Những vụ hack tồi tệ nhất thập kỷ

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Những vụ hack tồi tệ nhất thập kỷ
Đã 10 năm trôi qua, các vụ tấn công mạng không còn xa lạ mà ngày càng quen thuộc hơn đối với hàng tỷ người trên thế giới. Dữ liệu của mọi người thường xuyên bị kiểm soát, giám sát, đánh cắp.

Rõ ràng, khi thế giới ngày càng được vi tính hóa thì chắn chắn các mối đe dọa, tấn công sẽ còn diễn ra liên tục. Nhưng với sự tiến hóa của các vụ tấn công, từ các vụ lừa đảo, thị trường chợ đen phi pháp và lực lượng do nhà nước hậu thuẫn lại đều do con người gây ra. Bài viết sau sẽ tổng hợp các vụ tấn công đình đám và nổi tiếng nhất thập kỷ qua do tạp chí Wired bình chọn theo thứ tự thời gian.

Stuxnet

stuxnet_1.jpg
Stuxnet là phần mềm độc hại đầu tiên gây thiệt hại cho phần cứng, mang đến nỗi khiếp sợ cho nhân loại. Được chính phủ Hoa Kỳ và Israel tạo ra, sâu máy tính Stuxnet được sử dụng vào năm 2010 để phá hủy máy li tâm trong một cơ sở làm giàu hạt nhân của Iran. Stuxnet đã kết hợp cả 4 lỗ hổng zero-day trong hệ điều hành Microsoft Windows, sau đó tìm kiếm Siemens Step7 (phần mềm lập trình tự động hóa cho các máy công nghiệp) trên mạng lưới bị xâm nhập. Từ đó Stuxnet thao tác trên các bộ điều khiển logic được lập trình để tự động hóa các quy trình công nghiệp. Dù chỉ tấn công vào chương trình hạt nhân của Iran nhưng Stuxnet cũng có thể được sử dụng trong các môi trường công nghiệp khác.

Shamoon

Shamoon là “kẻ hủy diệt” của Windows. Mã độc này lấy cắp file dữ liệu trên máy tính, sau đó xóa sạch dữ liệu và phá hủy “master boot record” (bản ghi khởi động) của máy tính mục tiêu. Shamoon có thể được phát tán qua mạng và được sử dụng hiệu quả trong cuộc tấn công phá hoại vào tháng 8 năm 2012 nhằm vào công ty dầu mỏ Saudi Aramco của Ả Rập Xê-út, phá hủy hoàn toàn 30.000 máy tính. Vài ngày sau, Shamoon được dùng để tấn công vào công ty RasGas của Qatar.

Shamoon do những tin tặc được nhà nước Iran hậu thuẫn phát triển, lấy ý tưởng từ công cụ tấn công do NSA tạo ra, gồm cả mã độc Stuxnet và các công cụ gián điệp Flame và Duqu. Một biến thể của Shamoon đã xuất hiện trở lại trong hàng loạt các cuộc tấn công vào năm 2017 và 2018. Con sâu máy tính này đang được xem là mã độc đầu tiên được sử dụng trong một cuộc tấn công vào một nhà nước và được tạo ra với cả 2 mục đích: phá hủy dữ liệu và khiến các thiết bị lây nhiễm không thể hoạt động được.

Tấn công vào Sony

Tháng 11 năm 2014, hình ảnh một bộ xương người xuất hiện khắp các màn hình máy tính của hãng Sony Pictures Entertainment trên toàn nước Mỹ. Tin tặc tự xưng là "Guardians of Peace" (Những người gìn giữ hòa bình) đã xâm nhập vào mạng lưới của hãng này và đánh cắp hơn 100 terabyte dữ liệu (1TB=1000GB). Sau đó, hàng trăm GB dữ liệu đã bị lấy đi bao gồm cả các bộ phim của hãng chưa được công chiếu, email, các email nội bộ, chi tiết chi trả cho diễn viên, thông tin nhân viên như lương, đánh giá năng lực, dữ liệu y tế nhạy cảm và cả số an ninh xã hội. Những kẻ tấn công đã càn quét các hệ thống của Sony, không chỉ đánh cắp dữ liệu mà còn phát tán phần mềm độc hại nhằm xóa sạch các tệp tin và cấu hình khiến Sony phải dựng lại phần lớn cơ sở hạ tầng kỹ thuật số của mình từ đầu. Về sau, vụ tấn công được cho là “tác phẩm” của Triều Tiên, với mục đích nhằm trả đũa việc công chiếu “The Interview”, một bộ phim hài về việc ám sát Kim Jong-un.

Vi phạm dữ liệu của OPM

Một trong những vụ đánh cắp dữ liệu tinh vi và nghiêm trọng nhất thập kỷ là sự việc xảy ra tại OPM, với hàng hoạt vụ xâm phạm và lây nhiễm được cho là do Trung Quốc dàn dựng trong suốt hai năm 2013 và 2014. Với vai trò là Văn phòng quản lý nhân sự của chính phủ Mỹ, OPM lưu trữ một lượng lớn những dữ liệu nhạy cảm như các trường hợp miễn trừ an ninh, lý lịch, hồ sơ của mọi nhân viên liên bang từ trước đến nay. Đối với tin tặc, những thông tin này chính là một kho báu vô giá.

Các tin tặc có mối quan hệ với chính phủ Trung Quốc đã xâm nhập vào mạng lưới của OPM hai lần, lần đầu là đánh cắp bản thiết kế kỹ thuật mạng vào năm 2013, không lâu sau đó phát động cuộc tấn công thứ 2, chiếm quyền kiểm soát máy chủ quản trị (máy chủ để xác thực đăng nhập của các máy chủ khác). Đến lúc OPM ý thức được điều gì đã xảy ra và hành động để loại bỏ kẻ xâm nhập vào năm 2015, hacker đã đánh cắp được hàng chục triệu bản ghi chi tiết về mọi khía cạnh của nhân viên liên bang gồm 21,5 triệu số an sinh xã hội và 5,6 triệu hồ sơ dấu vân tay. Trong một số trường hợp nạn nhân không phải nhân viên liên bang nhưng đơn giản là có mối liên quan nào đó với những nhân viên của chính phủ phải thực hiện các cuộc kiểm tra lý lịch. (Các cuộc kiểm tra này bao gồm tất cả các loại thông tin cực kỳ chi tiết, như một bản đồ về gia đình, bạn bè, đối tác và con cái của đối tượng bị kiểm tra).

Dữ liệu OPM bị đánh cắp chưa bao giờ được lưu hành trên mạng hoặc xuất hiện trên chợ đen, có thể do dữ liệu này chỉ có giá trị tình báo chứ không phải kinh tế. Các báo cáo cho biết những gián điệp của Trung Quốc có thể đã sử dụng thông tin để bổ sung vào cơ sở dữ liệu phân loại các cư dân và hoạt động của chính phủ Hoa Kỳ.

Sự cố mất điện tại Ukraine

Hai thời điểm then chốt của thập kỷ xảy ra vào tháng 12 năm 2015 và 2016, Nga khi đó đã sẵn sàng cho cuộc chiến vũ trang với Ukraine, phát động hai cuộc tấn công kỹ thuật số nhằm vào lưới điện của Ukraine khiến quốc gia này hai lần bị mất điện hoàn toàn. Cả hai cuộc tấn công này đều do nhóm hacker Sandworm của chính phủ Nga thực hiện. Lần mất điện đầu tiên do một bộ mã độc gây ra, gồm một công cụ BlackEnergy dùng để đánh cắp thông tin đăng nhập và giành quyền truy cập để ngắt các áp-tô-mát thủ công. Lần thứ 2 là nhắm vào một trạm phát điện đơn bằng mã độc tiên tiến hơn có tên Crash Override hay Industroyer. Trong cuộc tấn công này, tin tặc có thể trực tiếp thao túng hệ thống đang kiểm soát lưu lượng phát điện. Nếu theo đúng như tính toán, cuộc tấn công thứ 2 sẽ gây ra hư hỏng cho thiết bị phần cứng dẫn đến thiệt hại lâu dài, nhưng một lỗi kỹ thuật nhỏ khiến sự cố mất điện chỉ kéo dài khoảng một giờ.

Trong nhiều thập kỷ, mọi người vẫn lo sợ về việc các hacker có thể gây ra những sự cố mất điện kiểu này và Sandworm chính là nhóm hacker đầu tiên thực hiện một cuộc tấn công vào hệ thống lưới điện gây ra thiệt hại trong thế giới thực. Qua đó, Nga cũng chứng minh họ không chỉ đang thực hiện một cuộc chiến vũ trang với Ukraine, mà còn có một cuộc chiến tranh toàn diện trên mạng.

Nhóm hacker Shadow Brokers

Nhóm hacker tự xưng Shadow Brokers xuất hiện lần đầu vào tháng 8 năm 2016, công bố một mẫu công cụ gián diệp mà theo nhóm này là đánh cắp từ Equation Group (đội tin tặc tinh nhuệ chuyên thực hiện hành vi gián điệp quốc tế) trực thuộc Cơ quan An ninh quốc gia Mỹ (NSA). Tháng 4 năm 2017, nhóm tiếp tục công bố một công cụ khác có tầm ảnh hưởng lớn hơn của NSA để khai thác lỗ hổng của hệ điều hành Microsoft Windows “EternalBlue”.

nhom-shadow-brokers_2.png

Công cụ này lợi dụng lỗ hổng trong giao thức (SMB) chia sẻ file của Microsoft có trong hầu hết các hệ điều hành Windows tại thời điểm đó. Microsoft đã phát hành bản vá cho lỗ hổng theo yêu cầu của NSA chỉ vài tuần trước khi Shadow Brokers công khai “EternalBlue”. Nhưng những người sử dụng Windows, bao gồm cả các tổ chức lớn, đã chậm trễ trong việc vá lỗi. Điều này đã mở ra cơ hội cho các vụ hack liên quan đến EternalBlue trên toàn thế giới.

Ví dụ điển hình đầu tiên là ransomware WannaCry đã sử dụng EternalBlue gây chấn động toàn thế giới vào ngày 12 tháng 05 năm 2017. WannaCry do các tin tặc Triều Tiên được nhà nước bảo trợ tạo ra nhằm kiếm lời và gây ra sự hỗn loạn. Ransomware này đã tấn công vào các dịch vụ công, các tập đoàn lớn, đặt biệt là tại châu Âu và Anh. Ví dụ, WannaCry đã gây trục trặc hệ thống cho các bệnh viện và cơ sở Dịch vụ y tế Quốc gia tại Anh, ảnh hưởng đến phòng cấp cứu, các thủ tục y tế và chăm sóc bệnh nhân.

Các nhà nghiên cứu ngờ rằng, các tin tặc Triều Tiên đã mất kiểm soát với WannaCry khi mã độc này vẫn đang trong quá trình thử nghiệm. Đó là bởi WannaCry có lỗi nghiêm trọng trong khâu thiết kế, bao gồm cả một cơ chế mà các chuyên gia bảo mật có thể sử dụng làm bộ công cụ tiêu diệt nhằm chấm dứt việc lây lan của WannaCry. Ransomware chỉ tạo ra khoảng 52 bitcoin cho Triều Tiên, có giá chưa đến 100.000 USD vào thời điểm đó và khoảng 369.000$ vào thời điểm hiện tại.

Vụ rò rỉ EternalBlue và hàng loạt các vụ khai thác sau đó đã gây tranh cãi về việc liệu các cơ quan tình báo và quân đội Mỹ có nên lưu trữ lỗ hổng của các phần mềm quan trọng và cách khai thác chúng nhằm mục đích gián điệp và tấn công mạng hay không. Cộng đồng tình báo hiện sử dụng một framework có tên là "Vulnerability Equities Process" (Quy trình xử lý lỗ hổng) để đánh giá và xác định những lỗi nào nghiêm trọng đến mức ảnh hưởng đến an ninh quốc gia mà họ sẽ cần phải giữ bí mật và không đưa ra bản vá. Nhưng số khác lại lập luận rằng cứ nhìn vào những yếu kém của chính phủ Mỹ trong việc bảo mật các công cụ này sẽ thấy cơ chế giám sát đó là chưa đủ.

Tấn công cuộc bầu cử tổng thống Mỹ năm 2016

Trong thập kỷ vừa qua, tin tặc Nga không chỉ khủng bố mỗi Ukraine. Đội quân này còn phát động hàng loạt vụ rò rỉ gây mất ổn định dữ liệu và các chiến dịch làm sai lệch thông tin nhằm vào nước Mỹ trong suốt chiến dịch tranh cử tổng thống năm 2016. Hai nhóm hacker Nga là APT28 (Fancy Bear) và APT29 (Cozy Bear) đã thực hiện các chiến dịch lớn nhằm đánh lạc hướng trên mạng xã hội, sử dụng kiểu tấn công lừa đảo qua email để đánh cắp thông tin của Ủy ban Quốc gia đảng Dân chủ, sau đó công khai nội dung thư từ của tổ chức này và xâm nhập vào hòm thư của John Podesta – người đứng đầu chiến dịch tranh cử của bà Hillary Clinton. Những tin tặc Nga đã tiết lộ thông tin đánh cắp qua nền tảng ẩn danh WikiLeaks, gây ra tranh cãi giữa những cử tri Mỹ đang đắn đo lựa chọn xem nên bỏ phiếu cho ai vào ngày bầu cử. Tin tặc Nga sau đó cũng đã can thiệp vào cuộc bầu cử tổng thống Pháp năm 2017.

NotPetya

Ngày 27 tháng 6 năm 2017, một cuộc tấn công giống tấn công ransomware lan rộng khắp thế giới. Nhưng đó thật ra không phải tấn công ransomware, bởi NotPetya là một phần mềm phá hoại được tạo ra với mục đích chính là cô lập máy tính, phá hủy hệ thống mạng và gây ra sự hỗn loạn. Mã độc này được nhóm hacker Sandworm của Nga phát triển dường như để nhắm vào Ukraine. Thiệt hại ở Ukraine là rất lớn, nhưng mã độc này hóa ra lại vô cùng nguy hiểm khi bùng phát khắp thế giới, tấn công vào cả các công ty đa quốc gia, trong đó có cả Nga. Chính phủ Mỹ ước tính NotPetya đã gây ra thiệt hại ít nhất là 10 tỷ đô-la, làm gián đoạn hoạt động của các công ty dược, vận chuyển, các công ty điện lực, sân bay, vận chuyển công cộng, thậm chí cả các dịch vụ y tế tại Ukraine và trên toàn thế giới. Đó là cuộc tấn công mạng gây thiệt hại lớn nhất từ trước tới nay.

NotPetya có thể được coi là kiểu tấn công chuỗi cung ứng. Tin tặc đã phát tán mã độc này ra toàn thế giới dưới bản cập nhập hệ thống của phần mềm kế toán phổ biến MeDoc của Ukraine. Khi người dùng chạy bản cập nhật phần mềm họ cũng vô tình tải NotPetya về máy. Ngoài hiểm họa gây ra thiệt hại nghiêm trọng trong chiến tranh mạng, NotPetya cũng nhấn mạnh mối đe dọa thực sự đến từ các cuộc tấn công chuỗi cung ứng, đặc biệt là phần mềm.

Equifax

Dù xảy ra tương đối muộn trong thập kỷ vừa qua, nhưng vụ vi phạm nghiêm trọng của công ty giám sát tín dụng Equifax là vụ vi phạm dữ liệu lớn nhất từ trước đến nay, về cả quy mô lẫn mức độ nghiêm trọng. Bên cạnh đó là cách xử lý sự cố cực kỳ kém cỏi của công ty này. Vụ việc làm lộ thông tin cá nhân của 147,9 triệu người, bao gồm ngày tháng năm sinh, địa chỉ, số bằng lái xe, khoảng 209.000 số An sinh xã hội và số thẻ tín dụng, tương đương với gần một nửa dân số Mỹ có khả năng bị lộ số định danh bí mật.
Equifax_3.jpg

Equifax tiết lộ về vụ vi phạm đầu tháng 09/2017, sau đó là hàng loạt các vụ việc không hay xảy ra. Trang web mà công ty thiết lập cho nạn nhân rất dễ bị tấn công. Trang này yêu cầu 6 ký tự cuối trong dãy số an sinh xã hội của họ để kiểm tra nếu dữ liệu của họ bị ảnh hưởng bởi vụ vi phạm. Có nghĩa là Equifax đang yêu cầu người dân Mỹ tin tưởng để gửi dữ liệu cho mình một lần nữa. Equifax cũng lập ra một trang web phản hồi vi phạm, một trang độc lập, không phải là trang con thuộc tên miền của hãng này – một quyết định béo bở cho các trang giả mạo và lừa đảo. Tài khoản Twitter chính thức của Equifax thậm chí còn nhầm lẫn đăng tải dòng tweet cho một đường link lừa đảo tận 4 lần. May mắn thay, đường dẫn này là một trang nghiên cứu PoC, không hẳn là một trang độc hại thực sự. Từ đó có rất nhiều dấu hiệu cho thấy, Equifax có cơ chế bảo mật lỏng lẻo cực kỳ nguy hiểm và thiếu một quy trình phản ứng kịp thời.

Dù sự việc cực kỳ nghiêm trọng, vụ việc tại Equifax cũng chỉ là một trong những vụ vi phạm dữ liệu doanh nghiệp tồi tệ nhất trong 10 năm qua. Nhìn lại vụ xâm nhập dữ liệu của The Target (tập đoàn bán lẻ của Mỹ) vào cuối năm 2013 đã đánh cắp 40 triệu dữ liệu người dùng giờ chỉ như một bước ngoặt giúp thay đổi một phần ý thức chung về nguy cơ rò rỉ dữ liệu. Không lâu sau đó, cả tập đoàn Neiman Marcus và Michaels đều thông báo những vụ vi phạm nghiêm trọng dữ liệu khách hàng năm 2014. Tháng 09 cùng năm, công ty Home Depot cũng bị tấn công khiến thông tin thẻ ghi nợ và tín dụng của khoảng 56 triệu khách hàng bị lộ.

Sau đó, đến tháng 07/2015 tin tặc tấn công trang web của Ashley Madison, một công ty chuyên về các dịch vụ mai mối và hẹn hò “ngoài luồng”. Trong vòng một tháng, tin tặc đã đăng tải gần 10GB dữ liệu được đánh cắp từ trang này, gồm các thẻ thanh toán và chi tiết tài khoản của khoảng 32 triệu người dùng dịch vụ của Ashley Madison. Thông tin bị đánh cắp gồm chi tiết về sở thích và thiên hướng tình dục. Đối với các tài khoản sử dụng tên thật hoặc nickname dễ nhận biết, dữ liệu được tiết lộ chỉ giới hạn ở việc xác nhận họ thực sự có tài khoản trên Ashley Madison. Vụ vi phạm này đã gây ra những hậu quả nghiêm trọng cho người dùng.

Aadhaar

Cơ sở dữ liệu định danh của chính phủ Ấn Độ - Aadhaar lưu trữ thông tin cá nhân, sinh trắc học và số định danh gồm 12 chữ số cho hơn 1,1 tỷ công dân nước này. Aadhaar được sử dụng cho mọi giao dịch từ mở tài khoản ngân hàng đến các tiện ích khác hoặc đăng ký thuê bao di động. Các công ty công nghệ có thể kết nối đến Aadhaar để theo dõi khách hàng, tuy nhiên tất cả các kết nối này đã dẫn đến việc để lộ một số lượng lớn dữ liệu của Aadhaar khi các bên thứ 3, hoặc cũng có thể chính bản thân chính phủ Ấn Độ, đã thực hiện việc lưu trữ thông tin không đúng cách. Kết quả, các nhà nghiên cứu ước tính rằng toàn bộ 1,1 tỷ số định danh của Aadhaar và nhiều các thông tin liên quan đã bị xâm phạm chỉ tính riêng trong năm 2018. Theo một số thông tin, có cả thị trường chợ đen trao đổi những dữ liệu này.

Một thực tế là không có nhiều tổ chức sở hữu dữ liệu của một tỷ người. Vậy mà ngoài Aadhaar còn có Yahoo với hai lần vi phạm dữ liệu khác nhau. Lần đầu vào cuối năm 2014 và bị tiết lộ vào tháng 09/2016, làm lộ 500 triệu tài khoản Yahoo. Lần khác vào tháng 08/2013, được tiết lộ lần đầu vào tháng 12/2016, đến tháng 10/2017 mới vỡ lẽ ra rằng công ty này đã để lộ tất cả các tài khoản Yahoo tồn tại vào thời điểm năm 2013, với tổng cộng 3 tỷ tài khoản.

Các vụ vi phạm dữ liệu như OPM và Equifax rất phức tạp, dường như đó là do kết quả của hoạt động gián điệp của các chính phủ. Dữ liệu từ các vụ việc này không bị đưa lên Internet hay các diễn đàn tội phạm. Vì vậy rất khó để đánh giá được hết rủi ro và thiệt hại đối với người dùng thông thường. Trong vụ việc của Aadhaar, Yahoo, Target và nhiều vụ việc khác, dữ liệu bị công bố công khai và phát tán trên web đen, dẫn đến dữ liệu được sử dụng cho các chiến dịch lừa đảo, xâm phạm tài khoản số và gian lận.
Theo Wired
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: tên and DDos
wow :eek: công nhận bọn hackers này kinh khủng thật! cảm ơn các bác whitehat có bài tổng hợp hay quá. thanks :|
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
equifax eternalblue notpetya shadow brokers shamoon
Bên trên