Khi các hệ thống điện của một quốc gia bỗng nhiên trở thành mục tiêu của những dòng mã độc được thiết kế để "tẩy rửa" mọi dữ liệu, chúng ta đang chứng kiến một bước leo thang nguy hiểm trong thế giới tấn công mạng. Các chuyên gia an ninh mạng vừa phát hiện một cuộc tấn công sử dụng wiper malware chưa từng được biết đến, nhắm vào ngành năng lượng và điện lực của Venezuela. Khác với ransomware tìm cách kiếm tiền chuộc, loại malware này được thiết kế với mục đích duy nhất: phá hủy hoàn toàn các hệ thống máy tính. Đây là tín hiệu báo động về một xu hướng tấn công mới - không vì tiền bạc, mà vì sự tàn phá.

Khi hạ tầng điện trở thành chiến trường số

Venezuela không phải lần đầu tiên trở thành mục tiêu của các cuộc tấn công mạng quy mô lớn. Tháng 3/2019, quốc gia Nam Mỹ này đã trải qua thảm họa mất điện kéo dài nhiều ngày, ảnh hưởng đến hơn 70% lãnh thổ. Dù chính phủ Venezuela khi đó cáo buộc đây là hành động sabotage từ bên ngoài, các chuyên gia quốc tế cho rằng nguyên nhân chính là do hệ thống lưới điện lạc hậu và thiếu bảo trì. Tuy nhiên, cuộc tấn công wiper lần này cho thấy mối đe dọa từ không gian mạng đối với hạ tầng điện không chỉ là lý thuyết.

Chúng tôi cho rằng việc nhắm mục tiêu vào ngành điện không phải ngẫu nhiên. Điện là huyết mạch của mọi hoạt động kinh tế và xã hội hiện đại. Một cuộc tấn công thành công có thể làm tê liệt bệnh viện, ngân hàng, hệ thống giao thông và viễn thông. Điều đáng lo ngại là wiper malware không để lại "cửa sau" để khôi phục dữ liệu như ransomware, mà tập trung vào việc gây thiệt hại tối đa và lâu dài nhất.

Giải mã bộ mặt thực của "kẻ tẩy rửa số"

Wiper malware, hay còn gọi là "malware tẩy rửa", là loại phần mềm độc hại được thiết kế để xóa sạch hoặc ghi đè lên dữ liệu quan trọng trong hệ thống máy tính. Khác với virus thông thường chỉ lây lan hoặc ransomware mã hóa dữ liệu để đòi tiền chuộc, wiper có một mục tiêu tàn khốc hơn: phá hủy hoàn toàn. Loại malware này thường ghi đè nhiều lần lên các sector của ổ cứng, khiến việc khôi phục dữ liệu trở nên gần như bất khả thi ngay cả với các công nghệ forensics tiên tiến nhất.

Theo phân tích của chúng tôi, việc sử dụng wiper trong cuộc tấn công Venezuela cho thấy đây không phải hành động của nhóm tội phạm mạng thông thường. Các băng nhóm ransomware thường tìm cách kiếm lợi nhuận, do đó họ cần đảm bảo dữ liệu có thể được khôi phục sau khi nhận tiền chuộc. Wiper malware không mang lại lợi nhuận trực tiếp, điều này gợi ý về động cơ chính trị hoặc địa chính trị đằng sau cuộc tấn công. Các chuyên gia nghi ngờ đây có thể là hành động của nhóm APT (Advanced Persistent Threat) được tài trợ bởi nhà nước.

Cơn địa chấn lan tỏa từ Nam Mỹ

Tác động của cuộc tấn công này vượt xa ranh giới Venezuela. Ngành năng lượng toàn cầu đang chứng kiến sự gia tăng đáng báo động của các cuộc tấn công mạng. Theo thống kê của Cơ quan An ninh Năng lượng Quốc tế (IEA), số vụ tấn công mạng nhắm vào hạ tầng năng lượng đã tăng 380% trong năm 2023. Riêng tại Mỹ, Bộ Năng lượng đã ghi nhận hơn 150 vụ tấn công mạng vào các cơ sở điện trong 6 tháng đầu năm 2024.

Đối với Việt Nam, mối đe dọa này không hề xa vời. Tập đoàn Điện lực Việt Nam (EVN) quản lý hệ thống lưới điện phục vụ gần 100 triệu dân với tổng công suất lắp đặt hơn 80.000 MW. Một cuộc tấn công wiper thành công có thể gây thiệt hại kinh tế lên đến hàng tỷ USD chỉ trong vài giờ đầu. Chúng tôi đánh giá các doanh nghiệp điện Việt Nam cần xem cuộc tấn công Venezuela như một lời cảnh báo khẩn cấp để rà soát lại toàn bộ hệ thống bảo mật.

Lá chắn bảo vệ cho hạ tầng số

Các doanh nghiệp trong lĩnh vực năng lượng và hạ tầng quan trọng tại Việt Nam cần triển khai ngay các biện pháp phòng thủ chuyên sâu. Đầu tiên, thực hiện network segmentation (phân đoạn mạng) để tách biệt hệ thống điều khiển công nghiệp SCADA khỏi mạng doanh nghiệp thông thường. Tiếp theo, triển khai giải pháp backup 3-2-1: 3 bản sao dữ liệu, lưu trên 2 loại phương tiện khác nhau, trong đó 1 bản offline hoặc immutable (không thể thay đổi).

Đối với các doanh nghiệp nhỏ và vừa, chúng tôi khuyên nên đầu tư vào EDR (Endpoint Detection and Response) solutions có khả năng phát hiện hành vi bất thường của wiper malware. Đồng thời, xây dựng quy trình incident response cụ thể cho từng kịch bản tấn công, bao gồm cả wiper attacks. Đặc biệt quan trọng là training nhân viên về social engineering - phương thức phổ biến để wiper malware xâm nhập vào hệ thống qua email lừa đảo hoặc USB nhiễm độc. Thời gian vàng để ngăn chặn wiper chỉ tính bằng phút, không phải giờ.