Cận cảnh một vụ mã độc tấn công doanh nghiệp

Đó là một buổi chiều nắng ấm đẹp trời ở Copenhagen khi tập đoàn vận tải biển lớn nhất thế giới, Maersk rơi vào một cuộc khủng hoảng bất ngờ. Trụ sở của Maersk nằm trong cảng Copenhagen đang im lặng bỗng xôn xao hẳn lên khi nhân viên hoang mang nhìn nhau rồi ai nấy ôm theo chiếc máy tính xách tay của mình tụ lại thành từng nhóm.. Trên màn hình máy tính, thay vì các biểu tượng quen thuộc giờ là các dòng cảnh báo màu đỏ và đen, “đang sửa chữa hệ thống tập tin trên đĩa C:”; “không được tắt máy tính”. Một số máy xuất hiện dòng thông báo như trò đùa: “oops, các tập tin quan trọng của quý vị đã bị khóa”.

Minh họa của Wired.

Liền sau đó, nhân viên Maersk chạy khắp trụ sở, hét lên bảo đồng nghiệp tắt ngay máy tính hay tháo ngay dây nối mạng trước khi phần mềm chứa mã độc lây lan vào máy.Tạp chí Wired đã mở đầu một bài phóng sự dài về cuộc tấn công trên không gian mạng lớn nhất trong lịch sử bằng mã độc NotPetya như thế. Qua một nhân vật kỹ thuật của Maersk mà Wired đặt tên là Henrik Jensen, quy mô của cuộc khủng hoảng vào ngày 27-6-2017 bắt đầu rõ dần. Jensen đang bận rộn chuẩn bị nâng cấp phần mềm cho gần 80.000 nhân viên của Maersk khi máy tính của anh tự khởi động trở lại. Anh ngẩng đầu nhìn lên và thấy lần lượt mọi máy tính trong phòng chớp nháy và tắt lịm. Mọi máy tính tê liệt, màn hình đen ngòm. Khởi động lại máy cũng không ăn thua.

Đến cuối buổi, một người trong ban điều hành bước vào phòng và bảo Jensen cùng hơn chục người đang ngồi hóng tin tức cứ về nhà đi: mạng máy tính Maersk bị hỏng nặng nên nhân viên IT cũng bó tay, cuối cùng cũng phải ra về. Vào thời điểm này Maersk đang chịu trách nhiệm điều hành 76 bến cảng biển khắp thế giới cùng 800 con tàu vượt đại dương, trong đó có nhiều tàu container khổng lồ chở hàng chục triệu tấn hàng, gần bằng một phần năm năng lực vận tải biển của thế giới.

***

Cùng lúc đó tại Ukraine, cuộc chiến với tin tặc có nguồn gốc từ Nga cũng đến hồi khốc liệt. Các nhóm tin tặc tấn công liên tục vào mạng máy tính của cơ quan nhà nước và doanh nghiệp Ukraine. Tháng 6-2017 tin tặc tung ra một mẩu malware tên là NotPetya, một loại vũ khí hủy diệt hàng loạt trên không gian mạng. Mục đích của mã độc này là hủy diệt: nó mã hóa bản ghi quản lý khởi động (master boot record) làm máy không thể nào chạy hệ điều hành để khởi động. Tìm cách trả tiền chuộc để mở máy vô ích; máy nào nhiễm NotPetya chỉ có nước định dạng (format) lại ổ cứng.

Mặc dù nhóm tin tặc nhắm đến Ukraine, mã độc NotPetya lan rộng ra khắp thế giới, từ hệ thống bệnh viện ở Pennsylvania, Mỹ đến một nhà máy chocolate ở Tasmania. Nó làm tê liệt nhiều công ty đa quốc gia như trường hợp của Maersk, tập đoàn dược phẩm Merck, TNT Express của FedEx, tập đoàn xây dựng Saint-Gobain của Pháp, nhà sản xuất thực phẩm Mondelēz hay nhà sản xuất Reckitt Benckiser. Thậm chí nó lan ngược về Nga, lây lan cho mạng máy tính của tập đoàn dầu khí quốc gia Rosneft. Thiệt hại lên đến 10 tỉ đô la.

Quay trở lại Maersk. Bến cảng tại New Jersey luôn tấp nập, mỗi ngày có chừng 3.000 xe tải vào bến giao nhận hàng. Quy trình cũng gần giống khách đi máy bay, trước hết xe làm thủ tục tại cổng bến tàu, máy quét đọc mã vạch của container; nhân viên Maersk sẽ in và giao cho tài xế thẻ vào bến, nơi đỗ xe để chờ máy cẩu đến bốc container từ xe vào bãi rồi từ bãi cẩu lên tàu container.

Vào sáng ngày 27-6-2017, hàng trăm xe tải kẹt cứng bên ngoài bến cảng. Mọi người nhốn nháo. Giao hàng cũng không được mà nhận hàng cũng không xong. Hàng loạt cần cẩu khổng lồ đứng im bặt. Trang web giao dịch chính của Maersk cũng tê liệt. Tình trạng này cũng xảy ra ở các bến cảng khác từ Los Angeles đến Algeciras ở Tây Ban Nha, từ Rotterdam Hà Lan đến Mumbai... Một khách hàng nhớ lại: “Đây là sự cố tôi chưa bao giờ chứng kiến trong ngành vận tải toàn cầu”.

***

Mấy ngày sau sự cố, nhân vật Henrik Jensen của bài phóng sự được triệu tập đến văn phòng của Maersk tại Maidenhead, Anh Quốc. Toàn bộ tầng bốn và tầng năm của tòa nhà tám tầng được biến thành trung tâm ứng cứu khẩn cấp, hoạt động 24/7 với mục tiêu duy nhất: phục hồi mạng máy tính toàn cầu của Maersk. Các nhân viên IT hàng đầu của Maersk trên khắp thế giới được tập trung về đây như Jensen. Nhưng quyền điều hành trung tâm ứng cứu này giờ đã vào tay công ty tư vấn Deloitte do Maersk thuê và giao toàn quyền. Lúc nào cũng có 200 nhân viên Deloitte và 400 nhân viên Maersk hoạt động ngày đêm ở trung tâm. Toàn bộ máy tính Maersk trước khi xảy ra vụ lây nhiễm NotPetya bị niêm phong vì sợ chúng có thể lây lan qua hệ thống mới. Nhân viên Deloitte đi khắp thành phố mua máy tính xách tay và các bộ phát Wi-Fi mới.

Ngay những ngày đầu ứng cứu, các nhân viên IT đã nhận ra một điều khủng khiếp: họ đã tìm ra bản sao lưu của hầu hết tất cả máy chủ riêng lẻ của Maersk, sao lưu từ 3-7 ngày trước sự cố. Tuy nhiên không ai có thể tìm ra bản sao lưu cho một lớp then chốt trong hệ thống mạng công ty: bộ kiểm soát tên miền, tức máy chủ có chức năng lập nên bộ bản đồ chi tiết hệ thống mạng, địa chỉ các máy chủ cũng như bảng phân quyền xác định người dùng nào được quyền truy cập mạng nào, ở mức độ nào.

Hệ thống của Maersk có chừng 150 máy chủ làm chức năng này và chúng được lập trình để đồng bộ hóa dữ liệu với nhau để, trên lý thuyết, bất kỳ máy nào cũng có thể là bản sao lưu của tất cả các máy kia. Tuy nhiên chiến lược sao lưu chặt chẽ đến thế cũng không nghĩ ra được một kịch bản: tất cả máy chủ bị xóa sạch gần như cùng lúc. Một nhân viên IT nhớ lại: “Nếu không phục hồi được bộ kiểm soát này, xem như không thể phục hồi được gì cả”.

Sau một hồi lục tung khắp các văn phòng trên toàn cầu, giới quản lý mới phát hiện một máy chủ duy nhất còn sót lại, không bị xóa dữ liệu, nằm ở một văn phòng nhỏ tại Ghana! Ngay trước khi mã độc NotPetya tung hoành, một vụ mất điện đột ngột ở Ghana đã làm máy chủ ở đây không kết nối mạng được. Nhưng nhờ thế, nó còn chứa bản sao duy nhất dữ liệu kiểm soát của Maersk chưa bị mã độc nuốt chửng. Mọi người thở phào nhẹ nhõm.

Tuy nhiên, khi trung tâm ở Anh kết nối với văn phòng Ghana, họ phát hiện băng thông của nơi này nhỏ đến nỗi để tải bản sao lưu nặng đến vài trăm gigabyte về London cần phải mất nhiều ngày trời. Giải pháp tiếp theo là cho nhân viên Ghana đi máy bay về Anh lại không khả thi vì không có nhân viên Ghana nào có visa vào Anh cả. Cuối cùng họ phải cho nhân viên Ghana bay đi Nigeria gặp và trao ổ đĩa cho một nhân viên khác sau đó nhân viên này mới bay về Heathrow đem theo chìa khóa then chốt cho chiến dịch giải cứu mạng máy tính của Maersk.

Phải mất cả tuần sau đó hệ thống đặt hàng trên Maerskline.com mới bắt đầu hoạt động trở lại và sau đó đến lượt các bến tàu trở về hoạt động bình thường. Trong tuần lễ đó, nhân viên Maersk hoạt động bằng hệ thống e-mail của Gmail, liên lạc với khách hàng bằng WhatsApp và ghi nhận thông tin bằng Excel...

Trở lại Copenhagen, Henrik Jensen tìm lại chiếc máy tính xách tay của anh nhưng ổ cứng đã bị xóa sạch, một bản Windows khác được cài đặt; mọi thứ từ ghi chép đến địa chỉ liên lạc cũng như ảnh gia đình anh xem như biến mất vĩnh viễn.

Năm tháng sau sự cố, Chủ tịch tập đoàn Maersk, Jim Hagemann Snabe phát biểu tại Diễn đàn Kinh tế Thế giới (WEF) ở Davos, Thụy Sĩ. Ông hết lời ngợi khen đội ngũ IT đã có những nỗ lực ngày đêm phục hồi hoạt động cho tập đoàn. Ông cho biết từ lúc ông bị đánh thức vào 4 giờ sáng ở California vào ngày 27-6, chỉ 10 ngày sau toàn bộ hệ thống máy tính của Maersk gồm 4.000 máy chủ và 45.000 máy tính được xây dựng lại. Cũng nhờ đó mà mọi đề xuất của bộ phận IT đều được phê duyệt nhanh chóng, kể cả việc nâng cấp lên Windows 10 bị trì hoãn đã lâu. Trước đó một số máy chủ trong hệ thống vẫn còn chạy hệ điều hành Windows 2000 đã bị Microsoft ngưng hỗ trợ từ lâu.

Jim Hagemann Snabe ước tính mã độc NotPetya làm Maersk thiệt hại chừng 250-300 triệu đô la Mỹ nhưng Wired cho biết các nguồn tin khác nói con số này thấp hơn thực tế. Chủ một công ty logistics ước đoán chỉ riêng chi phí đền bù cho các hãng vận tải đường bộ và các xe tải đã lên đến hàng chục triệu đô la. Một khách hàng của Maersk kể hãng đã quyết định trong vòng hai phút, đền bù cả triệu đô la cho ông ta vì chi phí phát sinh khi vào phút chót phải chở hàng bằng đường hàng không thuê bao.

Maersk không phải là nạn nhân duy nhất. Merck cho biết mã độc NotPetya làm họ mất 870 triệu đô la vì dây chuyền sản xuất thuốc bị gián đoạn. FedEx có chi nhánh TNT Express ở châu Âu bị dính mã độc phải mất mấy tháng sau mới phục hồi được dữ liệu - thiệt hại chừng 400 triệu đô la.

Chủ tịch Maersk nói tại Davos: “Đây là hồi chuông cảnh tỉnh cho chúng tôi” [về tình trạng mã độc do tin tặc tung ra, về xây dựng hệ thống phòng chống và sao lưu dữ liệu]. Đúng là một hồi chuông cảnh tỉnh đắt tiền!