Trong lúc các doanh nghiệp hàng không tập trung phát triển công nghệ, một mối đe dọa vô hình đang lẳng lặng xâm nhập vào hệ thống của họ. Nhóm hacker gián điệp mạng chưa rõ danh tính đã phát động chiến dịch tấn công có chủ đích nhằm vào các công ty hàng không và nhà điều hành máy bay không người lái (drone). Thay vì tìm kiếm dữ liệu khách hàng hay thông tin tài chính, chúng lại nhắm thẳng vào kho tàng dữ liệu có giá trị chiến lược: các tệp tin GIS (Geographic Information System - Hệ thống thông tin địa lý), mô hình địa hình và dữ liệu GPS. Chúng tôi cho rằng đây không phải là vụ tấn công ngẫu nhiên, mà là một kế hoạch dài hạn nhằm xây dựng bức tranh toàn cảnh về cách nhìn thế giới của các đối thủ.

Cuộc săn lùng thông tin địa lý thầm lặng

Chiến thuật của nhóm hacker này hoàn toàn khác biệt so với các cuộc tấn công ransomware (mã độc mã hóa dữ liệu) ồn ào thường thấy. Thay vì phá hoại hệ thống hay đòi tiền chuộc, chúng âm thầm xâm nhập và thu thập dữ liệu một cách có chọn lọc. Các tệp tin GIS chứa thông tin chi tiết về địa hình, tọa độ chính xác và các đặc điểm địa lý quan trọng. Kết hợp với mô hình địa hình 3D và dữ liệu GPS, những thông tin này có thể tạo ra bản đồ số có độ chính xác cao về các khu vực nhạy cảm.

Điều đáng lo ngại là các nạn nhân thường không phát hiện ra sự xâm nhập cho đến khi quá muộn. Khác với các vụ tấn công phá hoại, việc sao chép dữ liệu diễn ra âm thầm mà không ảnh hưởng đến hoạt động bình thường của hệ thống. Chúng tôi nhận định rằng đây là dấu hiệu của một chiến dịch gián điệp mạng có tổ chức, có thể được tài trợ bởi các thế lực quốc gia hoặc tổ chức có mục đích chính trị.

Tại sao dữ liệu bản đồ lại trở thành mục tiêu vàng?

Thông tin địa lý từ ngành hàng không có giá trị chiến lược vô cùng lớn mà ít ai nghĩ tới. Các tuyến bay thương mại thường đi qua những khu vực nhạy cảm, có thể là căn cứ quân sự, cơ sở hạ tầng quan trọng hay các vùng cấm bay. Dữ liệu từ máy bay không người lái còn chi tiết hơn, bao gồm hình ảnh độ phân giải cao và thông tin địa hình chính xác. Khi được tổng hợp lại, những thông tin này có thể tiết lộ bí mật quốc phòng, vị trí các mục tiêu chiến lược hay thậm chí là kế hoạch phát triển đô thị.

Xu hướng tấn công vào ngành hàng không không phải là mới, nhưng việc nhắm vào dữ liệu địa lý thay vì thông tin hành khách cho thấy sự tinh vi trong chiến thuật. Năm 2022, nhiều hãng hàng không lớn đã bị tấn công bởi các nhóm hacker như Lapsus$ và BlackCat, nhưng chủ yếu để đánh cắp dữ liệu khách hàng. Chiến dịch lần này có vẻ tập trung vào mục đích gián điệp và thu thập tình báo địa lý.

Mức độ nghiêm trọng và phạm vi ảnh hưởng

Theo đánh giá của chúng tôi, tác động của chiến dịch này có thể lan rộng hơn nhiều so với những gì đã được công bố. Ngành hàng không toàn cầu có hơn 26.000 máy bay thương mại đang hoạt động, cùng với hàng triệu máy bay không người lái dân dụng và thương mại. Mỗi thiết bị đều tạo ra lượng dữ liệu địa lý khổng lồ hàng ngày. Nếu kẻ tấn công có thể truy cập vào một phần nhỏ dữ liệu này, chúng có thể xây dựng được cơ sở dữ liệu địa lý toàn cầu với độ chính xác cực cao.

Đối với Việt Nam, rủi ro này càng đáng quan tâm khi ngành hàng không đang phát triển mạnh mẽ. Các hãng như Vietnam Airlines, VietJet và Bamboo Airways đều sử dụng hệ thống navigation (dẫn đường) hiện đại với dữ liệu GIS. Bên cạnh đó, việc sử dụng drone trong nông nghiệp, logistics và an ninh cũng đang gia tăng rapidly, tạo ra nhiều mục tiêu tiềm năng cho các nhóm tấn công.

Khuyến nghị bảo vệ khẩn cấp cho doanh nghiệp Việt Nam

Các công ty hàng không và nhà vận hành drone tại Việt Nam cần thực hiện ngay các biện pháp bảo vệ. Đầu tiên, hãy triển khai network segmentation (phân đoạn mạng) để tách biệt hệ thống chứa dữ liệu GIS khỏi mạng chính. Thứ hai, áp dụng zero-trust security model (mô hình bảo mật không tin tưởng) - xác thực mọi truy cập dù từ bên trong hay bên ngoài. Thứ ba, mã hóa toàn bộ dữ liệu địa lý cả khi lưu trữ và truyền tải.

Chúng tôi khuyến nghị các doanh nghiệp nên thực hiện kiểm tra bảo mật định kỳ với trọng tâm vào hệ thống GIS và cơ sở dữ liệu không gian. Đồng thời, cần đào tạo nhân viên về các kỹ thuật social engineering (tấn công xã hội học) mà hacker thường sử dụng để xâm nhập vào hệ thống. Việc thiết lập hệ thống giám sát và cảnh báo sớm cũng vô cùng quan trọng để phát hiện các hoạt động bất thường trong việc truy xuất dữ liệu địa lý.