Hoạt động tác chiến mạng của Ukraine đối với hệ thống thông tin liên lạc của Nga trong cuộc xung đột Nga – Ukraine
TÌNH HÌNH CHUNG
Bên cạnh xung đột trên thực địa, mặt trận trên không gian mạng cũng là một điểm nóng trong suốt cuộc xung đột Nga - Ukraine kể từ trước và trong cuộc chiến. Mặc dù bị động trên cả thực địa và không gian mạng, tuy nhiên với sự giúp đỡ của phương Tây và đặc biệt là Mỹ, lực lượng tác chiến mạng của Ukraine đã triển khai các cuộc tấn công mạng quy mô lớn nhắm vào cơ sở hạ tầng của Nga, gây thiệt hại nghiêm trọng và làm giảm uy tín của Chính phủ Nga đối với người dân trong cuộc chiến.
Vào đầu tháng 4/2022, sau khi được phương Tây và Mỹ hỗ trợ trang thiết bị, công cụ tác chiến mạng, phía Ukraine tập trung tấn công mạng vào các hệ thống TTLL của Nga, hệ thống truyền thông và các trang web đưa tin tức tiếng Nga. Tuy không thể phá hủy hay làm gián đoạn truy cập Internet thông qua vệ tinh KASAT thuộc sở hữu của công ty VIASAT, thế nhưng Ukraine cũng đã làm tê liệt một phần hệ thống Runet - một hệ thống mạng gồm các trang web được người dùng nói tiếng Nga truy cập chủ yếu, khiến cho ba nhà mạng di động lớn của Nga là MTC, Beeline và Megafone bị gián đoạn, mạng xã hội lớn nhất của Nga là Vkontakte không thể truy cập được trong thời gian dài. Để có thể gây ra thiệt hại cho hệ thống TTLL của Nga, lực lượng của Ukraine đã sử dụng một số phương thức tác chiến mạng phổ biến nhưng mang lại hiệu quả cao.
CÁC PHƯƠNG THỨC TÁC CHIẾN MẠNG CỦA UKRAINE ĐỐI VỚI HỆ THỐNG TTLL CỦA NGA
Tấn công DDoS
Đây là phương thức tấn công chủ yếu trong cuộc xung đột Nga - Ukraine được cả phía Nga và Ukraine sử dụng, với tổng số 1.810 cuộc tấn công từ chối dịch vụ phân tán (DDoS), chiếm tới 90,6% trên tổng số các cuộc tấn công được ghi nhận (1.998) tính đến hết tháng 7/2023 (theo thống kê của Kaspersky quý II/2023).
Các cuộc tấn công DDoS nhắm mục tiêu vào các website và máy chủ thông qua việc gây quá tải làm cạn kiệt tài nguyên và gián đoạn các dịch vụ mạng của đối phương. Các cuộc tấn công này sẽ gây tràn ngập băng thông bằng lưu lượng truy cập lỗi, làm website hoạt động kém đi hoặc khiến website bị ngoại tuyến hoàn toàn.
Khi bị tấn công, tin tặc có thể đột nhập vào cơ sở dữ liệu của người dùng và truy nhập vào mọi loại thông tin nhạy cảm. Cuộc tấn công DDoS có thể khai thác các lỗ hổng về bảo mật và nhắm mục tiêu tới bất kỳ điểm cuối nào có thể tiếp cận công khai qua Internet.
Theo báo cáo của Trung tâm Điều phối và Ứng phó sự cố máy tính quốc gia Nga, đã có hơn 17.500 địa chỉ IP và 174 tên miền Internet mà họ cho biết có liên quan đến các cuộc tấn công DDoS đang diễn ra nhằm vào các mục tiêu trong nước của Nga. Ngoài ra, còn có hàng triệu địa chỉ IP và hàng nghìn tên miền khác bên ngoài lãnh thổ Nga được phía Ukraine sử dụng để gây tràn một website hoặc dịch vụ bằng các yêu cầu HTTP.
Mục tiêu chủ yếu của các cuộc tấn công DDoS là các trang web của Chính phủ Nga như: Trang chủ Bộ Quốc phòng, Bộ Tài chính, Bộ Nội vụ,… và các ngân hàng của Nga. Mới đây vào ngày 05/7/2023, các tin tặc Ukraine với tên gọi là “IT army” đã thực hiện tấn công DDoS trên quy mô lớn với mục tiêu là Tập đoàn Đường sắt Nga (RZD), cuộc tấn công này khiến hệ thống trang web và ứng dụng di động của RZD đã tạm thời bị gián đoạn ít nhất sáu giờ.
Hình 1. Các phương thức tấn công mạng trong cuộc xung đột Nga - Ukraine
Tấn công thay đổi giao diện (Deface attack)
Deface là một loại tấn công web khi kẻ tấn công tìm cách sửa đổi các tệp hoặc nội dung trang web của các cơ quan, tổ chức mà không có sự cho phép của cơ quan hay tổ chức đó. Thông thường, các cuộc tấn công Deface sẽ làm thay đổi nội dung giao diện trang web thành một thứ gì đó với nhiều mục đích khác nhau, ví dụ như các thông điệp chính trị. Trang chủ thường sẽ bị ảnh hưởng nhiều nhất trong các cuộc tấn công Deface, tuy nhiên trong một số trường hợp, các chuyên mục khác cũng có thể bị xóa, hoặc thậm chí toàn bộ trang web bị tin tặc vô hiệu hoá.
Deface là kiểu tấn công phổ biến thứ 2 sau DDoS được Ukraine sử dụng nhằm vào các hệ thống TTLL của Nga. Đây cũng là phương thức tấn công chủ yếu được nhóm tin tặc Anonymous ủng hộ Ukraine sử dụng. Nhóm tin tặc này đã lợi dụng các lỗ hổng bảo mật của các hệ thống chưa được cập nhật bản vá, tấn công SQL Injection hoặc tấn công mạng ngang hàng để chiếm quyền quản trị của hệ thống, từ đó thay đổi giao diện của trang web hay phát tán các video mà chúng đã xây dựng.
Mục tiêu chính của tấn công Deface là các đài truyền hình, các dịch vụ phát trực tuyến của Nga như Wink, Ivi và các kênh truyền hình trực tiếp Russia 24, Channel One và Moscow 24 để phát các cảnh quay chiến trường từ Ukraine, đưa ra các thông điệp ủng hộ Ukraine và lên án các hành động của Quân đội Nga đối với dân thường Ukraine trong suốt cuộc chiến.
Tấn công sử dụng Phone Bomb
Ngày 08/3/2022, một nhóm tin tặc Ukraine có tên gọi “The International Legion Information Technology Battalion 300” (ILIT300), hoạt động theo chủ nghĩa tin tặc Hacktivism (mô tả các nhóm tin tặc hoặc cá nhân có kế hoạch gây ảnh hưởng đến sự thay đổi chính trị và gây thiệt hại cho các đối thủ của họ), hưởng ứng lời kêu gọi của Chính phủ Ukraine, đã sử dụng phần mềm Phone Bomb với mục tiêu tấn công vào cơ sở hạ tầng TTLL của Nga. Đây là một công cụ gửi thư rác khá phổ biến, được các tin tặc thực hiện để gửi tin nhắn, gọi hội thoại đã được ghi âm đến hàng triệu thuê bao đến từ Nga với các nội dung kêu gọi chấm dứt xung đột và yêu cầu Quân đội Nga rút quân về nước. ILIT300 còn sử dụng công cụ thu thập số điện thoại của người dân Nga thông qua các trang mạng xã hội, Gmail, trang web thương mại điện tử để hỗ trợ cho phần mềm Bomb phone number. Bên cạnh đó, phần mềm này còn có chức năng mất phí cho cuộc gọi đến, chi phí này sẽ được dùng để ủng hộ Ukraine trong cuộc xung đột.
Tấn công giao thức BGP hijacking (Border Gateway Protocol)
Giao thức BGP là một giao thức định tuyến dùng để trao đổi thông tin trên Internet giữa các cổng máy chủ khác nhau. Mục đích của các cuộc tấn công BGP hijacking là làm mất dịch vụ hay chặn bắt lưu lượng bằng cách chiếm quyền sở hữu một dải IP mục tiêu (Hình 2). Để thực hiện kiểu tấn công này, các tin tặc Ukraine đã cố tình quảng bá dữ liệu định tuyến không chính xác trên toàn mạng tới một số địa chỉ khác. Do đó, lưu lượng truy cập của người dùng Nga bắt đầu được chuyển hướng sang các dịch vụ hoàn toàn của bên thứ ba.
Hình 2. Cơ chế thực hiện tấn công BGP hijacking
Vào tháng 3/2022, nhà cung cấp Lurenet của Ukraine đã chuyển hướng lưu lượng truy cập mạng Runet nội địa của Nga đến các địa chỉ khác so với ban đầu bằng cách sử dụng cuộc tấn công BGP. Cuộc tấn công này đã vô hiệu hóa nhiều trang web của Nga trong nhiều giờ khiến người dùng không thể truy cập được. Cuộc tấn công kéo dài trong khoảng thời gian 10 tiếng đã ảnh hưởng đến nhiều nhà khai thác viễn thông lớn tại Nga (ít nhất các nhà mạng di động Megafon, Beeline và MTS đã không thể kết nối được trong khoảng thời gian đó). Điều tương tự cũng đã xảy ra với lưu lượng truy cập của Rostelecom và Transtelecom.
Các cuộc tấn công được Lurenet tổ chức cũng đã vô hiệu hóa các trang web của Hệ thống tàu điện ngầm Moscow Metro và Bộ Khoa học và Giáo dục Đại học Nga. Cùng với đó, cổng thông tin “Chiến lược của Liên bang Nga” cũng bị gián đoạn không thể truy cập được.
TÁC ĐỘNG CỦA TÁC CHIẾN MẠNG UKRAINE ĐỐI VỚI HỆ THỐNG TTLL CỦA NGA
Tính đến thời điểm hiện tại, các hoạt động tác chiến mạng của Ukraine đã khiến hệ thống TTLL của Nga bị ảnh hưởng một phần trong khoảng thời gian chiến sự nổ ra. Hai nhà mạng di động MTS và Megafon thông báo rằng họ đã không thể khắc phục các sự cố về dữ liệu mạng của họ trong tháng 3/2022. Các đài truyền hình, trang web của Chính phủ Nga cũng bị gián đoạn và không kịp đưa các tin bài, thông tin mới nhất về chiến trường, tình hình chiến sự trên thực địa do bị phía Ukraine tấn công DDoS, BGP hijacking hay thay đổi nội dung các thông điệp và bản tin. Thiệt hại này là đáng kể do người dân Nga thường cập nhật và xem tin tức trên các trang mạng xã hội hoặc các báo đài, đài truyền hình. Điều này sẽ khiến người dân Nga bị mất niềm tin vào Chính phủ Nga, hiểu sai về tình hình chiến sự, dẫn đến tỉ lệ ủng hộ đối với Tổng thống Nga Vladimir Putin giảm sút.
Ngoài ra, hệ thống TTLL bị gián đoạn cũng sẽ khiến người dân Nga rơi vào cảnh lo lắng, bất an khi không thể liên lạc được với những người thân của họ trên chiến trường và khó có thể “đồng lòng” với Chính phủ Nga trong cuộc chiến với Ukraine và phương Tây.
KẾT LUẬN
Kể từ khi cuộc xung đột giữa Nga và Ukraine nổ ra, mặt trận trên không gian mạng cũng diễn ra khá căng thẳng với nhiều chiến dịch tấn công mạng được thực hiện. Được sự hậu thuẫn trực tiếp từ các nước phương Tây và Mỹ, Ukraine cho thấy các hình thức tấn công mạng của quốc gia này với các mục tiêu trọng yếu, bao gồm cơ sở hạ tầng quan trọng và đặc biệt là hạ tầng hệ thống TTLL đã tác động và gây ảnh hưởng lớn đến người dân cũng như Chính phủ Nga như thế nào. Chiến lược tấn công mạng của Ukraine nhằm ngăn chặn thông tin tuyên truyền của Nga với người dân về cuộc xung đột. Bên cạnh đó, nó cũng tạo ra tâm lý hoang mang cho chính các binh sĩ trong Quân đội Nga khi không thể liên lạc với người thân trong thời gian dài xảy ra cuộc xung đột.
Nguyễn Hoàng Thông (Phòng Thí nghiệm trọng điểm An toàn thông tin, Bộ Tư lệnh 86)