Các bến cảng bị tê liệt. Các tập đoàn phải ngừng hoạt động. Cơ quan chính phủ bị “đóng băng”. Một đoạn mã duy nhất đã phá hủy thế giới như thế nào?
TÁC GIẢ: ANDY GREENBERGBY
Trưa hè Copenhagen rực nắng, khi hãng vận chuyển lớn nhất thế giới bắt đầu bị điên!
Văn phòng đầu não của Maersk nằm ngay cạnh bờ vịnh Copenhagen lộng gió. Cờ Đan Mạch bay phấp phới trên cột buồm phía đông bắc tòa nhà 6 tầng với những cửa sổ xanh nhìn ra bến tàu du lịch của Hoàng Gia Đan Mạch. Dưới tầng hầm là cửa hàng lưu niệm, nơi nhân viên có thể nhẩn nha ngắm các quà tặng với logo của hãng, thậm chí cả mô hình lego của con tàu container 3E, một con tàu to như tòa nhà Empire State Building (một tòa nhà chọc trời ở New York) đổ vật, có thể chở một lượng hàng hóa kích cỡ cũng to như tòa nhà luôn.
Trong cửa hàng, cạnh quầy thu ngân là trung tâm hỗ trợ IT. Hôm đó là 27/6/2017. Từng tốp 2-3 nhân viên lò dò đến. Màn hình của họ nhấp nháy dòng chữ bí hiểm: “repairing file system on C:” với lời cảnh báo cấm không được tắt máy. Một số máy khác thì bất ngờ thông báo: “oops, your important files are encrypted” và đòi trả $300 bitcoin để giải mã. Bên kia phố, tòa nhà đá trắng được dùng làm nơi lưu trữ hải đồ hoàng gia từ thế kỷ trước, là nơi làm việc của Henrik Jensen, chuyên viên quản trị hệ thống. (Chú thích đây không phải là tên thật, như nhiều nhân viên của Maersk khác, anh sợ bị kỷ luật về việc chia sẻ thông tin của hãng ra công chúng). Jensen đang chuẩn bị nâng cấp phần mềm cho hệ thống thì máy tính của anh đột nhiên khởi động lại.
Jensen chửi thề. Mẹ kiếp lại trò của mấy ông phòng IT bên Anh đây. Cả đế chế với hơn 8 ngành nghề khác nhau từ vận chuyển đến khoan dầu, 570 văn phòng trên 130 nước, đều ghét bọn IT vì những kiểu can thiệp vớ vẩn này. Anh ngó sang bên cạnh xem có ai cũng bị như vậy không và hoảng hồn: “các màn hình hóa đen như sóng vỗ. Đen đen đen. Đen đen đen đen đen”. Sau đó thì chết cứng. Khởi động máy lại ra màn hình đen như cũ.
Các văn phòng của Maersk bắt đầu hoảng loạn. Trong vòng nửa giờ, nhân viên chạy lên xuống cảnh báo các đồng nghiệp tắt ngay và rút máy tính ra khỏi mạng. Nhân viên kỹ thuật chạy vào phòng họp rút ổ điện giữa hội nghị. Các cổng chắn tự động ùn tắc vì tự dưng dở chứng không mở cho nhân viên chạy sang các tòa nhà khác cảnh báo.
Phải mất hơn 2 tiếng, nhân viên IT mới ngắt được toàn bộ mạng máy tính toàn cầu của công ty. Tất cả nhân viên được yêu cầu để nguyên máy tính trên bàn làm việc, các điện thoại số để bàn cũng bị tê liệt.
Khoảng 3h, một lãnh đạo bước vào phòng nơi Jensen và đồng nghiệp đang lo lắng chờ đợi và bảo họ đi về. Hệ thống đã bị phá hoại nặng nề và chuyên gia IT cũng không làm gì được. Một số các lãnh đạo cổ điển vẫn khuyến khích nhân viên của họ ở lại. Nhưng đa số nhân viên chẳng biết làm gì nếu không có máy tính, đành phải về.
Jensen ra khỏi tòa nhà lúc trời đã ngả chiều. Cũng như mọi người khác, anh không biết bao giờ mình sẽ quay lại làm việc. Hãng vận tải khổng lồ với hơn 800 tàu biển, 76 cảng, chuyên chở gần 1/5 lượng hàng biển toàn thế giới, đã bị “mắc cạn”.
Bên rìa khu công nghiệp mới Podil của thủ đô Kiev của Ucraina. Dưới một cây cầu vượt cao tốc, đi qua mấy đường ray hoen rỉ, bước qua một cái cổng bê tông, trong một tòa nhà 4 tầng, là trụ sở của một hãng phần mềm gia đình nhỏ, có tên là Linkos. Leo lên 3 tầng gác, ta sẽ thấy một dãy các máy chủ, bình thường là nơi lưu trữ những cải tiến, chỉnh sửa cho phần mềm M.E. Doc, một kiểu như Quicken của Uncraina. Ai cũng dùng.
Nhưng vào thời điểm định mệnh 2017 đó, những chiếc máy chủ này là điểm khởi đầu của một cuộc tấn công gây thiệt hại lớn nhất trong lịch sử Internet.
Trong vòng 4 năm rưỡi qua, U bị kẹt vào cuộc chiến không tuyên bố với Nga. Hơn 10,000 người chết, hàng triệu người phải bỏ chạy. U trở thành miền đất hứa để các hacker người Nga thử nghiệm các chiến thuật tấn công. Năm 2015, 2016, khi nhóm Fancy Bear (Gấu Hâm) mải khai thác máy chủ của Đảng Dân chủ Mỹ, thì một nhóm khác có tên là Sandworm (Sâu Cát) quan tâm đến các hệ thống của chính quyền và công ty U, từ cơ quan truyền thông đến các hãng tàu lửa, phá hủy hàng terabytes dữ liệu. Cũng trong mùa đông 2 năm đó, lần đầu tiên các cuộc tấn công được xác nhận đã gây ra mất điện diện rộng.
Nhưng đó chưa phải là đêm hội của Sâu Cát. Mùa xuân năm 2017, các hackers quân sự Nga đã âm thầm chiếm quyền kiểm soát máy chủ cập nhật phiên bản mới của Linkos, cài cửa hậu vào hàng ngàn máy tính chạy M.E.Doc. Và thế là, tháng 6/2017, những kẻ phá hoại thả ra một phần mềm độc hại có tên là NotPetya, một vũ khí tấn công mạng khủng khiếp nhất từ trước tới nay.
Đoạn mã độc mà các hackers thả vào mạng, tự do lây lan một cách nhanh chóng. Craig Williams, một chuyên gia của Cisco Talos, công ty đầu tiên phân tích và dịch ngược NotPetya, thừa nhận: “cho đến bây giờ đây là đoạn mã độc lây lan nhanh nhất mà chúng tôi được chức kiến. Chớp mắt một cái và cả Trung tâm dữ liệu của bạn đi tong.”
Kiến trúc của NotPetya kế sử dụng đồng thời hai lỗ hổng: một là Eternal Blue (Nỗi Buồn Không Nguôi) công cụ đột nhập do NSA (Cơ quan An ninh Quốc gia Mỹ) tạo ra, nhưng bị thất thoát đầu năm 2017. EB tận dụng sơ hở trong một thủ tục của Windows cho phép hackers có thể từ xa chạy một phần mềm trên máy bị lây nhiễm. Thứ hai là một phát kiến đã hơi cũ có tên là Mimikatz, do một nhà nghiên cứu an ninh người Pháp tên là Benjamin Delpy chỉ ra về mặt nguyên tắc từ năm 2011. Theo Delpy, Mimikatz cho thấy Windows lưu các mật khẩu không mã hóa trong bộ nhớ RAM. Nếu hackers thâm nhập được vào máy tính, chúng sẽ đọc được mật khấu để thâm nhập các máy khác và tự động lan truyền trên mạng.
Thực ra Microsoft đã có bản vá lỗi EB trước NotPetya. Nhưng với 2 vũ khí một lúc, chỉ cần có 1 máy chưa vá lỗi bị tấn công, NotPetya có thể ăn cắp mật khẩu và lây sang các máy đã được vá lỗi.
Cái tên NotPetya được đặt từ mã độc Petya, xuất hiện đầu năm 2016 và đòi tiền chuộc để giải mã các tập tin bị tấn công. Có điều với NotPetya, thông điệp đòi tiền chuộc chỉ là đòn gió. Mục tiêu của nó là phá hoại. Bản ghi khởi động (boot record), bị mã hóa một chiều, khiến máy tính không thể nào tìm thấy hệ điều hành. Nạn nhân có trả tiền chuộc thì cũng vậy. Không có một chìa khóa nào để khôi phục mớ dữ liệu hỗn độn trên máy.
Việc thả NotPetya có thể coi là một hành động tuyên chiến. Chỉ trong vài giờ, mã độc đã ra khỏi biên giới Ucraina, tấn công các máy tính từ bệnh viện ở Pennsylvania đến nhà máy sô cô la ở Tasmania. Nó quật ngã các công ty khổng lồ như Maersk, hãng dược phẩm Merck, chi nhánh Fedex châu Âu: TNT Express, công ty xây dựng Pháp Saint-Gobain, nhà sản xuất thực phẩm Mondelez hay nhà máy Reckitt Benckiser, chỗ nào cũng gây thiệt hại ít nhất là 9 chữ số. Nó lây ngược lại cả nước Nga, tấn công hãng dầu quốc gia Rosneft.
Theo đánh giá của Tom Bossert, cố vấn của Bộ An ninh Nội địa Mỹ, NotPetya gây thiệt hại ước tính hơn 10 tỷ đô la Mỹ. Bossert và các cơ quan tình báo Mỹ cũng xác nhận hồi tháng hai là giới quân sự Nga (nghi can chính trong tất cả các vụ tấn công Ucraina) là người chịu trách nhiệm. (Bộ ngoại gia Nga từ chối bình luận.)
Oleksii Yasinsky hy vọng một ngày dễ dàng tại công sở hôm thứ ba. Mai là ngày nghỉ, ngày hiến pháp Ucraina. Đa phần các đồng nghiệp của anh hoặc đã nghỉ hoặc đang trù tính xem đi đâu. Từ năm ngoái, Oleksii là trường phòng an ninh tại công ty ISSP, nhanh chóng trở thành địa chỉ cứu tinh cho các nạn nhân bị tấn công mạng ở U. Từ khi Nga bắt đầu quấy rối cuối năm 2015, anh chỉ cho phép mỗi năm nghỉ 1 tuần.
Buổi sáng hôm đó, đang thư giãn thì Yasinsky nhận được một cú điện thoại từ giám đốc, thông báo Oschadbank, nhà băng lớn thứ hai ở U bị tấn công. Cũng chuyện thường, nhà băng khắp thế giới bị bọn tội phạm tống tiền. Nhưng khoảng một giờ sau, khi bước vào trung tâm IT của ngân hàng ở giữa Kiev, anh hiểu rằng đã có chuyện gì đó khác thường xảy ra: “Tất cả nhân viên đều hoang mang, sốc. Khoảng 90% máy tính của ngân hàng bị khóa, hiện lên màn hình thông điệp của NotPetya.”
Sau vài phút xem xét những thông tin còn sót lại, Yasinsky xác định là đã có một mã độc tự động phát tán và lấy được mật khẩu của quản trị mạng. Khác gì tù nhân mà ăn cắp được chìa khóa phòng giam đâu. Quay về văn phòng nghiên cứu tiếp, Yasinsky tiếp tục nhận được cuộc gọi cầu cứu từ khắp nước U. Có người thông báo đã trả tiền chuộc. Nhưng anh ngờ rằng vụ này không bình thường. “Không có thuốc giải độc.”
Cách đây mấy ngàn dặm, TGĐ ISSP Roman Sologub đang chuẩn bị ra bãi biển Thổ Nhĩ Kỳ kỷ niệm ngày lễ cùng vợ con thì chuông điện thoại réo. Roman phải rút lui vào phòng, trả lời gần 50 cuộc gọi từ khách hàng báo là hệ thống của họ bị tấn công. Trung tâm giám sát mạng của ISSP cảnh báo Roman là NotPetya phá hoại với tốc độ khủng khiếp: chỉ cần 45 giây để đánh sập mạng của một ngân hàng lớn, hệ thống tại một nhà ga trung tâm bị sập trong 16 giây. Công ty năng lượng Ukrenergo, vừa mới được ISSP khôi phục lại mạng, chưa kịp viết quy định mới giờ thì đã quá muộn.
Một sáng lập viên của ISSP, Oleh Derevianko, đang lái xe về nhà nghỉ ngoại ô với vợ, thì vướng vào NotPetya. Anh phải tấp vào bên đường, tìm một quán nước để ngồi xử lý, yêu cầu các khách hàng ngắt mạng ngay lập tức, kể cả nếu việc đó buộc cả công ty phải dừng hoạt động. Nhưng đa phần là đã quá muộn. NotPetya đã phá nát 4 bệnh viện, 6 công ty năng lượng, 22 ngân hàng, hệ thống ATM và thanh toán thẻ tại các điểm bán lẻ và hầu như tất cả các cơ quan chính phủ. Bộ trưởng hạ tầng Vladimir Omelyan tóm tắt ngắn gọn: “Chính phủ đã chết.” Một quan chức cao cấp khác ước tính 10% số máy tính trên toàn lãnh thổ U bị xóa sổ. Thậm chí cả các máy tính của các nhà khoa học tại bãi rác hạt nhân Chernobul cũng chịu chung số phận. “Giống như một trận oanh tạc vậy” Ormelyan kết luận.
Chiều, Derevianko rời quán, dừng xe bên một trạm xăng để bơm xăng. Hệ thống thanh toán thẻ cũng bị NotPetya phá hỏng, anh lại không có tiền mặt trong túi, lo lắng nhìn đồng hồ không biết có đủ xăng để về đến nhà. Khắp đất nước, người dân tự hỏi, liệu mình có đủ tiền để mua xăng và bánh mì cho qua cơn hoạn nạn này không? Liệu mình có được nhận lương không? Liệu đơn thuốc của mình có được bào chế? Đến đêm, ISSP đã bắt đầu định danh cuộc tấn công này là một “hành động xâm lược ồ ạt và có tổ chức”.
Trong cơn đại dịch đó, có một con bệnh định mệnh cho Mersk: Tại Odessa, một cảng trên Biển Đen, giám đốc tài chính của Maersk U đã yêu cầu nhân viên cài cho mình phần mềm M.E.Doc chỉ trên một máy tính duy nhất. NotPetya chỉ cần có vậy!
Cảng Elizabeth, New Jersey là một trong 76 cầu cảng do Mersk vận hành, còn có tên gọi là AMP, rộng gần 1 dặm vuông, nhô ra Vịnh Newark. Hàng ngàn containers nằm thẳng hàng. Những chiếc cần cẩu xanh cao vật in bóng trên nền trời. Từ những căn nhà chọc trời bên Manhhatan, chúng trông như những con khủng long đang tụ tập lại bên vũng nước.
Hàng ngày, khoảng 3000 xe tải 18 bánh vào ra cảng, chở theo đủ thứ từ tã trẻ em đến phụ kiện máy kéo. Họ cũng phải checkin như hành khách hàng không, tại cửa. Có các máy tự động đọc barcode trên cont, còn nhân viên thì trao đổi với tài xế qua loa. Tài xế nhận được giấy hướng dẫn đỗ xe ở đâu, để cần cẩu có thể bốc hàng xếp vào chỗ quy định, sau đó sẽ được đưa xuống tàu lênh đênh trên đại dương. Hàng đến thì ngược lại.
Sáng 27/6, Pablo Fernadez ( không phải tên thật), đại diện một đại lý vận tải, một kiểu trung gian mà các chủ hàng thuê để bảo đảm hàng đến nơi trót lọt bên kia đại dương, lên kế hoạch tầm hơn chục xe tải sẽ được chuyển qua đây để sang Trung đông. Nhưng từ 9h sáng giờ New Jersey, chủ hàng đã bắt đầu giận dữ gọi điện. Tài xế báo, các xe của họ bị chết gí ở cổng cảng Elizabeth, vào không được, ra cũng không xong. Cửa checkin bị tê liệt, hệ thống loa im tiếng.
Chẳng mấy chốc hàng trăm chiếc xe tải 18 bánh đã xếp hàng dài ngút tầm mắt. Một nhân viên làm ở gần đó chứng kiến, cổng cảng bị đóng 15 phút, rồi nửa giờ. Rồi hàng giờ mà vẫn không có thông tin gì từ Maersk. Cuối cùng Ban quản lý Cảng tuyên bố đóng cửa cho đến hết ngày, cảnh sát hướng dẫn các lái xe giải phóng đường. Lúc đó mọi người mới nhận thức được, đã có một cuộc tấn công.
Fernandez cũng như hàng trăm khách hàng khác của Mersk đứng trước lựa chọn khó khăn: họ phải trả giá giờ chót đắt lòi để đưa hàng của họ lên tàu hãng khác, hoặc nếu chẳng may hàng nằm trong một dây chuyền sản xuất chặt chẽ của nhà máy, họ phải trả giá trên trời để vận chuyển bằng máy bay, nếu khôn muốn cả dây chuyền sản xuất bị dừng lại. Nhiều container cần được cấp điện, nếu không hàng hóa bên trong sẽ bị thối rữa.
Fernandez vừa phải chạy đôn chạy đáo tìm nhà kho để tạm hàng cho khách, vừa hóng thông báo từ Maersk. Cả ngày, anh ta chỉ nhận được 1 bức thư điện từ gửi từ địa chỉ gmail của một nhân viên đang bực tức của Maersk, mà đọc cũng không hiểu gì luôn. Website Maerskline.com cũng toi. Không một ai ở hãng nhấc điện thoại. Một số cont mà Fernandez gửi hôm đó bị lưu lạc trên các cảng gần 3 tháng sau. “Maersk như một cái hố đen. Thảm họa!”
Còn hơn cả thảm họa. 17 trong số 76 cảng của Maersk bị đóng cửa. Từ Los Angeles đến Mumbai. Hàng chục ngàn xe tải phải quay đầu. Cần cẩu chết lặng. Không thể đặt chỗ. Nguồn thu chủ yếu của Maersk bị cắt. Các máy tính trên tàu không bị ảnh hưởng, nhưng các tệp tin điện tử EDI về hàng hóa tại các cầu cảng bị xóa, ban quản lý cảng không có thông tin để chơi trò xếp hình với đống containers cao chất ngất.
Một trong những hệ thống máy tính phức tạp nhất, vận hành hạ tầng kinh tế thế giới bị đánh sập trong nhiều ngày tới. “Một sự kiện chưa từng có trong lịch sử, chưa ai phải xử lý khủng hoảng ở mức độ như vậy cả.” Một khách hàng của Maersk phát biểu.
Vài ngày sau khi màn hình máy tính bị xóa đen ở văn phòng, Henrik Jensen đang ngồi nhà nhâm nhi bánh mì với mứt và trứng rán. Chẳng thấy cấp trên nào đái hoài. Bỗng có điện thoại.
Hóa ra là một cuộc họp từ xa với 3 nhân viên khác. Họ bảo anh phải đến ngay văn phòng của Maersk ở Maidenhead England, thị trấn phía tây London, nơi đặt trụ sở của Trung tâm dịch vụ hạ tầng của Maersk.
Hai tiếng sau, Jensen đã yên vị trên máy bay đến London, rồi chạy xe tới tòa nhà 8 tầng gạch và kinh ở trung tâm Maidenhead. Cả tầng 4 và tầng 5 bị cải tạo thành Trung tâm cấp cứu với duy nhất 1 nhiệm vụ: khôi phục lại mạng toàn cầu của Maersk đã bị NotPetya đánh sập.
Một số nhân viên đã ở đây từ cú đánh đầu tiên của NotPetya hôm thứ ba. Một số ngủ ngay dưới gầm bàn hoặc góc phòng họp. Một số trông có vẻ vừa mới đến, tay còn xách đồ. Maersk đặt tất cả các khách sạn trong phạm vi 10 dặm. Đồ ăn nhẹ được khuân từ cửa hàng về chất đầy bếp văn phòng.
Deloitte được Maersk giao nhiệm vụ quản lý việc giải quyết NotPetya. Tiền bạc không thành vấn đề. Luôn luôn có ít nhất 200 nhân viên Deloitte và khoảng 400 nhân viên Maersk làm việc. Tất cả các máy tính sử dụng trước khi NotPetya tấn công đều bị tịch thu. Hàng đống laptops và wifi hotspots mới tinh được mang về. Jensen được cấp một cái và ra lệnh kiểu như “Kiếm một góc mà ngồi và làm bất cứ cái gì anh thấy cần phải làm.”
Chẳng bao lâu, các nhân viên phát hiện ra một điều kinh khủng. Họ đã tìm lại được hầu hết các dữ liệu lưu trữ từ 3 đến 7 ngày trước khi bị tấn công. Nhưng họ không thể tìm được một lớp thông tin tối quan trọng của mạng công ty: domain controllers, máy chủ kiểm soát bản đồ các máy tính và các quyền truy nhập trong toàn hệ thống.
Maersk có khoảng 150 máy chủ như vậy. Chúng tự đồng bộ dữ liệu với nhau, nên có thể nói 1 máy là lưu trữ cho toàn hệ thống. Nhưng không ai tính đến trường hợp, tất cả các máy bị tấn công đồng thời. “Không phục hồi được domain controllers, không thể phục hồi được bất cứ điều gì.”
Thật may mắn thế nào, sau một hồi nỗ lực lùng sục, gọi hàng trăm các quản trị mạng tại các trung tâm dữ liệu trên toàn thế giới, các nhân viên cứu hộ tìm được 1 máy chủ domain còn dữ liệu ở văn phòng Ghana. May phúc thế nào, lúc NotPetya tấn công, văn phòng này bị mất điện. Nên máy tính bị ngắt ra khỏi mạng. Khỏi phải này mọi người vui sướng thế nào.
Trong những ngày đầu sau phục hồi, các máy tính trên cảng đã có thể đọc được danh sách hàng hóa trên những con tàu khổng lồ 18000 containers đang lù lù vào cảng. Phải mấy ngày sau, Maerskline.com mới có thể nhận đơn hàng mới. Và phải mất hơn tuần, các cảng mới trở lại làm việc tạm gọi là bình thường. Trong lúc đó, nhân viên Maersk được khuyến khích dùng bất cứ công cụ gì có trong tay để làm việc. Dán vận đơn lên containers ở các APM, nhận đơn đặt hàng qua Gmail hoặc WhatsApp, sử dụng Excel. Một khách hàng tỏ ra hứng thú: “tôi đã đặt vận chuyển 500 công qua WhatsApp, thật kỳ diệu.”
Khoảng 2 tuần sau cuộc tấn công. Maersk bắt đầu cấp máy tính trở lại cho đa số nhân viên. Trong quán café dưới tầng hầm ở Trụ sở Copenhagen, máy tính xếp hàng dài đợi các nhân viên IT mang USB đi cài cắm từng chiếc.
Mấy ngày sau khi quay về từ Maidenhead, Henrik Jensen tìm thấy cái laptop cũ của mình trong đống mấy trăm cái máy. Ổ cứng đã bị xóa sạch. Một bản Windows mới được cài. Tất cả những gì mà anh và đồng nghiệp của mình lưu ở ổ cứng, đều bị mất.
Link bài gốc: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
Nguyễn Thành Nam (dịch giả)
Founder FUNiX là một trong 13 công thần sáng lập ra Tập đoàn FPT. Với chiến công lớn trong việc khai phá và phát triển xuất khẩu phần mềm cho Tập đoàn, anh Nam từng giữ chức CEO kiêm Chủ tịch HĐQT của FPT Software, kế đến là CEO FPT.
Nhắc đến “Nam già”, người ta nghĩ ngay tới vị thủ lĩnh phong trào của FPT, đồng thời là nhân vật biểu trưng cho văn hóa STCo FPT. Suy nghĩ khác người, nhiều mơ mộng, dí dỏm một cách thông thái và đặc biệt rất sáng tạo, anh Nam là dị nhân hàng đầu ở FPT. Với gần 30 năm kinh nghiệm trong lĩnh vực phần mềm và quản lý, hiện anh Nam vẫn được tín nhiệm ở vai trò Cố vấn sáng tạo FPT.