Hãng hàng không quốc gia Nga Aeroflot đã phải đối mặt với một cuộc tấn công mạng hủy diệt, do các nhóm tin tặc ủng hộ Ukraine tuyên bố đã xóa sạch khoảng 7.000 máy chủ và đánh cắp hơn 20 terabyte dữ liệu nhạy cảm trong một chiến dịch bí mật kéo dài một năm. Sự cố này đã buộc hãng phải hủy hàng chục chuyến bay vào sáng thứ Hai, khiến hành khách mắc kẹt tại Sân bay Sheremetyevo ở Moscow, trong bối cảnh các quan chức mô tả là “phá hủy hoàn toàn” hạ tầng CNTT trọng yếu.
Diễn Biến Cuộc Tấn Công Mạng Quy Mô Lớn
Theo báo cáo từ Cyber Security News (Xem chi tiết tại đây), các nhóm hacktivist “Silent Crow” và “Cyber Partisans BY” có trụ sở tại Belarus đã cùng lúc tuyên bố chịu trách nhiệm về vụ tấn công thông qua một tuyên bố chung trên Telegram. Họ mô tả đây là một “đòn tấn công chiến lược” nhằm vào cả Aeroflot và bộ máy an ninh quốc gia Nga.
Các nhóm này tuyên bố đã giành được quyền truy cập sâu rộng vào các hệ thống, từ nền tảng đặt vé cho đến máy chủ email của các cấp điều hành. Đỉnh điểm là việc xóa sổ có hệ thống toàn bộ xương sống kỹ thuật số của hãng hàng không.
Chiến Thuật Khai Thác Zero-Day và Leo Thang Đặc Quyền
Theo dòng thời gian mà tin tặc công bố, chiến dịch bắt đầu vào giữa năm 2024 với các chiến dịch lừa đảo (phishing) có mục tiêu và các lỗ hổng khai thác zero-day. Những lỗ hổng này đã cung cấp quyền truy cập mạng ban đầu, mở đường cho các hoạt động tiếp theo.
Trong nhiều tháng, những kẻ tấn công đã liên tục leo thang đặc quyền truy cập của mình. Mục tiêu là đạt được quyền kiểm soát các bộ điều khiển miền Tier-0 (Tier-0 domain controllers). Việc kiểm soát Tier-0 domain controllers đồng nghĩa với việc chúng đã có quyền quản trị tối cao đối với toàn bộ hạ tầng IT của Aeroflot, bao gồm:
- Hệ thống đặt chỗ và quản lý hành khách.
- Nền tảng email nội bộ (Exchange).
- Hệ thống quản lý quan hệ khách hàng (CRM).
- Hệ thống hoạch định nguồn lực doanh nghiệp (ERP).
- Các công cụ giám sát và quản lý an ninh được sử dụng bởi trung tâm điều hành an ninh (SOC) của Aeroflot.
Bằng cách nắm quyền kiểm soát những nền tảng cốt lõi như Sabre, SharePoint, Exchange, CRM và ERP, kẻ tấn công đã làm tê liệt khả năng vận hành và giám sát của Aeroflot. Các ảnh chụp màn hình do các nhóm này công bố dường như cho thấy cấu trúc cây Active Directory và các thư mục hệ thống giám sát, được cho là đã thu thập được trong quá trình xâm nhập của chúng.
Hậu Quả và Tác Động Nghiêm Trọng của Vụ Tấn Công
Aeroflot ban đầu đổ lỗi cho sự gián đoạn vào sáng thứ Hai là do một “lỗi hệ thống thông tin” không xác định. Tuy nhiên, quy mô của sự cố nhanh chóng trở nên rõ ràng khi 49 chuyến bay bị hủy bỏ và bảng hiển thị chuyến bay tràn ngập thông báo “CANCELLED”.
Hành khách đã ghi nhận những cảnh tượng hỗn loạn tại Sheremetyevo. Các hệ thống điều phối nhiên liệu đã ngoại tuyến trong thời gian ngắn, và hành khách được yêu cầu lấy lại hành lý và rời khỏi nhà ga. Điều này cho thấy sự gián đoạn không chỉ dừng lại ở các hệ thống back-end mà còn ảnh hưởng trực tiếp đến hoạt động vận hành cốt lõi, bao gồm cả các quy trình vật lý tại sân bay.
Gián Đoạn Hoạt Động và Thiệt Hại Tài Chính
Vụ tấn công mạng này đã ngay lập tức ảnh hưởng đến giá trị vốn hóa thị trường của Aeroflot. Cổ phiếu của hãng đã giảm hơn 4% trên Sàn giao dịch Moscow ngay sau khi thông tin về vụ vi phạm được công bố.
Các nhà phân tích an ninh mạng ước tính chi phí phục hồi có thể lên tới “hàng chục triệu đô la” và sẽ đòi hỏi nhiều tháng để xây dựng lại hạ tầng. Mức độ tàn phá rộng lớn này cho thấy không chỉ dữ liệu bị mất mà cả cơ sở hạ tầng nền tảng đã bị phá hủy hoàn toàn, đòi hỏi một quy trình tái thiết tốn kém và mất thời gian.
Nguy Cơ Rò Rỉ Dữ Liệu Khách Hàng và Hậu Quả Pháp Lý
Silent Crow đã đe dọa sẽ công bố “một phần dữ liệu” bao gồm thông tin cá nhân của hành khách và các cuộc gọi điện thoại đã ghi âm. Điều này sẽ xảy ra trừ khi Moscow chấm dứt cái mà họ gọi là “hành động gây hấn mạng đàn áp” ở nước ngoài.
Nếu được xác minh, những vụ rò rỉ dữ liệu như vậy có thể phơi bày hàng triệu hồ sơ khách hàng. Điều này sẽ làm gia tăng sự giám sát của các cơ quan quản lý và áp lực pháp lý trên nhiều khu vực pháp lý khác nhau. Nguy cơ này không chỉ đe dọa uy tín của Aeroflot mà còn có thể dẫn đến các vụ kiện tụng và phạt tiền nặng nề.
Phản Ứng và Bối Cảnh Rủi Ro An Ninh Mạng
Tổng Công tố Nga đã mở một cuộc điều tra hình sự theo Điều 272 về “truy cập trái phép”. Người phát ngôn Điện Kremlin Dmitry Peskov gọi vụ việc là “khá đáng báo động”. Điều này nhấn mạnh mức độ nghiêm trọng mà chính quyền Nga nhìn nhận về sự cố này.
Vụ tấn công mạng này một lần nữa cho thấy các lỗ hổng an ninh mạng ngày càng tăng mà các doanh nghiệp Nga phải đối mặt. Đặc biệt, nó diễn ra trong bối cảnh xung đột đang diễn ra ở Ukraine. Sự cố này đại diện cho một sự leo thang đáng kể trên mặt trận kỹ thuật số của cuộc xung đột Nga-Ukraine. Đây là lần đầu tiên hãng hàng không hàng đầu của Nga phải chịu một cuộc phá hoại mạng quy mô lớn, gây ra cả thiệt hại mang tính biểu tượng và hoạt động cho ngành hàng không của nước này.
