Chiến tranh mạng nhằm vào Iran mới chỉ bắt đầu

Stuxnet và các vụ phá hoại ngầm

Tháng 11/2011, một vụ nổ lớn đã xảy ra tại nhà máy chế tạo tên lửa của Iran mà không rõ nguyên nhân. Vụ nổ đã làm dấy lên nghi ngờ về khả năng nhà máy này đã bị phá hoại ngầm.

Trước đó, tại Iran cũng đã xảy ra nhiều vụ việc tương tự kéo dài từ năm 2008, trong đó nổi tiếng nhất là vụ xâm nhập phá hoại các máy ly tâm tại Nhà máy điện nguyên tử Busher hoặc cơ sở làm giàu urani Natanz với khả năng gây trì hoãn các hoạt động phát triển hạt nhân của Iran trong nhiều tháng liền.

Thủ phạm gây ra các vụ tấn công này là virus Stuxnet, bị các chuyên gia an ninh mạng của Iran phát hiện năm 2010.

Sau vụ việc này, Iran đã phải loại bỏ ít nhất 1.000 máy ly tâm khiến chương trình hạt nhân của nước này bị gián đoạn ít nhất một năm.

Stuxnet là loại virus máy tính cực kỳ tinh vi, được lập trình để tấn công các “ổ đĩa chuyển đổi tần số” bằng cách kích hoạt các mã độc hại có khả năng làm rối loạn tần số hoạt động của các máy ly tâm làm giàu urani. Ngoài ra, Stuxnet cũng cướp quyền điều khiển và gửi các tín hiệu giả về trung tâm điều khiển để làm xáo trộn toàn bộ hoạt động của trung tâm làm giàu urani.

Theo đánh giá của giới chuyên gia mạng, sự ra đời của Stuxnet đánh dấu bước phát triển mới trong lĩnh vực đột nhập hệ thống phần mềm kiểm soát của các nhà máy điện hoặc các hệ thống công nghiệp lớn.

“Stuxnet có khả năng đột nhập và từng bước phá hủy hệ thống. Đó là điều khiến loại virus này trở nên đặc biệt”, cố vấn Sean Mcgurk thuộc Ban An ninh Nội địa Mỹ cho biết.

Cũng theo nhà phụ trách vấn đề an ninh mạng này, Stuxnet còn có một điểm đặc biệt khác là có khả năng xác định được mục tiêu cụ thể và gạt bỏ các chương trình không liên quan.

“Hầu hết các loại virus máy tính đều có chung một điểm là tấn công toàn bộ hệ thống mà chúng xâm nhập. Nhưng Stuxnet thì khác. Virus này chỉ nhắm tới những địa chỉ cụ thể”, Mcgurk cho biết thêm.

Sát thủ giấu mặt Flame

Stuxnet vẫn chưa phải loại virus “cao thủ” nhất.

Sau Stuxnet, các chuyên gia an ninh mạng và các hãng phần mềm diệt virus nổi tiếng trên thế giới như Kaspersky (Nga), SrySys (Hungary) và Symantec (Ireland) còn phát hiện ra thêm 2 loại virus mới “khủng” hơn Stuxnet. Đó là Duqu và Flame.

Việc phát hiện ra Duqu không quá khó khăn và cũng không có gì đặc biệt. Với Flame thì khác. Sát thủ giấu mặt này chỉ được tình cờ phát hiện sau khi Liên minh Viễn thông Quốc tế (ITU) và chính quyền Iran đặt hàng Kaspersky tìm hiểu một loại virus lạ đã xóa sạch dữ liệu trên máy tính ở nhiều nước Trung Đông. Virus này có cơ chế hoạt động gần giống với loại mã độc Wiper nhưng nguy hiểm hơn nhiều.

Bởi một khi đã xâm nhập vào một máy tính nào đó, Flame không chỉ bí mật gửi các dữ liệu của máy tính tới máy chủ ở xa, mà còn có thể tự chụp ảnh màn hình  với tần suất 60 giây mỗi lần (15 giây/lần nếu người sử dụng đang mở hộp thư điện tử), tự bật microphone để ghi lại mọi âm thanh phát ra từ bán phím hoặc thao tác khác của người dùng, sử dụng các công cụ như wifi hay bluetooth để thu thập thông tin của các thiết bị gần đó như điện thoại di động hay tự lây nhiễm sang các máy tính khác cùng được kết nối trong hệ thống…

Không chỉ thế, Flame còn được lập trình có tổng cộng 20 modul mã khác nhau. Khi phần mã cơ bản lây nhiễm được vào một máy tính, nó sẽ lặng lẽ tải các modul còn lại  từ máy chủ vào máy bị lây nhiễm cho tới khi có đủ khả năng bắt đầu sứ mạng bí mật của mình. Bên cạnh đó, Flame còn có tính năng tự xóa các dấu vết của mình trên máy tính, điều khiến cho các chuyên gia phải thực sự kinh ngạc.

“Đây có lẽ là loại vũ khí điều khiển học tinh xảo nhất tính tới hiện giờ”, đại diện Alaxader Gostev của Kaspersky tuyên bố khi ông nhấn mạnh rằng từ trước tới nay, chưa hề có loại virus nào có thể đánh cắp dữ liệu bằng một loạt phương pháp đa dạng đến vậy.

Theo điều tra của Kaspersky, hiện có khoảng 600 máy tính bị nhiễm Flame, chủ yếu ở các quốc gia Trung Đông như Iran, Ai Cập, Sudan, Lebanon và Palestine. Mục đích tạo ra loại virus này là nhằm thu thập thông tin một cách có hệ thống về hoạt động tại một số nước Trung Đông. Trong đó, đích nhắm chính nhiều khả năng là Iran vì nước này có tới 189 máy tính bị lây nhiễm Flame.

Truy tìm thủ phạm

Mặc dù cả các công ty phần mềm diệt virus lẫn các chính phủ đã ra sức truy tìm “cha đẻ” của Stuxnet, Duqu hay Flame, song cho đến nay mọi manh mối vẫn như “bóng chim tăm cá”. Hãng Kaspersky cho biết phải mất nhiều tháng, thậm chí nhiều năm, mới có thể xác định được ai đã tạo ra các loại virus siêu thông minh này.

Tuy nhiên với kinh nghiệm của một đại gia trong làng công nghệ phần mềm diệt virus, Kaspersky cho rằng nhiều khả năng đây là những sản phẩm của một hoặc một vài chính phủ nào đó vì các lý do sau.

Thứ nhất, các virus này không nhằm mục đích đánh cắp các dữ liệu ngân hàng nên “nghi phạm” thuộc thành phần tội phạm điều khiển học bị loại bỏ.

Thứ hai, xét tới mức độ tinh vi của các loại virus này, tác giả của chúng phải là một nhóm hacker gạo cội. Nếu tính về khả năng huy động cả một đội ngũ nhân lực và vật lực cao cấp trong một thời gian dài như thế, điều khả năng đó phải là kết quả của một dự án quốc gia hoặc siêu quốc gia.

Thứ ba, xét tới đặc điểm chung của cả ba loại virus này là cùng có định hướng chung về mặt địa lý là chỉ tập trung vào khu vực Trung Đông với tâm điểm là Iran, nên Mỹ và Israel cùng nằm trong diện đáng bị nghi vấn hơn cả.

Tất nhiên, không đời nào Washinton và Tel Aviv lại công nhận điều này khi chưa ai đưa ra được những chứng cứ cáo buộc cụ thể.

Kịch bản mới đang hình thành?

Theo các chuyên gia mạng, sở dĩ một Mỹ và Israel (hai quốc gia không đội trời chung với Iran) mở rộng chiến tranh mạng là vì các quan chức của hai nước này nhận thức rất rõ những hậu quả nghiêm trọng có thể xảy ra nếu như bùng nổ một cuộc chiến tranh toàn diện với Iran.

“Đánh bom Iran sẽ chỉ làm bùng nổ chiến tranh trong khu vực và có thể dẫn tới một cuộc chiến toàn diện ở Trung Đông. Chiến tranh sẽ làm tình hình trở nên vô cùng phức tạp. Vì vậy, chiến tranh mạng là lựa chọn có vẻ an toàn hơn”, nhà nghiên cứu cấp cao James Lewis của Viện nghiên cứu Chiến lược toàn cầu nhận định

Theo Lewis, không giống như các cuộc tấn công quân sự, những người thực hiện chiến tranh mạng có thể “ẩn mình” và “phủi” trách nhiệm dễ dàng hơn nhiều. Vì vậy, khi các biện pháp ngoại giao, quân sự và kinh tế nhằm vào Iran không phát huy tác dụng, cách tốt nhất là Mỹ và Israel phát động các cuộc tấn công mạng để phá hoại tham vọng hạt nhân của Iran từ bên trong.

Hướng hành động này càng có cơ sở để thực hiện khi giới phân tích cho rằng chương trình hạt nhân của Iran “thực sự không đủ sức chống chọi” với nhiều cuộc tấn công mạng và nước này sẽ phải nỗ lực rất nhiều để bảo vệ các hoạt động làm giàu urani trước các âm mưu phá hoại từ bên ngoài.

“Iran phải mất tới một năm để phục hồi các thiệt hại. Các loại virus này đã gây ra nhiều rắc rối cho Tehran bởi Nhà nước Hồi giáo không biết rõ thứ gì đang phá hoại họ. Có vẻ như sử dụng các phần mềm độc hại là cách hay nhất để cản trở chương trình hạt nhân mà Iran đang theo đuổi”, Giám đốc Viện Khoa học và Hòa bình Quốc tế David Albright khẳng định.

Theo những thông tin mới nhất, rất có thể Iran đang đứng trước một cuộc tấn công mạng tiếp theo và cuộc tấn công này, nếu thực hiện, sẽ được kết hợp với các hoạt động gián điệp truyền thống như tắt các van an toàn trong lò phản ứng hoặc làm sai lệch vị trí các thiết bị để gây ra các vụ nổ tại khu vực nhạy cảm.

“Tôi cho rằng cuộc tấn công tiếp theo sẽ mạnh mẽ hơn và sẽ có thêm nhiều cơ sở hạt nhân của Iran bị thổi bay”, ông Albright nói.

“Có thể phương Tây sẽ bí mật cài gián điệp vào các khu vực nhạy cảm, làm thay đổi hệ thống  rồi mới sử dụng phần mềm độc hại để kích hoạt tấn công”, nhà nghiên cứu kỹ thuật David Lindahl của Cục Nghiên cứu Quốc phòng Thụy Điển chia sẻ.  

Nhà nghiên cứu Lindahl cũng cho rằng kế hoạch này có thể bao gồm việc cài đặt các con chíp nhiễm virus vào hệ thống – được thực hiện bởi các mật vụ hoặc các nhân viên bị mua chuộc, tiến hành thâm nhập các chương trình chuyên dụng đo nồng độ làm giàu urani và các quy trình phân tách nhiệt hạch khác.

Tuy nhiên, một số chuyên gia an ninh mạng đang tính đến khả năng các “tường lửa” của Nga sẽ bảo vệ Iran trước các cuộc tấn công mạng, hay thậm chí có thể giúp Tehran truy tìm máy chủ tạo ra các virus mới.

“Chúng ta đã sơ suất khi không tính đến sự trợ giúp của Nga trong vấn đề này. Tự bản thân Iran không thể giải quyết vấn đề”, nhà nghiên cứu Lewis của Viện nghiên cứu Chiến lược toàn cầu nói.

Theo đánh gia của các chuyên gia, hiện có 4 quốc gia trên thế giới là Nga, Mỹ, Trung Quốc và Ấn Độ đang nằm trong nhóm cường quốc có khả năng tác chiến mạng hùng mạnh nhất thế giới. Tuy nhiên, cũng không loại trừ khả năng Nhà nước Do Thái Israel sẽ sớm gia nhập hàng ngũ này sau khi đích thân Thủ tướng Israel Benjamin Netanyahu nói rằng Tel Aviv sẽ có mặt trong top 5 trong thời gian tới và rằng nước này có quyền sử dụng vũ khí điều khiển học để chống lại những mối đe dọa nguy hiểm như Iran.

Tuyên bố của ông Netanyahu và những bằng chứng thu được liên quan đến các chiến dịch tấn công mạng gần đây nhằm vào Iran càng củng cố các nhận định cho thấy Nhà nước Hồi giáo Iran và chương trình hạt nhân gây tranh cãi của nước này đang thực sự đối mặt với nguy cơ bị tấn công ồ ạt bởi những kẻ thù giấu mặt.

Đức Vũ