Vụ tấn công chớp nhoáng đòi tiền chuộc trên mạng
Một chiếc đồng hồ hiện ra trên màn hình chiếc máy tính đặt bàn của Gern và nó không ngừng không ngừng đếm ngược. Cạnh chiếc đồng hồ có một dòng cảnh báo: “Số tiền phải thanh toán sẽ tăng lên gấp đôi vào lúc 21 giờ 13 phút 40 giây, ngày 15.5.2017”. Yêu cầu trả tiền này do phần mềm độc hại WannaCry tạo ra. Nó đã mã hóa toàn bộ dữ liệu trong máy tính của Gern, qua đó biến cỗ máy thành con tin và anh sẽ phải trả số tiền chuộc trị giá 300 USD, bằng đồng tiền ảo bitcoin, để lấy lại dữ liệu. Trong 26 phút tiếp theo, số tiền chuộc sẽ tăng lên gấp đôi.
Glen đã sẵn sàng trả tiền chuộc, bởi các file dữ liệu nằm trong máy tính cũng là toàn bộ lịch sử các hoạt động của anh được lưu trữ dưới dạng kỹ thuật số. Đó là các bức ảnh chụp gia đình mà Gern rất trân trọng, tài liệu làm việc quan trọng, file nhạc ưa thích. Tất cả giờ đều nằm trong sự kiểm soát của WannaCry và Gern không thể can thiệp gì để cứu chúng. Điều duy nhất khiến Gern băn khoăn chưa muốn rút tiền ra khỏi ví là anh không tin những tay hacker đứng đằng sau vụ tấn công sẽ giải mã và trả tự do cho máy tính của anh, ngay cả khi chúng đã nhận được tiền chuộc.
Cơn ác mộng của Gern bắt đầu 3 ngày trước đó, vào hôm 12.5, khi màn hình chiếc máy tính đặt bàn chạy hệ điều hành Windows 7 nằm tại nhà anh đột nhiên chuyển sang màu đen bất thường. Gern đã không nghĩ ngợi gì nhiều và quyết định khởi động lại máy, do cho rằng đây chỉ là lỗi phần mềm. Gern dĩ nhiên không biết rằng phần mềm độc hại WannaCry, bằng cách nào đó đã chui vào máy tính của anh và hàng chục ngàn máy tính chạy hệ điều hành Windows khác nằm ở Châu Âu, Châu Á cùng Bắc Mỹ.
Khoảng 30 phút sau khi Gern bị tấn công, Cơ quan Dịch vụ Y tế Anh quốc thông báo máy tính nằm tại 16 cơ sở y tế của họ đã bị lây nhiễm. Các bác sĩ đã không thể truy cập được hồ sơ dữ liệu của khách hàng và nhiều phòng cấp cứu buộc phải từ chối tiếp nhận bệnh nhân. Rất nhanh sau đó, số cơ sở bị lây nhiễm tăng lên 33. Tương tự, một công ty viễn thông ở Tây Ban Nha, một nhà mạng cung cấp dịch vụ di động ở Nga cùng công ty ôtô Renault của Pháp cũng nhiễm WannaCry. Chỉ trong vài giờ, sự kiện đã được giới chuyên gia gọi là vụ tấn công đòi tiền chuộc trên mạng thành công nhất mọi thời.
Khi tin tức về việc hàng chục quốc gia bị WannaCry tấn công xuất hiện và ai cũng nhận ra rằng đây là “đại dịch trên mạng” với quy mô toàn cầu, một nhà nghiên cứu về an ninh mạng mới chỉ 22 tuổi ở Anh đã đưa ra quyết định quan trọng. Nhà nghiên cứu này, với biệt danh MalwareTech, nhận được một phiên bản của WannaCry do bạn gửi đến và anh đã chạy nó trên một môi trường thử nghiệm, nằm trong chiếc máy tính của anh. MalwareTech nhận ra rằng chương trình đang cố truy cập, nhưng không thành công, vào một địa chỉ trên mạng. Địa chỉ này là một dãy dài các chữ số có vẻ được tạo ra một cách ngẫu nhiên, với đuôi .com. MalwareTech tìm kiếm địa chỉ trên và thấy nó chưa được đăng ký nên đã đăng ký để nó thể tồn tại và kết nối vào được. Hóa ra địa chỉ này giống như một dạng công tắc hủy diệt, nếu WannaCry có thể truy cập tới địa chỉ đó, nó sẽ tự động bị vô hiệu hóa.
Sau động thái của MalwareTech, WannaCry lập tức ngừng lây nhiễm sang các máy tính mới. MalwareTech đã nhanh chóng xử lý phần mềm nguy hiểm này trước khi nó có thể gây hại cho anh, nhưng điều tương tự không diễn ra với những ai đã bị lây nhiễm.
Tại Kraków, một giờ sau khi Gern khởi động lại máy tính để làm việc, màn hình lại chuyển màn đen. Vì thế, anh quyết định tắt nó đi và bật lại một lần nữa. Lần này, tất cả các biểu tượng nằm trên màn hình máy tính biến thành những ô hình chữ nhật trống rỗng. Tất cả những cái tên nằm dưới chúng giờ đều có đuôi “.wncry.” Gern mở một số thư mục và các file nằm bên trong cũng có đuôi mở rộng “.wncry”. Tim anh bắt đầu đập loạn nhịp. Anh cố mở một số file nhưng không thành công. Anh thử mở một file văn bản nhưng cũng không được. Cuối cùng, một cửa sổ màu đỏ hiện ra trên màn hình máy tính của anh, cùng một thông báo: “Ối, các file trong máy tính của anh đã bị mã hóa rồi”. Cái tên của cửa sổ này là “Wana Decrypt0r 2.0.”
Cùng thời điểm, tại một vùng ngoại ô bên ngoài Seattle, Washington, Mark Pendergraft vừa mới nôn xong. Anh nghỉ làm trong buổi sáng đấy vì bị cảm, nhưng đồng nghiệp lại nhắn tin báo rằng có chuyện kỳ lạ xảy ra với chiếc máy chủ nằm ở cơ quan của họ, công ty khảo sát địa ốc Mead Gilman & Associates. Các file nằm trong máy chủ này đột nhiên có phần đuôi mở rộng kỳ lạ, mang tên “.wncry.” Pendergraft nhanh chóng tìm kiếm đuôi mở rộng này trên Google và sau một lúc thì gọi lại, yêu cầu tắt khẩn cấp chiếc máy chủ. Nhưng nỗ lực của Pendergraft đã quá muộn.
Những công cụ tấn công nguy hiểm
Mặc dù vụ tấn công WannaCry được người ta nhớ tới vì cái tên của phần mềm này, thực tế nó không hoạt động một mình. Phần mềm này bao gồm khá nhiều phần mềm khác nhau, gồm một công cụ cài đặt cửa hậu có tên DoublePulsar, và một công cụ khai thác lỗ hổng phần mềm mang tên EternalBlue. Trong ngày 14.3 năm nay, trước khi DoublePulsar và EternalBlue được công chúng biết tới, Microsoft đã tung ra gói cập nhật an ninh MS17-010 cho các phiên bản hiện đại của hệ điều hành Windows. Không giống những lần cập nhật trước, lần này Microsoft không ghi tên nhà nghiên cứu đã phát hiện ra lỗ hổng an ninh.
Chừng một tháng sau, một nhóm hacker có tên Shadow Brokers đã tung nhiều công cụ đột nhập máy tính lên mạng, nhắm tới các lỗ hổng trong hệ điều hành Windows. Nhóm này tuyên bố đã lấy các công cụ và dữ liệu liên quan từ Cơ quan An ninh Quốc gia Mỹ (NSA). Một trong số công cụ là DoublePulsar và cái còn lại là EternalBlue, chuyên lợi dụng kẽ hở nằm trong các hệ điều hành chưa được cập nhật bản vá lỗi MS17-010. Hoạt động của Shadow Broker khiến giới hacker mũ đen nhanh chóng sở hữu và làm chủ các công cụ nguy hiểm này chỉ trong vài ngày.
Khi “đại dịch” WannaCry bùng phát vào ngày 12.5, DoublePulsar và EternalBlue đã được sử dụng rộng rãi trong nhiều cuộc tấn công mạng suốt cả tháng trước đó. Các chuyên gia an ninh cũng cảnh báo rằng đây là những công cụ cực mạnh, có thể mang tới hậu quả kinh khủng. Thực tế thì DoublePulsar đã được giới hacker dùng để tạo cửa hậu tại ít nhất 400.000 máy tính vào thời điểm vụ tấn công WannaCry xảy ra. Và dù Microsoft đã tung ra một bản vá lỗi EternalBlue, nhiều người đã không cài đặt nó. Việc WannaCry lây lan với tốc độ nhanh và hiệu quả khiến giới nghiên cứu nhận ra rằng nó đang sử dụng cả hai công cụ này.
Điều đáng chú ý trong vụ tấn công WannaCry là nạn nhân không cần phải nhấp chuột vào một lá thư điện tử chứa mã độc hay vào một trang web độc hại nào để máy tính của họ bị lây nhiễm. Chương trình này tự sao chép và lây lan qua mạng nội bộ, thậm chí là Internet, mà không cần có sự can thiệp của con người.
Một khi đã xâm nhập thành công vào một máy tính, nó lập tức hoạt động và triển khai hàng loạt mệnh lệnh nguy hiểm. Đầu tiên, nó chạy một chương trình có tên tasksche.exe để kiểm tra xem địa chỉ Internet (mà MalwareTech đã phát hiện ra ở đầu bài) có được đăng ký và hoạt động hay không. Nếu địa chỉ này vẫn chưa hoạt đông, nó triển khai bước tiếp theo là tìm kiếm các máy tính có thể tấn công. Nó sẽ kiểm tra mạng nội bộ trước, trước khi tạo ra một danh sách các địa chỉ Internet ngẫu nhiên để tìm các mục tiêu tiềm năng trên mạng toàn cầu. Nó sẽ kiểm tra từng địa chỉ trong danh sách để xem chúng có mở một cổng đặc biệt mang số 445 hay không. Nếu tìm được mục tiêu phù hợp, nó sẽ kết nối và tạo ra một bản sao mới trên chiếc máy tính nạn nhân.
Sau khi kết thúc giai đoạn tìm kiếm, WannaCry sẽ bắt đầu giai đoạn kiểm soát, bằng cách sử dụng EternalBlue. Từ đây tình hình sẽ rất tồi tệ với chủ nhân chiếc máy tính bị lây nhiễm. WannaCry sẽ lừa Server Message Block (SMB) - một dịch vụ nằm trên Windows cho phép người dùng trong một mạng máy tính chia sẻ dữ liệu với nhau - nghĩ rằng nó là một nguồn dữ liệu hợp lệ và cho phép nó cài đặt cửa hậu bằng DoublePulsar. Sau khi cài đặt xong, WannaCry đã chiếm được quyền kiểm soát hoàn toàn máy tính và bắt đầu quá trình mã hóa dữ liệu. Khi kết thúc, nó sẽ hiển thị thông báo đòi tiền chuộc.
Tính đến tối 12.5, WannaCry đã không còn lây nhiễm nữa nhờ sự can thiệp của MalwareTech. Nhưng hơn 80.000 máy tính đã trở thành nạn nhân của nó và một số người đã trả tiền chuộc để cứu dữ liệu của họ. Thông điệp xuất hiện trên màn hình của mỗi nạn nhân yêu cầu họ phải trả 300 tới 600 USD tiền bitcoin vào 3 địa chỉ nhận loại tiền này. Các địa chỉ nhận bitcoin thường được gọi là ví bitcoin và ai cũng có thể truy cập vào đó để xem chi tiết lịch sử giao dịch. Bởi WannaCry chỉ dùng có 3 ví bitcoin nên giới chuyên gia và cả cơ quan an ninh của nhiều nước cũng đều có thể giám sát lượng tiền được đổ về. Tổng cộng đã có 36 giao dịch, với trị giá từ 250 tới 600 USD, được đổ vào 3 ví bitcoin kia trong ngày đầu tiên.
Một sản phẩm của những hacker nghiệp dư?
Ngày 13.5, Mark Pendergraft đã khỏi ốm và tới văn phòng để đánh giá thiệt hại. Anh nhận ra rằng phần lớn các file dữ liệu trong máy chủ chạy hệ điều hành Windows SBS 2011 đã bị mã hóa. Tồi tệ hơn, công ty sử dụng một thẻ tín dụng hết hạn để mua dịch vụ sao lưu trực tuyến và kết quả là dịch vụ này không hoạt động vào ngày vụ tấn công xảy ra. Pendergraft hiểu rằng công ty anh không còn lựa chọn nào khác ngoài việc trả 600 USD để lấy lại dữ liệu. Sau khi mua được lượng bitcoin trị giá 600 USD qua trang CoinBase, Pendergraft đã trả tiền vào một trong 3 ví bitcoin được nêu trong thông báo Wana Decrypt0r 2.0 hiện trên máy tính. Và rồi anh chờ đợi.
Ở Kraków, Gern không vội vã trả tiền như thế mà dành thêm chút thời gian để tìm hiểu xem có ai đã được giải mã sau khi trả tiền không. Trên Twitter, anh nhắn tin hỏi một số chuyên gia, nhưng họ đều đưa ra các câu trả lời mà anh không thấy thỏa mãn. Tuyệt vọng, Gern nhấn vào nút “Liên lạc với chúng tôi” trên Wana Decrypt0r 2. Anh gửi một tin nhắn, nói rằng mình đã trả tiền chuộc, dù thực tế chưa làm vậy. Rồi anh nhất vào nút “Kiểm tra thanh toán.” Ngay lập tức, một tin nhắn xuất hiện: “Bạn chưa trả tiền hoặc chúng tôi không thể xác nhận rằng bạn đã trả tiền”. Không nản chí, trong ngày 14.5, Gern gửi đi một tin nhắn thứ hai, nói rằng đã trả tiền chuộc và muốn có dữ liệu trở lại. Nhưng khi anh kiểm tra thanh toán, Wana Decrypt0r 2.0 vẫn kiên trì trả lời rằng chưa nhận được tiền.
Tại Seattle, Pendergraft kinh ngạc khi thấy Wana Decrypt0r tiếp tục mã hóa thêm một số file nữa trong chiếc máy, trước khi đòi anh phải nộp 300 USD, dù trước đó anh đã chuyển đi 600 USD. Khi nhấn vào nút “Kiểm tra thanh toán”, anh cũng nhận được thông báo rằng chưa trả tiền chuộc. “Chúng tôi đã nhấn vào nút “Kiểm tra thanh toán” như điên trong vòng vài ngày đầu tiên,” Pendergraft kể lại. “Ngoài ra chúng tôi cũng gửi đi các bức thư qua nút “Liên lạc với chúng tôi” để thông báo mình đã chuyển tiền chuộc, thậm chí gấp đôi yêu cầu. Tôi hoàn toàn không rõ những kẻ đó sẽ liên lạc lại với mình ra sao.”
Ngày tiếp theo, 15.5, Gern chỉ còn 26 phút để quyết định xem có trả tiền chuộc hay không trước khi khoản tiền tăng lên 600 USD. “Tôi đã đấu tranh rất căng thẳng với bản thân mình. Tôi nên làm gì? Tôi có nên trả tiền hay không?” Khi đồng hồ báo chỉ còn 3 phút nữa, anh quyết định bước ra ban công để hút thuốc cho đỡ căng thẳng và tránh cám dỗ trả tiền chuộc. Lúc trở lại máy tính lần nữa, Gern chứng kiến đồng hồ đếm ngược từ 30 giây xuống 0 và số tiền chuộc nhảy lên mức 600 USD, cùng một lời đe dọa sẽ xóa hết toàn bộ dữ liệu có trong máy tính sau 72 giờ. Gern bình tĩnh gửi đi một tin nhắn nữa tới những kẻ đứng sau WannaCry, nói rằng anh đã trả tiền chuộc.
 |
| Giao diện đòi tiền chuộc Wana Decrypt0r 2.0 xuất hiện sau khi máy tính đã bị WannaCry khống chế |
Tới ngày 16.5, đã có tổng cộng 176 người trả tiền chuộc, từ 300 USD trở lên, vào ba ví bitcoin mà Wana Decrypt0r 2 sử dụng. Một trong số đó có 600 USD của Pendergraft, nhưng cảm giác của anh chẳng khác gì Gern. “Về cơ bản lúc đó tôi đã mất hết hy vọng”, anh nói. Trong ngày hôm đó, Pendergraft chán nản nhấn vào nút “Kiểm tra thanh toán” một lần nữa. Lần này, một thông điệp mới xuất hiện: “Đã nhận được tiền thanh toán. Bắt đầu quá trình giải mã.” Tiếp đó một cửa sổ mới hiện ra, cho thấy WannaCry đang lần lượt giải mã các file trong chiếc máy chủ. “Tôi đã hét lên vì sung sướng”, Pendergraft nhớ lại.
Mọi thứ ở Mead Gilman & Associates cuối cùng đã trở lại bình thường và chiếc máy chủ lại làm việc mượt mà như chưa có chuyện gì xảy ra. Nhưng có một điều vẫn khiến Pendergraft vô cùng băn khoăn: Trong nhiều tin nhắn gửi cho các tay hacker, anh chưa từng cung cấp bằng chứng cho thấy mình đã gửi đi 600 USD bằng bitcoin và chúng cũng không đòi bằng chứng. Giống như Gern, tất cả những gì anh làm chỉ là gửi tin nhắn với nội dung cho biết mình đã trả tiền.
Thực tế, các chuyên gia chỉ ra rằng phương thức thanh toán tiền chuộc của WannaCry rất có vấn đề. Do sử dụng duy nhất 3 chiếc ví điện tử, các hacker đứng sau WannaCry không thể nắm rõ ai đã trả tiền cho chúng. Cần biết rằng trong những vụ tấn công trước đây, phần mềm độc hại sẽ tạo ra một địa chỉ nhận bitcoin riêng biệt cho mỗi chiếc máy tính bị chúng lây nhiễm. Vì thế khi một nạn nhân nào đó trả tiền chuộc, các hacker sẽ biết ngay tiền thuộc về ai và giải mã cho họ. Nhưng trong vụ WannaCry, hệ thống thanh toán tiền chuộc đã được xây dựng một cách rất nghiệp dư và điều này khiến giới quan sát kinh ngạc. Dường như những kẻ đứng sau việc xây dựng hệ thống đòi tiền chuộc của WannaCry không biết mình đang làm gì, hoặc mục tiêu của chúng là những thứ nào đó chứ không phải là tiền.
Theo Pendergraft, những người đã trả tiền chuộc trong vụ WannaCry có thể cho các tay hacker biết thông tin về địa chỉ bitcoin mà họ sử dụng để chuyển tiền đi. Nhưng bởi bất kỳ ai cũng có thể truy cập vào các ví bitcoin của WannaCry và nhìn thấy rõ ràng những địa chỉ đó trên mạng nên thông tin này là vô giá trị. “Tôi không biết có phải các tay hacker đã giữ lời, hay chúng chỉ giải mã một cách ngẫu nhiên cho một số người, để từ đó lan đi tin tức rằng việc trả tiền sẽ giúp lấy lại tự do cho chiếc máy tính. Cũng có thể chúng sử dụng một phương thức nào đó để phát hiện chúng tôi đã trả tiền hay không”, anh nói.
Tổng cộng, 3 chiếc ví bitcoin được dùng trong vụ tấn công đã thực hiện dưới 300 giao dịch, có tổng trị giá 48,86459565 bitcoin, tính tới tối ngày 20.5. Con số này tương đương 101.000 USD, một mức thiệt hại rất nhỏ nếu biết rằng WannaCry đã lây nhiễm gần 300.000 hệ thống, đóng cửa nhiều nhà máy, làm ngưng hoạt động một số dịch vụ y tế và có thể gây thiệt hại lên tới hàng tỉ USD.
Một số chuyên gia cho rằng việc có ít nạn nhân trả tiền chuộc là do họ đã chủ động sao lưu dữ liệu hoặc đưa dữ liệu quan trọng lên các trang như Dropbox, Google Drive. Khi bị nhiễm WannaCry, những người này chỉ làm một động tác đơn giản là xóa sạch ổ cứng trong máy rồi cài hệ điều hành mới. Ngoài ra còn phải kể tới việc dùng bitcoin tương đối khó khăn và phương thức trả tiền chuộc của WannaCry được nêu ra khá mơ hồ.
Dựa vào những yếu tố đó, không ít người nghi ngờ toàn bộ vụ WannaCry do những kẻ nghiệp dư thực hiện. Đây có thể là các hacker tay mơ, đã nắm được một số công cụ tấn công mạnh như EternalBlue mà kẻ khác đánh cắp từ NSA, để chế ra sản phẩm gây họa. Điều hài hước nằm ở chỗ sau khi đã thành công trong việc tổ chức tấn công, chúng lại làm rất dở khâu quan trọng nhất là kiếm tiền.
Nhưng Raj Samani, một kỹ sư an ninh tại McAfee, vẫn cảnh báo người ta không nên đưa ra những nhận định đánh giá thấp các hacker đứng sau WannaCry như thế. “Có nhiều thứ nằm ở phía sau mà ta không biết được. Chúng tôi hiện đang phân tích cơ chế thanh toán và tin rằng chiến dịch tấn công này có rất nhiều điều mới lạ, khác hẳn những hiểu biết thông thường của ta về phần mềm bắt cóc máy tính làm con tin”, ông nói.
 |
| Hình ảnh đồ họa cho thấy các địa điểm bị phần mềm độc hại WannaCry tấn công trên toàn cầu. |
Trở lại Kraków, Gern đang tạm nghỉ làm việc trên chiếc laptop của anh để pha càphê. Đó là ngày thứ 18.5, anh vẫn chưa trả tiền chuộc, nhưng kiên trì gửi đi các tin nhắn thông qua hệ thống liên lạc của Wana Decrypt0r 2 và không quên nhấn nút “Kiểm tra thanh toán” gần như mỗi ngày. “Trên đường đi ra bếp để lấy càphê, tôi bật máy tính đặt bàn”, anh kể với QZ. “Khi trở lại với ly càphê, tôi nhấn nút kiểm tra thanh toán và lần này một thông báo xuất hiện: “Đã nhận được tiền thanh toán của bạn. Bắt đầu tiến hành giải mã”.
