hỏa khi phát hiện mình đã bị tin tặc tấn công. Williams, 40 tuổi, là một chuyên gia an ninh mạng.

Bên trong đơn vị tác chiến mạng của NSA.

Ông từng là một y tá quân y trước khi làm việc cho Cơ quan An ninh quốc gia (NSA) của Mỹ từ năm 2008 đến 2013, hiện làm chủ Công ty An ninh mạng Rendition Infosec do chính ông sáng lập. Ông từng viết trên trang blog của công ty này để cảnh báo mọi người về mối nguy hại do nhóm hacker mang tên Shadow Brokers tạo ra trên môi trường mạng Internet.

Và điều mà ông Williams phát hiện vào buổi sáng tháng 4-2015 là một lời “đáp trả” nghiêm trọng từ Shadow Brokers dành cho ông và cơ quan cũ của ông, NSA. Shadow Brokers nêu vanh vách về công việc mà Williams làm trước đây khi còn làm việc tại đơn vị tình báo mạng của NSA – Đơn vị tác chiến xâm nhập theo yêu cầu (TAO). Đây là công việc tuyệt mật, Williams chưa từng hé môi chia sẻ với ai, kể cả người thân trong gia đình.

Chưa hết, Shadow Brokers còn “thả bom” vào trang Twitter của Williams những chi tiết kỹ thuật về các công cụ chiến tranh mạng và các hoạt động tấn công mạng bí mật của NSA mà Williams là người thực hiện. Shadow Brokers nắm rất rõ hoạt động của TAO, những thông tin mà ngay cả nhiều nhân viên trong TAO cũng không thể có được. “Tôi có cảm giác như bị ai đá vào hông” – Williams nói và đưa ra nhận định phải là người có mức độ an ninh cao bên trong NSA mới có thể nắm được những thông tin này.

Cú “đá vào hông” đối với Williams chỉ là một phần nhỏ trong toàn bộ cuộc tấn công quy mô lớn nhắm vào kho vũ khí mạng và đơn vị tác chiến đặc biệt TAO, làm lung lay tận ruột gan NSA. Đây là vụ tấn công được cho là tồi tệ nhất trong lịch sử của Cơ quan tình báo tín hiệu NSA.

Theo các chuyên gia NSA, vụ tấn công xảy ra từ tháng 4-2015, nhưng những thông tin, dữ liệu lấy trộm mãi đến tháng 8-2016 nhóm Shadow Brokers mới tung lên mạng Internet. Đó được xem là một “thảm họa” thật sự đối với NSA, đặt ra vấn đề nghiêm trọng về khả năng bảo vệ kho vũ khí mạng hùng mạnh của cơ quan này và giá trị bảo đảm an ninh quốc gia.

NSA được đánh giá là cơ quan tình báo hàng đầu thế giới chuyên đột nhập, tấn công mạng máy tính của các quốc gia đối địch, nhưng lại không thể tự bảo vệ mình trước đòn tấn công quá táo bạo của một nhóm hacker mà cho đến nay cơ quan này cũng chỉ biết sơ bộ. “Sự rò rỉ bí mật này gây tổn thất quá lớn đối với năng lực tình báo và an ninh mạng của chúng ta” – ông Leon Panetta, cựu Bộ trưởng Quốc phòng và làâ cựu Giám đốc CIA đánh giá.

Thật vậy, vụ tấn công kho vũ khí mạng đã gần như đánh sập hoàn toàn uy tín tình báo mà NSA đã gây dựng nhiều năm. Ban đầu, ít ai biết được NSA đã bị Shadow Brokers tấn công. Đến khi xảy ra vụ mã độc tống tiền WannaCry tấn công mạng máy tính toàn cầu hồi tháng 5-2017, thế giới mới được biết đến công cụ mà bọn tin tặc sử dụng để phát triển WannaCry được lấy xuống từ mạng xã hội. Không chỉ một mà nhiều công cụ mã độc đã được giới tin tặc chia sẻ cho nhau từ nhiều tháng, được phát hiện do nhóm tin tặc Shadow Brokers tung lên mạng từ tháng 8-2016.

Các công cụ tình báo mạng của NSA đã trở thành vũ khí gây họa trong tay bọn tin tặc sau vụ tấn công của Shadow Brokers.

Sau đó, các chuyên gia an ninh mạng đã truy ra các công cụ tấn công mạng nguy hiểm này có nguồn gốc từ kho vũ khí mạng của NSA, vốn bị nhóm Shadow Brokers đột nhập lấy cắp mà không hay biết. Búa rìu từ các nạn nhân bị WannaCry tấn công khắp nơi đổ dồn về NSA, chỉ trích cơ quan này không chỉ là kẻ sử dụng mã độc tấn công nước khác mà còn không bảo đảm an toàn kho vũ khí để bọn tin tặc lợi dụng. NSA thật sự lâm vào một cuộc khủng hoảng kép – khủng hoảng về năng lực an ninh mạng và khủng hoảng niềm tin.

Và không chỉ có WannaCry. Vài tháng sau, thêm một vài mã độc nữa như Bad Rabbit và đặc biệt nguy hiểm là Petya cũng được bọn tin tặc phát triển trên nền tảng các công cụ của NSA. Mã độc tống tiền kiểu WannaCry đã trở thành một nạn dịch trên hệ thống mạng Internet toàn cầu. NSA có thể tự an ủi vì không phải chỉ riêng cơ quan này bị tấn công, lấy cắp các vũ khí mạng.

Từ tháng 3-2017, Trung tâm Tình báo mạng của CIA cũng trở thành nạn nhân của các tin tặc lấy các công cụ gián điệp mạng tuồn cho trang WikiLeaks đăng công khai trên Internet, với tên gọi là Vault7 và Vault8. Vụ tấn công đó cho đến nay cũng chưa tìm được lời giải đáp cụ thể nào.

Các cơ quan tình báo Mỹ vẫn chưa tìm ra được thủ phạm đích thực là ai, cũng chỉ là sự nghi ngờ mà đối tượng nhắm đến đầu tiên hẳn nhiên là tin tặc thực hiện. Vụ tấn công này một lần nữa làm lộ ra những kẽ hở chết người trong hệ thống phòng vệ an ninh mạng của các cơ quan tình báo Mỹ, vốn được xem là có trình độ công nghệ hàng đầu thế giới.

Khi “con hổ” TAO bị bẻ nanh

Trung tâm của cuộc khủng hoảng tại NSA hẳn nhiên là TAO, đơn vị tình báo công nghệ cao hàng đầu thế giới, với năng lực sản xuất nhiều loại công cụ mã độc, gián điệp “cửa sau” tiên tiến nhất mà tình báo nhiều nước không thể có được.

TAO được hình thành cách đây vài năm, khi vấn đề an ninh mạng bắt đầu được thế giới quan tâm, với việc tin tặc Trung Quốc thường xuyên tấn công đột nhập các hệ thống máy tính của Mỹ. Ban đầu chỉ là một nhóm nghiên cứu hỗ trợ nằm trong căn cứ Fort Meade, dần dà về sau TAO lớn mạnh, mở rộng thêm các cơ sở nghiên cứu, tác chiến ở Colorado, Georgia, Hawaii và Texas.

Đã từng có cuộc chiến ngầm giữa NSA với Kaspersky, và chính Kaspersky đã bóc mẽ hàng loạt mã độc của NSA.

Tại NSA, TAO được xem là niềm mơ ước, thu hút rất đông các tài năng trẻ ở Mỹ tìm đến nộp đơn xin việc. Họ đến với TAO không phải vì mức lương cao (lương của một nhân viên trẻ ở NSA trung bình 80.000 USD/năm, thấp hơn ở khu vực tư nhân), nhưng cái chính là họ thích việc đột nhập trên mạng Internet nhân danh nhiệm vụ an ninh quốc gia. Khởi đầu công việc tại TAO là đọc danh sách các thông tin được yêu cầu thu thập và các nguồn cần xâm nhập để thu thập thông tin.

Kế đến, các chuyên gia nhiều kinh nghiệm hơn của TAO vạch ra cách thức tấn công đột nhập vào các mạng máy tính của nước ngoài, còn các nhân viên trẻ thì khai thác thông tin sau khi đột nhập. Các điệp viên mạng của NSA phải luôn luôn cập nhật mới kho vũ khí của mình để bắt kịp với những thay đổi nhanh chóng của công nghệ phần mềm cũng như phần cứng; luôn luôn kiểm tra mọi phiên bản cập nhật Windows và iPhone mới để tìm ra những lỗ hổng an ninh.

Được biết đến lâu nay là một cơ quan tình báo chuyên nghe lén, NSA sử dụng phương thức tấn công tin tặc như một cách hiệu quả để do thám các mục tiêu nước ngoài. Việc thu thập thông tin tình báo thường được thực hiện một cách tự động bằng cách cài mã độc “nằm vùng” trong máy tính mục tiêu; mã độc này được lập trình để tự động quét toàn bộ dữ liệu trong máy tính mục tiêu để trích xuất thông tin, dữ liệu. Mã độc có thể “nằm vùng” nhiều tháng, thậm chí hàng năm trong máy tính mục tiêu, thu thập và truyền thông tin, dữ liệu về cho NSA.

Một mã độc cài vào máy tính mục tiêu có thể lấy trộm nhiều văn bản, thậm chí đột nhập vào hộp thư email, âm thầm thay đổi dữ liệu trong máy tính, hoặc nằm im làm “giá đỡ” cho các cuộc tấn công mạng trong tương lai. Thành công vang dội nhất của TAO là chiến dịch mang tên Olympic Games tấn công vào mạng máy tính của nhà máy hạt nhân Natanz của Iran vào năm 2010.

Tuy nhiên, sau những thành công ban đầu đó, TAO ngày càng gặp nhiều vấn đề về an ninh mạng và vấn đề rò rỉ thông tin nội bộ. Vụ việc Edward Snowden lấy trộm thông tin tiết lộ cho báo chí gây chấn động thế giới vào cuối năm 2013 đánh dấu thời kỳ khủng hoảng của NSA đã bắt đầu. Và khi vụ Snowden vừa tạm lắng thì tiếp tục xảy ra vụ tấn công của Shadow Brokers vào năm 2015.

Có lẽ vụ tấn công của Shadow Brokers nguy hại hơn vụ Snowden. Nếu như Snowden chỉ tung ra cho thế giới thấy những nội dung thông tin tình báo đã “thành phẩm”, thì Shadow Brokers chính là kẻ đã phơi bày ra những mã nguồn để xây dựng nên các công cụ tấn công thu thập dữ liệu tạo nên những thông tin đó.

Trong khi đó, hoạt động tấn công các mục tiêu nước ngoài của các tin tặc TAO cũng bắt đầu gặp nhiều khó khăn do vấp phải một đối thủ cực kỳ lợi hại – Công ty An ninh mạng Kaspersky của Nga. Hầu như giới an ninh mạng ở Mỹ đều tin rằng Kaspersky có mối liên quan ngầm với tình báo Chính phủ Nga nhưng không có bằng chứng cụ thể. Trên thực tế, Kaspersky là một đơn vị chuyên truy tìm các mã độc, virus, sâu máy tính trên khắp thế giới để diệt trừ chúng một cách triệt để.

Ít nhất là từ năm 2014, Kaspersky đã bắt đầu cuộc săn lùng các mã độc gián điệp mạng do các tin tặc TAO cài vào mạng máy tính khắp thế giới, dựa vào danh mục các từ khóa và mật mã trong các file dữ liệu do Snowden cung cấp. Thế là TAO lập tức chạy đua thay thế các mã độc đã cài cắm ở nhiều quốc gia bằng những mã độc, virus mới mà họ tin là công ty Nga chưa có khả năng phát hiện.

Thế rồi vào tháng 2-2015, Kaspersky tung ra một báo cáo về tình hình hoạt động của các tin tặc TAO, đồng thời cập nhật danh mục virus, mã độc cho phần mềm diệt virút Kaspersky để diệt và loại bỏ các mã độc của NSA. Sức mạnh của phần mềm Kaskersky đã khiến cho NSA tạm thời mất quyền xâm nhập vào mạng máy tính tại nhiều quốc gia, từ đó làm giảm hẳn luồng thông tin tình báo có được nhờ virus, mã độc.

NSA thở phào vì Kaspersky không công bố đã phát hiện công cụ gián điệp nào. Chính Shadow Brokers đã làm điều đó. Ngày 13-8-2016, nhóm tin tặc Shadow Brokers đã lên diễn đàn Twitter tổ chức rao bán đấu giá một loạt công cụ tấn công mạng của NSA mà họ lấy trộm được, từ đó kích hoạt cuộc khủng hoảng trầm trọng cho NSA.

Làm lại từ đầu, dễ hay khó?

Theo điều tra của NSA, các thông tin, dữ liệu bị Shadow Brokers lấy trộm và mang ra bán đấu giá trên mạng Internet đều có thời gian xuất xứ từ khoảng năm 2013 trở về sau. Điều này có nghĩa là những thiệt hại về kho vũ khí là có giới hạn, không bị lấy trộm toàn bộ. Nhưng NSA thấm đòn không chỉ bởi vụ tấn công của Shadow Brokers.

Ngoài Shadow Brokers, rò rỉ các thông tin dạng mật đã là vấn đề đau đầu của cơ quan này. Đã có thêm một loạt vụ rò rỉ thông tin mật từ bên trong NSA do nhân viên của cơ quan này vô tình hay cố ý tạo ra kẽ hở để tin tặc tấn công, như việc sao chép thông tin mật về máy tính cá nhân ngoài cơ quan không bảo đảm an toàn. Ông Panetta nhận định: “Cứ mỗi lần một vụ tấn công mạng, rò rỉ thông tin mật xảy ra là chúng ta lại phải làm lại từ đầu”. Nhưng làm lại từ đầu như thế nào?

Ngay sau khi phát hiện bị tấn công, NSA đã tổ chức ngay một cuộc điều tra nội bộ, đồng thời mời Cục điều tra liên bang (FBI) cùng phối hợp mở rộng điều tra để tìm ra thủ phạm gây ra vụ tấn công. Trước mắt đã có 3 nhân viên làm việc tại trụ sở NSA bị bắt kể từ năm 2015 do lấy trộm các file tài liệu mật, nhưng không ai dám tin chắc không còn “kẻ xấu” nào nằm trong hàng ngũ nhân viên tình báo hàng ngàn người của cơ quan này.

Trong hàng ngàn con người làm việc cho NSA vẫn còn nhiều người sẵn sàng biến thành một “Snowden mới”, nghĩa là họ sẵn sàng lấy trộm thông tin mật rồi tuồn ra bên ngoài với nhiều lý do khác nhau, trong đó có cả việc hợp tác với các cơ quan tình báo nước ngoài.

Nguyên Khang (tổng hợp)