Xem nhanh
Không chỉ gây ra hậu quả nghiêm trọng cho đài truyền hình này, đây có thể là một xu hướng tấn công mạng mới trong tương lai.
Từ tháng 4/2015, kênh TV5 Monde của đài truyền hình Pháp đã bắt đầu phát sóng trực tuyến. Tuy nhiên theo lời Tổng giám đốc của đài này, một cuộc tấn công mạng dữ dội bằng phần mềm độc hại nhắm mục tiêu ở cấp độ cao vào ngay hôm khai trương đã gần như phá hủy hệ thống mạng của họ.
Theo đó, một nhóm tự xưng là Cyber Caliphate, có liên quan đến tổ chức Nhà nước Hồi giáo IS đã tuyên bố chịu trách nhiệm về cuộc tấn công này. Nhưng một cuộc điều tra cho thấy cuộc tấn công này được thực hiện bởi một nhóm tin tặc người Nga.
Cuộc tấn công đã phá hỏng dữ liệu
Thứ Tư, ngày 8/4/2015 là một ngày trọng đại với Yves Bigot, tổng giám đốc của TV5Monde. Mạng lưới của đài ông – vốn đã phủ sóng toàn thế giới – vừa khai trương kênh mới nhất của mình. Các bộ trưởng Pháp đều có mặt tại trụ sở chính ở Paris để chúc mừng ông. Tối hôm đó cũng là ngày Bigot đi ăn tối để ăn mừng với một đối tác từ Radio Canada.
Nhưng vào lúc 8 giờ 40 phút tối giờ địa phương, ngay khi món khai vị được phục vụ, một trận lụt các tin nhắn văn bản và cuộc gọi trút xuống, báo cho ông biết rằng một tin động trời: tất cả 12 kênh đài ông đều đã dừng phát sóng.
“Đó là điều tồi tệ nhất có thể xảy ra với bạn khi làm trong ngành truyền hình”. Bigot nói với BBC trong văn phòng của ông tại Paris. Các dấu hiệu nhanh chóng cho thấy, mạng lưới đài của ông đã trở thành mục tiêu của một cuộc tấn công mạng nghiêm trọng.
“Chúng tôi chỉ có một vài tiếng đồng hồ trước khi toàn bộ trạm phát sóng biến mất mãi mãi.” Đó thực sự là một cuộc chạy đua với thời gian – mỗi phút trôi qua, lại có ngày càng nhiều hệ thống bị hỏng. Bất kỳ sự trì hoãn nào cũng sẽ làm cho các kênh phân phối vệ tinh hủy bỏ hợp đồng với họ, đặt toàn bộ công ty vào tình thế nguy hiểm.
“Chúng tôi đã tránh được việc sụp đổ toàn bộ nhờ một thực tế rằng, đó là ngày chúng tôi khai trương kênh của mình, và các kỹ thuật viên đều đang ở đó”. Ông Bigot cho biết. “Một trong số họ có thể xác định được vị trí cuộc tấn công diễn ra và anh ấy có thể ngắt kết nối Internet của các máy đó và chấm dứt cuộc tấn công.”
Vào lúc 5 giờ 25 phút sáng, một kênh đã được hồi phục. Các kênh khác dần phát sóng trở lại vào sáng hôm sau.
“Chúng tôi nợ người kỹ sư đã ngắt kết nối cho chiếc máy đó. Anh ấy là một anh hùng ở đây”. Ông Bigot cho biết.
Cuộc tấn công được cài đặt trước
Cuộc tấn công hóa ra tinh vi và nhắm mục tiêu ở mức độ cao hơn nhiều so với báo cáo ban đầu. Thủ phạm của cuộc tấn công, trước đó đã xâm nhập mạng lưới vào ngày 23/1. Chúng đã tiến hành trinh sát kênh TV5Monde để hiểu cách nó phát đi các tín hiệu.
Sau đó, hacker ra một phần mềm độc hại được cài đặt trước để làm hỏng và phá hủy các phần cứng kết nối Internet, được dùng để điều khiển trạm phát sóng truyền hình – ví dụ như hệ thống mã hóa để phát các chương trình.
Những kẻ tấn công đã sử dụng đến 7 điểm truy cập khác nhau. Không phải tất cả các điểm này đều thuộc một phần của TV5Monde hay ở trong nước Pháp. Ví dụ, một công ty có trụ sở tại Hà Lan cũng trở thành mục tiêu của phần mềm độc hại cài đặt trước này, do họ cung cấp các camera điều khiển từ xa được sử dụng trong các studio của TV5.
Ai là người chịu trách nhiệm?
Vào 8 giờ 40 phút tối, khi nhận được cuộc gọi đầu tiên, ông Bigot được một người chịu trách nhiệm về nội dung kỹ thuật số tại đài truyền hình cho biết, các thông điệp đã được đăng tải trên các trang Twitter và Facebook của kênh.
Các tin tặc cho biết chúng đến từ một nhóm tự gọi mình là Cyber Caliphate, và tạo ra các mối đe dọa cho nước Pháp. Lúc đó là mới chỉ vài tháng sau vụ tấn công vào tờ Charlie Herbo. Và vì vậy, rất có thể cuộc tấn công mạng lần này là một cú đánh khác của tổ chức Hồi giáo IS.
Nhưng khi nhà chức trách Pháp bắt tay vào điều tra, một bức tranh khác dần được hé lộ.
Cơ quan quản lý an ninh mạng của Pháp đã nói với Bigot rằng nên thận trọng về mối liên hệ trực tiếp giữa vụ việc với IS, thay vì khuyên ông tuyên bố rằng các thông điệp được đăng tải đến từ IS. Các nhà điều tra tin rằng những kẻ tấn công đã sử dụng các bài đăng có nội dung thánh chiến để che đậy dấu vết của mình.
Sau đó, Bigot được cho biết rằng các bằng chứng tìm thấy chỉ ra rằng mạng lưới của ông đã bị tấn công bởi một nhóm hacker người Nga, còn được biết đến với cái tên APT 28.
Động cơ bí ẩn
“Tôi hoàn toàn không biết tại sao.” Bigot đã trả lời như vậy khi BBC hỏi ông về lý do TV5 trở thành mục tiêu của cuộc tấn công này.
Ông giải thích thêm, những điều tra viên chỉ có thể chứng minh hai điều: Đầu tiên, cuộc tấn công được thiết kế để phá hủy kênh này; và thứ hai, nó có liên quan đến APT 28.
“Tuy nhiên có hai điều mà các cuộc điều tra sẽ không thể làm được.” Ông bổ sung thêm. “Điều đầu tiên là tại sao lại là chúng tôi – TV5Monde?”
“Và câu hỏi thứ hai là: Ai thực sự là người đã ra lệnh và chi tiền để nhóm tin tặc người Nga làm việc này?”
Ý định phá hoại
Đây không phải là hành động thường thấy ở những tên tấn công mạng, khi chúng xâm nhập vào mạng lưới để tìm kiếm thông tin. Nhưng những gì đã xảy ra với TV5 không phải hoạt động gián điệp – mục đích của chúng là phá hủy. Và đó là dấu hiệu cho một xu hướng mới: các cuộc tấn công với những hậu quả nghiêm trọng thực tế.
Có thể xem loại virus tiên phong cho xu hướng tấn công được nhà nước bảo trợ đó là Stuxnet. Người ta tin rằng virus Stuxnet đã được Mỹ và Israel phát triển nhằm phá hoại chương trình hạt nhân của Iran và có liên quan đến việc làm hỏng các máy ly tâm tại nhà máy làm giàu hạt nhân Natanz.
Gần đây hơn, một nhà máy điện tại Ukraine đã phải dừng hoạt động bởi những kẻ tấn công mạng.
Trong khi đó, cuộc tấn công vào đài TV5 có nhiều điểm tương tự với các cuộc tấn công nhắm mục tiêu cấp độ cao hơn là các hành vi tội phạm thường thấy ở trên môi trường web.
Tuy nhiên, vấn đề là tại sao những hacker người Nga lại nhắm vào công ty này vẫn là một trong những câu hỏi làm đau đầu các nhà phân tích tình báo tại Anh, Mỹ cũng như Pháp.
Nhưng tại London, người ta cho rằng, cuộc tấn công này giống như một nỗ lực để thử nghiệm loại vũ khí ảo công nghệ cao này, như một phần của một tấn công có quy mô và mức độ nghiêm trọng hơn.
Tiền lệ nguy hiểm
Tác động của cuộc tấn công nhắm vào TV5 là rất lớn. Hậu quả ngay sau cuộc tấn công là nhân viên đã phải quay trở lại dùng máy fax để gửi thông tin vì họ không thể gửi email.
“Chúng tôi đã phải đợi hết tháng này đến tháng khác, cho đến khi chúng tôi kết nối trở lại với Internet.” Bigot nhớ lại. Thiệt hại tài chính khoảng 5 triệu Euro trong năm đầu tiên, và khoảng 3 triệu Euro cho các năm tiếp theo để tăng cường bảo mật.
Nhưng thách thức lớn nhất là cách công ty hoạt động, toàn bộ nhân viên đã phải thay đổi thói quen của mình. Các thủ tục xác thực đặc biệt cần được thực hiện mỗi khi kiểm tra email từ nước ngoài gửi tới, các bộ nhớ flash phải được kiểm tra trước khi cắm vào máy tính. Đối với một công ty truyền thông vốn tồn tại chỉ bằng cách di chuyển nội dung vào và ra khỏi hệ thống, chi phí cho các hoạt động bảo mật này thực sự là rất đáng kể.
“Chúng tôi sẽ không bao giờ làm như trước được nữa.” Ông Bigot cho biết. “Nó quá nguy hiểm.”
Theo BBC
Dịch: GenK