Chao đảo vì... tấn công mạng toàn cầu

Trên tài khoản Facebook cá nhân, Bộ Nội vụ Ukraine thông báo vụ tấn công mới nhất xảy ra khoảng 1 giờ 40 phút chiều giờ Kiev ngày 4/7 (khoảng 5 giờ 40 phút chiều, giờ Hà Nội) và được lập trình để phát tán mạnh nhất vào khoảng 4 giờ chiều. Tuy nhiên, vào khoảng 3 giờ chiều, cảnh sát mạng đã chặn đứng hoạt động phát tán mã độc qua thư điện tử và hoạt động kích hoạt virus từ các máy chủ. 

Chưa rõ thủ phạm

Đây là đợt tấn công mới nhất sau vụ tấn công mạng toàn cầu bằng mã độc “ExPetr” khiến nhiều hệ thống máy tính của các công ty lớn trên toàn cầu bị tê liệt hôm 27/6. Ngoài các tổ chức bị ảnh hưởng nhiều nhất ở Nga và Ukraine, mã độc cũng gây ra các cuộc tấn công khác ở Ba Lan, Italy, Anh, Đức, Pháp, Mỹ và nhiều quốc gia khác. Hiện các chuyên gia vẫn đang truy tìm thủ phạm đứng sau. 

Cơ quan cảnh sát châu Âu (Europol) ngày 28/6 nhận định, làn sóng tấn công mạng tại châu Âu và Bắc Mỹ tương tự với vụ tấn công bằng mã độc “WannaCry” vào tháng trước, song có xu hướng “tinh vi hơn”. Giám đốc Europol Rob Wainwright đánh giá đây là vụ tấn công nghiêm trọng bằng mã độc khác, khi cơ sở hạ tầng và hệ thống doanh nghiệp trở thành mục tiêu của làn sóng mã độc mới mang tên “Petrwrap” khiến nhiều hệ thống bị lây nhiễm và chưa có dấu hiệu dừng lại. 

Mặc dù vẫn chưa thể thống kê số lượng nạn nhân chính xác, song Europol đã thành lập văn phòng phối hợp và chủ động giám sát sự lây lan của các vụ tấn công. Ông Wainwright cho rằng dù có một số điểm tương đồng rõ ràng với vụ tấn công bằng mã độc “WannaCry”, song có nhiều dấu hiệu cho thấy mã độc mới này có khả năng tấn công tinh vi hơn, lợi dụng một loạt các điểm yếu về an ninh. Europol cảnh báo không giống như mã độc “WannaCry”, vụ tấn công này không có “cơ chế tự hủy” nào. Giám đốc Wainwright cho rằng đây là minh chứng cho thấy tội phạm mạng đang phát triển về quy mô và là lời nhắc nhở tới doanh nghiệp về tầm quan trong việc thực hiện các biện pháp an ninh mạng. 

Nhiều nước chao đảo

Từ Moskva, Ngân hàng Trung ương Nga thông báo đã phát hiện một vụ tấn công mạng nhằm vào ngân hàng này, sử dụng mã độc tương tự như WannaCry và Petya. Trung tâm giám sát và phản ứng với các vụ tấn công mạng của Ngân hàng Trung ương Nga đã gửi các hướng dẫn phòng ngừa tới các công ty của mình để phát hiện và phòng chống các mã độc. 

“Petrwrap”, virus mới của những vụ tấn công trên được các chuyên gia nhận định là bản cải tiến của Petya, mã độc là thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016. Cũng như “WannaCry”, đây là loại mã độc thuộc dòng “tống tiền”, lây lan qua các liên kết độc hại  và ghi đè có chủ đích lên tập tin quản lý khởi động hệ thống của thiết bị (MBR) để khóa người dùng khởi động. Nếu bị dính mã độc, người dùng sẽ được hướng dẫn để thực hiện việc trả tiền chuộc cho tin tặc bằng tiền ảo bitcoin. 

Tại Mỹ, mã độc “tống tiền” Petya đã tấn công vào hệ thống máy tính tại nhà ga lớn nhất của Cảng Los Angeles (Mỹ) khiến mọi hoạt động tê liệt. Các nhà ga của Cảng Los Angeles do Tập đoàn vận tải biển A.P Moller-Maersk của Đan Mạch điều hành, chiếm khoảng 16% hạm đội tàu thế giới đã phải đóng cửa trong nhiều giờ do hệ thống công nghệ thông tin (IT) của công ty bị nhiễu loạn. Theo người phát ngôn của A.P Moller-Maersk, do bị tấn công, hệ thống IT của Maersk ở nhiều chi nhánh bị sập. 

Cùng ngày, hoạt động của Cảng container lớn nhất của Ấn Độ - Jawaharlal Nehru cũng bị gián đoạn do hệ thống máy tính bị mã độc Petya tấn công. Theo Bộ Đóng tàu Ấn Độ, nhà ga thuộc Cảng Jawaharlal Nehru ở Mumbai, cũng do Tập đoàn đóng tàu A.P Moller-Maersk điều hành đã phải ngừng hoạt động. 

Rosneft, tập đoàn dầu mỏ lớn nhất của Nga, các ngân hàng và các công ty đa quốc gia ở Ukraine, Tập đoàn công nghiệp Pháp Saint-Gobain và WPP - Công ty quảng cáo lớn nhất của Anh, ngân hàng lớn nhất nước Pháp BNP Paribas cũng cũng nằm trong số những công ty lớn bị tấn công.

Truyền thông Hà Lan đưa tin hệ thống cầu cảng container tại cảng Rotterdam hiện vẫn chưa thể hoạt động trở lại, từ đó ảnh hưởng tới các khu vực khác của cảng biển tại Hà Lan này. Hàng nghìn máy tính bị tê liệt trong khi nhiều cảng biển, nhà máy và văn phòng trên thế giới đã phải đóng cửa do vụ tấn công mạng này. 

Công ty năng lượng nhà nước Ukraine Ukrenergo một lần nữa trở thành nạn nhân của vụ tấn công mạng mới xảy ra ngày 29/6, do một loại virus máy tính khác so với vụ tấn công hai ngày trước đó. Trả lời báo giới, quyền Giám đốc Ukrenergo, ông Vsevolod Kovalchuk cho biết vụ tấn công mới gây ra hậu quả không đáng kể do nhiều số máy tính không kết nối mạng. Vụ tấn công thứ hai trong tuần cũng không ảnh hưởng đến mạng lưới điện của Ukraine. Theo ông Kovalchuk, mã độc được sử dụng trong vụ tấn công mới khá khác về bản chất và tương tự như mã độc WannaCry trong vụ tấn công mạng hồi tháng trước. Ukrenergo là một trong những nạn nhân của vụ tấn công mạng, bắt đầu từ Ukraine và phát tán đến hơn 60 quốc gia, trong đó có Nga, Đức và Mỹ. Hàng nghìn máy tính bị tê liệt trong khi nhiều cảng biển, nhà máy và văn phòng trên thế giới đã phải đóng cửa do vụ tấn công mạng này. Theo ông Kovalchuk, dữ liệu ban đầu cho thấy mã độc trong vụ tấn công này được kích hoạt trong khi người dùng nâng cấp phần mềm. Cảnh sát Ukraine thông báo, họ đã ghi nhận tổng cộng 2.108 báo cáo về các vụ tấn công mạng trên toàn quốc và đã mở 66 vụ điều tra hình sự, sau khi một vụ tấn công mạng quy mô lớn đã xảy ra nhằm vào hệ thống mạng máy tính của nhiều tập đoàn lớn trên thế giới, đặc biệt là tại Ukraine. Theo đó, chỉ trong vòng 24 giờ họ đã nhận được khoảng 600 báo cáo về tấn công mạng. Nhà chức trách Ukraine cho biết họ đã nhận được 420 đơn khiếu nại chính thức về việc các thiết bị máy tính bị virus tấn công, trong đó 111 trường hợp đến từ các cơ quan chính phủ. 

WikiLeaks: NSA có “dính líu”

Trong khi đó, trang WikiLeaks lại tiết lộ rằng các công cụ tấn công mạng được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA) đã được sử dụng trong cuộc tấn công mạng quy mô lớn vừa xảy ra ngày 27/6. 

Theo kênh truyền hình CNN: “Các nhà nghiên cứu cho rằng vụ tấn công hôm 27/6 sử dụng một lỗ hổng của hệ điều hành Windows với tên gọi EternalBlue để tấn công mạng lưới các công ty. Mã độc WannaCry trước đây cũng đã tận dụng khai thác lỗ hổng EternalBlue và được biết tới như một trong các công cụ tấn công mạng của NSA”. Trước đó, trang WikiLeaks đã cung cấp dữ liệu về EternalBlue và các chương trình tấn công mạng khác, cho rằng các chương trình này do NSA phát triển và được các cơ quan đặc biệt của Mỹ sử dụng. 

Hồi tháng 5/2017, vụ tấn công mạng trên phạm vi toàn cầu cũng đã xảy ra khi mã độc “tống tiền” WannaCry gây ảnh hưởng đến hơn 150 quốc gia và vùng lãnh thổ trên thế giới. 

Sau loạt vụ tấn công mới này, nhiều chuyên gia đánh giá việc tìm ra giải pháp cho cuộc tấn công mạng lần này có thể sẽ kéo dài lâu hơn so với vụ “Wannacry”. Công ty cung cấp dịch vụ chống virus và an ninh mạng đa quốc gia Kaspersky Lab của Nga cho biết các vụ tấn công mã độc đòi tiền chuộc mới “đang có xu hướng gia tăng” và thủ phạm gây ra vụ tấn công mạng toàn cầu mới nhất này không phải là biến thể của ransomware Petya như các thông tin trước đó.  Kết quả nghiên cứu của các chuyên gia thuộc Kaspersky Lab cho thấy mã độc đòi tiền chuộc trong vụ tấn công mạng mới đây khác biệt đáng kể so với tất cả các phiên bản mã độc Petya - thủ phạm tấn công hệ thống máy tính toàn cầu năm 2016 - được biết đến trước đó. Các chuyên gia khẳng định đây không phải là biến thể của ransomware Petya, mà là một ransomware mới chưa từng xuất hiện. Kaspersky Lab đặt tên cho ransomware mới này là “NotPetya” hay “ExPetr”...