NotPetya, cuộc tấn công mạng tàn khốc nhất trong lịch sử - Kỳ cuối
Bài học lâu dài nhất của NotPetya chỉ đơn giản là khung cảnh kỳ lạ và đa chiều của chiến trường chiến tranh mạng. Những 'bóng ma' bên trong một phòng máy chủ tồi tàn ở một góc Kiev đã có thể gieo rắc sự hỗn loạn vào các phòng hội nghị mạ vàng của các cơ quan liên bang ở các thủ đô, vào các khu vực trang nghiêm, và trên toàn bộ nền kinh tế toàn cầu.
KHẮC PHỤC KHỦNG HOẢNG
Vài ngày sau vụ màn hình tại văn phòng của Maersk đua nhau tối đen, Henrik Jensen đang ở nhà trong căn hộ ở Copenhagen, thưởng thức bữa sáng muộn với trứng luộc, bánh mì nướng và mứt cam. Kể từ khi rời khỏi văn phòng vào thứ Ba tuần trước, anh đã không nghe được một lời nào từ cấp trên của mình. Rồi bất ngờ điện thoại reo lên.
Khi nhận cuộc gọi, Jensen thấy mình đang họp trực tuyến với ba nhân viên của Maersk. Họ nói rằng anh cần tới văn phòng của Maersk ở Maidenhead, một thị trấn phía tây London, nơi đặt trụ sở của Maersk Group Infrastructure Services, vốn là "đầu não" công nghệ thông tin của tập đoàn vận tải biển khổng lồ Maersk. Họ bảo Jensen hãy gác lại mọi thứ và đến đó ngay lập tức.
Hai giờ sau, Jensen lên máy bay tới London, rồi đi ô tô đến tòa nhà kính 8 tầng ở trung tâm Maidenhead. Khi đến nơi, anh thấy tầng 4 và tầng 5 của tòa nhà đã được chuyển thành trung tâm điều hành khẩn cấp 24/7. Mục đích duy nhất của nó là xây dựng lại mạng lưới toàn cầu của Maersk sau cuộc khủng hoảng NotPetya.
Cuộc truy tìm toàn cầu
Trung tâm phục hồi Maidenhead đang được quản lý bởi công ty tư vấn Deloitte. Về cơ bản, Maersk đã trao cho công ty Anh một tấm séc trắng để giải quyết vấn đề NotPetya, và tại bất kỳ thời điểm nào cũng có tới 200 nhân viên Deloitte làm việc tại văn phòng Maidenhead, cùng với tới 400 nhân viên Maersk. Tất cả các thiết bị máy tính được Maersk sử dụng trước khi dịch bệnh NotPetya bùng phát đều đã bị tịch thu vì sợ rằng nó có thể lây nhiễm sang các hệ thống mới.
Thay vào đó, các nhân viên đã đổ tới mọi cửa hàng điện tử ở Maidenhead, mua hàng loạt máy tính xách tay mới và dùng các truy cập Wi-Fi trả trước.
Giai đoạn đầu hoạt động, các nhân viên IT (công nghệ thông tin) đang xây dựng lại mạng lưới của Maersk đã nhận ra một điều đáng kinh ngạc. Họ xác định được các bản sao lưu của hầu hết các máy chủ riêng lẻ của Maersk, có từ 3-7 ngày trước khi NotPetya tấn công. Nhưng không ai có thể tìm thấy bản sao lưu cho một thành phần quan trọng trong mạng của công ty: bộ điều khiển miền, vốn là máy chủ hoạt động như một bản đồ chi tiết về mạng lưới của Maersk và đặt ra các quy tắc cơ bản để xác định người dùng nào được phép truy cập vào hệ thống nào.
Khoảng 150 bộ điều khiển miền của Maersk đã được lập trình để đồng bộ hóa dữ liệu của chúng với nhau, do đó, về mặt lý thuyết, bất kỳ bộ điều khiển miền nào trong số chúng cũng có thể hoạt động như một bản sao lưu cho tất cả những bộ điều khiển khác. Nhưng chiến lược sao lưu phi tập trung đó đã không tính đến một tình huống: mọi bộ điều khiển miền đều bị xóa đồng thời. Một nhân viên IT của Maersk nhớ lại: “Nếu chúng tôi không thể khôi phục bộ điều khiển miền của mình thì chúng tôi không thể khôi phục được bất cứ thứ gì”.
Sau một cuộc tìm kiếm điên cuồng trên toàn cầu, các quản trị viên cuối cùng đã tìm thấy một bộ điều khiển miền duy nhất còn tồn tại ở một văn phòng Maersk xa xôi, tận Ghana.
Tại một thời điểm trước khi NotPetya xảy ra, sự cố mất điện đã khiến chiếc máy ở Ghana đó bị ngắt kết nối mạng. Do đó, nó chứa bản sao duy nhất được biết đến của dữ liệu bộ điều khiển miền của công ty mà phần mềm độc hại không chạm tới.
Hồi sinh sau khủng hoảng
Sau khi hoạt động cứu hộ hoàn tất, văn phòng Maidenhead có thể bắt đầu đưa các dịch vụ cốt lõi của Maersk hoạt động trở lại. Nhưng phải mất vài ngày nữa, Maersk mới bắt đầu nhận đơn đặt hàng qua Maerskline.com cho các chuyến hàng mới, và phải hơn một tuần nữa các bến cảng trên toàn thế giới của họ mới bắt đầu hoạt động bình thường dù ở bất kỳ mức độ nào.
Trong khi chờ đợi, các nhân viên của Maersk làm việc bằng bất cứ công cụ nào họ có sẵn. Họ dán các tài liệu giấy vào các container vận chuyển tại các cảng APM và nhận đơn đặt hàng qua tài khoản Gmail cá nhân, WhatsApp và bảng tính Excel. Một khách hàng của Maersk cho biết: “Tôi có thể nói với bạn rằng đó là một trải nghiệm khá kỳ lạ khi thấy mình đặt trước 500 container vận chuyển qua WhatsApp, nhưng đó là những gì chúng tôi đã làm”.
Khoảng hai tuần sau vụ tấn công, mạng lưới của Maersk cuối cùng đã đạt đến mức công ty có thể bắt đầu cấp lại máy tính cá nhân cho phần lớn nhân viên. Trở lại trụ sở Copenhagen, một quán cà phê ở tầng hầm của tòa nhà đã được biến thành dây chuyền lắp ráp lắp đặt lại. 20 chiếc máy tính được xếp cùng lúc trên các bàn ăn khi nhân viên bộ phận trợ giúp bước xuống các hàng, lắp hàng chục ổ USB mà họ đã sao chép vào, nhấp chuột qua các lời nhắc trong nhiều giờ.
Vài ngày sau khi trở về từ Maidenhead, Henrik Jensen tìm thấy hàng trăm chiếc máy tính xách tay của mình được xếp theo thứ tự bảng chữ cái, ổ cứng của nó đã bị xóa sạch, một hình ảnh sạch sẽ của Windows được cài đặt. Mọi thứ mà anh và mọi nhân viên Maersk khác đã lưu trữ cục bộ trên máy của họ, từ ghi chú, danh bạ đến ảnh gia đình, đều biến mất.
Năm tháng kể từ khi Maersk phục hồi sau cuộc tấn công NotPetya, Chủ tịch tập đoàn, ông Jim Hagemann Snabe đã có mặt trên sân khấu Diễn đàn Kinh tế Thế giới ở Davos, Thụy Sĩ và ca ngợi “nỗ lực anh hùng” trong hoạt động giải cứu công nghệ thông tin của công ty. Kể từ ngày 27/6/2017, khi lần đầu tiên ôngbị đánh thức bởi một cuộc điện thoại lúc 4 giờ sáng ở California, trước khi xuất hiện theo kế hoạch tại một hội nghị ở Stanford, ông Snabe cho biết, chỉ mất 10 ngày để công ty khôi phục lại toàn bộ mạng lưới gồm 4.000 máy chủ và 45.000 máy tính cá nhân.
Tất nhiên, việc khôi phục hoàn toàn mất nhiều thời gian hơn: Một số nhân viên tại hoạt động Maidenhead tiếp tục làm việc cả ngày lẫn đêm trong gần hai tháng để xây dựng lại hệ thống phần mềm của Maersk.
Theo ông, sau khủng hoảng NotPetya, Maersk đã nỗ lực không chỉ để cải thiện an ninh mạng mà còn biến nó thành “lợi thế cạnh tranh”. Các nhân viên IT nói rằng hầu như mọi tính năng bảo mật mà họ yêu cầu đều gần như được phê duyệt ngay lập tức. Xác thực đa yếu tố đã được triển khai trên toàn tập đoàn, cùng với việc nâng cấp lên Windows 10 vốn bị trì hoãn từ lâu.
Ông Snabe ước tính trong bình luận tại Diễn đàn Davos, NotPetya khiến Maersk tốn từ 250 triệu đến 300 triệu USD. Tuy vậy, nhiều nhân viên Maersk nghi ngờ kế toán riêng của công ty đã đánh giá thấp con số thiệt hại. Dù sao đi nữa, những con số đó mới chỉ bắt đầu mô tả mức độ thiệt hại. Chẳng hạn, các công ty hậu cần có sinh kế phụ thuộc vào các bến cảng thuộc sở hữu của Maersk đều chịu ảnh hưởng. Jeffrey Bader, chủ tịch Hiệp hội Các hãng vận tải ô tô có trụ sở tại Port Newark (Mỹ), ước tính rằng chi phí không được hoàn trả chỉ riêng cho các công ty vận tải đường bộ và tài xế xe tải đã lên tới hàng chục triệu đô la. “Đó là một cơn ác mộng", Bader nói, “Chúng tôi đã mất rất nhiều tiền và chúng tôi rất tức giận".
Bài học cuối cùng
Chi phí lớn hơn nữa do sự gián đoạn của Maersk đối với toàn bộ chuỗi cung ứng toàn cầu - phụ thuộc vào việc giao sản phẩm và linh kiện sản xuất đúng lúc - là rất khó để đo lường.
Và chỉ khi ta bắt đầu nhân rộng câu chuyện của Maersk ra hàng chục nạn nhân NotPetya khác và hàng loạt ngành công nghiệp khác thì quy mô thực sự của tội phạm chiến tranh mạng trong cuộc khủng hoảng này mới thực sự gây choáng váng.
Cuối cùng, bài học lâu dài nhất của NotPetya có thể chỉ đơn giản là khung cảnh kỳ lạ và đa chiều của chiến trường chiến tranh mạng. Những “bóng ma” bên trong một phòng máy chủ tồi tàn ở một góc Kiev đã có thể gieo rắc sự hỗn loạn vào các phòng hội nghị mạ vàng của các cơ quan liên bang ở các thủ đô, vào các cảng nằm rải rác trên toàn cầu, vào các khu vực trang nghiêm, và trên toàn bộ nền kinh tế toàn cầu.
“Bằng cách nào đó, lỗ hổng bảo mật của phần mềm kế toán Ukraine này lại ảnh hưởng đến việc cung cấp vaccine và vận chuyển toàn cầu cho an ninh quốc gia của Hoa Kỳ?”, Joshua Corman, một thành viên an ninh mạng tại Hội đồng Đại Tây Dương đặt câu hỏi, như thể vẫn đang bối rối.
Rõ ràng NotPetya nhắc nhở chúng ta, khoảng cách địa lý không có tác dụng phòng vệ trong cuộc chiến trên không gian mạng.