Lỗ hổng trong hệ thống công nghệ thông tin của các cơ quan chính phủ Mỹ

15:56 | 23/09/2015 | LỖ HỔNG ATTT

Tháng 7/2013, một cuộc tấn công lớn vào hệ thống máy tính đã xảy ra ở Mỹ. Một tin tặc với bí danh Peace đã cài được mã gián điệp vào máy tính của Bộ Năng lượng Mỹ (cơ quan chịu trách nhiệm về chương trình hạt nhân quân sự, sản xuất năng lượng điện và một số các lợi ích tối quan trọng khác của Mỹ). Trước đó, Peace cũng đã đột nhập vào một ngân hàng và lấy được một khối lượng lớn thông tin về nhân sự, các số bảo hiểm xã hội và dữ liệu về tài khoản ngân hàng.

Tòa án Mỹ nghi ngờ rằng, Peace chính là Lauri Love, công dân Anh 30 tuổi. Lauri Love và những kẻ chủ mưu nặc danh đã xâm nhập vào hệ thống CNTT của Bộ Năng lượng và gửi 600 yêu cầu cho các máy tính nội bộ, tiếp cận dữ liệu của hơn 104 nghìn nhân viên đã và đang đang làm việc tại đây. Các chuyên gia cho rằng Peace đã sử dụng cùng một kỹ thuật tấn công để xâm nhập máy tính của Cơ quan dự trữ liên bang, các cơ quan bảo vệ môi trường, một số tổ chức trong quân đội và Binh chủng Phòng thủ tên lửa của Mỹ.

Mỹ là quốc gia hàng đầu trong việc sử dụng các công nghệ tiên tiến thế giới, song hệ thống máy tính của Mỹ hiện nay hoàn toàn chưa sẵn sàng đối diện với tần suất và sự tinh vi của các cuộc tấn công trong không gian điều khiển.

Sự yếu kém trong lĩnh vực an toàn không gian điều khiển của các bộ, ngành của Mỹ từ lâu không còn là bí mật. Chính phủ Mỹ phải thừa nhận, tin tặc đã đánh cắp dữ liệu cá nhân của 25 triệu người sau khi tấn công vào hệ thống mạng Văn phòng Cục Nhân sự của Chính phủ Mỹ, khiến người đứng đầu Cục này bị cách chức.

Các nhà lập pháp coi số lượng ngày càng tăng các cuộc tấn công của tin tặc là dấu hiệu của cuộc chiến tranh lạnh mới mà Mỹ đang chịu thất bại. Liệu có tồn tại một quốc gia nào đứng sau các cuộc tấn công đó hay chỉ là những nhóm nhỏ kiểu Lauri Love? Trung Quốc và Nga bị nghi ngờ là hai nước tham gia trong phần lớn các cuộc tấn công của tin tặc vào Mỹ.

Tạp chí Financial Times đã phân tích hàng chục báo cáo của Thanh tra các cơ quan và Tổng cục Quản lý giám sát ngân sách cho thấy, trong nhiều năm, hơn một nửa trong số 24 Bộ, ngành của Mỹ buộc phải thừa nhận rằng cơ quan an toàn thông tin (cơ quan bảo vệ không gian điều khiển) của họ đã không đưa ra được các biện pháp bảo vệ mang tính nền tảng. Ở đây nói đến việc loại bỏ các lỗ hổng trong các chương trình, trong sử dụng hệ thống nhận dạng và hệ thống theo dõi tin cậy nhằm đảm bảo an toàn cho các cơ sở dữ liệu quan trọng (thông tin cá nhân của cán bộ, nhân viên của các chương trình quân sự và của chính phủ).

Khi nghiên cứu hàng nghìn tài liệu, hồ sơ góp ý của các nhân viên đã và đang làm việc cho cơ quan Chính phủ, các chuyên gia nhận thấy nhiều vấn đề cần được đặt ra cho Chính phủ Mỹ. Tony Scott, người đứng đầu cơ quan chính phủ về các vấn đề thông tin đã báo cáo tại một kỳ họp Quốc hội Mỹ rằng: “Một trong những vấn đề chính là chúng tôi đang sử dụng những thiết bị cũ được sản xuất ở những thời kỳ chưa có các mối đe dọa như vậy”.

Mục tiêu cho tấn công mạng

Số lượng tấn công xâm nhập vào hệ thống máy tính và đánh cắp thành công các thông tin quan trọng của các cơ quan chính phủ đang tăng lên nhanh chóng. Năm 2015, tin tặc đã lấy được 100 nghìn tài khoản thuế, sau khi vượt qua lớp bảo vệ hệ thống máy tính của cơ quan thuế của Mỹ. Cùng với đó, việc đột nhập hệ thống máy tính của Cơ quan Bưu chính Mỹ đã làm lộ thông tin nhạy cảm của khoảng 800 nghìn nhân viên. Còn Bộ Ngoại giao Mỹ cho rằng, hệ thống máy tính không được bảo mật của họ đã bị xâm nhập có lẽ là do các cơ quan đặc vụ Nga.

Theo Cục Nhân sự của Chính phủ Mỹ, số lượng các sự cố ATTT khác nhau trong các cơ quan liên bang, bao gồm những hoạt động lừa đảo, cài mã độc và các truy cập trái phép trong giai đoạn 2006 - 2014 đã tăng gấp 10 lần.

“Mỹ bây giờ đang trả giá cho 20 năm không đầu tư đủ kinh phí cho lĩnh vực an toàn không gian điều khiển, ở cả khu vực tư nhân và khu vực công cộng”, Andy Ozment, phụ tá cho người đứng đầu Cục An ninh nội địa Mỹ đã nói.

Chính quyền Mỹ đã tăng chi phí cho cơ quan liên bang về CNTT từ 78,6 tỷ Đôla (năm 2013) lên 86,3 tỷ (năm 2016). Các vấn đề đã trở nên phức tạp hơn bởi các cuộc tranh cãi với Quốc hội về ngân sách và mong muốn để giảm chi phí. Mặc dù việc tăng chi phí là cần thiết để bảo đảm an toàn không gian điều khiển, song các quan chức cũng chỉ ra các vấn đề như tệ quan liêu trong việc tuyển dụng nhân viên, quá trình mua sắm phức tạp và quản lý ngân sách bí mật.

Thượng nghị sĩ Đảng Dân chủ, Tom Carper nói với Financial Times rằng, hai đạo luật mới thông qua gần đây tạo điều kiện cho các tổ chức CNTT trong các Bộ, ngành có nhiều quyền hạn hơn trong lĩnh vực giám sát các điều khoản có liên quan đến ngân sách và điều này hỗ trợ cho việc hiện đại hoá hệ thống an toàn không gian điều khiển.

“Đối với an toàn không gian điều khiển, Quốc hội có trách nhiệm chấp thuận và tài trợ cho việc đưa vào các công nghệ an toàn mới nhất, để làm giảm khả năng các xâm nhập mới vào cơ sở dữ liệu quan trọng của cơ quan chính phủ”, ông nói.

Việc sử dụng thiết bị lạc hậu trong các cơ quan chính phủ Mỹ khiến cho các biện pháp an toàn thông tin tiên tiến không phù hợp. Những giải pháp công nghệ không có chức năng về ATTT được sử dụng rộng rãi trong các phần mềm được sản xuất bởi các công ty như VMware, Palo Alto Network, Cisco đã không đủ khả năng bảo vệ. Mã hóa dữ liệu cũng không thể áp dụng được trong cơ sở hạ tầng thông tin cũ được thừa kế bởi Cục Nhân sự. Một tuần trước khi bị xâm nhập, Cục Nhân sự đã được khuyến cáo ngắt cả hệ thống và phục hồi lại toàn bộ sau đó, nhưng họ đã không làm theo các khuyến cáo này.

Đích ngắm của các hoạt động tình báo

Trong hệ thống CNTT, việc xác thực tin cậy theo hai mức đòi hỏi phải bổ sung dữ liệu đầu vào, ngoài tên người dùng và mật khẩu. Quá trình này bao gồm kiểm tra hai mức, đầu tiên phải đăng nhập tên người dùng, sau đó sử dụng mã an ninh hoặc thẻ nhận dạng cá nhân. Ngày nay, thủ tục cơ bản này được dùng trong nhiều công ty và thường miễn phí. Nhưng một số cơ quan Chính phủ, trong đó có Bộ Ngoại giao, Bộ Lao động Mỹ vẫn không sử dụng phương pháp xác thực hai mức, và ít nhất một nửa số nhân viên của 15 trong số 24 Bộ, ngành đã không đáp ứng với yêu cầu này.

“Các con số thống kê này rất quan trọng, nhiều sự cố trong không gian điều khiển là do thiếu các phương tiện xác thực”, báo cáo thường niên của Cục Nhân sự chính phủ Mỹ gửi Quốc hội nêu rõ: Sử dụng công nghệ cũ, quy mô hoạt động lớn và sự cần thiết phải hỗ trợ kết nối 24 giờ đã và đang tạo ra những khó khăn lớn trong các lĩnh vực an toàn, an ninh thông tin. Nhiều cơ quan Liên bang không có các quy định tối thiểu trong lĩnh vực CNTT nên các nhân viên chưa tuân thủ các thao tác bảo đảm ATTT khi sử dụng máy tính. Các cuộc kiểm tra cho thấy nhiều cơ quan không có báo cáo thống kê về các hệ thống máy tính của họ.

Theo báo cáo của Tổng thanh tra Chính phủ vào tháng 12/2014, Bộ An ninh nội địa Mỹ cũng có nhiều điểm yếu trong không gian điều khiển, đặc biệt là liên quan đến các Cơ quan Liên bang về Tình trạng khẩn cấp, trong khi cơ quan này có chức năng giám sát vấn đề nhập cư và xác minh người nước ngoài đến Mỹ, đồng thời thực hiện chức năng giúp các cơ quan khác củng cố hệ thống ATTT của họ.

Quan chức Mỹ nói rằng, trong cuộc xâm nhập lần thứ hai vào Cục Nhân sự chính phủ, tin tặc đã đánh cắp dữ liệu của khoảng 21,5 triệu người, trong đó có tư liệu về mối quan hệ của họ với người nước ngoài, bạn bè, thông tin tài chính của toàn bộ số người này.
“Đối với tình báo nước ngoài, đây thực sự là một mỏ vàng. Sự việc cho thấy chúng ta còn rất nhiều vấn đề cần giải quyết”, Cựu nghị sĩ Mike Rogers của Michigan, nay là chủ tịch Ủy ban tình báo Mỹ đã nói. Ông đã đề nghị tăng cường biện pháp an toàn cho không gian điều khiển và mỗi cơ quan Chính phủ cần hoạt động nỗ lực hơn nữa và tăng cường đầu tư kinh phí để cải thiện tình hình và đổi mới công nghệ.

Theo Mike Rogers, chính phủ Mỹ phải trả lời câu hỏi: Các dữ liệu nhạy cảm của công dân cung cấp cho Chính phủ nếu bị rò rỉ thì ai sẽ chịu trách nhiệm cho vấn đề này? Bản thân thông tin cá nhân của ông cũng đã từng bị tiết lộ.

Lạc hậu một thập kỷ

Sáu tháng trước khi tin tặc Peace xâm nhập vào hệ thống CNTT Bộ Năng lượng, các lỗ hổng của phần mềm đã được phát hiện. Cơ quan này đã trì hoãn thanh toán 4.200 Đôla cho phiên bản mới của phần mềm, và kết quả phải chịu thiệt hại từ vụ xâm nhập không nhỏ hơn 3,7 triệu Đôla. Trong một số cơ quan, việc phân chia trách nhiệm trong lĩnh vực CNTT chưa rõ ràng, cũng có nghĩa là không có ai chịu trách nhiệm về vấn đề này. Nếu tiến hành cải thiện hiện trạng ATTT ảnh hưởng tới công việc đang triển khai của cơ quan, thì giải pháp cho vấn đề này sẽ bị trì hoãn vô thời hạn.

Tổng thanh tra của Bộ Ngoại giao, bộ phận chịu trách nhiệm bảo vệ các thông tin thị thực và dữ liệu hộ chiếu đã yêu cầu Quốc hội cho tách khỏi Bộ để đảm bảo tính an toàn của hệ thống CNTT.

Bộ Ngoại giao Mỹ cho biết “hoàn toàn hỗ trợ” sự độc lập của Tổng thanh tra và hoạt động của ông, cũng như sẽ bổ sung giải pháp kiểm soát truy cập và mã hóa để giảm nguy cơ xâm nhập từ bên ngoài vào hệ thống CNTT. “Tuy nhiên, chúng tôi muốn lưu ý là, chỉ tạo ra một mạng lưới riêng biệt sẽ không làm giảm các mối đe dọa mà chính phủ Mỹ buộc phải đối phó”.

Robert Brese, người chịu trách nhiệm về CNTT của Bộ Năng lượng trong thời gian xảy ra vụ tin tặc Peace tấn công đã nhận xét, hệ thống CNTT của nhiều cơ quan của chính phủ Mỹ đang lạc hậu so với khu vực tư nhân khoảng 10 năm, nhất là trong vấn đề hiện đại hóa cơ sở hạ tầng và thực hiện an toàn hệ thống.

‹ › ×

Tin liên quan

Úc: 519 vụ vi phạm dữ liệu xảy ra trong 6 tháng cuối năm 2020

08:00 | 01/03/2021

Các cơ quan của Úc chịu sự điều chỉnh của Đạo luật về quyền riêng tư đã báo cáo 519 trường hợp vi phạm dữ liệu trong 6 tháng cuối năm, tăng 5% so với nửa đầu năm 2020.

Các mối đe dọa nhắm mục tiêu tới các cơ quan chính phủ ngày càng gia tăng

17:00 | 02/07/2021

Nghiên cứu mới đây về gian lận trong khu vực công của Cơ quan báo cáo tín dụng tiêu dùng TransUnion Mỹ nhấn mạnh, các vụ việc như chiếm đoạt tài khoản đã làm giảm lòng tin của người dùng vào các dịch vụ di động và trực tuyến của chính phủ.

Tin cùng chuyên mục

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.