Chiến tranh mạng trong cuộc xung đột Nga - Ukraine năm 2022

16:18 | 27/04/2023
TS. Phạm Văn Tới (Phòng Thí nghiệm trọng điểm An toàn thông tin) , Bộ Tư lệnh 86) , ThS. Nguyễn Thế Hùng ( Học viện Phòng không - Không quân)

Năm 2022, cuộc khủng hoảng do đại dịch COVID-19 đã dần đi vào quên lãng trong suy nghĩ người dân trên toàn cầu, tuy nhiên, lúc này thế giới lại bị cuốn vào một cuộc xung đột quân sự kiểu thế kỷ XX và có nguy cơ lan rộng ra khắp lục địa. Đó chính là cuộc xung đột giữa Nga và Ukraine đầu năm 2022. Xung đột đã không chỉ xảy ra ở trên các mặt trận thực địa, kinh tế, chính trị, ngoại giao, mà còn diễn ra trên mặt trận không gian mạng, nơi mà các tin tặc của hai quốc gia, các bên ủng hộ hay những kẻ muốn gây thêm bất ổn có thể phá hủy cơ sở hạ tầng công nghệ thông tin của đối phương bằng cách cài cắm mã độc, tấn công DDoS, tấn công thay đổi giao diện… Bài báo này sẽ phân tích, đánh giá các hoạt động chiến tranh mạng trong cuộc xung đột Nga - Ukraine trong năm 2022, hiểu ý nghĩa của chúng trong bối cảnh xung đột hiện nay và nghiên cứu tác động của chúng đối với lĩnh vực an ninh mạng.

NHỮNG DẤU HIỆU VỀ CHIẾN TRANH MẠNG TRƯỚC KHI XẢY RA XUNG ĐỘT

Trong thế giới hiện đại, việc khởi động bất kỳ chiến dịch quân sự nào mà không có sự hỗ trợ của tình báo trên thực địa là rất khó khăn. Hầu hết thông tin tình báo được thu thập từ nhiều nguồn khác nhau thông qua các phương pháp như HUMINT (trí thông minh của con người, được thu thập từ những người ở trong khu vực xung đột trong tương lai), SIGINT (tình báo tín hiệu, được thu thập thông qua việc chặn tín hiệu), GEOINT (tình báo địa không gian, chẳng hạn như bản đồ từ vệ tinh), hoặc ELINT (trí tuệ điện tử, không bao gồm văn bản hoặc giọng nói),...

Chẳng hạn, theo tờ New York Times, năm 2003, Mỹ đã lên kế hoạch cho một cuộc tấn công mạng khổng lồ nhằm đóng băng hàng tỷ đô la trong tài khoản ngân hàng của Saddam Hussein, Tổng thống Iraq lúc đó đã làm tê liệt chính phủ của ông ta trước cuộc xâm lược. Tuy nhiên, kế hoạch đã không được phê duyệt vì lý do Chính phủ Mỹ sợ thiệt hại cơ sở hạ tầng trọng yếu và các thiết bị có liên quan. Thay vào đó, một kế hoạch hạn chế hơn nhằm làm tê liệt các hệ thống thông tin liên lạc của quân đội và Chính phủ Iraq đã được thực hiện trong những giờ đầu tiên của cuộc chiến năm 2003. Chiến dịch này bao gồm việc cho nổ tung các tháp điện thoại di động và mạng lưới thông tin liên lạc cũng như gây nhiễu và tấn công mạng vào các mạng điện thoại của Iraq.

Bài học rút ra từ những sự kiện này có thể cho phép dự đoán các xung đột một cách chủ động bằng cách giám sát các cuộc tấn công mạng mới ở các khu vực có khả năng xảy ra xung đột. Ví dụ: Vào cuối năm 2013 và tháng 01/2014, các tổ chức an ninh mạng đã quan sát thấy hoạt động tấn công mạng ở Ukraine của hai nhóm tin tặc APT Turla và BlackEnergy tăng đột biến. Ngay sau đó, Nga đã sáp nhập bán đảo Crimea. Tương tự như vậy, vào đầu tháng 02/2022, các nhà quan sát đã thấy số lượng hoạt động liên quan đến máy chủ C&C Gamaredon tăng đột biến (Hình 1). Hoạt động này đã đạt đến mức độ chưa từng thấy - dấu hiệu về sự chuẩn bị cho một hoạt động quân sự quy mô lớn.

Hình 1. Thống kê số lượng hoạt động của máy chủ C&C Gamaredon năm 2021 và đầu năm 2022

Những ví dụ trên đã chỉ ra, trong các cuộc xung đột hiện đại, chúng ta có thể thấy các dấu hiệu quan trọng thông qua sự gia tăng đột biến của chiến tranh mạng liên quan đến cả việc thu thập thông tin tình báo và các cuộc tấn công phá hoại trong những ngày trước khi xảy ra các cuộc tấn công quân sự.

CÁC CUỘC TẤN CÔNG MẠNG THỜI ĐIỂM BẮT ĐẦU XẢY RA XUNG ĐỘT

Vào ngày đầu tiên của cuộc xung đột Nga - Ukraine (24/02/2022), một làn sóng lớn các cuộc tấn công bằng mã độc tống tiền và phần mềm giả mạo đã tấn công các tổ chức, chính phủ, ngân hàng của Ukraine. Các chuyên gia không thể xác định được bất kỳ hình thức nhất quán nào của các cuộc tấn công, điều này đã khiến các chuyên gia tin rằng mục tiêu chính của các cuộc tấn công này có thể là gây hỗn loạn hoặc nhầm lẫn, trái ngược với việc đạt được các mục tiêu cụ thể. Các công cụ được sử dụng trong giai đoạn này cũng đa dạng về hình thức, ví dụ như:

- Mã độc tống tiền (IsaacRansom).

- Phần mềm giả mạo (WhisperGate).

- Mã độc phá hủy dữ liệu (HermeticWiper, CaddyWiper, DoubleZero, IsaacWiper).

- Mã độc ICS/OT (AcidRain, Industroyer2).

Số lượng các cuộc tấn công bằng mã độc tống tiền và mã độc phá hủy dữ liệu nhanh chóng giảm xuống sau đợt tấn công đầu tiên, nhưng vẫn có một số lượng hạn chế các sự cố đáng chú ý được báo cáo. Mã độc tống tiền Prestige đã ảnh hưởng đến các công ty trong ngành vận tải và hậu cần ở Ukraine và Ba Lan vào tháng 10/2022. Một tháng sau, một biến thể mới có tên RansomBoggs lại tấn công các mục tiêu ở Ukraine - cả hai họ mã độc đều được cho là do nhóm tin tặc Sandworm phát tán, một tổ chức tin tặc được Chính phủ Nga hậu thuẫn.

Về phía Ukraine, ban đầu các cuộc tấn công của Ukraine đối với Nga xảy ra rất ít do bị động trong quá trình tác chiến, thêm vào đó Nga đã phá hủy hầu hết cơ sở hạ tầng mạng trong các cuộc tấn công trước đó. Vì vậy, không có thiệt hại đáng kể nào được thống kê từ phía Ukraine gây ra cho Nga. Tuy nhiên, Ukraine đã tận dụng được sự “ủng hộ” của quốc tế, đặc biệt là phương Tây và Mỹ để xây dựng chiến lược “phòng thủ và tấn công tập thể”. Cụ thể, các nhóm tin tặc ủng hộ Ukraine đã được tạo ra trên các nền tảng mạng xã hội như: Telegram, Facebook, Tiktok,… nhằm mục đích kêu gọi các tin tặc trên thế giới tấn công vào Nga.

SỰ KIỆN MẠNG VIASAT

Vào ngày 24/02/2022, những người châu Âu sử dụng mạng Internet qua vệ tinh “KA-SAT” thuộc sở hữu của ViaSat đã phải đối mặt với sự gián đoạn truy cập Internet nghiêm trọng. Cái gọi là “sự kiện mạng” này bắt đầu vào khoảng 8 giờ (theo giờ Việt Nam), chưa đầy hai giờ sau khi Liên bang Nga công khai tuyên bố bắt đầu “Chiến dịch quân sự đặc biệt” ở Ukraine. Cuộc tấn công đã ảnh hưởng nghiêm trọng đến việc kết nối Internet của các tổ chức, ngân hàng, đặc biệt là Chính phủ Ukraine.

ViaSat nhanh chóng đưa ra thông báo sự gián đoạn có thể là kết quả của một cuộc tấn công mạng, chúng ảnh hưởng trực tiếp đến firmware của modem vệ tinh. Tuy nhiên, họ vẫn chưa khẳng định đó là do phía Nga thực hiện. Các chuyên gia của Kaspersky đã tiến hành các cuộc điều tra và đáng chú ý là đã phát hiện ra một đường dẫn xâm nhập có khả năng dẫn đến một điểm truy cập từ xa trong mạng quản lý, đồng thời phân tích các bộ phận bên trong modem và các payload thu thập được có khả năng liên quan. Họ đưa ra kết luận mã độc xóa dữ liệu “AcidRain” là công cụ chính đã tấn công vào ViaSat và chịu trách nhiệm chính cho hoạt động này là tin tặc Nga.

Cuộc tấn công mạng vào ViaSat một lần nữa chứng minh rằng các cuộc tấn công mạng là nền tảng cơ bản cho các cuộc xung đột vũ trang hiện đại và có thể hỗ trợ trực tiếp cho các hoạt động quân sự.

Tương tự như vậy, các cuộc tấn công mạng nhằm vào cơ sở hạ tầng của các công ty truyền thông rất có khả năng xảy ra trong xung đột vũ trang, vì những kẻ hiếu chiến có thể coi đây là công dụng kép. Nghĩa là, một cuộc tấn công mạng nhằm vào cơ sở hạ tầng của các công ty truyền thông có thể sẽ có tác dụng phụ đối với các bên không tham gia vào cuộc chiến.

Cuộc tấn công mạng làm dấy lên mối lo ngại về an ninh mạng của các hệ thống vệ tinh thương mại, vốn có thể hỗ trợ nhiều ứng dụng khác nhau, từ định vị vệ tinh đến liên lạc quân sự. Mặc dù các biện pháp phòng thủ đã được triển khai để bảo vệ cơ sở hạ tầng hệ thống vệ tinh khỏi các thực thể như tên lửa, máy bay quân sự. Tuy nhiên, các hệ thống quản lý trạm mặt đất và người vận hành dường như vẫn có nguy cơ cao phải đối mặt với các mối đe dọa mạng phổ biến.

Như mọi khi, chiến sự có tác động cụ thể đến bối cảnh thông tin. Điều này đặc biệt đúng vào năm 2022, khi giờ đây nhân loại đang sử dụng các công cụ truyền bá thông tin mạnh mẽ nhất từng được tạo ra: mạng xã hội và hiệu ứng khuếch tán. Hầu hết các sự kiện trong thế giới thực liên quan đến chiến tranh (tường thuật về các cuộc giao tranh, số người thương vong, lời khai của tù nhân chiến tranh) đều được chia sẻ và lan truyền trực tuyến với các mức độ thiện chí khác nhau. Các cửa hàng tin tức truyền thống cũng bị ảnh hưởng bởi bối cảnh chiến tranh thông tin rộng lớn.

CÁC CUỘC TẤN CÔNG DDOS

Trong cuộc xung đột Nga - Ukraine, tấn công DDoS là cách thức tấn công phổ biến nhất, được hai bên sử dụng trong suốt quá trình xảy ra xung đột (Hình 2). Đây cũng là hình thức tấn công chủ yếu được hai bên sử dụng trong khoảng giữa năm 2022 và đầu năm 2023.

Hình 2. Số lượng và loại hình tấn công được sử dụng trong cuộc xung đột

Các cuộc tấn công DDoS ở mức độ thấp hơn so với các loại tấn công khác, chúng phá hủy giao diện của các trang web một cách ngẫu nhiên và được các chuyên gia bảo mật coi là các cuộc tấn công có mức độ tinh vi thấp và tác động thấp. Đặc biệt, các cuộc tấn công DDoS tạo ra lưu lượng mạng lớn, tuy nhiên, những tin tặc thường không thể duy trì trong thời gian dài. Ngay sau khi cuộc tấn công dừng lại, trang web mục tiêu sẽ khả dụng trở lại.

Theo Kaspersky DDoS Protection, trong 11 tháng kể từ đầu năm 2022, số lượng đăng ký dịch vụ trên thế giới nhiều hơn khoảng 1,65 lần số lượng cuộc tấn công trong năm 2021. Điều này chứng tỏ các cuộc tấn công DDoS trong năm 2022 không hiệu quả và ảnh hưởng mà nó mang lại không cao. Mặc dù mức tăng trưởng này không nhiều nhưng các hệ thống, dịch vụ mạng bị tấn công đã làm tiêu tốn tài nguyên nhiều hơn 64 lần so với năm 2021. Trong năm 2021, mỗi cuộc tấn công trung bình kéo dài khoảng 28 phút, vào năm 2022 là 18,5 giờ, tức dài hơn gần 40 lần. Cuộc tấn công dài nhất kéo dài 2 ngày vào năm 2021 và 28 ngày vào năm 2022.

Về phía Ukraine, bên cạnh việc sử dụng số lượng lớn các cuộc tấn công DDoS trên tổng số các cuộc tấn công đã thực hiện (tương tự Nga), phương thức tấn công khác được ưu tiên đó chính là “Hack and Leak”. Ukraine thực hiện các cuộc tấn công này với mục đích chính nhằm khai thác các thông tin tình báo quan trọng của Nga, các chiến thuật Nga sử dụng trên mặt trận quân sự và các thông tin lộ lọt của các tổ chức và doanh nghiệp Nga. Rõ ràng, việc tập trung vào phương thức tấn công này là chiến thuật đúng đắn khi chúng đem lại hiệu quả lớn và khoét sâu vào điểm yếu của Nga cùng các tổ chức và công ty có mạng lưới phòng thủ có nhiều lỗ hổng.

KẾT LUẬN

Trong cuộc xung đột Nga - Ukraine, các bên đều có những chiến lược, chiến thuật tấn công mạng riêng. Tuy vậy, vẫn có các đặc điểm chung về mục tiêu tấn công và các phương thức tấn công. Số lượng các cuộc tấn công có sự chênh lệch lớn giữa 2 bên, tuy nhiên không vì vậy mà có thể đánh giá lực lượng nào đã thành công hơn trên mặt trận không gian mạng. Nga tuy thực hiện các cuộc tấn công nhiều nhưng mục tiêu phân tán, các cuộc tấn công được phát hiện và khôi phục nhanh, không kéo dài, nhiều cuộc tấn công diễn ra tự phát bởi các nhóm tin tặc ủng hộ Nga. Ukraine dưới sự phòng thủ tập thể và hỗ trợ mạnh mẽ của phương Tây và Mỹ đã thực hiện các hoạt động phòng thủ hiệu quả, các cuộc tấn công nhắm vào Nga tuy ít, nhưng thời gian ảnh hưởng tương đối dài.

Xung đột ở Ukraine sẽ có ảnh hưởng lâu dài đến toàn bộ lĩnh vực an toàn thông tin, an ninh mạng trong bối cảnh hiện nay. Cho dù thuật ngữ “chiến tranh mạng” có được áp dụng hay không, không thể phủ nhận rằng cuộc xung đột sẽ khiến các chính phủ thay đổi cách tiếp cận về hoạt động mạng được tiến hành trong thời chiến, đặc biệt khi có sự tham gia của một cường quốc.

Trước khi xung đột xảy ra, một số quy trình đa phương đang diễn ra (UN's OEWG và GGE) đã cố gắng thiết lập sự đồng thuận về hành vi có thể chấp nhận được và có trách nhiệm trong không gian mạng. Với những căng thẳng địa chính trị cực đoan mà chúng ta đang trải qua, khó có thể chắc chắn rằng những cuộc thảo luận vốn đã khó khăn này sẽ mang lại kết quả trong tương lai gần.

TÀI LIỆU THAM KHẢO

[1]. https://securelist.com/reassessing-cyberwarfare-lessons-learned-in-2022/108328/.

[2]. CyberPeace Institute. (2022) Cyber Attacks in Times of Conflict Platform #Ukraine. Available at: cyberconflicts. cyberpeaceinstitute.org (Accessed: 17 January 2023).

[3]. CyberPeace Institute. (2022) FAQ Data & Methodology. Available at: https://cyberconflicts.cyberpeaceinstitute.org/faq/data-and-methodology (Accessed: 17 January 2023).

[4]. United Kingdom College of Policing (n.d.) Delivering effective analysis. Available at: https://www.college.police.uk/app/intelligence-management/analysis/delivering-effective-analysis (Accessed: 6 December 2022).

[5]. SSU. (2021) ‘Gamaredon/Armageddon Group’. Security Service of Ukraine. Available at: https://ssu.gov.ua/uploads/files/DKIB/Technical%20report%20Armagedon.pdf (Accessed: 6 December 2022).