Bảo vệ Ukraina: Những bài học đầu tiên từ Chiến tranh mạng

Không có gì đáng ngạc nhiên khi Nga nhắm mục tiêu vào trung tâm dữ liệu của chính phủ Ukraina trong một cuộc tấn công sớm bằng tên lửa hành trình và các máy chủ tại cơ sở khác cũng dễ bị tấn công bằng vũ khí thông thường. Nga cũng nhắm mục tiêu các cuộc tấn công “wiper” (xóa sạch dữ liệu) để tàn phá các mạng máy tính tại chỗ. Tuy nhiên, chính phủ Ukraina đã duy trì thành công các hoạt động dân sự và quân sự của quốc gia bằng cách nhanh chóng đưa cơ sở hạ tầng kỹ thuật số vào đám mây công cộng, nơi cơ sở hạ tầng được lưu trữ tại các trung tâm dữ liệu trên khắp châu Âu.

Điều này liên quan đến các bước đi khẩn cấp và đặc biệt từ khắp lĩnh vực công nghệ, bao gồm cả Microsoft. Mặc dù vai trò của lĩnh vực công nghệ rất quan trọng nhưng chúng ta cần phải suy ngẫm về những bài học lâu dài hơn xuất phát từ những nỗ lực này.

Vì không thể nhìn thấy các hoạt động trên mạng bằng mắt thường nên các nhà báo và thậm chí nhiều nhà phân tích quân sự khó mà theo dõi những hoạt động này. Microsoft đã chứng kiến quân đội Nga tiến hành nhiều làn sóng tấn công qua mạng tàn phá nhằm vào 48 cơ quan và doanh nghiệp riêng biệt của Ukraina. Những kẻ này tìm cách xâm nhập vào các miền mạng bằng cách ban đầu xâm phạm hàng trăm máy tính, sau đó phát tán phần mềm độc hại được thiết kế nhằm phá hủy phần mềm và dữ liệu trên hàng nghìn máy tính khác.

Chiến thuật mạng của Nga trong cuộc chiến khác với chiến thuật được triển khai trong cuộc tấn công NotPetya chống lại Ukraina năm 2017. Cuộc tấn công đó sử dụng phần mềm gây hại tàn phá “wormable” (sâu máy tính) có thể lây từ miền máy tính này sang miền máy tính khác nên vượt qua được biên giới sang các quốc gia khác. Vào năm 2022, Nga đã cẩn thận hạn chế “phần mềm xóa sạch” tàn phá trong các miền mạng cụ thể bên trong Ukraina. Tuy nhiên, các cuộc tấn công phá hủy gần đây và đang diễn ra đã phức tạp và lan rộng hơn mức nhiều báo cáo ghi nhận. Ngoài ra, quân đội Nga tiếp tục điều chỉnh các cuộc tấn công hủy diệt này để phù hợp với nhu cầu chiến tranh đang thay đổi, bao gồm cả việc kết hợp các cuộc tấn công qua mạng với vũ khí thông thường.

Cho đến nay, một khía cạnh xác định của các cuộc tấn công hủy diệt này là sức mạnh và sự thành công tương đối của hệ thống phòng thủ mạng. Mặc dù không hoàn hảo và một số cuộc tấn công tàn phá đã thành công nhưng các biện pháp phòng thủ mạng này đã chứng minh được khả năng mạnh mẽ trước các cuộc tấn công qua mạng. Điều này phản ánh hai xu hướng quan trọng gần đây. Đầu tiên, những tiến bộ trong thông tin về mối đe dọa trên mạng, bao gồm cả việc sử dụng trí tuệ nhân tạo, đã giúp phát hiện các cuộc tấn công này hiệu quả hơn. Thứ hai, tính năng bảo vệ điểm cuối kết nối Internet đã giúp phân phối nhanh chóng mã phần mềm bảo vệ cho cả dịch vụ đám mây và các thiết bị điện toán được kết nối khác để xác định và vô hiệu hóa phần mềm độc hại này. Những biện pháp và cải tiến liên tục trong thời chiến với chính phủ Ukraina càng củng cố quá trình bảo vệ này. Tuy nhiên, vẫn cần phải tiếp tục cảnh giác và đổi mới để duy trì lợi thế phòng thủ này.

Microsoft đã phát hiện các nỗ lực xâm nhập mạng của Nga vào 128 tổ chức tại 42 quốc gia bên ngoài Ukraina. Mặc dù Hoa Kỳ là mục tiêu số một của Nga, nhưng hoạt động này cũng nhắm đến Ba Lan, nơi phần lớn hoạt động cung cấp hậu cần cho hỗ trợ quân sự và nhân đạo đang được điều phối. Hoạt động của Nga cũng nhắm vào các nước vùng Baltic và trong hai tháng qua đã có sự gia tăng các hoạt động tương tự nhắm vào mạng máy tính ở Đan Mạch, Na Uy, Phần Lan, Thụy Điển và Thổ Nhĩ Kỳ. Chúng tôi cũng nhận thấy sự gia tăng các hoạt động tương tự nhắm vào Bộ Ngoại giao của những nước NATO khác.

Nga ưu tiên nhắm đến các chính phủ, đặc biệt là các thành viên NATO. Tuy nhiên, danh sách các mục tiêu cũng bao gồm các tổ chức tư vấn, tổ chức nhân đạo, công ty CNTT, năng lượng và các nhà cung cấp cơ sở hạ tầng quan trọng khác. Kể từ khi bắt đầu chiến tranh, mục tiêu tấn công của Nga mà chúng tôi xác định được đã thành công 29%. Một phần tư trong số các cuộc xâm nhập thành công này đã khiến một tổ chức bị rò rỉ dữ liệu, mặc dù như đã giải thích trong báo cáo, thông tin này có thể đánh giá thấp mức độ thành công của Nga.

Chúng ta vẫn lo ngại nhất về các máy tính của chính phủ đang vận hành tại cơ sở thay vì trên đám mây. Điều này phản ánh tình trạng toàn cầu hiện tại của hoạt động gián điệp mạng tấn công và bảo vệ mạng phòng thủ. Như sự cố SolarWinds đã chứng minh vào 18 tháng trước, các cơ quan tình báo Nga có khả năng cực kỳ tinh vi để cấy mã và hoạt động như một mối đe doạ tấn công có chủ đích (APT có thể liên tục thu thập thông tin nhạy cảm từ mạng. Đã có những cải tiến đáng kể trong công tác bảo vệ phòng thủ kể từ thời điểm đó, nhưng so với Hoa Kỳ, quá trình áp dụng những cải tiến này của chính phủ châu Âu vẫn không diễn ra đồng đều. Do đó, những điểm yếu phòng thủ tập thể đáng kể vẫn còn tồn tại.

Những chiến thuật kết hợp này do FSB phát triển trong nhiều thập kỷ với các công nghệ kỹ thuật số mới và Internet để giúp các hoạt động gây ảnh hưởng tới nước ngoài có phạm vi địa lý rộng hơn, khối lượng lớn hơn, nhắm mục tiêu chính xác hơn cũng như tốc độ và sự linh hoạt cao hơn. Thật tiếc là khi được lập kế hoạch đầy đủ và tinh vi, các hoạt động ảnh hưởng trên mạng này lại có vị trí thuận lợi để tận dụng sự cởi mở lâu đời của các xã hội dân chủ và sự phân biệt công khai vốn là đặc điểm của thời đại hiện nay.

Khi cuộc chiến ở Ukraina tiến triển, các cơ quan Nga đang tập trung những hoạt động ảnh hưởng trên mạng vào bốn đối tượng riêng biệt. Họ nhắm đến người dân Nga với mục tiêu duy trì sự hỗ trợ cho nỗ lực chiến tranh. Họ nhắm đến người dân Ukraina với mục tiêu làm suy yếu niềm tin vào mức độ sẵn sàng và khả năng chống chọi của đất nước này trước các cuộc tấn công của Nga. Họ nhắm đến người dân Mỹ và châu Âu với mục tiêu phá hoại sự đoàn kết của phương Tây và làm chệch hướng những lời chỉ trích về tội ác chiến tranh của quân đội Nga. Ngoài ra, họ đang bắt đầu nhắm mục tiêu vào người dân ở các quốc gia không liên kết, có khả năng một phần là nhằm duy trì sự ủng hộ của họ tại Liên hợp quốc và các địa điểm khác.

Các hoạt động ảnh hưởng trên mạng của Nga đang được xây dựng và kết nối với những chiến thuật được phát triển cho các hoạt động mạng khác. Tương tự nhóm APT hoạt động trong các cơ quan tình báo Nga, các nhóm Người thao túng liên tục nâng cao (APM) liên kết với các cơ quan chính phủ Nga hành động thông qua mạng xã hội và nền tảng kỹ thuật số. Họ đang định vị trước các tường thuật sai lệch theo những cách tương tự như khi định vị trước phần mềm gây hại và mã phần mềm khác. Sau đó, họ sẽ cùng lúc tung ra “báo cáo” trên diện rộng về những câu chuyện này từ các trang web do chính phủ quản lý và chịu ảnh hưởng, đồng thời khuếch đại câu chuyện thông qua các công cụ công nghệ được thiết kế để khai thác dịch vụ mạng xã hội. Những ví dụ gần đây bao gồm tường thuật xoay quanh các phòng thí nghiệm sinh học ở Ukraina và nhiều nỗ lực nhằm ngăn chặn các cuộc tấn công quân sự nhằm vào mục tiêu dân sự của Ukraina.

Là một phần trong sáng kiến mới tại Microsoft, chúng tôi đang sử dụng AI, các công cụ phân tích mới, tập dữ liệu rộng hơn và đội ngũ chuyên gia không ngừng phát triển để theo dõi và dự báo mối đe dọa trên mạng này. Bằng cách tận dụng những khả năng mới này, chúng tôi ước tính rằng các hoạt động ảnh hưởng trên mạng của Nga đã thành công gia tăng mức độ lan rộng tuyên truyền của Nga sau khi chiến tranh bắt đầu lên 216% ở Ukraina và 82% ở Hoa Kỳ.

Các hoạt động Nga đang tiến hành được xây dựng dựa trên những nỗ lực tinh vi gần đây nhằm truyền bá những câu chuyện sai sự thật về COVID-19 ở nhiều quốc gia phương Tây. Các hành động này bao gồm hoạt động ảnh hưởng trên mạng do nhà nước tài trợ vào năm 2021 nhằm tìm cách ngăn cản việc áp dụng vắc xin thông qua các báo cáo trên Internet bằng tiếng Anh, đồng thời khuyến khích sử dụng vắc xin thông qua các trang web tiếng Nga. Trong sáu tháng qua, các hoạt động ảnh hưởng trên mạng tương tự của Nga đã tìm cách khơi dậy sự phản đối của công chúng đối với các chính sách liên quan đến Covid-19 ở New Zealand và Canada.

Chúng tôi sẽ tiếp tục mở rộng hoạt động của Microsoft trong lĩnh vực này trong những tuần và tháng sắp tới. Nỗ lực này bao gồm cả việc phát triển nội bộ và thông qua thỏa thuận mà chúng tôi đã công bố vào tuần trước để mua lại Miburo Solutions, một công ty nghiên cứu và phân tích mối đe dọa trên mạng hàng đầu chuyên phát hiện và ứng phó với các hoạt động ảnh hưởng trên mạng của nước ngoài.

Chúng tôi lo ngại rằng nhiều hoạt động ảnh hưởng trên mạng hiện tại của Nga đang diễn ra trong nhiều tháng mà chưa bị phát hiện, phân tích hoặc báo cáo công khai thích hợp. Điều này ngày càng tác động đến nhiều tổ chức quan trọng ở cả khu vực công và tư. Khi cuộc chiến ở Ukraina càng kéo dài thì các hoạt động này càng có trở nên quan trọng hơn đối với chính Ukraina. Nguyên nhân là do một cuộc chiến kéo dài sẽ đòi hỏi nhu cầu duy trì sự ủng hộ của công chúng trước thách thức không thể tránh khỏi là sự mệt mỏi ngày càng gia tăng. Từ đó, càng nâng tầm quan trọng của việc tăng cường khả năng phòng thủ của phương Tây nhằm chống lại các kiểu tấn công ảnh hưởng trên mạng nước ngoài này.

Như minh họa trong cuộc chiến ở Ukraina, mặc dù có những khác biệt giữa các mối đe dọa này, nhưng chính phủ Nga không nỗ lực theo đuổi riêng biệt và chúng ta không nên đặt các mối đe dọa đó vào các ngăn phân tích riêng biệt. Ngoài ra, các chiến lược phòng thủ phải xem xét sự phối hợp giữa những hoạt động mạng này với hoạt động quân sự tiếp xúc, như đã chứng kiến ở Ukraina.

Cần có những cải tiến mới để ngăn chặn các mối đe dọa trên mạng này và những cải tiến đó sẽ phụ thuộc vào bốn nguyên lý chung và – ít nhất là ở cấp độ cao – một chiến lược chung. Nguyên lý phòng thủ đầu tiên phải thừa nhận rằng các mối đe dọa trên mạng của Nga đang được tiến hành bởi một nhóm tác nhân chung trong và ngoài chính phủ Nga, dựa vào các chiến thuật kỹ thuật số tương tự. Do đó, cần có những cải tiến trong công nghệ kỹ thuật số, AI và dữ liệu để chống lại các mối đe dọa đó. Phản ánh điều này, nguyên lý thứ hai cần thừa nhận rằng khác với các mối đe dọa truyền thống trong quá khứ, những biện pháp ứng phó trên mạng phải dựa vào sự hợp tác có quy mô lớn hơn giữa công và tư. Nguyên lý thứ ba cần bao hàm nhu cầu hợp tác chung đa phương chặt chẽ giữa các chính phủ để bảo vệ các xã hội cởi mở và dân chủ. Cuối cùng, nguyên lý phòng thủ thứ tư phải đề cao quyền tự do ngôn luận và tránh kiểm duyệt trong các xã hội dân chủ, ngay cả khi cần có các bước mới để giải quyết toàn bộ các mối đe dọa trên mạng, bao gồm những hoạt động ảnh hưởng trên mạng.

Một biện pháp ứng phó hiệu quả phải được xây dựng dựa trên những nguyên lý này với bốn trụ cột chiến lược. Những nguyên lý này sẽ giúp tập thể tăng cường khả năng (1) phát hiện, (2) phòng thủ, (3) phá hủy và (4) ngăn chặn các mối đe dọa trên mạng từ bên ngoài. Phương pháp tiếp cận này đã được phản ánh trong nhiều nỗ lực chung nhằm giải quyết các cuộc tấn công qua mạng tàn phá và hoạt động gián điệp trên mạng. Phương pháp này cũng áp dụng cho công việc quan trọng và đang diễn ra cần thiết để giải quyết các cuộc tấn công bằng mã độc tống tiền. Hiện tại, chúng ta cần một cách tiếp cận tương tự và toàn diện có khả năng và biện pháp phòng thủ mới để chống lại các hoạt động ảnh hưởng trên mạng của Nga.

Như đã thảo luận trong báo cáo này, cuộc chiến ở Ukraina không chỉ mang lại những bài học mà còn là lời kêu gọi hành động để có những biện pháp hiệu quả mang ý nghĩa sống còn trong việc bảo vệ tương lai của nền dân chủ. Với tư cách là một công ty, chúng tôi cam kết hỗ trợ những nỗ lực này, bao gồm thông qua các khoản đầu tư mới và liên tục vào công nghệ, dữ liệu và quan hệ đối tác để hỗ trợ các chính phủ, công ty, tổ chức phi chính phủ và trường đại học.

Để tìm hiểu thêm, hãy đọc toàn bộ báo cáo.