Khi một quốc gia chuẩn bị đối mặt với can thiệp quốc tế, hạ tầng năng lượng của họ đã bị một loại mã độc cực kỳ nguy hiểm nhắm mục tiêu. Lotus Wiper - tên gọi mà các chuyên gia an ninh mạng đặt cho malware này - đã âm thầm xâm nhập vào ngành năng lượng Venezuela với sứ mệnh không chỉ phá hủy dữ liệu mà còn đảm bảo rằng việc khôi phục sẽ trở nên bất khả thi. Đây không phải là một cuộc tấn công mạng thông thường, mà là một chiến thuật được tính toán kỹ lưỡng về mặt thời gian và mục tiêu.

Khi 'kẻ hủy diệt dữ liệu' chọn đúng thời điểm tấn công

Lotus Wiper xuất hiện tại Venezuela không phải là một sự trùng hợp ngẫu nhiên. Thời điểm malware này hoạt động trùng khớp với giai đoạn trước khi Mỹ có những động thái can thiệp vào tình hình chính trị nước này. Wiper malware (mã độc tẩy trắng) là loại phần mềm độc hại được thiết kế với mục đích duy nhất: xóa sổ hoàn toàn dữ liệu trên các thiết bị mục tiêu. Khác với ransomware (mã độc mã hóa tống tiền) nhằm kiếm lợi nhuận, wiper malware chỉ có một nhiệm vụ - phá hủy.

Chúng tôi cho rằng việc lựa chọn ngành năng lượng làm mục tiêu không hề ngẫu nhiên. Đây là huyết mạch của mọi quốc gia hiện đại, và Venezuela với nền kinh tế phụ thuộc chủ yếu vào dầu mỏ càng trở nên dễ bị tổn thương hơn. Khi hệ thống năng lượng bị tê liệt, toàn bộ hoạt động kinh tế - xã hội sẽ bị ảnh hưởng nghiêm trọng, tạo ra tình trạng hỗn loạn thuận lợi cho các can thiệp từ bên ngoài.

Giải phẫu 'con quái vật' Lotus Wiper

Lotus Wiper hoạt động theo một kịch bản tàn khốc được thiết kế từng bước một cách có hệ thống. Đầu tiên, malware này sẽ nhắm vào các recovery mechanism (cơ chế khôi phục dữ liệu) của hệ thống - những công cụ thường được sử dụng để khôi phục hệ thống sau sự cố. Bằng cách vô hiệu hóa các điểm khôi phục này, Lotus Wiper đảm bảo rằng nạn nhân sẽ không thể dễ dàng phục hồi dữ liệu đã mất.

Tiếp theo, mã độc này tiến hành overwrite drives (ghi đè ổ cứng) - một quá trình mà dữ liệu gốc bị thay thế bằng dữ liệu rác hoặc các ký tự ngẫu nhiên. Điều này khiến việc khôi phục dữ liệu trở nên cực kỳ khó khăn, thậm chí bất khả thi ngay cả với các công cụ chuyên dụng. Cuối cùng, Lotus Wiper thực hiện systematic deletion (xóa có hệ thống) các tệp tin quan trọng, đảm bảo rằng không còn dấu vết nào của dữ liệu ban đầu.

Tác động tàn khốc và bài học cho Việt Nam

Các cuộc tấn công wiper malware không chỉ gây thiệt hại kinh tế mà còn có thể làm tê liệt hoàn toàn hoạt động của một quốc gia. Trong trường hợp của Ukraine năm 2017, mã độc NotPetya đã gây thiệt hại lên tới 10 tỷ USD trên toàn cầu. Với Lotus Wiper tại Venezuela, chúng tôi có thể dự đoán mức độ thiệt hại tương tự, đặc biệt khi mục tiêu là ngành năng lượng - xương sống của nền kinh tế.

Tại Việt Nam, với việc đẩy mạnh chuyển đổi số và phụ thuộc ngày càng nhiều vào công nghệ thông tin, nguy cơ từ các cuộc tấn công wiper malware cần được đánh giá nghiêm trọng. Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), năm 2023 Việt Nam đã ghi nhận hơn 13.000 cuộc tấn công mạng, trong đó có nhiều vụ nhắm vào hạ tầng quan trọng.

Chiến lược phòng thủ trước 'kẻ hủy diệt'

Để đối phó với các mối đe dọa như Lotus Wiper, các doanh nghiệp và tổ chức Việt Nam cần thực hiện ngay các biện pháp sau: Thứ nhất, triển khai backup strategy (chiến lược sao lưu) 3-2-1 - tức là giữ 3 bản sao dữ liệu, trên 2 loại phương tiện khác nhau, và 1 bản offline hoặc tại vị trí xa. Thứ hai, sử dụng endpoint detection and response (EDR - giải pháp phát hiện và phản ứng điểm cuối) để giám sát liên tục các hoạt động bất thường trên hệ thống.

Thứ ba, thực hiện network segmentation (phân đoạn mạng) để hạn chế khả năng lan truyền của malware giữa các hệ thống quan trọng. Thứ tư, định kỳ kiểm tra và cập nhật incident response plan (kế hoạch ứng phó sự cố) với các kịch bản cụ thể cho từng loại tấn công. Cuối cùng, đầu tư vào đào tạo nhận thức an ninh mạng cho toàn bộ nhân viên, vì con người vẫn là khâu yếu nhất trong chuỗi bảo mật.