Câu chuyện về mã độc nguy hiểm NotPetya

09:57 | 21/04/2020

Năm 2017, mã độc NotPetya phát tán với phạm vi trên khắp thế giới. Bắt đầu từ một công ty phần mềm khiêm tốn ở Ukraina, NotPetya lây nhiễm đến một trong những tập đoàn lớn nhất thế giới, làm tê liệt mọi hoạt động của họ. Bài viết dưới đây sẽ làm sáng tỏ câu chuyện về NotPetya - mã độc gây thiệt hại lớn nhất từ trước đến nay.

Tấn công của NotPetya vào tập đoàn vận chuyển A.P. Møller-Maersk

Đó là một buổi chiều hè ở Copenhagen khi tập đoàn vận chuyển lớn nhất thế giới A.P. Møller-Maersk trở nên hoảng loạn bởi tấn công của mã độc NotPetya.

Trụ sở chính của A.P. Møller-Maersk nằm bên con đường lát đá đầy gió trên cảng Copenhagen. Một cột thuyền với cờ Hà Lan được đặt ở góc Đông Bắc của tòa nhà, với 6 tầng nhà và cửa sổ xanh nhạt nhìn ra biển, đối diện bến tàu nơi những chiếc du thuyền của gia đình hoàng gia Hà Lan đang thả neo. Dưới tầng hầm của tòa nhà, các nhân viên có thể nhìn lướt qua cửa hàng quà tặng của tập đoàn, với rất nhiều túi và dây thừng hiệu Maersk. Ngoài ra, còn có một mẫu Lego hiếm mô phỏng tàu container Triple-E, một con tàu chở hàng lớn như tòa nhà Empire State và thậm chí có thể chở cả tòa nhà Empire State bên trên.

Cửa hàng quà tặng này là nơi bố trí khu hỗ trợ kĩ thuật với một chiếc bàn dành riêng cho nhân viên hỗ trợ sự cố CNTT được xếp cạnh bàn thu ngân. Chiều ngày 27/6/2017, các nhân viên của Maersk bắt đầu bối rối vây quanh bàn hỗ trợ. Trên màn hình laptop của họ là những thông báo với chữ đen và đỏ. Một số thông báo chỉ đơn giản là “sửa hệ thống tập tin ở ổ C:” cùng một dòng cảnh báo không được tắt máy. Một số khác kì lạ hơn là thông báo “Các tệp quan trọng của bạn đã bị mã hóa” và yêu cầu khoản chi 300 bitcoin để giải mã.

Bên kia đường trong một tòa nhà khác, một cán bộ quản trị CNTT tên là Henrik Jensen (không phải tên thật) đang làm việc trong một khu khác thuộc tập đoàn Maersk. Jensen đang chuẩn bị cập nhật phần mềm mới phục vụ cho hơn 80.000 nhân viên của Maersk thì bỗng dưng máy tính của anh đột ngột khởi động lại.

Jensen cho rằng việc đột ngột khởi động lại này là sự can thiệp điển hình của trung tâm IT, bộ phận chịu trách nhiệm giám sát phần lớn hệ thống CNTT của tập đoàn, bao gồm 8 bộ phận kinh doanh từ cảng, vận chuyển hàng hóa đến khoan dầu, ở 574 văn phòng tại 130 lãnh thổ trên toàn cầu. Jensen tìm kiếm những người khác trong văn phòng để hỏi xem liệu có ai khác gặp tình trạng gián đoạn bất ngờ như vậy không. Và khi ra ngoài, anh thấy tất cả các máy tính khác trong phòng nháy liên tiếp.

Jensen thấy một hàng dài màn hình chuyển sang đen. Jensen và đồng nghiệp xung quanh nhanh chóng phát hiện các máy tính đã bị khóa và không thể trở về như cũ. Việc khởi động lại máy chỉ đưa về màn hình tối đen như trước.

Trong trụ sở của Maersk, mức độ lan rộng của cuộc khủng hoảng trở nên rõ ràng. Trong vòng nửa giờ, nhân viên của Maersk chạy tới lui trên sảnh, thông báo với đồng nghiệp rằng họ cần tắt máy tính hoặc ngắt kết nối với mạng nội bộ của Maersk trước khi mã độc ảnh hưởng đến những máy khác, vì họ nhận ra cứ mỗi phút lại có thêm hàng chục thậm chí hàng trăm máy tính bị nhiễm. Nhân viên kĩ thuật chạy vào hội trường và rút tất cả các máy tính ra ngay giữa cuộc họp. Sau đó, các nhân viên phải nhảy qua các chốt kiểm tra an ninh để truyền cảnh báo đến các khu khác trong tòa nhà. Các chốt này dùng thẻ để mở, nhưng tại thời điểm này thì chúng đều bị khóa và tê liệt bởi mã độc chưa biết rõ kia.

Để ngắt kết nối toàn bộ mạng lưới thông tin toàn cầu của tập đoàn, nhân viên IT đã trải qua 2 giờ đồng hồ. Cuối quá trình này, mỗi nhân viên đều được yêu cầu tắt máy tính của mình và đặt máy lại trên bàn làm việc.

Khoảng 3 giờ chiều, một quản lí cấp cao của Maersk thông báo với Jensen và những đồng nghiệp về sự cố và cho họ về nhà. Hệ thống của Maersk bị phá hoại nghiêm trọng, đến mức ngay cả nhân viên CNTT cũng không thể khắc phục. Như phần lớn những nhân viên khác của Maersk, Jensen không biết khi nào mình mới có thể quay lại làm việc. Tập đoàn vận tải biển nơi anh làm việc chịu trách nhiệm về 76 cảng ở khắp nơi trên thế giới và gần 800 tàu đi biển, bao gồm tàu chở hàng có thể chở hàng chục triệu tấn; chiếm gần 1/5 tổng khối lượng hàng trên thế giới; hiện giờ đang “chết”.

Bảng 1: Danh sách nạn nhân bị thiệt hại lớn nhất bởi mã độc NotPetya (Theo ước tính của Nhà Trắng). 

Nguồn gốc và đặc tính của mã độc NotPetya

Ở vùng Podil gần thủ đô Kiev của Ukraina, các cửa hàng café và công viên bị thay thế bởi khu công nghiệp ảm đạm. Tại tòa nhà 4 tầng trụ sở của Linkos Group, có một công ty gia đình nhỏ kinh doanh phần mềm. 

Tại đây, có một phòng máy chủ với những cái giá để máy được nối với các đoạn dây rối rắm, được đánh dấu bởi các nhãn có số viết tay. Vào một ngày bình thường, những máy chủ này tiến hành các cập nhật hàng ngày như vá lỗi, thêm các tính năng mới cho một phần mềm kế toán M.E.Doc, tương tự như TurboTax hay Quicken. Nó được sử dụng bởi hầu hết những người kinh doanh hoặc cần khai thuế ở đất nước này. Tuy nhiên, vào năm 2017, máy chủ đã bị lợi dụng làm bước đệm cho một trong những cuộc tấn công mạng gây nhiều thiệt hại nhất trong lịch sử từ khi Internet được hình thành. 

Trong vòng 4 năm rưỡi trở lại đây, Ukraina bị kẹt trong một cuộc xung đột phức tạp. Xung đột này khiến Ukraina trở thành khu thử nghiệm cho Nga cho các chiến dịch tấn công mạng của mình. Năm 2015 và 2016, khi các tin tặc được cho là có liên hệ với điện Kremlin (được biết đến với tên Fancy Bear) đang cố gắng tấn công máy chủ thuộc Ủy ban toàn quốc thuộc Đảng Dân chủ của Hoa Kỳ, thì một nhóm tin tặc khác tên Sandworm cũng đang tấn công rất nhiều công ty và tổ chức chính phủ của Ukraina. Nhóm này xâm nhập vào mạng lưới của nạn nhân, từ các phương tiện truyền thông đến các hãng xe lửa, phá hủy hàng TB dữ liệu. Hơn nữa, chúng còn gây nên tình trạng mất điện trên diện rộng, với lần cắt điện đầu tiên do tin tặc được xác nhận.

Tuy nhiên, những cuộc tấn công này vẫn chưa phải "thành quả vĩ đại" cuối cùng của Sandworm. Đầu năm 2017, tin tặc Nga đã chiếm quyền máy chủ của Linko và mở ra một lối đi ẩn vào hàng ngàn máy tính có cài đặt phần mềm M.E.Doc trên khắp thế giới. Tháng 6/2017, tin tặc đã sử dụng lối đi này và phát tán mã độc có tên là NotPetya.

Mã độc này được thiết kế để có khả năng phân phối tự động, nhanh chóng và không phân biệt đối tượng. “Đến thời điểm hiện tại, đây là mã độc lan truyền nhanh nhất chúng tôi từng thấy. Khi nhìn thấy nó thì trung tâm dữ liệu đã mất hết rồi” – theo Craig Williams, Giám đốc bộ phận tiếp cận khách hàng của Talos (công ty con của Cisco), một trong những công ty bảo mật đầu tiên phân tích mã độc NotPetya.

NotPeya được phát triển bởi hai công cụ khai thác lỗ hổng mạnh mẽ hoạt động song song. Một trong số đó là công cụ xâm nhập EternalBlue, được tạo nên bởi Cơ quan An ninh quốc gia Hoa Kỳ, nhưng sau đó đã bị lộ trong một vụ rò rỉ các tệp tối mật của tổ chức này vào năm 2017. EternalBlue lợi dụng lỗ hổng trong một giao thức Windows, cho phép tin tặc tự do thực thi mã lệnh từ xa trên bất kì máy nào chưa được vá. 

Kiến trúc của NotPetya được cấu tạo nên từ yếu tố cốt lõi trên, cùng với một công cụ khai thác cũ hơn là Mimikatz, được tạo ra bởi nhà nghiên cứu bảo mật người Pháp Benjamin Deply vào năm 2011. Ban đầu Deply cho ra mắt Mimikatz để chứng minh rằng Windows lưu mật khẩu người dùng trong bộ nhớ máy tính. Một khi tin tặc truy cập được vào máy tính, Mimikatz sẽ lấy hết các mật khẩu đó ra khỏi RAM và tấn công tiếp vào các máy khác có thể tiếp cận bằng những mật khẩu đó. Trong hệ thống mạng máy tính nhiều người dùng, công cụ này còn có thể tự động hóa các cuộc tấn công để truyền từ máy này sang máy khác.

Trước khi NotPetya được khởi động, Microsoft đã phát hành bản vá cho lỗ hổng của EternalBlue. Tuy nhiên EternalBlue và Mimikatz cùng với nhau tạo nên một mã độc nguy hiểm. Các máy chưa vá bị nhiễm mã độc, sau đó mật khẩu có thể được lấy từ các máy đó và dùng mật khẩu này để lây nhiễm cho các máy đã vá khác.

NotPetya được đặt tên theo sự tương đồng với mã độc tống tiền Petya nguy hiểm vào đầu năm 2016. Tuy nhiên, thông báo tống tiền của NotPetya là một trò lừa vì mục đích của mã độc hoàn toàn mang tính phá hoại. NotPetya mã hóa master boot record nằm sâu trong máy tính và chỉ ra hệ điều hành nằm ở đâu, theo cách không đảo ngược lại được. Bất kì khoản tiền chuộc nào được đưa ra đều vô nghĩa. Không tồn tại bất kì khóa nào có thể giải mã các tệp tin trong máy tính đã bị phá hoại.

Sự khởi động của cuộc tấn công sử dụng mã độc NotPetya chính là một hành động chiến tranh mạng, thậm chí bùng nổ và dữ dội hơn những gì kẻ tấn công dự tính. Trong vòng vài giờ xuất hiện, mã độc này đã vượt ra khỏi biên giới Ukraina và gây ảnh hưởng đến vô số máy tính trên khắp thế giới, từ những bệnh viện ở bang Pennsylvania, Hoa Kỳ đến các nhà máy sô-cô-la ở bang Tasmania, Úc. Nó làm tê liệt hoạt động của các công ty đa quốc gia như Maersk, hãng dược khổng lồ Merck, công ty con TNT Express của FedEx tại châu Âu, công ty xây dựng Saint Gobain của Pháp, công ty sản xuất thực phẩm Mondelēz và công ty lắp ráp Reckitt Benckiser. Với mỗi tấn công, nó có thể gây thiệt hại lên tới 9 con số. Thậm chí, nò còn phát tán ngược trở lại Nga, phá hoại công ty dầu Rosneft của chính phủ nước này.

Hậu quả của tấn công này là hơn 10 tỉ USD thiệt hại, theo một đánh giá của Nhà Trắng được cựu cố vấn an ninh Tom Bossert của Bộ An ninh Nội địa xác nhận với tạp chí WIRED, khi ông đang là viên chức an ninh mạng cao cấp nhất của Tổng thống Donald Trump. Bossert và Cơ quan Tình báo của Hoa Kỳ cũng xác nhận rằng quân đội Nga - đối tượng tình nghi đầu tiên trong bất kì cuộc tấn công mạng nào nhắm vào Ukraina - chịu trách nhiệm cho việc phát đoạn mã độc. Trong khi đó, Bộ Ngoại giao Nga từ chối trả lời các đề nghị cho ý kiến.

Để hiểu rõ mức độ tàn phá của NotPetya, hãy nhìn lại cuộc tấn công tống tiền kinh hoàng nhưng đã làm tê liệt chính quyền thành phố Atlanta, Hoa Kỳ hồi tháng 3/2018. Nó gây tiêu tốn 10 triệu USD, nhưng chỉ bằng một phần mười của một phần trăm thiệt hại do NotPetya gây ra. Ngay cả WannaCry, loại mã độc tống tiền khét tiếng đã bị phát tán một tháng trước khi có NotPetya, cũng được ước đoán mang đến tổn thất chỉ tầm 4 đến 8 triệu USD. Bossert cho rằng, trong khi không có tổn hại nào về người, nó vẫn tương đương với việc dùng bom hạt nhân để đạt được một chiến thắng nhỏ trong chiến thuật.

Phương tiện chiến tranh hiện đại

Tạp chí WIRED đã đưa lên câu chuyện của một tập đoàn lớn mạnh bị quật đổ bởi NotPetya là Maersk. Sự thất bại trước mã độc này đã cho thấy mức độ nguy hiểm mà chiến tranh mạng có thể tác động lên cơ sở hạ tầng trong thế giới hiện đại. Các nhà quản lí của Maersk, cũng như các nạn nhân khác (không đến từ Ukraina), đều từ chối trả lời WIRED khi được hỏi về NotPetya. Báo cáo của WIRED thực ra được tổng hợp từ nhiều nguồn, cả những người liên quan đến Maersk trong hiện tại hoặc quá khứ, mà rất nhiều trong số họ chọn cách ẩn danh.

Tuy nhiên câu chuyện của NotPetya không hoàn toàn là về Maersk, hay thậm chí là về Ukraina. Đây là câu chuyện về một loại phương tiện chiến tranh mà với nó, biên giới lãnh thổ không còn mang nhiều ý nghĩa. Các thiệt hại lan rộng theo một cách tàn phá và phi logic: Cuộc tấn công nhằm vào Ukraina lại đánh vào Maersk, và cuộc tấn công vào Maersk lại ảnh hưởng đến tất cả các nơi khác cùng lúc.

Vào ngày trước ngày kỉ niệm thành lập đất nước Ukraina, phần lớn đồng nghiệp của Oleksii Yasinsky đang lên kế hoạch cho kì nghỉ hoặc đang tận hưởng nó, tuy nhiên Yasinsky thì không thể. Anh là người đứng đầu Phòng thí nghiệm mạng tại Information Systems Security Partners (ISSP), một công ty nhanh chóng được các nạn nhân bị tấn công mạng tại Ukraina lựa chọn.

Buổi sáng hôm đó, anh nhận được cuộc gọi từ giám đốc ISSP về việc Oschadbank, ngân hàng lớn thứ hai Ukraina bị tấn công mạng. Ngân hàng báo với ISSP rằng họ đang phải đối mặt với mã độc tống tiền. Tuy nhiên, khi Yasinsky bước vào phòng CNTT trong trụ sở của Oschadbank tại Kiev nửa giờ sau đó, anh nhận ra rằng đây là một thứ gì đó hoàn toàn mới. Các nhân viên tại đây đều bối rối và hoảng loạn. Khoảng 90% trong số hàng ngàn máy tính của ngân hàng đã bị khóa, chỉ hiển thị một thông báo “sửa ổ đĩa” và thông báo tống tiền của NotPetya.

Sau khi kiểm tra những nhật ký may mắn còn tồn tại của ngân hàng, Yasinsky thấy rằng cuộc tấn công này là do một loại sâu tự động, với một cách nào đó lấy được thông tin xác thực của quản trị viên. Điều này cho phép nó liên tiếp không ngừng quét qua mạng lưới của ngân hàng.

Khi anh trở lại trụ sở ISSP và phân tích vụ việc của ngân hàng, Yasinsky tới tấp nhận được các cuộc gọi và tin nhắn từ khắp nơi trên Ukraina, báo cáo với anh về các vụ việc tương tự xảy ra với các công ty và tổ chức chính phủ khác. Trong đó, một nạn nhân đã cố gắng trả tiền chuộc nhưng như những gì Yasinsky dự đoán, tiền chuộc cũng không thể khắc phục. Đây không phải là mã độc tống tiền thông thường.