Công ty công nghệ toàn cầu Microsoft cho biết Trung tâm xử lý Đe dọa An ninh Microsoft (Microsoft Security Threat Intelligence Center - MSTIC) đã phát hiện các cuộc tấn công mạng phá hoại nhằm vào cơ sở hạ tầng kỹ thuật số của Ukraine chỉ vài giờ trước khi tên lửa Nga tấn công Ukraine vào ngày 24/02/2022 [1]. Ngay sau khi cuộc xung đột Nga - Ukraine nổ ra, các cuộc tấn công mạng bị nghi ngờ có nguồn gốc từ Nga đã được phát hiện với mức tăng hơn 800% so với thường lệ, với khoảng 150 cuộc tấn công. Các cơ quan an ninh mạng của Hoa Kỳ, FBI đều đã chia sẻ cảnh báo về các mức độ đe dọa đối với an ninh mạng của Ukraine [2].

Kể từ thời điểm cuộc xung đột nổ ra vào ngảy 24/02, nhà cung cấp dịch vụ Internet lớn của Ukraine là Triolan đã tạm thời bị đánh sập, trong tình trạng mất điện hoàn toàn và ảnh hưởng phần lớn đến khu vực phía Đông Bắc Kharkiv – một mục tiêu của cuộc xâm lược của Nga. Các khu vực Donetsk và Luhansk do Nga chiếm đóng cũng bị sụt giảm đáng kể kết nối. Nhiều quan điểm lo ngại rằng tin tặc do Nga hậu thuẫn có thể cố gắng ngắt kết nối Internet của Ukraine giống như cách Nga đã đánh sập lưới điện của Ukraine vào năm 2015 [3].

Quân đội mạng của Nga đã liên tục thực hiện các cuộc tấn công mạng nhằm vào Ukraine. Trong bối cảnh cuộc xung đột leo thang, Ukraine hiện đối mặt với các mối đe doạ chiến tranh mạng đó là: tấn công từ chối dịch vụ phân tán (DDoS), tấn công bằng các phần mềm độc hại WhisperGate, HermeticWiper, IsaacWiper và tấn công từ nhóm tin tặc APT28.

CÁC CUỘC TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

Nga đã phát động một loạt các cuộc tấn công DDoS nhằm vào các trang web của Ukraine trong đầu tháng 02/2022. Các cuộc tấn công chủ yếu liên quan đến các trang web ngân hàng và Bộ Quốc phòng Ukraine, được cho là do Cơ quan tình báo quân đội Nga thực hiện. Các cuộc tấn công diễn ra khi căng thẳng giữa Nga và Ukraine gia tăng với lượng truy cập trực tuyến nhiều đến mức các máy chủ của hệ thống ngân hàng hay các cơ quan quốc phòng Ukraine không thể phản hồi người dùng và buộc phải ngoại tuyến trong một khoảng thời gian. Các cuộc tấn công DDoS này có thể hiệu quả trong việc gây ra gián đoạn ngắn cho hệ thống mạng của Ukraine và trên thực tế, Nga đã sử dụng hình thức tấn công này để nhắm vào mục tiêu Estonia hơn một thập kỷ trước vào năm 2007. Việc đưa ra những kiểu tấn công không yêu cầu khả năng kỹ thuật phức tạp hoặc phát hiện ra các lỗ hổng mới thường có tác động khá hiệu quả đối với một số máy tính cụ thể đã được nhắm mục tiêu.

Nga đã liên tục phát động các cuộc tấn công DDoS vào tuần đầu tiên của tháng 3/2022. Các nhóm tin tặc người Nga đã bị phát hiện sử dụng DanaBot, một nền tảng phần mềm độc hại để thực hiện các cuộc tấn công DDoS nhằm vào các trang web của Bộ Quốc phòng Ukraine. Qua điều tra, hãng bảo mật ESET cho biết, đã phát hiện một phần mềm phá hoại mới được lưu hành tại Ukraine, tấn công hàng trăm máy tính tại quốc gia này. Hãng bảo mật này cho rằng, nhiều khả năng vụ tấn công đã được chuẩn bị từ trước đó khoảng một vài tháng.

Mặc dù các ngân hàng đã nâng cao mức độ cảnh báo các cuộc tấn công mạng có thể gây ra bởi các tin tặc Nga trong bối cảnh tình hình chiến sự tiếp tục leo thang, tuy nhiên vẫn không thể tránh khỏi và bị ảnh hưởng nghiêm trọng bởi các cuộc tấn công DDoS khiến website tê liệt và lây nhiễm mã độc. Đây là hai cách thức thường xuyên được tin tặc Nga sử dụng trong các cuộc tấn công mạng gần đây nhắm vào Ukraine.

TẤN CÔNG BẰNG WHISPERGATE

Phần mềm độc hại Wiper có tên là WhisperGate đã lây nhiễm trên các hệ thống mạng của Ukraine vào ngày 13/01/2022. WhisperGate là loại mã độc nguy hiểm với chức năng vô hiệu hóa khả năng phòng thủ của Windows Defender, đồng thời có thể xóa sạch dữ liệu trong máy tính người dùng, bao gồm việc tấn công mã hóa dữ liệu, ngăn chặn người dùng có thể truy cập vào dữ liệu cá nhân của họ.

Hành vi tấn công của mã độc WhisperGate có thể được chia làm ba bước. Đầu tiên, mã độc sẽ phá hủy phân vùng Master Boot Record (MBR), khiến cho máy tính nạn nhân không thể khởi động. Khi khởi động, một dòng thông báo sẽ hiện lên màn hình máy tính yêu cầu nạn nhân phải chuyển tiền. Tiếp theo, mã độc tiến hành tải một mã độc khác từ server Discord về máy tính nạn nhân. Cuối cùng, mã độc vừa được tải về sẽ mã hóa và phá hủy tất cả dữ liệu trong máy tính của nạn nhân.

WhisperGate được thiết kế ngụy trang tương tự kỹ thuật của mã độc tống tiền. Tuy nhiên, WhisperGate thiếu cơ chế khôi phục dữ liệu và được đưa ra nhằm mục đích phá hoại, khiến các hệ thống công nghệ thông tin mục tiêu bị tê liệt và không thể hoạt động được.

WhisperGate được tìm thấy trên khắp các hệ thống mạng Ukraine, bao gồm cả hệ thống máy tính của các cơ quan đầu não như Bộ Ngoại giao và Chính phủ Ukraine. Hai phần mềm độc hại xóa dữ liệu được sử dụng trong WhisperGate có điểm tương đồng với phần mềm xóa dữ liệu NotPetya đã tấn công Ukraine và một số công ty đa quốc gia lớn vào năm 2017.

Sự xuất hiện của loại mã độc mới WhisterGate đã làm dấy lên những lo ngại về một cuộc chiến dữ liệu đang ngày một leo thang trên môi trường mạng. Các nhà nghiên cứu chỉ ra rằng, việc sử dụng phần mềm xoá dữ liệu trong cuộc chiến này cho thấy Nga đã chuẩn bị một cuộc tấn công mạng trong nhiều tháng và có nguồn gốc chắc chắn từ chiến lược chiến tranh của Nga.

TẤN CÔNG BẰNG HERMETICWIPER

Các công ty an ninh mạng đã phát hiện ra một loạt các cuộc tấn công xóa dữ liệu mới vào ngày 23/02/2022, được đặt tên là HermeticWiper (còn được gọi là FoxBlade), bao gồm các phần mềm độc hại xâm nhập vào bên trong mạng máy tính vá xoá sạch dữ liệu khỏi tất cả các thiết bị được kết nối. Một số phần mềm độc hại khác đã được triển khai cùng với HermeticWiper, bao gồm cả loại virus được sử dụng để lây lan mã độc xóa dữ liệu. Mã độc này lan rộng ra ngoài biên giới Ukraine và có thể đã ảnh hưởng đến một số hệ thống ở các nước Baltic. HermeticWiper dường như có một số điểm tương đồng với các chiến dịch trước đây do nhóm Sandworm của Nga tài trợ.

Đáng lo ngại hơn, Nga cũng sử dụng phần mềm độc hại để xoá dữ liệu do các cơ quan chính phủ Ukraine nắm giữ. Microsoft cũng đã phát hiện thấy các chương trình mã độc do Nga thực hiện trong những tuần gần đây và đã chia sẻ thông tin đó với chính phủ Mỹ cũng như các quốc gia khác về lo ngại từ các cuộc tấn công mạng của Nga. Microsoft đã nhanh chóng loại bỏ phần mềm độc hại, đặt tên là FoxBlade và thông báo cho cơ quan quản lý mạng hàng đầu của Ukraine. Trong vòng ba giờ, hệ thống phát hiện virus của Microsoft đã được cập nhật để ngăn chặn mã độc, khiến chúng không thể xóa sạch dữ liệu trên các mạng máy tính. Phần mềm độc hại này ít khả năng lây lan nhanh chóng qua các lỗ hổng phổ biến và không khó vá như lỗ hổng EternalBlue trong Microsoft Windows mà NotPetya đã khai thác vào năm 2017 [4]. Không giống như NotPetya, các chương trình xoá dữ liệu HermeticWiper đã trở thành tâm điểm của làn sóng cảnh báo mới nhất.

TẤN CÔNG BẰNG ISAACWIPER

Một phần mềm độc hại xóa dữ liệu khác có tên là IsaacWiper đã được Nga tung ra nhằm chống lại các hệ thống của chính phủ của Ukraine, trùng với thời điểm Nga tấn công Ukraine vào ngày 24/02/2022. Công ty an ninh mạng ESET đặt tên cho mã độc mới là IsaacWiper. Các cuộc tấn công sử dụng mã độc này được phát động ngay sau các cuộc tấn công của HermeticWiper và nhắm đến các mục tiêu lớn hơn.

TẤN CÔNG TỪ NHÓM TIN TẶC APT28

Nhóm tin tặc APT28 là một nhóm tin tặc làm việc cho cơ quan Tình báo quân đội GRU của Nga. Nhóm này được cho là tác giả của nhiều vụ tấn công, từ vụ xâm nhập và đánh cắp dữ liệu nhắm vào cuộc bầu cử tổng thống Mỹ năm 2016 đến một chiến dịch quy mô lớn khác với vô số nỗ lực tấn công các đảng phái chính trị, chiến dịch, tổ chức tư vấn trong nhiều năm qua. Nhóm tin tặc APT28 đã tham gia vào một chiến dịch lừa đảo thông tin xác thực nhắm mục tiêu vào người dùng của công ty truyền thông Ukraine nổi tiếng là UKRNet. Chiến dịch đã bị tạm ngưng sau khi được Nhóm phân tích mối đe dọa của Google (TAG) phát hiện.

Trước những hoạt động tấn công an ninh mạng quốc gia từ Nga, Ukraine đã đưa ra chiến lược bảo vệ thông qua việc huy động sự ủng hộ quốc tế và tạo ra một đội quân các chuyên gia an ninh mạng tấn công lại các mục tiêu quân sự và cơ sở hạ tầng quan trọng của Nga.

PHẢN ỨNG CỦA QUÂN ĐỘI UKRAINE

Quân đội công nghệ thông tin của Ukraine là một trong những nỗ lực lớn nhất của chính phủ Ukraine nhằm ngăn chặn, phát hiện các hành động của tin tặc. Lực lượng quân đội này đã hoạt động bằng cách đăng các mục tiêu quan trọng lên kênh Telegram với hàng trăm nghìn thành viên, các cá nhân hoặc các nhóm khác nhau sẽ sử dụng các thông tin chi tiết được cung cấp để thực hiện các cuộc tấn công nhằm vào các mục tiêu được chỉ định. Các chuyên gia công nghệ thông tin Ukraine đã nhắm mục tiêu vào các trang web của một số ngân hàng Nga, hệ thống đường sắt và lưới điện của Nga, đồng thời tiến hành các cuộc tấn công DDoS trên diện rộng nhằm vào các mục tiêu có tầm quan trọng chiến lược khác. Phần lớn sức mạnh mạng của Ukraine xuất phát từ lực lượng chuyên gia công nghệ thông tin.

Ngoài ra, sự xuất hiện của mã độc xoá dữ liệu RURansom vào ngày 01/03/2022 đã mở ra một giai đoạn mới trong chiến dịch mạng đang diễn ra chống lại Nga. RURansom hoạt động như một phần mềm xóa dữ liệu và không cho nạn nhân cơ hội trả tiền để hệ thống của họ được giải mã. Phần mềm độc hại sẽ kiểm tra hệ thống của nạn nhân để tìm địa chỉ IP của Nga và nếu không tìm thấy địa chỉ IP, phần mềm độc hại sẽ tạm dừng hoạt động. Những kẻ tạo phần mềm độc hại dường như cũng đang tích cực phát hành các phiên bản mới của bộ xóa dữ liệu và có thể sẽ phát triển mạnh hơn theo thời gian [5].

Trước xung đột Nga - Ukraine hiện tại, các chuyên gia lo ngại những cuộc tấn công mạng giữa hai bên có thể lan sang những nước khác, trở thành một cuộc chiến tranh mạng toàn diện. Phía Nga khẳng định rằng chưa bao giờ tiến hành và sẽ không tiến hành bất kỳ hành động nguy hại nào trên không gian mạng. Tuy nhiên, chính quyền các nước vẫn đề cao cảnh giác và tăng cường an toàn an ninh mạng trước bối cảnh căng thẳng này.