Doanh nghiệp Việt ngại chia sẻ chuyện bị hacker tấn công

Dù chưa đầy nửa năm nhưng một trong số những cuộc tấn công đình đám và gây thiệt hại nặng nề nhất ở Việt Nam trong năm 2022 có lẽ phải kể tới Axi Infinity – một trò chơi dạng Play to Earn (vừa chơi vừa kiếm được tiền) do Sky Mavis phát hành, cho phép người dùng mua, bán, giao dịch, gây giống, xây dựng vương quốc với những sinh vật dễ thương là ‘Axie’. Axie Infinity đã bị tấn công và đánh cắp hơn 615 triệu USD - một trong những vụ hacker lớn nhất trong thế giới.

Gần một tháng sau, Ronin Network - mạng chuỗi khối được phát triển cho Axie Infinity công bố hacker không sử dụng cách tấn công kỹ thuật thông thường, lần này hacker tấn công nhân viên của Sky Mavis trên các kênh mạng xã hội– trong đó có cả nhân viên đã nghỉ việc. Nhờ lợi dụng được quyền truy cập của nhân viên này, hacker đã xâm nhập vào hạ tầng của Sky Mavis rồi nắm được 5/9 nút xác thực để thực hiện các giao dịch chuyển tiền.

Những gì xảy ra với Axie Infinity không phải là chuyện hiếm. Theo Cục An toàn thông tin (Bộ TT&TT), trong 4 tháng đầu năm nay, các hệ thống của Việt Nam đã hứng chịu hơn 4.600 sự cố tấn công mạng. Còn theo Viettel Cyber Security, trong quý I/2022, số lượng các lỗ hổng bảo mật trên các nền tảng, phần mềm gia tăng 25% so với năm cùng kỳ năm 2021, những lỗ hổng có nguy cơ cao và nghiêm trọng chiếm trên 50%. Mỗi tuần, trên dưới 100GB dữ liệu cá nhân được rao bán trên các “chợ đen” trên internet.

Vậy chúng ta có cách nào để tránh được điều đáng tiếc như trường hợp của Axie Infinity? Câu chuyện của Axie Infinity cho thấy hai điều: một là, tất cả các hệ thống đều không an toàn 100%, kể cả khi Axie Infinity được xây dựng bằng blockchain – công nghệ vốn được cho là an toàn từ các nút xác thực hệ thống phi tập trung; hai là, phương thức tấn công của hacker ngày càng đa dạng. Bên cạnh việc tấn cống bằng kỹ thuật như khai thác lỗ hổng, tấn công bằng phần mềm độc hại malware, tấn công giả mạo phishing, tấn công từ chối dịch vụ… thì hacker còn sử dụng chiến thuật liên quan đến yếu tố con người.

Tại webinar về An toàn an ninh mạng do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) - Cục An toàn thông tin, tổ chức mới đây, ông Nguyễn Lê Thành – Phó tổng giám đốc VNG, chia sẻ: “Có nhiều vụ tấn công mà hacker ứng tuyển vào làm việc tại chính công ty đó hoặc thành lập công ty có hoạt động thật sự ở nước ngoài để tuyển dụng nhân viên của tổ chức, doanh nghiệp mục tiêu nhằm đánh cắp thông tin. Chỉ cần giá trị của doanh nghiệp, tổ chức đủ lớn thì hacker không từ bất cứ thủ đoạn phương thức nào. Có nhiều kỹ thuật khai thác thông tin giống như cách lực lượng tình báo sử dụng”.

Với kinh nghiệm tích lũy được trong quá trình lập nhóm VNSECURITY và tham gia “The Hacker’s Choice”, nhóm đầu tiên phá mã A5 GSM, mạng liên lạc thiết bị di động đầu cuối và trạm thu phát sóng, ông Nguyễn Lê Thành đã tham gia ứng cứu sự cố của Axie Infinity và biết rằng, phương thức này không phải phishing hàng loạt mà là spear phishing - tấn công có chủ đích, nhằm vào một mục tiêu cụ thể, được nghiên cứu kỹ về chiến thuậ-2at, phương thức, kỹ thuật. Tổ chức hacker sử dụng mọi cách để do thám, thu thập thông tin mục tiêu qua hoạt động của các cá nhân có liên quan từ trên mạng xã hội đến hoạt động ngoài văn phòng.

Không chờ đến COVID-19, nhiều tổ chức và cá nhân ở Việt Nam đã bắt đầu lựa chọn mang internet làm nơi hoạt động mới. Không chỉ các trang web thương mại điện tử, các diễn đàn chia sẻ thông tin mà các doanh nghiệp trong nhiều lĩnh vực truyền thống… ngày một quan tâm đến số hóa và coi internet là môi trường hoạt động quan trọng. Dù họ ít nhiều quan tâm đến vấn đề bảo mật và đầu tư cho các hạ tầng trọng yếu, các giải pháp tương liên dữ liệu, cảnh bảo tập trung hay lập những trung tâm giám sát an ninh mạng 24/7 nhưng theo đánh giá của chuyên gia an ninh mạng ở Viettel, các cơ quan, tổ chức doanh nghiệp vẫn “hàng ngày hàng giờ có những dữ liệu thông tin bị lộ lọt với tốc độ và khối lượng ngày càng nhiều”.

Ông Trần Minh Quảng, Giám đốc Trung tâm phân tích và chia sẻ nguy cơ An ninh mạng, Công ty An ninh mạng Viettel cho rằng, có nhiều thông tin về lỗ hổng và được cảnh báo liên tục về các cuộc tấn công nhưng đáng lo là đa phần các trung tâm an toàn thông tin của doanh nghiệp tổ chức lại không biết phải cư xử thế nào, phòng thủ ra sao.

Vậy đâu là nguyên nhân? Đó chính là tình trạng các tổ chức bị tấn công ngại chia sẻ thông tin về cuộc tấn công mà họ là nạn nhân. Tuy nhiên cũng có nơi chọn cách làm khác, ví dụ như cách Sky Mavis đã làm một cách minh bạch là công khai về cuộc tấn công này, vốn không xa lạ trên thế giới. Các tổ chức, doanh nghiệp trên thế giới thường có thói quen chia sẻ điều này trên các mạng lưới về ứng cứu sự cố an ninh mạng trong ngành của mình bởi Thông tin mối đe dọa an ninh mạng (Cyber Threat Intelligence) được coi là kiến thức, kỹ năng và thông tin dựa trên kinh nghiệm về sự xuất hiện và đánh giá cả các mối rủi ro có thể gặp phải trên mạng nhằm giúp giảm thiểu các cuộc tấn công tiềm ẩn.

“Để ngăn chặn các cuộc tấn công, điều mà các nhóm an toàn thông tin của tổ chức doanh nghiệp cần là cởi mở. Việc Sky Mavis chia sẻ giúp doanh nghiệp tổ chức cập nhật về một chiến thuật tấn công mới và có kế hoạch ngăn chặn nhằm giảm thiểu thiệt hại” – ông Thành nói thêm. Ở Việt Nam, vấn đề này tuy không mới nhưng vẫn là câu hỏi để ngỏ.

Là chuyên gia bảo mật lâu năm, ông Nguyễn Lê Thành ví điều này giống như “black box” ở Việt Nam. “Việc để người khác biết mình bị tấn công là điều nhạy cảm với doanh nghiệp, tổ chức. Họ sợ ảnh hưởng tới uy tín, hình ảnh nên chọn cách im lặng” – Phó Tổng giám đốc VNG nói. Doanh nghiệp, tổ chức tài chính khi bị tấn công đều âm thầm xử lý. Do đó, dù là chuyên gia bảo mật hàng đầu nhưng nhiều sự việc trong nước, ông Thành lại chỉ biết qua những bạn bè trong mạng lưới ở nước ngoài khi các chuyên gia này được mời tham gia ứng cứu.

Nếu các tổ chức, doanh nghiệp bị tấn công có chia sẻ cũng chỉ là chuyện giữa các đối tác thân thiết và theo những cách được ông Trần Minh Quảng gọi là “thủ công” như gọi điện, qua email hay ứng dụng OTP. Do chưa phổ biến nên lĩnh vực này cũng thiếu chuyên gia phân tích biến dữ liệu thu thập được trở thành tri thức phục vụ việc ngăn chặn các sự cố tương tự. “Không nhiều chuyên gia có thể từ các dữ liệu thô mà chỉ ra được kẻ tấn công là ai, sử dụng phương thức, chiến thuật tấn công như thế nào, vì mục đích gì” – ông nói.