Tấn công mạng - một ngành dịch vụ mới

Một loại malware có tên là Zeus thậm chí còn cung cấp cả dịch vụ hỗ trợ khách hàng. Bởi thế, giờ đây tấn công mạng đã trở thành một dịch vụ và một ngành giải trí - với số lượng và chất lượng từ trước đến nay chưa từng có.

Trong số những vụ hack lớn nhất phải kể đến vụ tấn công đánh sập mạng lưới PlayStation của Sony.  Một số ám chỉ thủ phạm là nhóm hacker Anonymous. Các quan chức ở Tây Ban Nha cũng đã bắt giữ một số thành viên của nhóm này. Song nhóm Anonymous tuyên bố họ không phải là thủ phạm của vụ tấn công này. Khi Sony tuyên bố cuối cùng hãng cũng phục hồi được dịch vụ, thì nhóm hacker có tên là LulzSec lại bắt đầu tấn công vào các website của công ty, trong đó có website Sony Pictures. Nhóm này sử dụng một kỹ thuật hack có tên là SQL injection, và sau đó công bố trên trang mạng xã hội Twitter rằng: "Chúng tôi truy cập vào mọi thứ. Tại sao các bạn lại đặt niềm tin vào một công ty có thể bị tấn công một cách đơn giản đến vậy?".

Nhóm này cũng đã từng đột nhập vào các công ty về game như Bethesda Softworks và Minecraft. Nhóm sử dụng hình thức tấn công từ chối dịch vụ (DDoS) để "khóa trái" website của CIA, tiếp cận được thông tin tài khoản từ Citibank. Tuy nhiên, LulzSec không phải là nhóm hacker hiểm ác nhất. Số lượng các hacker mũ đen, tội phạm mạng đang bùng nổ, với sự trợ giúp của các phương thức và công cụ tấn công. Hướng mục tiêu đang được chuyển sang các trang mạng xã hội.

Thay vì tấn công vào tường lửa của các công ty, hacker xâm nhập vào site của các công ty bằng thủ thuật social engineering (lừa đảo nhắm vào tâm lý con người), thuyết phục một ai đó trong công ty rằng, email gửi đến họ là từ một người bạn hoặc đồng nghiệp. Đó là trò lừa đảo, nhằm xác định những mục tiêu dễ tấn công - có thể là một ai đó làm nhân sự hoặc tài chính, để điều tra và thâm nhập vào mạng lưới công ty. Hacker săn lùng các doanh nghiệp vừa và nhỏ giống như sói săn cừu vậy. 

Mạng lưới Playstation của Sony bị tấn công.

Thực chất giữa các quốc gia đang tồn tại một cuộc chiến tranh mạng. Theo Giám đốc phụ trách các vấn đề an ninh thông tin của Văn phòng  Giải trình Chính phủ của Mỹ, các sự cố an ninh mạng đã tăng 660% trong 5 năm vừa qua lên 41.776 trong năm 2010. Mạng lưới Bộ Quốc phòng (DOD) bị thăm dò hàng triệu lần một ngày. Hơn 100 cơ quan tình báo nước ngoài cố gắng xâm nhập vào mạng lưới Bộ Quốc phòng hoặc các nhà thầu quân sự.

Ít nhất đã có một vụ tấn công vào Lầu Năm Góc, vào Lockheed Martin, hãng chế tạo các máy bay và các kỹ thuật tân tiến quốc phòng, bằng cách bẻ khóa token RSA, một thiết bị sinh số ngẫu nhiên mà nhiều công ty sử dụng để truy cập một cách an ninh vào các mạng lưới máy tính. Đối với các chuyên gia, đây là một tín hiệu cho thấy các công nghệ bảo vệ cũ đã trở thành quá khứ. "Tài khoản, mật khẩu hiện giờ đều có thể bị hack. Các token cũng được đưa vào sử dụng một thời gian, song một token cũng đã bị phá. Bởi vậy, thậm chí các token cũng không phải là an toàn đối với một số tội phạm mạng thời đại mới".

Ma trận những mối đe dọa mới

Một ma trận hoàn toàn khác biệt đang hình thành trên web. Cộng đồng hacker từng hoạt động trong bóng tối đã phá vỡ lớp vỏ bọc, tận dụng mạng lưới xã hội và khai thác chúng để mở rộng trên mọi phương diện. "Những gì chúng ta chứng kiến đã  vượt quá giới hạn những cải tiến về kỹ thuật", Dave Jevans, Chủ tịch Công ty An ninh web IronKey cho biết. "Chúng sở hữu một nhân tố xã hội tập hợp đội ngũ (qua mạng lưới) để thực hiện các cuộc tấn công tinh vi, phức tạp hơn những gì chúng ta đã thấy. Điều đó khiến đẩy nhanh tiến trình hơn".

Và hiện giờ hacker không chỉ dừng lại ở những spammer Nigeria, hay những chiến binh máy tính thời hậu Xôviết. Trong quý vừa rồi, Công ty An ninh AVG (trụ sở tại SEC) đã lần ra dấu vết của cuộc tấn công liên quan tới khoảng 700 server C&C (server ra lệnh và điều khiển) - những server điều khiển các máy tính bị nhiễm virus được các hacker sử dụng trong các cuộc tấn công.

"Khoảng 30% hacker  là ở Mỹ", CEO J.R. Smith cho biết. "Thật đáng kinh ngạc khi chứng kiến các dữ liệu bị đánh cắp - các dữ liệu về y tế và kinh tế. Lượng dữ liệu bị đánh cắp đang tăng liên tục". Và loại hình tội phạm này còn đang lan sang điện thoại di động. Mỗi ngày Công ty AVG chặn khoảng 10.000 lượt download các phần mềm độc hại từ điện thoại.

Bên cạnh đó, những hoạt động của các nhóm hacker như LulzSec và Anonymous đã cho thấy dữ liệu mà chúng ta tin tưởng giao phó cho các công ty và tổ chức không an toàn như chúng ta vẫn nghĩ. Nếu như trước đây tính riêng tư về thông tin chưa phải là nỗi lo hàng đầu thì hiện giờ nó đã trở thành mối quan ngại đầu tiên. Nhóm Anonymous phát triển từ website 4chan, website mà những thành viên thường đăng nhập ở dạng nặc danh, và trở nên "nổi tiếng" khi lực lượng hacker này tấn công vào MasterCard, Amazon và PayPal để ra mặt ủng hộ WikiLeak.

Trong khi đó, cái tên LulzSec là một trò chơi chữ, viết tắt của LOL (cười bể bụng). Cười bể bụng, đó cũng là điều mà nhóm hacker này làm đối với các mạng lưới không an ninh, không bảo vệ được người sử dụng. Các thành viên của nhóm đủ trình độ kỹ thuật để hack vào website của hội viên FBI và làm rò rỉ thông tin người sử dụng của site đó. Một công ty an ninh có tên là Black and Berg Cybersecurity đề xuất giải thưởng 10.000 USD cho bất cứ ai có thể hack vào website của công ty, và LulzSec đã làm điều đó, nhưng từ chối nhận tiền.

Botnet tấn công vào các công ty, tổ chức lớn.

Song dường như LulzSec đang đánh mất hình tượng Robin Hood để hùa theo những hoạt động tội ác. Gần đây, nhóm công bố trên Twitter rằng, sẽ bắt tay với nhóm Anonymous để đánh cắp và chia sẻ những dữ liệu đánh cắp được. LulzSec đã công bố kế hoạch đánh cắp và phát tán bất cứ thông tin mật nào của chính phủ, bao gồm email và các tài liệu. Đích nhắm chủ yếu của nhóm này là các ngân hàng hoặc các tổ chức cấp cao khác.

Theo triết lý của nhóm này, thì việc hack vào các hệ thống là một trò giải trí. Tuy nhiên, Sony lại không hề thấy vui vẻ chút nào khi mà mạng lưới PlayStation của công ty bị đánh sập ngày 20/4. Trong hơn một tháng, Sony đã phải hạ mạng lưới xuống để sửa chữa, lấy đi niềm vui thú của hơn 100 triệu người chơi, cho đến khi công ty khôi phục được mạng lưới vào đầu tháng 6 với mức chi phí 173 triệu USD (?).

Mạng lưới PlayStation vừa mới quay trở lại hoạt động, thì LulzSec lại tấn công vào hơn 10.000 website của Sony trên thế giới.

Mũ đen đang thắng thế

Cũng trong một thông báo, nhóm LulzSec cảnh báo cộng đồng: những hành động tấn công vào các ngân hàng, doanh nghiệp, cá nhân, các vụ việc mà bản thân các chuyên gia an ninh thừa nhận đã diễn ra, đang ngày càng gia tăng. Các hacker mũ đen đang thích ứng dần với các mạng lưới xã hội nhằm thiết lập một cộng đồng tội phạm, khai thác các lỗ hổng của các mạng lưới này để đánh cắp dữ liệu và tiền bạc. Những phương thức áp dụng là những kỹ thuật social engineering (lừa đảo nhắm vào yếu tố con người), dụ người dùng lộ mật khẩu. Các malware (phần mềm độc hại) mà hacker sử dụng ngày càng tân tiến hơn, botnet (mạng lưới các máy tính bị nhiễm virus) cũng phát triển hơn.

Trong một môi trường khi hacker chuyên môn hóa và cung cấp đa dạng "hàng hóa và dịch vụ", bạn không nhất thiết phải là một hacker mới có thể sử dụng được các sản phẩm sẵn có đó. Các dịch vụ luôn có hỗ trợ 24/24 giờ. Các malware "cỡ khủng" như Zeus tạo ra những botnet mà bạn có thể dùng để xâm nhập và phá hoại các hệ thống máy tính. Bạn có thể mua một số phần nào đó của botnet và tùy biến để sử dụng và hack vào các tài khoản ngân hàng cá nhân. Bạn cần công cụ tạo một tài khoản để chuyển tiền đánh cắp vào? Thậm chí dịch vụ đó cũng được cung cấp. "Có cả một chuỗi nguồn cung ở đây", ông Smith của AVG cho biết.

Đối phó với loại hình tội phạm này, không phải cảnh sát không lùng sục tìm kiếm. Zeus đã bị giáng một đòn mạnh mẽ khi Mỹ buộc tội 70 người có liên quan hồi tháng 9/2010. Và hành động đáp trả là sự sáp nhập với SpyEye, một malware sản xuất botnet khác. Mục đích là nhằm cải tiến hiệu quả và lợi nhuận. Sự kết hợp giữa Zeus và SpyEye tạo nên một bot đáng sợ hơn cho phép hacker có thể thao tác với dữ liệu mà người sử dụng gửi tới ngân hàng. Ngân hàng có thể thấy 6 giao dịch thanh toán trong khi người sử dụng nghĩ rằng, họ chỉ gửi đi 1 giao dịch. Khi ngân hàng chấp nhận 6 giao dịch đó, trình duyệt can thiệp và hiển thị tới người sử dụng chỉ một giao dịch mà thôi.

Hacker cũng phát hiện ra rằng, các doanh nghiệp vừa và nhỏ thường là những doanh nghiệp dễ tấn công hơn những tập đoàn lớn. Các doanh nghiệp này không đủ năng lực để chi trả những khoản phòng vệ đắt đỏ. Các mạng lưới như Facebook hay LinkedIn tồn tại nhiều lỗ hổng có thể khai thác. Kết bạn nhầm người hoặc nếu như truy cập một website do một người bạn không quen biết gửi, có thể bạn đang mua về những phiền toái và rắc rối. Jevans của IronKey cho biết, một lỗ hổng Facebook có tên là Koobface có thể đánh cắp tài khoản của bạn, đang lây nhiễm hàng triệu tài khoản mỗi ngày.

Hacker cũng sử dụng những dữ liệu lấy được từ các mạng xã hội để tạo nhận dạng cá nhân có vẻ đáng tin cậy và từ đó có thể xâm nhập vào các website của công ty. Thậm chí nếu bạn không có tài khoản Facebook, ai đó cũng có thể tạo cho bạn một tài khoản - như trường hợp của người đứng đầu Interpol.

Phản công

Phe chính diện không đứng yên đó nhìn. Mục tiêu hiện giờ là tập trung nhằm ngắt email và trình duyệt của nạn nhân khỏi mạng lưới. Các công ty cũng tìm ra những cách mới bảo vệ bản thân trước những mối đe dọa đang gia tăng qua các thiết bị di động, bao gồm iPad và các máy tính bảng. Cho đến lúc đó, các công ty, cơ quan chính phủ được tư vấn thay đổi cài đặt mặc định và huấn luyện nhân viên cảnh giác trước các âm mưu lừa đảo.

Chúng ta suy nghĩ theo định luật Moore rằng tốc độ máy tính tăng gấp đôi sau 18 tháng. Song hacker đang suy nghĩ theo đơn vị ngày, Conner thuộc Công ty Entrust cho biết. Có một số cách mà các bạn có thể làm để bảo vệ chính mình: không chỉ thay đổi mật khẩu mà cần đặt mật khẩu đủ dài và phức tạp để có thể ngăn cản được kẻ xấu. Nhưng ở một cấp độ căn bản hơn, bạn không chia sẻ quá nhiều với những người không quen biết và vẫn cần thận trọng thậm chí với cả những người mà bạn nghĩ là bạn biết. "Hãy xem Lulz, bạn có tin là nhóm hacker này có văn phòng P.R, tài khoản Twitter và một đường dây điện thoại yêu cầu không? Thật điên rồ. Nó đang tạo ra một văn hóa mới đối với những người cảm thấy là họ có quyền làm điều đó" - Jevans phát biểu.

Đó là những gì mà nhóm LulzSec nghĩ. Gần đây, quan chức Anh bắt giữ một hacker có thể là một phần trong nhóm này. Và LulzSec cho biết: "Chúng tôi sẽ tiếp tục tạo ra những điều mới và thú vị cho đến khi chúng tôi phải ra trước công lý"