'Lính đánh thuê' trong giới bảo mật

Gia Nguyễn

Khi hệ thống máy tính của Ủy ban Quốc gia Dân chủ (DNC) Hoa Kỳ bị đột nhập tháng 4/2016, những người có trách nhiệm đã cho vời một hãng bảo mật tư nhân tới điều tra và "phá án".

An ninh mạng đang là nghề hái ra tiền.

Điều ngạc nhiên là DNC không báo cáo sự vụ cho chính phủ Mỹ mà lại tự mình tìm kiếm sự giúp đỡ từ bên ngoài.

Tuy nhiên, đây không còn là hiện tượng lạ trong giới bảo mật. Ở trường hợp DNC, nếu báo cáo cho FBI hoặc tình báo quốc gia NSA, chắc chắc chính phủ Mỹ sẽ có thừa nguồn lực để điều tra cặn kẽ sự vụ. Thế nhưng những người có trách nhiệm ở DNC lại không làm thế.

DNC đã gọi cho CrowdStrike, một công ty bảo mật mới thành lập 5 năm nhưng đã kiếm được hàng trăm triệu USD từ những hoạt động ngăn chặn đột nhập vào tấn công kiểu này. CrowdStrike đảm bảo chắc chắn với DNC rằng họ sẽ bịt và ngăn chặn mọi nguy cơ rò rỉ dữ liệu.

à CrowdStrike đã không nói ngoa. Chỉ sau một thời gian ngắn điều tra, nhà thầu này đã công bố 2 nhóm tình báo của Nga là Cozy Bear và Fancy Bear chính là thủ phạm sử dụng phương pháp cài cắm mã độc và cổng hậu để đột nhập vào hệ thống.

CrowdStrike biết rất rõ Cozy Bear và Fancy Bear bởi chính các nhóm này đã từng xâm nhập vào mạng lưới máy tính của Nhà Trắng, Bộ Ngoại giao và Hội đồng Liên quân trong thời gian qua.

Thị trường béo bở

CrowdStrike là biểu tượng của loại hình quân đội mới: nhà thầu an ninh mạng tư nhân. Những kỹ năng ngăn chặn tấn công xuất chúng của họ đang là lựa chọn sáng giá cho các công ty và tập đoàn lớn trên khắp thế giới, nhất là sau vụ tấn công vào những tên tuổi lớn như tập đoàn bảo hiểm khổng lồ Anthem và hãng phim Sony Pictures.

Không những thế, công ty an ninh mạng tư nhân ngày càng chiếm được lòng tin của các tổ chức chính phủ vốn là "mục tiêu cao cấp" của hacker. Đối với các nhà thầu như CrowdStrike, không gian mạng càng hỗn loạn thì càng dễ kiếm tiền. Các nhà phân tích của Gartner cho biết thị trường phần mềm bảo mật đã đạt mức 22 tỉ USD trong năm ngoái và dự báo sẽ tăng mỗi năm 1 tỉ USD trong 3 năm tiếp theo.

Thị trường càng rộng mở thì cạnh tranh càng cao. Những tên tuổi khác như Cylance, ThreatConnect và Palantir cũng đang nhảy vào lĩnh vực này. CrowdStrike không tiết lộ tên tuổi khách hàng và tình hình tài chính công ty nhưng nói rằng họ đang hợp tác với 3 trong số 10 công ty lớn nhất thế giới và 5 trong số 10 ngân hàng lớn nhất toàn cầu.

CrowdStrike được DNC thông báo về vụ hack từ tháng 4/2016, và chỉ trong 24 tiếng tiếp theo nhóm phân tích nguy cơ đã cài đặt phần mềm kiểm soát toàn bộ hệ thống máy tính của ủy ban này để điều tra chi tiết. Việc CrowdStrike chỉ ra nhóm tình báo Nga liên quan tới vụ việc cũng được các tổ chức theo dõi bảo mật khác như Fidelis Cybersecurity và Mandiant khẳng định tính chính xác.

Báo cáo của CrowdStrike chỉ đích danh Cơ quan an ninh Liên bang Nga (FSB) và Tổng cục tình báo quốc phòng Nga (GRU) nhúng tay vào vụ việc. Các mã độc và phương pháp tấn công cụ thể cũng được CrowdStrike nêu ra.

Dmitri Alperovitch, đồng sáng lập CrowdStrike, cảnh báo cuộc tấn công nhắm vào các ứng cử viên và đảng lãnh đạo sẽ tiếp tục kéo dài tới tận tháng 11 khi cuộc bầu cử tổng thống Mỹ kết thúc.

Thủ pháp chuyên nghiệp

CrowdStrike hiện đang theo dõi 80 nhóm hacker nguy hiểm nhất thế giới, trong đó có nhóm Cozy Bear. Trọng tâm tấn công của các nhóm này chỉ tập trung vào 3 lĩnh vực: "tội phạm mạng" kiếm tiền, tấn công nhằm mục đích chính trị hoặc xã hội, và tấn công ở quy mô quốc gia liên quan tới cuộc chiến chính trị hoặc gián điệp.

Phương pháp tấn công của các nhóm trên cực kỳ chuyên nghiệp, hầu như không để lại dấu vết. Tuy nhiên, với các tổ chức như CrowdStrike thì việc lần ra manh mối không phải nhiệm vụ bất khả thi. Công ty này còn phát triển cả nền tảng riêng chuyên theo dõi mối đe dọa. Nền tảng Falcon Host có nhiệm vụ so sánh và xâu chuỗi 14 tỉ sự kiện bảo mật mỗi ngày rồi lập thành biểu đồ toàn cầu. Falcon Host đang sử dụng công nghệ tương tự như của Facebook.

Tuy vai trò của CrowdStrike trong vụ hack DNC chưa kết thúc nhưng những gì mà công ty này đạt được có thể coi là thắng lợi. Năm ngoái, "các thợ săn" của CrowdStrike đã ngăn chặn thành công nhóm tin tặc Hurricane Panda của Trung Quốc tấn công vào mạng lưới của một công ty công nghệ Mỹ (giấu tên).


Bên ngoài trụ sở Unit 61398


được canh gác cẩn mật.

Sự phát triển nhanh chóng của CrowdStrike đã thu hút nhiều "ông lớn" công nghệ khác. Năm ngoái, công ty này đã nhận được 100 triệu USD vốn đầu tư từ một trong số các quỹ đầu tư mạo hiểm cho lĩnh vực an ninh mạng của Google.

CrowdStrike cũng như nhiều nhà thầu an ninh mạng khác như Cylance, ThreatConnect và Palantir càng hay được triệu hồi để bảo vệ các mục tiêu chính trị. Không những vậy, các mục tiêu công nghiệp có ý nghĩa sống còn như điện, điện hạt nhân, năng lượng, phát triển vũ khí tối tân cũng cần được bảo vệ khỏi nguy cơ tấn công mạng.

CrowdStrike hiện đang có 440 kỹ sư, các nhà phân tích đe dọa và nhân viên toàn cầu, trong đó có cả các văn phòng đặt tại Silicon Valley, London và Washington. Bản thân George Kurtz, đồng sáng lập CrowdStrike, từng làm việc cho lực lượng quân sự và tình báo nước ngoài.

Có vẻ mối quan hệ giữa doanh nghiệp và quân đội đang được thắt chặt hơn. Mandiant, một công ty an ninh mạng do cựu quan chức Không lực Mỹ thành lập, đã phát hiện sự liên quan của Unit 61398 - một đơn vị bí mật thuộc quân đội Trung Quốc – với hàng loạt vụ tấn công đột nhập vào các công ty Mỹ năm 2013.

Năm 2014, FireEye mua lại Mandiant với giá 1 tỉ USD. Một năm sau, các công nghệ chống xâm nhập đặc biệt của FireEye đã Bộ an ninh Nội địa Mỹ chứng nhận đạt chuẩn an ninh quốc gia.

Trong khi đó, nền tảng Falcon Host của CrowdStrike được coi là vũ khí chuẩn mực để phát hiện, ngăn chặn và lột mặt nạ thủ phạm. Một khi đã nhận hợp đồng, CrowdStrike sẽ làm đến cùng để khách hàng luôn cảm thấy rằng đồng tiền bỏ ra thật xứng đáng.

Gia Nguyễn