Vụ tấn công mạng phơi bày những lỗ hổng bảo mật nghiêm trọng của chính phủ Syria

Vụ tấn công mạng phơi bày những lỗ hổng bảo mật nghiêm trọng của chính phủ Syria

Khi một làn sóng hoạt động bất thường quét qua các tài khoản chính phủ Syria trên nền tảng X (trước đây là Twitter) vào tháng 3, ban đầu nó trông giống như một sự hỗn loạn thuần túy—troll, tên giả mạo và thậm chí là nội dung khiêu dâm. Nhưng ẩn dưới sự ồn ào đó là một điều đáng báo động hơn nhiều: một quốc gia vẫn đang vật lộn với lớp bảo mật mạng cơ bản nhất.

Vào đầu tháng 3, một số tài khoản chính phủ Syria chính thức trên X—bao gồm các tài khoản liên quan đến Tổng thư ký Tổng thống, Ngân hàng Trung ương và nhiều bộ ngành khác—đã bị tấn công. Các hồ sơ bị xâm phạm đã đăng bài "Vinh danh Israel", retweet nội dung khiêu dâm và tạm thời đổi tên mình theo tên các lãnh đạo Israel.

Các cơ quan chức năng đã nhanh chóng khôi phục lại quyền kiểm soát trong vài ngày, với Bộ Truyền thông và Công nghệ Thông tin tuyên bố các "bước khẩn cấp" để lấy lại tài khoản và ngăn chặn các vi phạm thêm. Tuy nhiên, điều vẫn chưa được giải quyết là câu hỏi sâu sắc hơn: Cửa kỹ thuật số của nhà nước này có an toàn đến đâu?

Trong một chính phủ hiện nay phụ thuộc vào các nền tảng thương mại để giao tiếp, việc mất một tài khoản được xác minh không chỉ làm gián đoạn thông điệp—nó còn làm tắt tiếng nói của nhà nước.

Khi Nhà nước ngừng nói lên tiếng nói của chính mình

Nhìn thoáng qua, vụ vi phạm này dường như mang tính chất chính trị. Các thông điệp ủng hộ Israel lan truyền trên các tài khoản chính phủ được xác nhận trong một thời điểm khu vực căng thẳng đã làm dấy lên sự suy đoán về động cơ và nguồn gốc. Không nhóm nào nhận trách nhiệm, và các quan chức không làm rõ liệu các hệ thống nội bộ có bị xâm phạm hay không.

Đối với các nhà phân tích, sự việc này ít chỉ đến một cuộc tấn công mạng mang động cơ địa chính trị mà nhiều hơn là một điểm yếu hệ thống quen thuộc.

"Chúng tôi vẫn chưa biết chính xác điều gì đã xảy ra. Dù tài khoản bị tấn công trực tiếp hay được truy cập thông qua thông tin đăng nhập yếu hoặc được sử dụng lại, kết luận thì vẫn giống nhau: các thực hành bảo mật kỹ thuật số rất kém," Noura Aljizawi, nhà nghiên cứu cấp cao tại Citizen Lab, một tổ chức nghiên cứu giám sát các mối đe dọa đối với xã hội dân sự trong thời đại kỹ thuật số, cho biết.

Bộ này cho biết họ đã phối hợp với các quản trị viên tài khoản và X để "khôi phục quyền kiểm soát và tăng cường bảo mật", hứa hẹn các biện pháp quy định mới sớm được áp dụng. Những kẻ đứng sau chưa được xác nhận danh tính công khai.

Một điểm yếu, nhiều tài khoản

Trước khi các tài khoản được khôi phục, một số tài khoản đã hiển thị thông điệp ủng hộ Israel giống hệt nhau—chi tiết này gợi ý về việc chia sẻ thông tin đăng nhập hoặc quyền truy cập tập trung, theo dữ liệu giám sát nền tảng.

Đánh giá này được cộng đồng an ninh mạng đồng tình.

"Thực tế là một số tài khoản X chính thức dường như bị sụp đổ liên tiếp cho thấy một số hình thức kiểm soát tập trung, có thể là cùng một thông tin đăng nhập được sử dụng trên nhiều tài khoản," Muhannad Abo Hajia, chuyên gia an ninh mạng tại nhóm Sanad có trụ sở tại Damascus, nói. "Thiết lập loại đó không có gì sai về bản chất, nhưng chỉ khi các biện pháp bảo vệ thích hợp được áp dụng."

Các chuyên gia cho biết mô hình này phù hợp với các lỗi phổ biến: sử dụng lại mật khẩu, cố gắng lừa đảo (phishing), kênh khôi phục bị xâm phạm hoặc thiếu xác thực đa yếu tố (MFA). Trong thực tế, một mật khẩu bất cẩn hoặc một email khôi phục bị xâm phạm duy nhất có thể cho phép người ngoài kiểm soát nhiều cơ quan.

"Việc chiếm đoạt tài khoản loại này khá phổ biến trên toàn cầu và thường là kết quả của các lỗ hổng quen thuộc: lừa đảo, sử dụng lại mật khẩu, email khôi phục bị xâm phạm, thông tin đăng nhập yếu hoặc thiếu MFA," Rinad Bouhadir, kỹ sư an ninh mạng đang theo dõi khu vực, cho biết.

Một hệ thống xây dựng trên nền tảng mong manh

Vụ vi phạm, theo các chuyên gia, phản ánh không phải là một cuộc tấn công mạng có mục tiêu mà là những lỗi cấu trúc sâu sắc hơn.

"Các cơ quan chức năng hiện tại kế thừa một hệ thống an ninh mạng gần như không tồn tại và chưa coi việc sửa chữa nó là một ưu tiên thực sự," Dlshad Othman, chuyên gia an ninh mạng người Syria, tin tưởng.

Ông tin rằng sự việc này có thể bắt nguồn từ một đơn vị tập trung quản lý một số tài khoản chính thức hoặc một công cụ bên thứ ba được chia sẻ trên các bộ ngành—cả hai đều tạo ra một điểm thất bại duy nhất (single point of failure).

Thiết kế đó khiến nhiều cơ quan dễ bị tổn thương cùng một lúc. Trong những thời điểm căng thẳng gia tăng, ngay cả một bài đăng giả mạo từ tài khoản chính phủ được xác nhận cũng có thể khơi dậy sự hoảng loạn, báo cáo sai lệch hoặc leo thang trước khi được sửa chữa.

Một tài khoản chính phủ được xác nhận có thể bị vũ khí hóa để lan truyền thông tin sai lệch theo thời gian thực, đặc biệt là trong các giai đoạn leo thang khu vực, khi sự nhầm lẫn mang lại rủi ro thực tế ngay lập tức.

Vụ vi phạm cũng làm nổi bật khoảng trống lớn hơn trong nhận thức. "Các tổ chức chính phủ Syria và công chúng thiếu nhận thức về các nguyên tắc cơ bản của an ninh mạng," Abo Hajia nói. "Chúng ta đợi bị hack rồi mới thực hiện các biện pháp phòng ngừa và hiểu được tầm quan trọng của chúng."

Ngay cả các biện pháp bảo vệ đơn giản—trong đó có xác thực hai yếu tố—vẫn chưa được áp dụng nhất quán, Aljizawi lưu ý.

Hình ảnh vs. Thực tế

Trong vài năm qua, Syria đang quảng bá hình ảnh hiện đại hóa về công nghệ—nền tảng chính phủ kỹ thuật số, nói về cải cách cơ sở hạ tầng và ngôn ngữ của sự đổi mới. Nhưng các nhà phân tích cho biết những vẻ bề ngoài đó thường che giấu các hệ thống mong manh và các thực hành lỗi thời.

"Đáng lo ngại hơn nữa là những cuộc tấn công mà công chúng chưa bao giờ nghe đến," Othman nói, gợi ý rằng những gì bề mặt trên X có thể chỉ là một phần nhỏ của một lỗ hổng rộng lớn hơn, đang diễn ra. "Syria đã nhiều lần là mục tiêu của các hoạt động mạng nghiêm trọng, bao gồm các cuộc tấn công vào cơ sở hạ tầng viễn thông và tên miền cấp cao nhất, bởi cả các tác nhân nhà nước khu vực và quốc tế."

Đối với Mohammad Mostafa, một chuyên gia kỹ thuật số tại Sync, bài học rất đơn giản: "Điều này xảy ra do các lỗi cơ bản; nó có thể là kết quả của một nỗ lực lừa đảo có mục tiêu nhắm vào nhân viên truyền thông, sử dụng lại mật khẩu trên nhiều hồ sơ chính phủ, hoặc email/số điện thoại khôi phục bị xâm phạm liên kết với nhiều tài khoản cùng lúc. Không có kịch bản nào trong số đó đòi hỏi khả năng ưu việt. Chúng đòi hỏi những sai sót cơ bản."

Để giải quyết những sai sót đó, các nhà phân tích lập luận, cần nhiều hơn là các kế hoạch khôi phục khẩn cấp. An ninh thực sự có nghĩa là coi việc bảo vệ kỹ thuật số là cơ sở hạ tầng quốc gia, ngang hàng với quốc phòng vật lý, và đầu tư vào đào tạo, tiêu chuẩn và trách nhiệm giải trình thể chế.

Cho đến lúc đó, sự tự tin trực tuyến của Syria sẽ vẫn là những gì các chuyên gia mô tả là một "mặt nạ kỹ thuật số" mỏng manh—chỉ còn một vụ vi phạm nữa là sẽ bị tắt tiếng.