Rạng sáng Chủ nhật 24/3, hacker kích hoạt mã độc tống tiền tấn công một công ty môi giới chứng khoán, gây sụp đổ hệ thống phục vụ nhà đầu tư.

Tôi đang ở Hà Nội. Được kết nối, tôi đến hiện trường vì tò mò, ai dè ở lại đã hơn một tuần.

Mã độc tống tiền là mã độc máy tính khi kích hoạt sẽ mã hóa toàn bộ dữ liệu. Thuật toán mã hóa khiến ta chỉ có thể giải mã nếu có khóa bí mật.

Một sự cố như vậy cần xử lý hai việc chính: Phục hồi gấp hoạt động sản xuất kinh doanh và đảm bảo an ninh để không bị tấn công nữa. Như đôi cánh, hai nhiệm vụ này cần sự cân bằng, không thể tái hồi phục hệ thống nếu chưa an toàn, nhưng cũng cần mở cửa trở lại sớm nhất có thể. Chúng tôi đùa, phải "khẩn trương một cách từ từ".

Vì sắp rời Việt Nam, chúng tôi không thể xử lý toàn bộ sự cố, tôi đề nghị thuê thêm một công ty an ninh mạng trong nước phụ trách điều tra, rà soát an toàn. Với phần việc của mình, tôi gọi hai kỹ sư nhiều năng lượng từ Sài Gòn bay ra phối hợp với đội tại Hà Nội, tất cả chúng tôi lập tức bắt tay vào khôi phục hệ thống.

Quá trình gồm ba bước: Cô lập, loại bỏ và phục hồi. Khoanh vùng để cô lập hệ thống nghi ngờ bị xâm hại bằng cách kiểm soát đường truyền mạng, đảm bảo nội bất xuất ngoại bất nhập. Tiếp theo, rà soát để loại bỏ, giảm thiểu các nguy cơ, đảm bảo hệ thống sạch sẽ, an toàn. Cuối cùng, dựng lại hệ thống phần mềm ứng dụng để phục hồi hoạt động.

Từng là kỹ sư mật mã tại Google nên giải mã là việc yêu thích của tôi, nhưng không ngờ lần này khó đến vậy. Lượng dữ liệu lớn khiến việc giải mã mất nhiều thời gian và hay lỗi. Chúng tôi tìm được một vài cải tiến nhỏ nhưng không thể nhanh như kỳ vọng.

Tệ hơn, nhiệt huyết ban đầu bị lùi bước do thiếu ngủ, chúng tôi có lúc không còn minh mẫn. Thay vì đi ngủ, đội cố gắng xây dựng các giải pháp trong tình trạng "nửa tỉnh nửa mơ". Kết quả là tiến trình giải mã vẫn chậm, nhiều lỗi, có những trường hợp không lý giải được.

Giải mã không được lo một, nhưng giải thích không được làm tôi lo mười. "Ông kỹ sư" trong tôi rất bất an, kể cả không làm được thì cũng phải hiểu tại sao. Giải pháp tôi chọn là quay lại những điều cơ bản. Nếu giải mã lúc được lúc không, trước nhất phải hiểu cách mã độc hoạt động.

Đội đã bắt đầu phân tích mã độc từ ngày đầu tiên, nhưng bị cuốn vào việc khác nên không thể tập trung. Lần này, chúng tôi tập hợp những kỹ sư kinh nghiệm nhất, quyết làm cho xong.

Từ Hà Nội, kết nối với Sài Gòn, Houston cùng chuyên gia mã độc Chương Đồng ở Atlanta, nhóm kỹ sư Việt - Mỹ xuyên biên giới cuối cùng cũng hiểu được cách mã độc hoạt động, khi nào mã hóa bị sai và cách sửa lỗi.

Kết quả, những khâu trước đó mất hàng giờ hoặc thậm chí cả ngày nay chỉ còn vài phút. Đội cũng phát hiện một số cách giải mã độc đáo và còn triển khai cả giải mã tự động. Những thông tin quý giá này hữu ích cho nhiều người, chúng tôi sẽ sớm chia sẻ cho cộng đồng.

Giải mã xong, tiếp theo là phục dựng hệ thống phần mềm ứng dụng. Các chuyên gia điều tra an ninh mạng Việt Nam phối hợp với lực lượng kỹ sư của đơn vị bị ảnh hưởng đã làm việc không kể ngày đêm. Hệ thống phần mềm 17 năm được khôi phục trong 7 ngày.

Đội an ninh xây mới một vùng mạng sạch, cách ly hoàn toàn với hệ thống mạng đã có. Căn cứ vào lộ trình khôi phục đã công bố đại chúng, đội xác định từng máy chủ, từng phần mềm cần phải khôi phục theo thứ tự ưu tiên. Mỗi máy chủ được các chuyên gia rà soát cẩn thận để đảm bảo không còn mã độc. Mỗi phần mềm được đánh giá an ninh để giảm thiểu lỗ hổng bảo mật, sau khi đảm bảo an toàn nhất có thể mới chuyển vào vùng mạng sạch. Lần lượt như vậy cho đến khi từng dịch vụ hoạt động trở lại. Toàn bộ vùng mạng sạch được bọc thêm một lớp giám sát được chuyên gia theo dõi 24/7.

Không có gì đảm bảo được 100%, nhưng tôi thấy quy trình an ninh này rất bài bản và chi tiết, bám sát cách làm của thế giới.

Nhìn mọi người làm việc, tôi đã học được rất nhiều, không chỉ từ chuyên môn mà còn từ tâm huyết của họ với nghề. Điều tôi tâm đắc nhất là sự đoàn kết, đồng lòng vì lợi ích chung. Lực lượng hỗ trợ có nhiều người là nhân viên cũ của công ty môi giới. Họ cũng làm ngày làm đêm, ăn ngủ tại chỗ. Nhiều đơn vị là đối thủ cạnh tranh trên thương trường nhưng cũng cùng chung sức. Tôi chưa thấy ở đâu mà người ta có thể dễ dàng cho nhau mượn những thiết bị có giá trị hàng trăm nghìn USD để hỗ trợ xử lý sự cố.

Sau tất cả nỗ lực tưởng như không thể, công ty đã kết nối trở lại với toàn thị trường. Chưa mượt mà ngay nhưng mọi thứ đang tốt dần lên. Hệ thống phần mềm mới đã vượt qua thử thách đầu tiên.

Từ một ý tưởng hàn lâm, mã độc tống tiền đã trở thành thảm họa Internet toàn cầu, mỗi năm gây thiệt hại hàng tỷ USD. Theo một báo cáo của Nhà Trắng, chỉ riêng dòng mã độc NotPetya năm 2017 đã gây thiệt hại hơn 10 tỷ USD.

Công ty môi giới chứng khoán đang dần hồi phục sau biến cố, nhưng điều tôi lo là phần còn lại của thị trường. Từ 2021, khi bắt đầu trực tiếp đánh giá an ninh hạ tầng trọng yếu của Việt Nam, tôi đã thấy tấn công mạng là một rủi ro đe dọa nền kinh tế. Tôi rời Google một phần vì muốn tập trung vào vấn đề này của Việt Nam.

Kinh tế phát triển nhanh và vị trí địa chính trị khiến Việt Nam trở thành mục tiêu của nhiều nhóm tin tặc quốc tế. Không khó để hack, hack xong dễ rửa tiền, tin tặc nước ngoài đang nhìn Việt Nam như một miếng mồi béo bở. Thay vì chỉ nhắm vào các ngân hàng, vụ tấn công lần này cho thấy ai cũng có thể trở thành nạn nhân.

Cuộc chiến sẽ còn dai dẳng, bất cân sức vì Việt Nam đang thiếu hụt nghiêm trọng nhân lực an ninh mạng chất lượng cao. Sự cố lần này khiến câu hỏi sẽ dồn về nguồn cung. Nền kinh tế không thể một đêm đào tạo được lực lượng chuyên gia có kinh nghiệm chống tin tặc quốc tế.

Năm 2009, Google bị tấn công mạng. Sự cố đó tạo ra cuộc cách mạng về nhận thức ở tập đoàn. Từ đó đến nay, họ không bị xâm nhập nữa mà còn biến an ninh mạng thành lợi thế cạnh tranh.

Tôi vừa thực chứng mầm mống một cuộc cách mạng tương tự. An ninh mạng là vấn đề toàn cầu và sự cố lần này là cơ hội quý để Việt Nam tham gia giải quyết câu hỏi lớn của thế giới.