Trong vài tháng qua, các nhóm tội phạm đã gửi tin nhắn đe dọa đến các công ty quản lý dịch vụ điện thoại băng thông rộng trên toàn thế giới, đe dọa rằng sẽ tạo lưu lượng lớn làm nghẽn mạng đường dây điện thoại, dịch vụ sẽ bị ngắt kết nối, trừ khi công ty chịu trả tiền chuộc.
Giống như các nhà cung cấp điện thoại cố định, các công ty quản lý và cung cấp cuộc gọi điện thoại kỹ thuật số, còn được gọi là cuộc gọi qua giao thức Internet (VoIP) đang ngày càng trở nên quan trọng với cá nhân, doanh nghiệp. Cuộc gọi VoIP rẻ hơn nhiều, dễ tiếp cận hơn và có thể mở rộng, trở thành một phương pháp giao tiếp chính khi mọi người làm việc tại nhà trong đại dịch COVID-19. Các công ty nhỏ và những người sống ở nước ngoài có thể đã sử dụng cuộc gọi VoIP trong nhiều năm để liên lạc với khách hàng, bạn bè và gia đình ở nước ngoài. Các nhà mạng lớn và các công ty viễn thông thường sử dụng VoIP để xử lý các cuộc gọi hoặc kết nối giữa các nhà cung cấp, trong khi các nhà cung cấp dịch vụ nhỏ hơn định tuyến hàng chục nghìn cuộc gọi đồng thời qua internet. Các công ty tổng đài xử lý hơn 1 triệu cuộc gọi kỹ thuật số mỗi ngày.
Nhưng nếu những công ty quản lý đường dây điện thoại kỹ thuật số bị kẻ xấu tấn công bằng những cuộc gọi giả mạo, hệ thống VoIP có thể nhanh chóng bị ảnh hưởng.
Ngành công nghiệp viễn thông số đang cố gắng chống lại các cuộc tấn công
Các nhà cung cấp dịch vụ bảo mật truyền thông kỹ thuật số bắt đầu nhận các cuộc tấn công vào dịch vụ VoIP gia tăng trong năm nay. Trên các diễn đàn dành cho các nhà khai thác mạng, các chuyên gia bắt đầu đăng bài về các cuộc tấn công, thảo luận về những việc cần làm.
Trang NPR cho biết, một số chuyên gia cho rằng ngành viễn thông kỹ thuật số đã không chuẩn bị chống chọi với cuộc tấn công mới nhất này và đã phải đưa ra các chiến lược phòng thủ một cách vội vàng. Không chỉ các ngân hàng lớn hay các tập đoàn lớn mới lọt vào tầm ngắm của tin tặc - mà tất cả mọi người và bất kỳ ai đều có thể trở thành nạn nhân.
"Tôi nghĩ rằng chúng ta đang ở vào một thời điểm, từ các tổ chức không biết về mối nguy cơ, đến các tổ chức biết nhưng không đầu tư hoặc sẵn sàng đầu tư vì họ không nghĩ rằng nó sẽ xảy ra với họ", Jen Ellis, Phó chủ tịch cộng đồng và các vấn đề công cộng của Công ty an ninh mạng Rapid7 và là người từng phục vụ trong Lực lượng đặc nhiệm Ransomware (Ransomware Task Force), một tổ chức hợp tác giữa khu vực công và tư nhân, cho biết.
Theo trang Cloudtalk, 70% các tổ chức được khảo sát cho biết họ trải qua 20-50 cuộc tấn công DDoS mỗi tháng. Và mặc dù hầu hết các vụ tấn công không thành công, nhưng vấn đề chính là với các máy móc mạnh mẽ, công cụ chuyên dụng và băng thông tốt hơn bao giờ hết, tội phạm mạng hiện có thể khởi động các cuộc tấn công DDoS nhanh hơn và rẻ hơn nhiều. Điều này cũng có nghĩa là không chỉ các “ông lớn” (chẳng hạn như ngân hàng, doanh nghiệp hoặc nền tảng truyền thông xã hội) có nguy cơ bị tấn công, mà các doanh nghiệp thuộc mọi quy mô và ngành nghề đều có nguy cơ bị tấn công.
Một cuộc tấn công DDoS xảy ra khi bọn tội phạm áp đảo một máy chủ với dữ liệu và sử dụng hết băng thông của nó. Bằng cách làm như vậy, tin tặc có thể làm cho máy hoặc mạng không khả dụng đối với người dùng, làm gián đoạn dịch vụ tạm thời hoặc vô thời hạn. Trong trường hợp của VoIP, điều đó có nghĩa là không thể thực hiện hoặc nhận cuộc gọi nào. Nhưng đó không phải là tất cả - trong trường hợp xấu nhất, kẻ tấn công có thể chiếm quyền điều khiển quản trị của máy chủ.
Tấn công DDoS vào cuộc gọi VoIP
Sự hoảng loạn tập thể đó bắt đầu khi nhà cung cấp truyền thông kỹ thuật số Bandwidth.com bị tấn công bởi một chiến dịch tống tiền kỹ thuật số vào cuối tháng 9, Fred Posner, một chuyên gia bảo mật VoIP, nói. Các cuộc tấn công trước đây nhắm mục tiêu vào các nhà cung cấp nhỏ hơn, nhưng Bandwidth đã trở thành công ty lớn nhất phải hứng chịu DDoS, hay còn gọi là cuộc tấn công "từ chối dịch vụ". Trong khi các công ty như Bandwidth mong đợi một lượng lưu lượng truy cập hợp pháp nhất định từ những người dùng cố gắng thực hiện cuộc gọi và gửi tin nhắn văn bản, thì một cuộc tấn công DDoS đã xảy ra - kẻ xấu hướng một số lượng lớn các yêu cầu kỹ thuật số bất hợp pháp đến các máy chủ của họ - lấn át khả năng phản hồi của công ty.
Những tên tội phạm liên quan đến các cuộc tấn công VoIP gần đây đều có động cơ tài chính. Nhưng không giống như khi các công ty lớn như Colonial Pipeline bị tấn công và đòi tiền chuộc, những kẻ tấn công này không thực sự phải đột nhập vào mục tiêu để chiếm dữ liệu làm con tin. Với cuộc tấn công VoIP, chỉ cần tạo ra một lưu lượng truy cập số giả mạo khổng lồ là đủ để ít nhất tạm thời làm gián đoạn khả năng hoạt động của một công ty.
Theo Allan Liska, một nhà phân tích tình báo của công ty an ninh mạng Recorded Future, phương pháp kết hợp các mối đe dọa đòi tiền chuộc với các cuộc tấn công DDoS, đã xuất hiện ít nhất là vào năm 2019. Tuy nhiên hồi đó, những kẻ tống tiền thường không tấn công nạn nhân bằng một khối lượng truy cập bất hợp pháp, vì rất khó để đạt được khối lượng tín hiệu cần thiết. Nhưng trong những tháng gần đây, một số tên tội phạm này đã nhận ra rằng không thực sự cần nhiều lưu lượng truy cập như vậy mới có thể phá vỡ các giao thức chuyên biệt liên quan đến việc truyền âm thanh trong thời gian thực.
Theo các chuyên gia bảo mật, ban đầu, internet không được thiết kế để trở thành một đường dẫn giao tiếp bằng giọng nói, văn bản và video trong thời gian thực. Đó là bởi vì, để có một cuộc trò chuyện liền mạch, mỗi bit âm thanh phải đến chính xác vào đúng thời điểm nếu không cuộc trò chuyện sẽ không có ý nghĩa - trong khi nội dung của trang web có thể tải theo bất kỳ thứ tự nào. Khi bạn nói vào máy thu để thực hiện cuộc gọi kỹ thuật số, âm thanh sẽ được dịch thành các gói thông tin kỹ thuật số cực nhỏ và sau đó được chuyển đổi trở lại trên máy thu.
Sandro Gauci, một chuyên gia bảo mật giúp các công ty truyền thông vá các lỗ hổng trong hệ thống của họ, cho biết một cuộc gọi kỹ thuật số yêu cầu khoảng một gói dữ liệu được gửi trong khoảng 20 mili giây để một cuộc gọi hoạt động bình thường.
Gauci nói: “Chỉ cần có một chút thời gian chết, hệ thống sẽ ngừng hoạt động ... và vì nó là thời gian thực, nên đây là một vấn đề lớn. Khách hàng của chúng tôi, nếu họ là nhà cung cấp dịch vụ, họ thực sự lo ngại về việc từ chối dịch vụ vì nó khiến họ bị thiệt hại lớn mỗi giây khi hệ thống trục trặc”.
Đó chính xác là những gì mà những kẻ tấn công đã tìm ra cách thực hiện.
Liska nói: “Vấn đề đang tiếp tục leo thang. Và bạn biết đấy, một trong những điều thường xảy ra với các nhóm tội phạm mạng là chúng sẽ bắt chước. Nếu thấy thứ gì đó có thể tấn công, các nhóm khác sẽ tiến hành tấn công theo".
Tội phạm mạng mạo danh các nhóm hacker khét tiếng để đe dọa
Những kẻ tấn công giả vờ tuyên bố chúng là một phần của các nhóm hacker nổi tiếng như Fancy Bear hay REvil, một nhóm tội phạm ransomware khét tiếng hiện nay. Liska lưu ý rằng đây là một chiến thuật phổ biến để đe dọa nạn nhân, khiến họ phải trả số tiền chuộc lớn và trả thật nhanh.
“Chúng sử dụng tên của các nhóm hacker nổi tiếng để gây ra nỗi sợ hãi lớn hơn cho các công ty”, Liska nói.
Tác động tồi tệ nhất của sự cố gián đoạn viễn thông lớn là không thể gọi đến các dịch vụ khẩn cấp. Các chuyên gia bảo mật cho biết ít nhất một số gián đoạn đối với các nhà cung cấp băng thông rộng lớn đã gây tác động hạn chế khi gọi các cuộc gọi khẩn cấp. Lĩnh vực truyền thông được cơ quan an ninh mạng của Mỹ, CISA, liệt kê là một phần của cơ sở hạ tầng quan trọng vì nó phục vụ "chức năng hỗ trợ" để kết nối các doanh nghiệp, cá nhân, dịch vụ khẩn cấp và chính phủ, đặc biệt là trong khủng hoảng.
Nhà mạng lớn AT&T của Mỹ thông báo họ đã "thực hiện các bước để giảm thiểu" mạng botnet nhắm mục tiêu vào hàng nghìn máy chủ VoIP trong mạng của mình, mặc dù không rõ liệu mạng botnet đó được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ hay vì một mục đích khác.
Tuy nhiên, việc tìm ra những kẻ tống tiền là một thách thức thực sự. Hầu hết các nhóm tội phạm đòi tiền chuộc từ các nhà cung cấp băng thông rộng muốn thanh toán bằng tiền kỹ thuật số Bitcoin để giúp che giấu danh tính của chúng.
Posner, chuyên gia VoIP, nói rằng ông đã suy nghĩ rất nhiều về những gì cần phải làm để bảo vệ lĩnh vực viễn thông. Ông nói: “Trước hết, rõ ràng cần phải có một số cơ quan thực thi pháp luật. Những cuộc tấn công này rõ ràng đang vi phạm luật hiện hành và có rất ít kẻ bị bắt giữ. Vì vậy, cần có một số nguồn lực chuyên dụng để giúp bảo vệ cơ sở hạ tầng của chúng tôi".
Mặt khác, các công ty sẽ phải đưa ra một kế hoạch ứng phó. “Theo tôi, có vẻ như cần phải chuẩn bị nhiều hơn nữa”, Gauci, chuyên gia bảo mật cho biết.
“Thường xuyên kiểm tra công tác bảo mật là điều rất quan trọng, bởi vì bạn muốn biết tình trạng của mình và liệu các cơ chế bảo vệ an toàn thông tin mạng của bạn có thực sự hoạt động hay không và liệu chúng có gây ra các vấn đề mới, cách bạn có thể khôi phục”.
