Gần ba năm trước, Colonial Pipeline bị tấn công và phải đóng cửa hệ thống đường ống dẫn nhiên liệu trong 6 ngày, dẫn đến tình trạng thiếu hụt khí đốt. Thủ đô Washington và 17 bang khác phải ban bố tình trạng khẩn cấp.
Toàn cảnh Colonial Pipeline bị tấn công
Colonial Pipeline là nạn nhân của ransomware vào tháng 5/2021, ảnh hưởng đến một số hệ thống kỹ thuật số và phải đóng cửa vài ngày. Vụ việc tác động đến cả người tiêu dùng lẫn các hãng hàng không dọc Bờ Đông. Nó được xem là một nguy cơ an ninh quốc gia vì đường ống này chuyển dầu từ các nhà máy lọc dầu sang các thị trường công nghiệp. Điều này khiến Tổng thống Mỹ Joe Biden phải ban bố tình trạng khẩn cấp.
Colonial Pipeline là một trong những đường ống dẫn dầu lớn nhất và quan trọng nhất ở Mỹ, bắt đầu vận hành năm 1962 để giúp vận chuyển dầu từ Vịnh Mexico đến các bang Bờ Đông. Hệ thống bao gồm hơn 5.500 dặm đường ống, bắt đầu từ Texas và di chuyển qua New Jersey, phụ trách gần một nửa nhiên liệu cho Bờ Đông. Nó cung cấp dầu tinh chế cho xăng, nhiên liệu máy bay, dầu cho các gia đình.
Ngày 6/5/2021, nhóm tin tặc DarkSide đã truy cập mạng lưới của Colonial Pipeline, đánh cắp 100GB dữ liệu trong vòng 2 giờ. Sau đó, chúng lây nhiễm mạng lưới CNTT bằng mã độc tống tiền, tác động đến nhiều hệ thống máy tính, bao gồm kế toán và tính hóa đơn.
Colonial Pipeline đã phải đóng cửa đường ống để ngăn chặn ransomware lây lan. Sau đó, hãng bảo mật Mandiant được mời đến để điều tra vụ tấn công. FBI, Cơ quan An ninh mạng và An ninh hạ tầng, Bộ Năng lượng, Bộ An ninh nội địa Mỹ cũng tham gia.
Ngày 7/5/2021, công ty đường ống lớn nhất nước Mỹ phải trả tiền chuộc bằng 75 Bitcoin trị giá khoảng 4,4 triệu USD cho tin tặc để có được khóa giải mã. Đường ống được vận hành trở lại từ ngày 12/5/2021.
Trong phiên điều trần trước Quốc hội Mỹ ngày 8/6/2021, Charles Carmakal, Phó Chủ tịch cấp cao kiêm Giám đốc công nghệ Mandiant, cho biết kẻ tấn công đã xâm nhập mạng lưới bằng mật khẩu bị rò rỉ của một tài khoản VPN. Nhiều tổ chức sử dụng VPN để truy cập mạng doanh nghiệp an toàn từ xa.
Theo lời khai của Carmakal, một nhân viên Colonial Pipeline dường như đã dùng chung mật khẩu VPN với tài khoản khác nhưng mật khẩu này bằng cách nào đó bị lộ trong một vụ xâm phạm dữ liệu khác. Dùng chung mật khẩu cho nhiều tài khoản là sai lầm nhiều người mắc phải.
Cũng tại phiên điều trần, CEO Colonial Pipeline Joseph Blount giải thích lý do ông quyết định trả tiền chuộc. Tại thời điểm bị tấn công, ông không rõ mức độ lây lan cũng như mất bao lâu để khôi phục hệ thống. Do đó, ông đưa ra quyết định với hi vọng sẽ đẩy nhanh thời gian phục hồi.
Bộ Tư pháp Mỹ sau khi lần theo dấu vết thanh toán đã phát hiện địa chỉ kỹ thuật số của ví mà kẻ tấn công sử dụng và xin được lệnh tòa án để tịch thu Bitcoin. Kết quả, chiến dịch thu hồi được 64/75 Bitcoin với trị giá khoảng 2,4 triệu USD.
“Di sản” từ vụ tấn công Colonial Pipeline
Lần đầu tiên cả nước Mỹ chú ý đến ransomware, buộc Quốc hội phải thông qua các luật mới và thúc đẩy nhiều cơ quan liên bang đưa ra những yêu cầu an ninh mạng mới. Tấn công mã độc tống tiền không mới, nó từng hủy hoại nhiều chính quyền, cơ sở y tế và trường học trước khi Colonial Pipeline trở thành nạn nhân. Tuy nhiên, khác biệt là ở tác động mang tính chất khu vực, theo Ben Miller – Phó Chủ tịch dịch vụ hãng bảo mật hạ tầng Dragos.
Charles Carmakal – Phó Chủ tịch cấp cao tại hãng bảo mật Mandiant, đơn vị hỗ trợ điều tra sự cố Colonial – nhận định: “Sau này, tôi học được rằng sẽ có một mức độ chú ý nhất định khi xảy ra tác động thật sự đến cuộc sống của mọi người. Khi ảnh hưởng đến gas và thịt, mọi người sẽ thực sự quan tâm”.
Do sự cố tại Colonial Pipeline, nhiều hãng hàng không bị thiếu nhiên liệu, một số sân bay bị hạn chế hoạt động. Lo ngại về tình trạng khan hiếm xăng dầu khiến người dân hoảng loạn, xếp hàng dài tại các trạm xăng ở nhiều bang. Ngoài ra, giá trung bình tại các trạm bơm cũng tăng vọt do đường ống ngừng hoạt động. Tại một số bang, người dân thậm chí còn đổ xăng vào túi nhựa, buộc Ủy ban An toàn Sản phẩm Tiêu dùng Mỹ phải ra cảnh báo chỉ dùng thùng chứa chuyên dụng để đựng xăng.
Vụ tấn công Colonial Pipeline buộc mọi người phải xem xét một cách nghiêm túc các nguy cơ bảo mật và áp dụng những chính sách từng bị xem nhẹ. Theo Mike Hamilton, cựu Giám đốc bảo mật thông tin thành phố Seattle, trước đó, để chính phủ liên bang ưu tiên thực hiện các yêu cầu về an ninh cơ sở hạ tầng trọng yếu là một nhiệm vụ khó khăn.
Các vụ tiếp theo diễn ra cuối năm 2021 – trong đó nhằm vào nhà sản xuất thịt JBS Foods – gây thêm áp lực cho các nhà hoạch định chính sách, cơ quan quản lý và giám đốc điều hành. Chúng là chất xúc tác để ban lãnh đạo xem xét lại kế hoạch ứng phó với ransomware của riêng họ. Theo Miller, mức độ quan tâm đến kế hoạch ứng phó trở nên chi tiết hơn nhiều.
Dù vậy, quy định và ngành vẫn cần phải thay đổi. Wendi Whitmore, Phó Chủ tịch cấp cao bộ phận tình báo nguy cơ Unit 42 của Palo Alto Networks, cho rằng nên có các thỏa thuận đa phương giữa các nước để trấn áp ransomware.
(Theo Axios, Tech Target)
