Nếu Stuxnet từng được coi là "vũ khí mạng" đầu tiên trong lịch sử, thì giờ đây các nhà nghiên cứu đã tìm thấy 'tổ tiên' của nó. Mã độc được đặt tên 'fast16' xuất hiện từ năm 2005, sớm hơn Stuxnet tới 5 năm và mang trong mình những đặc điểm kỹ thuật đáng báo động. Khác với Stuxnet chỉ tập trung phá hoại máy ly tâm làm giàu uranium của Iran, fast16 lại nhắm vào một mục tiêu rộng lớn hơn: các phần mềm tính toán kỹ thuật chính xác cao. Báo cáo mới nhất từ SentinelOne cho thấy đây có thể là cuộc tấn công mạng có chủ đích đầu tiên nhắm vào hạ tầng quan trọng trên quy mô toàn cầu.

Khi 'bóng ma' từ quá khứ bất ngờ lộ diện

Fast16 được phát triển dựa trên ngôn ngữ lập trình Lua, một công nghệ khá hiếm gặp trong thế giới mã độc thời điểm đó. Chúng tôi cho rằng lựa chọn Lua không phải ngẫu nhiên - ngôn ngữ này nhẹ, linh hoạt và đặc biệt khó phát hiện bởi các hệ thống bảo mật thế hệ cũ. Mã độc này hoạt động như một framework (khung phần mềm) hoàn chỉnh, có khả năng tùy biến cao để thực hiện các nhiệm vụ phá hoại khác nhau tùy theo mục tiêu. Điều đáng lo ngại nhất là fast16 được thiết kế để can thiệp trực tiếp vào các phép tính toán học phức tạp, có thể khiến kết quả tính toán sai lệch mà người dùng không hề hay biết.

Theo phân tích của các chuyên gia SentinelOne, fast16 thể hiện trình độ kỹ thuật rất cao và có dấu hiệu của một tổ chức tài trợ mạnh mẽ. Mã độc này không chỉ đơn thuần là công cụ gây thiệt hại mà còn mang tính chất thu thập thông tin tình báo. Khả năng ẩn mình trong các phần mềm kỹ thuật chuyên dụng giúp nó tránh được sự chú ý của cả người dùng và các giải pháp bảo mật truyền thống. Chúng tôi đánh giá đây là một bước tiến quan trọng trong lịch sử phát triển của các cuộc tấn công mạng có chủ đích (APT - Advanced Persistent Threat).

Bí mật đằng sau công nghệ Lua và chiến thuật tàng hình

Lua là ngôn ngữ lập trình kịch bản (scripting language) được thiết kế để nhúng vào các ứng dụng khác, điều này giải thích tại sao fast16 có thể hoạt động ẩn mình bên trong các phần mềm tính toán. Khác với các mã độc thông thường sử dụng C++ hay Assembly, việc sử dụng Lua giúp fast16 dễ dàng thay đổi hành vi mà không cần biên dịch lại toàn bộ chương trình. Điều này có nghĩa là kẻ tấn công có thể cập nhật và điều chỉnh mã độc từ xa một cách linh hoạt. Các chuyên gia cho rằng đây là một trong những lý do fast16 có thể tồn tại và hoạt động trong thời gian dài mà không bị phát hiện.

Mục tiêu chính của fast16 là các phần mềm CAD (Computer-Aided Design), phần mềm mô phỏng kỹ thuật và các ứng dụng tính toán khoa học. Bằng cách can thiệp vào quá trình tính toán, mã độc có thể khiến các thiết kế kỹ thuật bị sai lệch, dẫn đến hậu quả nghiêm trọng khi sản phẩm được đưa vào sản xuất thực tế. Chúng tôi nhận định đây là một hình thức tấn công vô cùng tinh vi, bởi thiệt hại chỉ được phát hiện khi đã quá muộn - có thể là khi một cây cầu sụp đổ hoặc một máy bay gặp sự cố.

Tác động sâu rộng và những hệ lụy khó lường

Việc phát hiện fast16 đã mở ra một chương đen tối trong lịch sử an ninh mạng mà trước đây chúng ta chưa từng biết tới. Nếu mã độc này thực sự hoạt động từ năm 2005 như các bằng chứng cho thấy, thì có thể hàng nghìn dự án kỹ thuật trên toàn thế giới đã bị ảnh hưởng mà không ai hay biết. Các ngành công nghiệp như hàng không vũ trụ, xây dựng, ô tô và điện tử - những lĩnh vực phụ thuộc nhiều vào phần mềm tính toán chính xác - đều có thể trở thành nạn nhân của cuộc tấn công thầm lặng này.

Tại Việt Nam, theo thống kê của Cục An toàn thông tin (Bộ TT&TT), số lượng doanh nghiệp sử dụng phần mềm thiết kế kỹ thuật đã tăng 300% trong thập kỷ qua. Điều này đồng nghĩa với việc rủi ro tiềm ẩn từ fast16 hoặc các biến thể tương tự cũng gia tăng theo. Các chuyên gia an ninh mạng trong nước khuyến cáo các doanh nghiệp cần rà soát lại toàn bộ hệ thống phần mềm kỹ thuật đang sử dụng, đặc biệt là những phần mềm được cài đặt từ năm 2005 trở về sau.

Lộ trình bảo vệ khẩn cấp cho doanh nghiệp Việt

Trước thềm này, các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, tiến hành quét mã độc toàn diện cho tất cả phần mềm tính toán kỹ thuật bằng các công cụ antivirus mới nhất đã được cập nhật định nghĩa fast16. Thứ hai, kiểm tra lịch sử các file Lua (.lua) trong hệ thống, đặc biệt chú ý những file có kích thước bất thường hoặc được tạo/chỉnh sửa trong khoảng thời gian không có hoạt động bảo trì. Thứ ba, thiết lập giám sát mạng (network monitoring) để phát hiện các kết nối đáng ngờ từ phần mềm kỹ thuật ra internet. Cuối cùng, sao lưu và so sánh kết quả tính toán từ các dự án quan trọng với những phiên bản được tính toán trên hệ thống độc lập, chưa kết nối mạng.

Chúng tôi khuyến nghị các doanh nghiệp nên xem xét đầu tư vào giải pháp EDR (Endpoint Detection and Response) chuyên dụng cho môi trường kỹ thuật. Những giải pháp này có khả năng phát hiện các hành vi bất thường trong quá trình tính toán, ngay cả khi mã độc đã qua mặt antivirus truyền thống. Bên cạnh đó, việc thiết lập chính sách bảo mật nghiêm ngặt cho việc cài đặt và cập nhật phần mềm kỹ thuật cũng vô cùng quan trọng để ngăn chặn các cuộc tấn công tương tự trong tương lai.