Gần ba năm trước, Colonial Pipeline bị tấn công và phải đóng cửa hệ thống đường ống dẫn nhiên liệu trong 6 ngày, dẫn đến tình trạng thiếu hụt khí đốt. Thủ đô Washington và 17 bang khác phải ban bố tình trạng khẩn cấp.
Toàn cảnh Colonial Pipeline bị tấn công
Colonial Pipeline là nạn nhân của ransomware vào tháng 5/2021, ảnh hưởng đến một số hệ thống kỹ thuật số và phải đóng cửa vài ngày. Vụ việc tác động đến cả người tiêu dùng lẫn các hãng hàng không dọc Bờ Đông. Nó được xem là một nguy cơ an ninh quốc gia vì đường ống này chuyển dầu từ các nhà máy lọc dầu sang các thị trường công nghiệp. Điều này khiến Tổng thống Mỹ Joe Biden phải ban bố tình trạng khẩn cấp.
Colonial Pipeline là một trong những đường ống dẫn dầu lớn nhất và quan trọng nhất ở Mỹ, bắt đầu vận hành năm 1962 để giúp vận chuyển dầu từ Vịnh Mexico đến các bang Bờ Đông. Hệ thống bao gồm hơn 5.500 dặm đường ống, bắt đầu từ Texas và di chuyển qua New Jersey, phụ trách gần một nửa nhiên liệu cho Bờ Đông. Nó cung cấp dầu tinh chế cho xăng, nhiên liệu máy bay, dầu cho các gia đình.
Nhiều trạm xăng tại các bang của Mỹ hết nhiên liệu do hệ thống Colonial Pipeline ngừng hoạt động, tháng 5/2021. Ảnh: NBC News Ngày 6/5/2021, nhóm tin tặc DarkSide đã truy cập mạng lưới của Colonial Pipeline, đánh cắp 100GB dữ liệu trong vòng 2 giờ. Sau đó, chúng lây nhiễm mạng lưới CNTT bằng mã độc tống tiền, tác động đến nhiều hệ thống máy tính, bao gồm kế toán và tính hóa đơn.
Colonial Pipeline đã phải đóng cửa đường ống để ngăn chặn ransomware lây lan. Sau đó, hãng bảo mật Mandiant được mời đến để điều tra vụ tấn công. FBI, Cơ quan An ninh mạng và An ninh hạ tầng, Bộ Năng lượng, Bộ An ninh nội địa Mỹ cũng tham gia.
Ngày 7/5/2021, công ty đường ống lớn nhất nước Mỹ phải trả tiền chuộc bằng 75 Bitcoin trị giá khoảng 4,4 triệu USD cho tin tặc để có được khóa giải mã. Đường ống được vận hành trở lại từ ngày 12/5/2021.
Trong phiên điều trần trước Quốc hội Mỹ ngày 8/6/2021, Charles Carmakal, Phó Chủ tịch cấp cao kiêm Giám đốc công nghệ Mandiant, cho biết kẻ tấn công đã xâm nhập mạng lưới bằng mật khẩu bị rò rỉ của một tài khoản VPN. Nhiều tổ chức sử dụng VPN để truy cập mạng doanh nghiệp an toàn từ xa.
Theo lời khai của Carmakal, một nhân viên Colonial Pipeline dường như đã dùng chung mật khẩu VPN với tài khoản khác nhưng mật khẩu này bằng cách nào đó bị lộ trong một vụ xâm phạm dữ liệu khác. Dùng chung mật khẩu cho nhiều tài khoản là sai lầm nhiều người mắc phải.
Cũng tại phiên điều trần, CEO Colonial Pipeline Joseph Blount giải thích lý do ông quyết định trả tiền chuộc. Tại thời điểm bị tấn công, ông không rõ mức độ lây lan cũng như mất bao lâu để khôi phục hệ thống. Do đó, ông đưa ra quyết định với hi vọng sẽ đẩy nhanh thời gian phục hồi.
Bộ Tư pháp Mỹ sau khi lần theo dấu vết thanh toán đã phát hiện địa chỉ kỹ thuật số của ví mà kẻ tấn công sử dụng và xin được lệnh tòa án để tịch thu Bitcoin. Kết quả, chiến dịch thu hồi được 64/75 Bitcoin với trị giá khoảng 2,4 triệu USD.
“Di sản” từ vụ tấn công Colonial Pipeline
Lần đầu tiên cả nước Mỹ chú ý đến ransomware, buộc Quốc hội phải thông qua các luật mới và thúc đẩy nhiều cơ quan liên bang đưa ra những yêu cầu an ninh mạng mới. Tấn công mã độc tống tiền không mới, nó từng hủy hoại nhiều chính quyền, cơ sở y tế và trường học trước khi Colonial Pipeline trở thành nạn nhân. Tuy nhiên, khác biệt là ở tác động mang tính chất khu vực, theo Ben Miller – Phó Chủ tịch dịch vụ hãng bảo mật hạ tầng Dragos.