WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Inside Cyber Warfare - Chương XII: Mô hình cảnh báo sớm trên mạng (Phần 1)
Hoa Kỳ đang đối mặt với những thách thức khi cần xác định các tác nhân phải chịu trách nhiệm cho việc phát động các cuộc tấn công mạng có động cơ chính trị. Theo Bộ trưởng Quốc phòng Robert Gates, Hoa Kỳ đang bị tấn công mạng gần như hàng ngày vào mọi thời điểm”. Ước tính hiện có hơn 140 quốc gia có khả năng tiến hành chiến tranh mạng. Ngoài ra, những kẻ thù tinh vi có thể định tuyến các cuộc tấn công thông qua proxy và đánh tráo danh tính của mình. Những yếu tố này kết hợp với nhau khiến việc quy kết trách nhiệm của một cuộc tấn công quả là một thách thức.
Trong suốt thời kỳ Chiến tranh lạnh, những thách thức này không hề tồn tại. Các cuộc tấn công giữa Mỹ và cường quốc đối địch hiếm khi xảy ra. Các nước sở hữu năng lượng hạt nhân chỉ giới hạn trong một câu lạc bộ độc quyền. Ngoài ra, khá khó để chuyển hướng các cuộc tấn công hạt nhân thông qua việc "ủy nhiệm".
Việc nâng cao khả năng phát hiện và xác định nguồn gốc tấn công hạt nhân hoặc tên lửa đã làm tăng sự ổn định trong suốt thời kỳ Chiến tranh lạnh. Nhiều nhà hoạch định chính sách lo ngại rằng việc không thể xác định nhanh chóng và chính xác nguồn gốc của một cuộc tấn công mạng sẽ dẫn đến sự mất ổn định và tăng cơ hội thực hiện các cuộc tấn công mạng. Để cải thiện thế trận phòng thủ, Hoa Kỳ cần phải phát triển một hệ thống cảnh báo sớm các cuộc tấn công mạng.
Các giải pháp kỹ thuật bổ sung sẽ không giải quyết triệt để vấn đề về xây dựng năng lực cảnh báo sớm nhằm phát hiện các cuộc tấn công mạng có động cơ chính trị. Thay vào đó, cần có một bộ khung phân tích mới mẻ. Bộ khung này sẽ giúp khoanh vùng nhóm những kẻ có thể xâm nhập và cho phép những nhà hoạch định chính sách kết hợp bất kỳ bằng chứng kỹ thuật có thể thu được trong một cuộc tấn công mạng kèm theo một danh sách những kẻ tình nghi. Lý tưởng nhất, đầu ra của phân tích này có thể sẽ là danh tính của những kẻ phải chịu trách nhiệm cho một cuộc tấn công mạng.
Quan trọng hơn, bộ khung này sẽ cho phép bên phòng thủ dự báo hơn là phản ứng với sự xuất hiện của các cuộc tấn công có động cơ chính trị. Các hệ thống cảnh báo sớm trên mạng hiện tại theo dõi các lần rà quét và thăm dò không thể cung cấp khả năng dự báo giống như mô hình đề xuất. Ngoài ra, nó không phân loại được các tín hiệu gây nhiễu và thay vào đó báo cáo về tất cả các lần rà quét và thăm dò độc hại nhận được. Mô hình được đề cập trong các phần dưới đây cho phép bên phòng thủ dự báo khi nào một cuộc tấn công mạng sẽ xảy ra và những tác nhân nào có khả năng khởi xướng cuộc tấn công.
Những căng thẳng âm ỉ cần đến một kiểu sự kiện châm ngòi để có thể huy động những người yêu nước trên mạng tham gia vào lực lượng dân quân trên không gian mạng. Có thể dùng lực lượng này nhằm thực hiện các cuộc tấn công từ điển (brute-force), trong khi ngày càng nhiều hacker lành nghề sử dụng thông tin tình báo thu thập từ các cuộc tấn công thăm dò mạng trước đó để tiến hành các cuộc tấn công tinh vi hơn (Hình 12-1).
Hình 12-1: Các giai đoạn của một cuộc tấn mạng có động cơ chính trị
Do đó, điều quan trọng là phải thử nghiệm mô hình đã đề xuất về các giai đoạn của tấn công mạng có động cơ chính trị nhằm vào cả các chủ thể nhà nước và phi nhà nước. Mô hình này phải phát huy tác dụng như nhau khi dự đoán một cuộc tấn công dù bắt nguồn từ tác nhân nhà nước hay phi nhà nước nhằm vào các tổ chức nhà nước hay phi nhà nước.
Những căng thẳng âm ỉ luôn tồn tại giữa bất kỳ chủ thể trong hệ thống chính trị quốc tế. Ví dụ, sự thù địch lịch sử giữa những người Hồi giáo và nhà nước Israel đã dẫn đến tình trạng thường xuyên xảy ra các cuộc tấn công mang động cơ chính trị, trong cả thế giới thực và không gian mạng. Ở những điều kiện thích hợp, những căng thẳng này có thể bùng nổ thành một cuộc chiến toàn diện.
Trinh sát mạng
Trong bối cảnh nước sôi lửa bỏng này, đôi khi những căng thẳng có thể bùng phát. Tuy nhiên, trước khi bắt đầu đối đầu trên không gian mạng, các đối thủ dường như cần thực hiện các cuộc thăm dò cơ sở hạ tầng của nhau. Cơ sở để tiến hành trinh sát trên mạng không khác biệt với ngoài đời thực. Các đối thủ tiến hành trinh sát mạng nhằm phát hiện các lỗ hổng trong cơ sở hạ tầng của đối phương mà có thể bị khai thác nếu khi nào các căng thẳng bùng phát thành chiến sự. Trinh sát mạng cũng cho phép các đối thủ phát triển các công cụ hiệu quả được thiết kế riêng để tấn công hạ tầng của kẻ địch.
Trong suốt cuộc chiến giữa Nga và Georgia vào tháng 08/2008 tại khu vực tranh chấp của nam Ossetia, một cuộc xung đột song song đã xảy ra trên không gian mạng. Cuộc điều tra của các nhà nghiên cứu đến từ Project Grey Goose phát hiện các tin tặc ủng hộ Nga đã tiến hành trinh sát mạng chuyên sâu trước khi bắt đầu cuộc chiến vào tháng 08/2008. Đặc biệt, các trang web của Georgia đã bị thăm dò để tìm lỗ hổng. Viện nghiên cứu phi lợi nhuận của Mỹ USCCU (Cyber Consequence Unit) sau đó xác nhận những phát hiện này. Trong một báo cáo về xung đột mạng tại Georgia, USCCU viết:
Khi các cuộc tấn công mạng bắt đầu, chúng sẽ không còn liên quan đến bất kỳ giai đoạn trinh sát hay phác thảo chiến lược mà tấn công thẳng vào mục tiêu được lựa chọn là phù hợp nhất để gây rối các website bị tấn công. Điều này cho thấy những công việc do thám cần thiết và viết các kịch bản tấn công phải được thực hiện từ trước. Trong nhiều hành động tin tặc thực hiện, như đăng ký tên miền mới và thiết lập trang web mới, được thực hiện nhanh đến mức tất cả các bước phải được chuẩn bị trước đó.
Sự kiện châm ngòi
Sự kiện châm ngòi là bất kỳ sự kiện nào khiến những căng thẳng tiềm ẩn bùng phát và nổ ra các cuộc tấn công mạng có động cơ chính trị. Giống như vụ ám sát Thái tử Archduke Ferdinand (người thừa kế ngai vàng Áo-Hung) khiến các quốc gia liên minh Áo-Hung rơi vào thế xung đột với các quốc gia liên minh với Serbia và cuối cùng dẫn đến Thế chiến thứ nhất, các sự kiện châm ngòi tương tự đã làm bùng nổ các cuộc tấn công mạng có động cơ chính trị.
Cuộc chiến mạng năm 2007 nhằm vào các website của Estonia xảy ra trong bối cảnh căng thẳng kìm nén giữa Estonia và Nga. Đó chủ yếu là hệ quả việc Liên Xô sáp nhập các quốc gia vùng Baltic vào năm 1940 khi bắt đầu Thế chiến 2. Sau cuộc sát nhập này, Liên Xô đã tiến hành một cuộc đàn áp, bỏ tù hơn 8.000 người Estonia và hành quyết thêm 2.000 người.
Nguyên nhân trực tiếp các cuộc tấn công mạng vào Estonia là do chính phủ nước này quyết định di dời đài tưởng niệm Hồng Quân Liên Xô khỏi trung tâm thủ đô Tallinn. Nhiều người Estonia xem đài tưởng niệm như một lời nhắc nhở đanh thép về thời kỳ “chiếm đóng” của Liên Xô đối với Estonia, trong khi nhiều người Nga xem tượng đài là để tưởng nhớ những hy sinh của Hồng quân Liên Xô trong công cuộc giải phóng Estonia khỏi Đức Quốc xã.
Ngay sau khi di dời bức tượng, những thanh niên có mối liên hệ với điện Kremlin đã giận dữ và gây náo loạn đại sứ quán Estonia tại Moscow. Các quan chức Nga cũng nhấn mạnh rằng, tượng đài cần được đưa trở lại vị trí ban đầu và trong một động thái chưa từng có, yêu cầu chính phủ Estonia đương nhiệm từ chức. Những cuộc bạo loạn trong thế giới thực này diễn ra song song với một chiến dịch tương ứng về tính bạo lực trên không gian số.
Huy động lực lượng trên mạng
Theo Adam Elkus, huy động lực lượng trên mạng là một quá trình tập hợp lực lượng chống lại các đội quân hàng đầu. Tác nhân chịu tổn thương sử dụng những sự kiện châm ngòi để kích động tin tặc yêu nước hành động.
Có nhiều ví dụ về huy động lực lượng trên mạng. Những tin tặc yêu nước Trung Quốc có truyền thống tập hợp sự ủng hộ cho mục tiêu của mình thông qua các bảng tin nhắn và các phòng trò chuyện trực tuyến khác nhau. Năm 2008, người dân Trung Quốc đã tạo một trang diễn đàn chống đối kênh CNN để phản ứng lại “những lời dối trá và bóp méo sự thật từ các phương tiện truyền thông phương Tây”. Các cư dân và tin tặc yêu nước Trung Quốc tin rằng truyền thông phương Tây thật bất công khi chỉ trích cách đối xử của Trung Quốc với người Tây Tạng.
Dù việc lập diễn đàn Anti-CNN và huy động các tin tặc yêu nước Trung Quốc nhằm vào các công ty truyền thông phương Tây không mang lại thành công cho bất kỳ cuộc tấn công tầm cỡ nào nhắm vào các website của họ, thì diễn đàn Anti-CNN đã có thể huy động một lượng người Trung Quốc trong nỗ lực chống lại những thành kiến về việc đưa tin của truyền thông phương Tây. Tháng 04/2008, ngay sau khi diễn đàn này ra mắt, trang web đã ghi nhận 500.000 lượt truy cập mỗi ngày.
Tấn công mạng
Các cuộc tấn công mạng có động cơ chính trị rất phức tạp từ các cuộc tấn công từ chối dịch vụ quy mô nhỏ đến các cuộc tấn công gián điệp lén lút được tổ chức quy củ. Độ tinh vi của các cuộc tấn công mạng phụ thuộc và kỹ năng của kẻ tấn công và khối lượng thông tin trinh sát được thực hiện trước đó. Kẻ tấn công có trình độ cao được hỗ trợ bởi thông tin tình báo thu thập được từ việc thăm dò có thể thực hiện một cuộc tấn công phá hủy, trong khi những kẻ có trình độ cơ bản không cần đến bất kỳ thông tin tình báo nào trên hệ thống mục tiêu sẽ được giao thực hiện các cuộc tấn công brute-force đơn giản.
Trong suốt thời kỳ Chiến tranh lạnh, những thách thức này không hề tồn tại. Các cuộc tấn công giữa Mỹ và cường quốc đối địch hiếm khi xảy ra. Các nước sở hữu năng lượng hạt nhân chỉ giới hạn trong một câu lạc bộ độc quyền. Ngoài ra, khá khó để chuyển hướng các cuộc tấn công hạt nhân thông qua việc "ủy nhiệm".
Việc nâng cao khả năng phát hiện và xác định nguồn gốc tấn công hạt nhân hoặc tên lửa đã làm tăng sự ổn định trong suốt thời kỳ Chiến tranh lạnh. Nhiều nhà hoạch định chính sách lo ngại rằng việc không thể xác định nhanh chóng và chính xác nguồn gốc của một cuộc tấn công mạng sẽ dẫn đến sự mất ổn định và tăng cơ hội thực hiện các cuộc tấn công mạng. Để cải thiện thế trận phòng thủ, Hoa Kỳ cần phải phát triển một hệ thống cảnh báo sớm các cuộc tấn công mạng.
Các mạng lưới cảnh báo sớm trên mạng
Dù một số công ty tư nhân và các tổ chức phi lợi nhuận đã xây dựng hạ tầng mạng được thiết kế để phát hiện các cuộc tấn công mạng, nhưng những cơ sở hạ tầng này không đủ sức để đưa ra những cảnh báo sớm đối với một cuộc tấn công mạng có động cơ chính trị.Các giải pháp kỹ thuật bổ sung sẽ không giải quyết triệt để vấn đề về xây dựng năng lực cảnh báo sớm nhằm phát hiện các cuộc tấn công mạng có động cơ chính trị. Thay vào đó, cần có một bộ khung phân tích mới mẻ. Bộ khung này sẽ giúp khoanh vùng nhóm những kẻ có thể xâm nhập và cho phép những nhà hoạch định chính sách kết hợp bất kỳ bằng chứng kỹ thuật có thể thu được trong một cuộc tấn công mạng kèm theo một danh sách những kẻ tình nghi. Lý tưởng nhất, đầu ra của phân tích này có thể sẽ là danh tính của những kẻ phải chịu trách nhiệm cho một cuộc tấn công mạng.
Quan trọng hơn, bộ khung này sẽ cho phép bên phòng thủ dự báo hơn là phản ứng với sự xuất hiện của các cuộc tấn công có động cơ chính trị. Các hệ thống cảnh báo sớm trên mạng hiện tại theo dõi các lần rà quét và thăm dò không thể cung cấp khả năng dự báo giống như mô hình đề xuất. Ngoài ra, nó không phân loại được các tín hiệu gây nhiễu và thay vào đó báo cáo về tất cả các lần rà quét và thăm dò độc hại nhận được. Mô hình được đề cập trong các phần dưới đây cho phép bên phòng thủ dự báo khi nào một cuộc tấn công mạng sẽ xảy ra và những tác nhân nào có khả năng khởi xướng cuộc tấn công.
Xây dựng mô hình phân tích về cảnh báo sớm trên mạng
Việc xem xét thận trọng nhiều cuộc tấn công mạng có động cơ chính trị cho thấy một mô hình nhất quán về cách chúng được tổ chức và thực hiện. Các cuộc tấn công trước đây, dù do các tác nhân nhà nước hay phi nhà nước tiến hành, có vẻ bắt nguồn từ những căng thẳng chính trị âm ỉ giữa những bên thù địch. Khi những căng thẳng này nóng lên, những kẻ gây hấn trên mạng có khuynh hướng thực hiện những cuộc thăm dò do thám trên mạng với mục đích rõ ràng là chuẩn bị cho các cuộc tấn công trong tương lai.Những căng thẳng âm ỉ cần đến một kiểu sự kiện châm ngòi để có thể huy động những người yêu nước trên mạng tham gia vào lực lượng dân quân trên không gian mạng. Có thể dùng lực lượng này nhằm thực hiện các cuộc tấn công từ điển (brute-force), trong khi ngày càng nhiều hacker lành nghề sử dụng thông tin tình báo thu thập từ các cuộc tấn công thăm dò mạng trước đó để tiến hành các cuộc tấn công tinh vi hơn (Hình 12-1).
Hình 12-1: Các giai đoạn của một cuộc tấn mạng có động cơ chính trị
Căng thẳng âm ỉ
Dù vẫn còn bị chi phối bởi quốc gia dân tộc, hệ thống chính trị quốc tế ngày nay mang nét đặc trưng của một số nhóm người. Các chủ thể phi nhà nước - như các nhóm khủng bố, các tổ chức quốc tế và trong một số trường hợp, các đám đông tự phát có cùng ý thức hệ - đã thực hiện một số biện pháp gây ảnh hưởng về địa chính trị.Do đó, điều quan trọng là phải thử nghiệm mô hình đã đề xuất về các giai đoạn của tấn công mạng có động cơ chính trị nhằm vào cả các chủ thể nhà nước và phi nhà nước. Mô hình này phải phát huy tác dụng như nhau khi dự đoán một cuộc tấn công dù bắt nguồn từ tác nhân nhà nước hay phi nhà nước nhằm vào các tổ chức nhà nước hay phi nhà nước.
Những căng thẳng âm ỉ luôn tồn tại giữa bất kỳ chủ thể trong hệ thống chính trị quốc tế. Ví dụ, sự thù địch lịch sử giữa những người Hồi giáo và nhà nước Israel đã dẫn đến tình trạng thường xuyên xảy ra các cuộc tấn công mang động cơ chính trị, trong cả thế giới thực và không gian mạng. Ở những điều kiện thích hợp, những căng thẳng này có thể bùng nổ thành một cuộc chiến toàn diện.
Trinh sát mạng
Trong bối cảnh nước sôi lửa bỏng này, đôi khi những căng thẳng có thể bùng phát. Tuy nhiên, trước khi bắt đầu đối đầu trên không gian mạng, các đối thủ dường như cần thực hiện các cuộc thăm dò cơ sở hạ tầng của nhau. Cơ sở để tiến hành trinh sát trên mạng không khác biệt với ngoài đời thực. Các đối thủ tiến hành trinh sát mạng nhằm phát hiện các lỗ hổng trong cơ sở hạ tầng của đối phương mà có thể bị khai thác nếu khi nào các căng thẳng bùng phát thành chiến sự. Trinh sát mạng cũng cho phép các đối thủ phát triển các công cụ hiệu quả được thiết kế riêng để tấn công hạ tầng của kẻ địch.
Trong suốt cuộc chiến giữa Nga và Georgia vào tháng 08/2008 tại khu vực tranh chấp của nam Ossetia, một cuộc xung đột song song đã xảy ra trên không gian mạng. Cuộc điều tra của các nhà nghiên cứu đến từ Project Grey Goose phát hiện các tin tặc ủng hộ Nga đã tiến hành trinh sát mạng chuyên sâu trước khi bắt đầu cuộc chiến vào tháng 08/2008. Đặc biệt, các trang web của Georgia đã bị thăm dò để tìm lỗ hổng. Viện nghiên cứu phi lợi nhuận của Mỹ USCCU (Cyber Consequence Unit) sau đó xác nhận những phát hiện này. Trong một báo cáo về xung đột mạng tại Georgia, USCCU viết:
Khi các cuộc tấn công mạng bắt đầu, chúng sẽ không còn liên quan đến bất kỳ giai đoạn trinh sát hay phác thảo chiến lược mà tấn công thẳng vào mục tiêu được lựa chọn là phù hợp nhất để gây rối các website bị tấn công. Điều này cho thấy những công việc do thám cần thiết và viết các kịch bản tấn công phải được thực hiện từ trước. Trong nhiều hành động tin tặc thực hiện, như đăng ký tên miền mới và thiết lập trang web mới, được thực hiện nhanh đến mức tất cả các bước phải được chuẩn bị trước đó.
Sự kiện châm ngòi
Sự kiện châm ngòi là bất kỳ sự kiện nào khiến những căng thẳng tiềm ẩn bùng phát và nổ ra các cuộc tấn công mạng có động cơ chính trị. Giống như vụ ám sát Thái tử Archduke Ferdinand (người thừa kế ngai vàng Áo-Hung) khiến các quốc gia liên minh Áo-Hung rơi vào thế xung đột với các quốc gia liên minh với Serbia và cuối cùng dẫn đến Thế chiến thứ nhất, các sự kiện châm ngòi tương tự đã làm bùng nổ các cuộc tấn công mạng có động cơ chính trị.
Cuộc chiến mạng năm 2007 nhằm vào các website của Estonia xảy ra trong bối cảnh căng thẳng kìm nén giữa Estonia và Nga. Đó chủ yếu là hệ quả việc Liên Xô sáp nhập các quốc gia vùng Baltic vào năm 1940 khi bắt đầu Thế chiến 2. Sau cuộc sát nhập này, Liên Xô đã tiến hành một cuộc đàn áp, bỏ tù hơn 8.000 người Estonia và hành quyết thêm 2.000 người.
Nguyên nhân trực tiếp các cuộc tấn công mạng vào Estonia là do chính phủ nước này quyết định di dời đài tưởng niệm Hồng Quân Liên Xô khỏi trung tâm thủ đô Tallinn. Nhiều người Estonia xem đài tưởng niệm như một lời nhắc nhở đanh thép về thời kỳ “chiếm đóng” của Liên Xô đối với Estonia, trong khi nhiều người Nga xem tượng đài là để tưởng nhớ những hy sinh của Hồng quân Liên Xô trong công cuộc giải phóng Estonia khỏi Đức Quốc xã.
Ngay sau khi di dời bức tượng, những thanh niên có mối liên hệ với điện Kremlin đã giận dữ và gây náo loạn đại sứ quán Estonia tại Moscow. Các quan chức Nga cũng nhấn mạnh rằng, tượng đài cần được đưa trở lại vị trí ban đầu và trong một động thái chưa từng có, yêu cầu chính phủ Estonia đương nhiệm từ chức. Những cuộc bạo loạn trong thế giới thực này diễn ra song song với một chiến dịch tương ứng về tính bạo lực trên không gian số.
Huy động lực lượng trên mạng
Theo Adam Elkus, huy động lực lượng trên mạng là một quá trình tập hợp lực lượng chống lại các đội quân hàng đầu. Tác nhân chịu tổn thương sử dụng những sự kiện châm ngòi để kích động tin tặc yêu nước hành động.
Có nhiều ví dụ về huy động lực lượng trên mạng. Những tin tặc yêu nước Trung Quốc có truyền thống tập hợp sự ủng hộ cho mục tiêu của mình thông qua các bảng tin nhắn và các phòng trò chuyện trực tuyến khác nhau. Năm 2008, người dân Trung Quốc đã tạo một trang diễn đàn chống đối kênh CNN để phản ứng lại “những lời dối trá và bóp méo sự thật từ các phương tiện truyền thông phương Tây”. Các cư dân và tin tặc yêu nước Trung Quốc tin rằng truyền thông phương Tây thật bất công khi chỉ trích cách đối xử của Trung Quốc với người Tây Tạng.
Dù việc lập diễn đàn Anti-CNN và huy động các tin tặc yêu nước Trung Quốc nhằm vào các công ty truyền thông phương Tây không mang lại thành công cho bất kỳ cuộc tấn công tầm cỡ nào nhắm vào các website của họ, thì diễn đàn Anti-CNN đã có thể huy động một lượng người Trung Quốc trong nỗ lực chống lại những thành kiến về việc đưa tin của truyền thông phương Tây. Tháng 04/2008, ngay sau khi diễn đàn này ra mắt, trang web đã ghi nhận 500.000 lượt truy cập mỗi ngày.
Tấn công mạng
Các cuộc tấn công mạng có động cơ chính trị rất phức tạp từ các cuộc tấn công từ chối dịch vụ quy mô nhỏ đến các cuộc tấn công gián điệp lén lút được tổ chức quy củ. Độ tinh vi của các cuộc tấn công mạng phụ thuộc và kỹ năng của kẻ tấn công và khối lượng thông tin trinh sát được thực hiện trước đó. Kẻ tấn công có trình độ cao được hỗ trợ bởi thông tin tình báo thu thập được từ việc thăm dò có thể thực hiện một cuộc tấn công phá hủy, trong khi những kẻ có trình độ cơ bản không cần đến bất kỳ thông tin tình báo nào trên hệ thống mục tiêu sẽ được giao thực hiện các cuộc tấn công brute-force đơn giản.
Nguồn: Inside Cyber Warfare
Tác giả: Jeffrey Carr
Tác giả: Jeffrey Carr