Hai năm sau "đại dịch" mã độc tống tiền WannaCry: Vẫn còn cả triệu máy tính có nguy cơ bị tấn công

Các lỗ hổng bảo mật bị "phát giác" sau vụ lộ bộ công cụ hack của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) vẫn là một trong những mối đe doạ tiềm tàng đối với hàng triệu máy tính trên thế giới.

WannaCry có mã nguồn "giống mã độc đã tấn công Sony Pictures"

Hơn 1.900 máy tính lây nhiễm WannaCry tại Việt Nam

Ngày này đúng hai năm về trước, một mã độc tống tiền nguy hiểm bắt đầu được phát tán trên phạm vi toàn thế giới. Mã độc ấy có tên là WannaCry.

WannaCry lan nhanh như một vụ cháy rừng, mã hoá dữ liệu của hàng trăm nghìn máy tính tại hơn 150 quốc gia chỉ trong vòng một vài tiếng đồng hồ. Đây là lần đầu tiên trong lịch sử có một ransomware (mã độc tống tiền), một loại malware mã hoá dữ liệu trên máy vi tính của người dùng và đòi tiền chuộc bằng tiền mã hoá thì mới chịu "giải mã", đã lan truyền trên khắp thế giới trong một cuộc tấn công mạng diện rộng có chủ đích và có sự phối hợp của nhiều bên.

Khởi đầu vụ việc, các bệnh viện trên khắp nước Anh công bố một "sự việc nghiêm trọng" khi hệ thống máy tính của họ bị malware "hạ gục". Các cơ quan chính phủ, mạng lưới tàu hoả và cả máy tính của các công ty tư nhân cũng nhanh chóng trở thành nạn nhân của vụ tấn công.

Các nhà nghiên cứu bảo mật nhanh chóng nhận ra rằng malware này lây lan như một con sâu máy tính, từ máy tính này qua máy tính khác trong cùng một hệ thống mạng và từ mạng nội bộ này sang mạng nội bộ khác, thông qua giao thức Windows SMB. Mọi nghi ngờ ngay lập tức đổ dồn vào một bộ các công cụ hack tối mật do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển, bị đánh cắp và phát tán công khai trên mạng Internet mới chỉ vài tuần trước đó, cho phép bất kỳ ai có thể tải xuống và sử dụng.

"Đó là sự thật," Kevin Beaumont, một nhà nghiên cứu bảo mật Vương quốc Anh cảm thán ở thời điểm đó. "Thứ này [bộ công cụ hack] sẽ được rất nhiều người săn đón đây."

WannaCry hoạt động dựa vào một công cụ khai thác lỗ hổng bảo mật của Windows do Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển, có tên gọi DoublePulsar và EternalBlue, để hack các máy tính chạy hệ điều hành Windows thông qua hệ thống mạng nội bộ.

Một nhóm tin tặc không rõ tên tuổi đã tải về các vũ khí tấn công mạng của NSA được đăng tải công khai trên Internet để thực hiện vụ tấn công — có lẽ chính họ cũng không biết quy mô lây lan của cuộc tấn công này sẽ đi xa đến mức độ nào. Các tin tặc đã sử dụng "cửa hậu" do NSA cung cấp, lỗ hổng DoublePulsar, để tạo ra một lỗ hổng thường trực trên máy tính người dùng và "tuồn" mã độ tống tiền WannaCry vào đó. Tiếp theo, các tin tặc khai thác lỗ hổng EternalBlue, nhằm giúp mã độc có thể lây lan một cách hoàn toàn tự động đến tất cả các máy tính khác trong mạng nội bộ chưa được cài đặt bản vá bảo mật.

Do vậy, chỉ cần một chiếc máy tính có kết nối Internet, bị nhiễm virus và chưa được phá lỗ hổng hoàn toàn có thể gây ra một trận "đại dịch" để lại những hậu quả tàn khốc.

Microsoft, tập đoàn công nghệ sản xuất ra hệ điều hành Windows, ở thời điểm bấy giờ đã biết về những công cụ hack nhằm vào các sản phẩm hệ điều hành của mình và kịp thời tung ra các bản vá lỗi. Tuy nhiên, người dùng và các doanh nghiệp tỏ ra khá chậm chạp và thờ ơ trong việc cài đặt những bản vá đó cho máy tính của mình.

Nhờ vậy, chỉ trong một vài giờ, mã độc tống tiền đã gây thiệt hại lên đến hàng tỷ USD. Ví điện tử Bitcoin liên kết với mã độc này nhanh chóng chứng kiến những dòng tiền khổng lồ đổ về liên tục từnhững nạn nhân của vụ tấn công, những người thực sự muốn lấy lại các tập tin quý giá trên máy tính của mình.

Marcus Hutchins, một kỹ sư chuyên thực hiện kĩ thuật đảo ngược phần mềm của malware, đồng thời cũng là một chuyên gia bảo mật, đang đi nghỉ dưỡng khi vụ tấn công xảy ra. Sau khi nhận được thông tin, anh đã quyết định cắt ngắn kì nghỉ của mình và trở lại bàn làm việc. Sử dụng dữ liệu từ hệ thống theo dõi malware của mình, anh chàng này đã tìm ra thứ mà sau này được coi là "công tắc" của WannaCry, được chủ sở hữu malware này giấu trong các đoạn mã, có lẽ là để dừng cuộc tấn công lại khi mọi thứ đi quá tầm kiểm soát. Đó là một tên miền đặc biệt chưa được đăng kí. Khi Hutchins đăng ký quyền sở hữu tên miền này, ngay lập tức báo cáo về các cuộc tấn công doWannaCry gây ra trên toàn cầu dừng lại gần như ngay lập tức. Hutchins, trớ trêu thay mới đây cũng chính là người bị vướng vào vòng lao lý với cáo buộc tạo ra malware, nhưng ở thời điểm đó anh được coi là người hùng vì đã "tay không" chặn đứng cuộc tấn công khiến cả thế giới khiếp sợ. Nhiều người đã đề nghị giảm án, thậm chí là "tha" hẳn cho anh này vì những công lao của mình hai năm trước.

Niềm tin của công chúng vào hệ thống tình báo cũng sụp đổ chỉ trong một đêm. Các nhà lập pháp Mỹ yêu cầu Cơ quan An ninh Quốc gia Mỹ (NSA) cho biết họ có kế hoạch gì để "dọn dẹp" mớ hỗn độn đang diễn ra với các hệ thống máy tính trên khắp thế giới do công cụ hack bị rò rỉ của cơ quan này gây ra hay không. Vụ việc cũng làm dấy lên một cuộc tranh luận sôi nổi về cách thức các chính phủ "tích trữ" các lỗ hổng bảo mật máy tính và lợi dụng chúng làm vũ khí để thực hiện các chiến dịch giám sát hoặc gián điệp — hoặc là trong trường hợp nào thì họ nên tiết lộ lỗi cho nhà sản xuất phần mềm để khắc phục chúng.

Một tháng sau, thế giới điện toán lại tiếp tục chao đảo trước một cuộc tấn công mạng quy mô thứ hai với hình thức gần giống và khai thác những lỗ hổng tương tự.

NotPetya, một loại mã độc tống tiền khác mà sau này, các nhà nghiên cứu bảo mật cũng tìm ra "công tắc" để vô hiệu hoá chúng, cũng sử dụng lỗ hổng DoublePulsar vàEternalBlue tương tự như WannaCry để phá hoại các công ty kinh doanh vận tải, các siêu thị và các công ty truyền thông quảng cáo.

Hai năm sau, những nguy cơ do công cụ hack của NSA bị rò rỉ gây ra vẫn còn hiện hữu.

Có khoảng 1,7 triệu máy tính được kết nối với Internet trên toàn thế giới vẫn có nguy cơ bị tấn công thông qua các lỗ hổng này, theo các thống kê mới nhất của Shodan, một hệ thống tìm kiếm các cơ sở dữ liệu và thiết bị gặp rủi ro. Shodan cũng cho hay đa ssoo các thiết bị có nguy cơ bị tấn công nằm tại Hoa Kỳ. Tuy nhiên, con số này mới chỉ thống kê những thiết bị được kết nối trực tiếp đến Internet, và chưa kể hàng triệu thiết bị khác nữa đang kết nối tới các máy chủ có nguy cơ nhiễm mã độc. Do vậy, số lượng các thiết bị gặp rủi ro còn có thể cao hơn nhiều.

Vẫn còn hơn 400.000 hệ thống máy tính khác (chỉ tính riêng tại Hoa Kỳ) có thể bị tấn công bằng các công cụ hack bị lộ của NSA từ hai năm trước

Ở thời điểm hiện tại, WannaCry vẫn tiếp tục lây lan và thi thoảng lại lây nhiễm lên một số hệ thống máy tính và được các phương tiện truyền thông, các chuyên gia bảo mật đưa tin. Hôm chủ nhật vừa qua, trên Twitter, Beaumont chia sẻ rằng hiện nay mã độc này đang ở trạng thái vô hiệu hoá, không thể tự giải nén chính nó và mã hoá dữ liệu người dùng được nữa, vì những lý do mà tới nay các nhà nghiên cứu vẫn chưa phát hiện ra.

Tuy nhiên các công cụ hack bị lộ của NSA, hiện vẫn đang được sử dụng phổ biến và có khả năng tấn công nhiều hệ thống máy tính chưa được vá lỗi, vẫn tiếp tục bị lợi dụng để phát tán đủ các chủng loại malware – và hiện tại, danh sách các nạn nhân của các lỗ hổng này vẫn đang ngày càng dài ra.

Chỉ vài tuần trước khi các máy tính ở bang Atlanta, Mỹ bị mã độc này tấn công, chuyên gia an ninh mạng ;Jake Williams phát hiện ra hệ thống mạng máy tính ở bang này đã bị nhiễm mã độc tấn công của NSA. Gần đây nhất, các công cụ hack của NSA đã được lập trình lại để tấn công các mạng máy tính đang chạy những đoạn mã đào tiền ảo, nhằm lợi dụng sức mạnh xử lý của những hệ thống này để "đào" tiền mã hoá. Một số hacker khác thì lây nhiễm virus, tạo ra các mạng máy tính "ma" và lợi dụng băng thông khổng lồ của chúng để tiến hành các cuộc tấn công từ chối dịch vụ…

WannaCry đã gây ra khủng hoảng toàn cầu. Các hệ thống máy tính phải ngừng hoạt động, dữ liệu thì bị mất và nhiều người đã phải bỏ tiền chuộc lại. Nhưng nó cũng là tiếng chuông cảnh tỉnh để xã hội cần phải có ý thức hơn trong việc thực hành các thao tác an ninh mạng cơ bản.

Nhưng với hơn một triệu thiết bị chưa được cài đặt bản vá bảo mật, các lỗ hổng do WannaCry tạo ra năm xưa vẫn là một cơ hội, một miếng "mồi" béo bở để các tin tặc tiếp tục tiến hành các cuộc tấn công mới trong tương lai. Những gì xảy ra hai năm trước vẫn chưa thể quên được, và chúng ta cần phải biết cách học từ những sai lầm trong quá khứ; trong đó, trước hết là học cách tự bảo vệ mình.

Quang Huy