Friday, July 29, 2016

Có một Biển Đông trên không gian mạng

Có một Biển Đông trên không gian mạng
Thái Dương
Mùa hè 2014, giữa lúc người Việt trong nước và hải ngoại đang sôi sục vì Trung Quốc đưa giàn khoan HD-981 vào Biển Đông, từ Hoa Kỳ các chuyên gia của ThreatConnectESET công bố hai bản báo cáo độc lập về những tấn công có chủ đích (targeted attacks) vào hệ thống máy tính của các cơ quan chính phủ Việt Nam.

Mạng máy tính chính phủ Việt Nam liên tục bị tấn công khi có căng thẳng trên Biển Đông


ESET phát hiện một nhóm người không rõ từ đâu gửi mã độc đến hộp thư điện tử của các nhân viên và cán bộ Bộ Tài Nguyên Môi Trường. Họ nhúng mã độc vào một tệp văn bản Microsoft Word, chỉ cần mở ra sẽ bị lây nhiễm. Một khi đã nhiễm vào máy tính, mã độc sẽ vô hiệu hóa phần mềm chống mã độc BKAV và gửi tín hiệu xâm nhập thành công đến một máy chủ điều khiển được đặt ở Hàn Quốc. Người tạo ra mã độc này bây giờ có toàn quyền điều khiển máy tính của nạn nhân.

Trên Internet có nhiều nhóm hacker với các động cơ khác nhau. Có những thanh niên đang tập tễnh vào nghề an ninh mạng muốn tấn công để chứng tỏ kỹ năng, cũng có những tập đoàn tội phạm tấn công để kiếm tiền. Những nhóm này thường quét toàn bộ Internet để tìm mục tiêu, gặp ai hack đó, không cần biết lý do. Không quá khó để ngăn chặn những nhóm hacker như vầy, vì họ chỉ muốn tìm những mục tiêu dễ nhất.

Một số nhóm hacker lại thường ra tay để thể hiện lòng yêu nước hay để gửi đi một thông điệp chính trị (hacktivism). Nếu ở Phương Tây có nhóm Anonymous thì ở Trung Quốc có nhóm 1937CN, vừa qua đã phá hoại hệ thống mạng máy tính ở sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines. Mục đích của những nhóm hacker này là tạo tiếng vang, nên họ thường chọn mục tiêu theo dòng sự kiện. Do thiếu một chiến lược lâu dài cùng với sự tổ chức quy cũ bài bản, các nhóm hacktivism thường chỉ có tác động ngắn hạn, nổi lên một vài năm rồi sẽ tan rã, một phần trong số đó sẽ gia nhập vào các nhóm hacker được bảo trợ bởi chính phủ và thuộc biên chế quân đội các nước. Đây chính là những nhóm hacker đáng lo ngại nhất. Với nguồn tài chính dồi dào, nguồn nhân lực chất lượng cao, những “tiểu đội” hacker này có nhiệm vụ xâm nhập vào hệ thống mạng máy tính của các cơ quan nhà nước ở các quốc gia khác để do thám (espionage) và phá hoại (sabotage). Là cánh tay nối dài của những cơ quan tình báo, những nhóm hacker này có tầm nhìn dài hạn, có chiến lược được tính bằng thập kỷ, rất kiên nhẫn, không dễ gì bỏ cuộc.

Tấn công mà ESET mô tả là một tấn công được thực hiện bởi một nhóm hacker như vậy. Kẻ tấn công hiểu rõ nạn nhân (máy tính có cài đặt BKAV) và toàn bộ chiếc dịch của họ chỉ nhằm vào một mục tiêu duy nhất. Tại sao lại là Bộ Tài Nguyên Môi Trường? Vì đây là cơ quan nhà nước sở hữu nhiều thông tin quan trọng về bản đồ, sơ đồ, hành trình, lịch trình, báo cáo… của các chuyến thăm dò dầu khí, khai thác ngư sản cũng như các hoạt động tuần tra bảo vệ của Việt Nam trên Biển Đông. Khó có thể biết được chắc chắn ai đứng đằng sau những tấn công này, nhưng dẫu họ là ai đi chăng nữa, có thể thấy rằng họ rất muốn biết Việt Nam đang và sẽ làm gì trên Biển Đông.

code1.png
Một phần của mã độc được gửi đến Bộ Tài Nguyên Môi Trường Việt Nam. Đoạn mã này sẽ vô hiệu hóa phần mềm BKAV. Nguồn: http://www.welivesecurity.com/2014/06/20/targeted-attack-against-vietnamese-government-right-on-the-monre/.

Các chuyên gia ThreatConnect cũng phát hiện Bộ Tài Nguyên Môi Trường bị một nhóm người tấn công từ cuối năm 2012. Ngoài Bộ Tài Nguyên Môi Trường, nhóm này còn tấn công vào Tập Đoàn Dầu Khí, Thông Tấn Xã và Tập Đoàn Bưu Chính Viễn Thông Việt Nam. Khác với ESET, ThreatConnect có bằng chứng để tin rằng những đối tượng đứng đằng sau các vụ tấn công này đến từ Trung Quốc. Ngoài ThreatConnect hãng an ninh mạng CrowdStrike cũng có nhận xét tương tự.

Liên tục trong hai năm 2014 và 2015 “Báo Cáo về Các Mối Đe Dọa Toàn cầu” (2014, 2015) của CrowdStrike chỉ ra rằng Việt Nam đã trở thành mục tiêu số một của các nhóm hacker thuộc chính phủ và quân đội Trung Quốc. Báo cáo này viết rằng ngay khi lúc tình hình Biển Đông trở nên căng thẳng vì dàn khoan HD-981 nhóm hacker Yêu Tinh Gấu Trúc (Goblin Panda) đã liên tục thực hiện các vụ tấn công nhằm vào lợi ích của Việt Nam. Phương thức tấn công cũng tương tự như vụ tấn công Bộ Tài Nguyên Môi Trường. Kẻ tấn công nhúng mã độc vào các tài liệu tiếng Việt và gửi chúng đến hộp thư điện tử của cán bộ nhân viên các tổ chức và cơ quan chính phủ Việt Nam. Nội dung của các tài liệu này thường là bản sao của các tài liệu do chính phủ Việt Nam phát hành, điều này chứng tỏ nhiều khả năng nhóm Yêu Tinh Gấu Trúc đã xâm nhập thành công vào hệ thống máy tính của chính phủ Việt Nam và sử dụng các tài liệu đánh cắp làm mồi nhử cho các cuộc tấn công tiếp theo.
CrowdStrike 2014 Report.png
Trích đoạn một tài liệu tiếng Việt được nhóm hacker Trung Quốc với biệt danh Yêu Tinh Gấu Trúc sử dụng để làm mồi nhử cho các cuộc tấn công vào các cơ quan nhà nước Việt Nam. Câu đầu tiên của văn bản này có nhắc đến dàn khoan HD-981. Nguồn: http://go.crowdstrike.com/rs/281-OBQ-266/images/ReportGlobalThreatIntelligence.pdf.

Sự kiện mạng máy tính sân bay Tân Sơn Nhất, sân bay Nội Bài và Vietnam Airlines bị phá hoại vào cuối tháng 7 năm 2016 thật ra là một tin vui đối với những ai lo lắng cho tình hình an ninh mạng ở Việt Nam. Thiệt hại của vụ tấn công này không lớn, nhưng đã giúp hướng sự chú ý đến mạng máy tính ở những hệ thống trọng yếu, nhạy cảm và có thể sẽ giúp phát hiện ra những nhóm hacker “lạ", chúng tôi tin rằng, đã “nằm vùng" từ rất lâu ở những nơi này.

Trung Quốc muốn thiết lập vùng cấm bay ở Biển Đông, nên từ mấy năm nay các nhóm hacker Gấu Trúc đã âm thầm tấn công các hãng máy bay trong khu vực. Bọn chúng muốn xâm nhập Vietnam Airlines, chúng tôi dự đoán, để lấy cắp thông tin về các chuyến bay, các kế hoạch mở rộng đường bay, kể cả lịch của các chuyến bay quân sự mà Bộ Quốc Phòng Việt Nam có thể đã chia sẻ với Vietnam Airlines.

Hệ thống mạng máy tính Việt Nam rất dễ bị tổn thương


Chúng tôi không ngạc nhiên khi hacker Trung Quốc (và có thể nhiều nước khác) dễ dàng “ra vô như đi chợ" hệ thống mạng của các cơ quan chính phủ Việt Nam. Phương thức tấn công nhúng mã độc vào các tệp văn bản rồi gửi đến hộp thư điện tử của nạn nhân (spear phishing) rất đơn giản nhưng cũng cực kỳ hiệu quả, đơn giản vì đại đa số máy tính ở Việt Nam cài đặt sử dụng phần mềm không rõ nguồn gốc hoặc không được cập nhật thường xuyên và đại đa số người dân thiếu những kiến thức cơ bản về an toàn thông tin.

Theo thống kê của hãng phần mềm Microsoft, từ năm 2011 đến nay Việt Nam luôn nằm trong nhóm các quốc gia có tỉ lệ nhiễm mã độc cao nhất thế giới. Nếu như quý 1 năm 2015, tỉ lệ các máy tính đã từng ít nhất một lần chạm trán mã độc ở Việt Nam chỉ là 37.1% thì đến quý 4 năm 2015, tỉ lệ này đã là 50.7%. Ngoài ra nếu như trong trong quý 1 năm 2015, cứ 1000 máy tính thì ít nhất 30 máy tính đã từng bị nhiễm mã độc thì cho đến quý 4 năm 2015 tỉ lệ này đã tăng lên 40/1000. Đây là một quả bom nổ chậm cần phải được tháo ngòi càng sớm càng tốt nếu muốn đảm bảo an ninh quốc gia và an toàn ổn định xã hội.

Ở một xã hội thiếu niềm tin như Việt Nam, nơi mà một tin đồn không rõ nguồn gốc có thể khiến người dân lũ lượt kéo nhau ra rút tiền vì sợ chủ ngân hàng sẽ bỏ trốn, chuyện gì sẽ diễn ra nếu như một buổi sáng 50% người sử dụng máy tính ở Việt Nam khi truy cập vào các tờ báo điện tử đều thấy thông tin thị trường chứng khoán sụp đổ và các nhà băng chuẩn bị đóng cửa? Đây không phải là chuyện viễn tưởng, với tình trạng nhiễm mã độc hiện tại, những nhóm hacker đứng đằng sau các mã độc đang hoành hành ở Việt Nam hoàn toàn có thể thực hiện được kịch bản này và hậu quả cho nền kinh tế Việt Nam sẽ là không thể tưởng tượng được.

Đại dịch mã độc không phải là vấn đề an toàn thông tin lớn nhất ở Việt Nam. Vấn đề lớn nhất là đầu tư chệch hướng. Như chúng tôi đã cảnh báo trong một bài báo trên Tuổi Trẻ, phần lớn ngân sách an toàn thông tin được dùng để mua sắm trang thiết bị, giải pháp sẵn có, thay vì đầu tư đào tạo, tuyển dụng đội ngũ kỹ sư, chuyên gia, người quản lý an toàn thông tin có trình độ chuyên môn cao. Chẳng hạn như để ngăn chặn đại dịch mã độc, nhiều nơi sẽ tính đến chuyện đi mua các giải pháp chống mã độc của BKAV, Kaspersky hay các hãng khác. Nhưng, xin nhắc lại, các máy tính của Bộ Tài Nguyên Môi Trường đều cài đặt BKAV và mã độc đã dễ dàng vô hiệu hóa!

Không phải chỉ có BKAV, tất cả phần mềm chống mã độc đều dễ dàng bị vượt qua hoặc vô hiệu hóa. Năm 2013, sau khi đưa thông tin về tài sản của gia đình thủ tướng Trung Quốc Ôn Gia Bảo, tờ New York Times thông báo rằng họ đã bị hacker Trung Quốc xâm nhập. Lúc bấy giờ mạng máy tính của tờ New York Times sử dụng phần mềm chống mã độc của hãng Symantec, nhưng phần mềm này chỉ bắt được duy nhất 01 mã độc, trong tổng số 45 mã độc mà hacker Trung Quốc cài cắm vào hệ thống của New York Times. Trả lời phỏng vấn báo chí, người phát ngôn của Symantec nói rằng “Một mình phần mềm chống mã độc là không đủ" và đề nghị New York Times… mua thêm giải pháp khác của họ.

Muốn đảm bảo an toàn thông tin phải giải quyết được ba vấn đề lớn: phòng chống, phát hiện và xử lý xâm nhập. Một tòa nhà an toàn phải có cửa kiên cố để phòng chống trộm, phải có hệ thống camera theo dõi để phát hiện kẻ gian và cuối cùng phải có bảo vệ túc trực để xử lý khi có ai đó muốn đột nhập. Trao đổi với chúng tôi anh Phương N., một trong số các chuyên gia bảo mật Việt Nam được biết đến trên thế giới, cho rằng Việt Nam quá tập trung vào phòng chống nhưng lại không có người cho hai khâu còn lại, khi xảy ra sự cố thì không biết xử lý thế nào. Một ngân hàng dẫu có cửa sắt kiên cố đến chừng nào mà không có camera quan sát theo dõi và đội ngũ bảo vệ túc trực thì cũng sẽ bị trộm viếng thăm. Các giải pháp bảo mật sẵn có không thể nào chống lại những tay hacker lành nghề, giống như cửa sắt có kiên cố cỡ nào cũng không thể chống lại các bậc thầy nhập nha.

Nói tóm lại, không thể nào chống lại hacker bằng cách đi mua giải pháp có sẵn. Máy móc thiết bị chỉ là dụng cụ hỗ trợ, cách duy nhất chống được hacker là phải có chuyên gia giỏi hơn. Những chuyên gia giỏi nhất của Việt Nam có trình độ không thua kém các nước trong khu vực, thực tế trong các cuộc thi về hacking ở Đông Nam Á Việt Nam thường đứng đầu. Nhưng nếu so với Trung Quốc và các cường quốc trên thế giới thì hiện tại Việt Nam thua xa cả về số lượng lẫn chất lượng. Chính sự thiếu hụt chuyên gia lành nghề là nguyên nhân dẫn đến tình trạng xuống cấp của hệ thống mạng máy tính ở các cơ quan chính phủ Việt Nam.

Việt Nam phải bắt đầu bằng cách xây dựng một đội ngũ hạt nhân bao gồm các chuyên gia giỏi nhất mà Việt Nam đang có. Nhưng ngành an toàn thông tin có đặc thù là rất khó đánh giá trình độ thật sự của chuyên gia. Không có chuyên gia đã đành, tin nhầm chuyên gia dởm tiền mất tật mang. Cách tốt nhất để đánh giá một nhà khoa học là hỏi ý kiến một nhà khoa học khác làm cùng ngành. Tương tự như vậy, cách tốt nhất để đánh giá một chuyên gia bảo mật là hỏi ý kiến các chuyên gia bảo mật khác. Phải hỏi không chỉ chuyên gia Việt Nam, mà còn phải hỏi cả chuyên gia nước ngoài, vì Việt Nam có nhiều chuyên gia rất nổi tiếng hoàn toàn không được biết đến trên thế giới.

18 comments:

Quốc Long Phạm said...

Nhân tài VN k thiếu, có điều khi report lỗ hỗng đến các cơ quan chính phủ hay các tổ chức nhà nước thì chỉ nhận được 3 trường hợp "im lặng - hăm dọa - đòi truy tố". Thậm chí đội ngũ vận hành cũng thiếu cả kiến thức về an toàn thông tin thì hỏi sao TQ nó k hành mình vật vã

C'est la Vie said...

"kiên cố" :)

theVu Nguyen said...

Đã nổi tiếng mà lại không được thế giới biết tới?

theVu Nguyen said...

Đã nổi tiếng mà lại không được thế giới biết tới?

Jou Hantin said...

"vì Việt Nam có nhiều chuyên gia rất nổi tiếng hoàn toàn không được biết đến trên thế giới"
Quá thâm sâu :)

Hồng Quân Nguyễn said...

Ý nói chỉ "nổi tiếng" trong nước (bằng cách đánh bóng) mà không được người cùng ngành trên thế giới thừa nhận trình độ.

duy nguyen said...

Chốt lại, chúng ta cần làm gì cho đất nước?
Em 20 tuổi, đang theo học để trở thành Network Admin. Em đọc được những dòng như thế này, thực sự rất lo lắng. Vì không chỉ "học giỏi để đóng góp cho đất nước". Vì ngay cả những người đứng đầu còn không đủ khả năng để nhận ra sự nguy hiểm đang tiến tới?
Em tin rằng mọi người Việt Nam đều có một lòng yêu nước, nhưng cũng như em, chúng ta phải thể hiện nó như thế nào? Phải làm thế nào để sử dụng tài năng của mình vào việc bảo vệ mảnh đất hình chữ S?
Em không biết nữa, về con đường nào sẽ phải đi? Yêu nước được dạy từ nhỏ, nhưng google không chỉ ra yêu nước phải làm gì, như thế nào?

Ein Herjar said...

Học giỏi tiếng Anh, học chuyên sâu Network Admin (hoặc bất cứ lĩnh vực IT nào em hứng thú) và quan trọng nhất là TRUYỀN CẢM HỨNG những bạn bè, đồng nghiệp của em tìm hiểu không ngừng về IT. Một chuyên gia như Thái ko đủ sức gồng gánh mảng IT ở VN, nhưng hàng trăm, hàng ngàn người có đam mê, gắn bó với IT như em thì... hồi sau sẽ rõ

Yêu nước, bảo vệ Tổ quốc ko nhất thiết là phải đứng lên cầm súng hay cảm tử. Đôi khi chỉ những hành động nho nhỏ hàng ngày (như dùng hàng xuất xứ VN) còn mang lại giá trị cho đất nước hơn là những bài lý luận suông về yêu nước.

John Smith said...

Có linh cảm bài này được tài trợ bởi Mr Quảng "nổ"

Web Dev said...

Mình thích câu này “Việt Nam có nhiều chuyên gia rất nổi tiếng hoàn toàn không được biết đến trên thế giới”

Dẫn chứng mới nhất là trong 2 ngày nay có 1 “chuyên gia bảo mật” liên tục xuất hiện trên các tờ báo phán như người trong cuộc. Trên Facebook cá nhân của “chuyên gia” này lại share link download các tập tin excel danh sách khách hàng của VN-Airlines mà không biết những tập tin này chứa kèm theo những gì. Với cái mác “chuyên gia” có nhiều Fan hâm mộ sẵn sàng download thì anh ấy đã và đang góp phần phá hoại hơn là giúp đỡ.

Hình ảnh “chuyên gia lởm” này share link vẫn còn nằm tại đây, nhưng là bị chuyên gia thật cảnh báo ;) http://sohoa.vnexpress.net/tin-tuc/doi-song-so/bao-mat/thong-tin-400-000-hanh-khach-cua-vietnam-airlines-co-the-chua-ma-doc-3444506.html

Mr.LuckyToad said...

Không quan tâm mục đích ẩn của bài viết :)) John Smith, cái mà cần nhìn thấy là hãy cầm bàn phím góp phần bảo vệ Tổ Quốc thôi

Thuan Nguyen said...

Em có đọc bài này của a Thái nói về việc các hãng lớn cũng bị xâm nhập, đừng dựa vào các hãng này mà phải đầu tư thêm chuyên gia. Điều này hoàn toàn đúng nhưng làm sao để biết được chuyên gia đó đủ giỏi để control dc các giải pháp bảo mật của các hãng quá lớn, thậm chí có những hãng cung cấp giải pháp cho bộ quốc phòng các nước. Và nếu không tin những hãng như Juniper, FireEye, Palo Alto .. thì tin ai bây giờ? Và kiểm tra bảo mật các hãng này để đảm bảo k có mã độc ntn? Ngoài ra 1 quốc gia vẫn còn đang yếu như ở VN nói chung về ngành CNTT chứ đừng nói gì về An ninh thông tin mà anh bảo tìm được các chuyên gia bảo mật thì hơi khó đó ạ. Cái quan trọng là có lộ trình đi sao cho đúng, và educate được mọi người. Những gì a nói chỉ đúng cho những quốc gia lớn khi họ đủ ngân sách, và 1 nền giáo dục tốt mà thôi.

Ngoài ra a nói ISO hay các chuẩn là không hiệu quả thì không đúng cho lắm. Bảo mật xuất phát cả từ quy trình, kĩ thuật lẫn yếu tố con người. Các bộ chuẩn này nhằm đảm bảo quy trình và con người, nếu không có thì hệ thống còn dễ bị xâm nhập hơn cho dù là có bảo mật cỡ nào đi chăng nữa.

Am I Who said...

Những cái Thái nói như bạn đề cập ý là cần nhưng không đủ. Phải có người đủ giỏi thì những thứ kia mới có hiệu quả, mới không lãng phí. Ở VN đa phần chỉ đầu tư mua sắm các loại giải pháp và chứng nhận đạt đủ các thể loại ISO nhưng con người thì lại bỏ qua dẫn đến không biết khai thác những thứ mình đầu tư mua sắm.

Clover Nguyen said...

Xin phép được share bài viết. Cám ơn anh Thái

Lê Tùng said...

Bài viết hay quá

Unknown said...

Cảm ơn anh về bài viết. Em ko phải dân IT nhưng đọc 2 bài viết của anh về vụ Vietnam Airlines gần đây, em đã hiểu rõ hơn rất nhiều điều cũng như những nguy cơ tiềm ẩn, sự thiếu và yếu về mảng An ninh mạng của chúng ta... Rất mong sự việc vừa rồi là lời cảnh báo cho Chính phủ và chúng ta, để chuẩn bị cho 1 cuộc chiến lâu dài tới còn ác liệt hơn.

Trung ND said...

Hi vọng chính phủ hiểu được nguy cơ, attt là an toàn quốc gia, ko sẽ có nhiều kịch bản tấn công như trong phim mà vn ngây thơ đến độ ko tin là sẽ xảy ra. Thank for a great post.

Trung ND said...

Hi vọng chính phủ hiểu được nguy cơ, attt là an toàn quốc gia, ko sẽ có nhiều kịch bản tấn công như trong phim mà vn ngây thơ đến độ ko tin là sẽ xảy ra. Thank for a great post.