Bloomberg: Mạng X của tỷ phú Elon Musk bị dính lỗ hổng bảo mật nghiêm trọng

[trungthuc]

Theo giới phân tích về an ninh mạng, một cuộc tấn công mạng ngày 10/3 đã làm gián đoạn hoạt động của nền tảng mạng xã hội X của tỷ phú Elon Musk khi nhắm vào các máy chủ không được bảo vệ đầy đủ.


(Minh họa)

Theo Bloomberg, nền tảng mạng xã hội này đã gặp phải tình trạng bị gián đoạn liên tục vào ngày 10/3. Tỷ phú Musk cho rằng nguyên nhân là do một "nhóm lớn có tổ chức" hoặc một quốc gia đã tiến hành một "cuộc tấn công mạng với quy mô lớn". Tuy nhiên, ông này không đưa ra thêm bất cứ bằng chứng nào để củng cố lời tuyên bố này.

Ông Jerome Meyer, chuyên gia nghiên cứu bảo mật tại Nokia Deepfield, một nhánh của tập đoàn Nokia Oyj, cho biết X đã trở thành mục tiêu của một cuộc "tấn công từ chối dịch vụ phân tán" (DDoS). Đây là hình thức tấn công khiến cho một trang web bị quá tải qua số lượng truy cập khổng lồ, buộc nó phải bị ngừng hoạt động. Ông Meyer đã theo dõi cuộc tấn công này bằng cách phân tích số liệu từ Nokia Deepfield, một hệ thống được triển khai trong các công ty viễn thông để cung cấp bảng phân tích và bảo vệ chống DDoS.

Ông cho biết, các đợt tấn công nhắm vào các "máy chủ gốc" (origin servers), những máy chủ giải quyết và phản hồi các yêu cầu từ internet. Những máy chủ này dễ bị tấn công vì dường như không được bảo vệ bằng biện pháp hửu hiệu ngăn chặn các cuộc tấn công DDoS. "Chúng không nên bị lộ ra trên internet", ông Meyer nhấn mạnh. Ông cũng cho biết một trong số các máy chủ bị tấn công vào ngày 10/3 vẫn tiếp tục bị cho cô lập lại cho đến sáng ngày 11/3 do rất dễ bị tấn cống thêm.

Hiện X chưa đưa ra hồi âm trước yêu cầu được bình luận về vụ này. Trong khi đó, nhóm tin tặc có tên Dark Storm Team, có quan điểm ủng hộ Palestine, đã lên tiếng nhận trách nhiệm về cuộc tấn công nhưng không cung cấp ra bằng chứng xác thực nào.

Lỗ hổng bảo mật của X
Trong một cuộc phỏng vấn trên đài BBC hôm 11/3, ông Ciaran Martin, vị cựu đứng đầu Trung tâm An ninh mạng Quốc gia Anh nhận định, "Có vẻ như X đã không cho triển khai Cloudflare theo đúng cách". Cloudflare vốn là công ty chuyên cung cấp dịch vụ bảo vệ chống DDoS. Ông Martin cũng cho biết X "đã cho đặt một số máy chủ ở bên ngoài thay vì bên trong lớp bảo vệ của Cloudflare".

"Giống như có bốn cánh cửa, được cho lắp khóa hiện đại vào ba cánh, nhưng lại để một cánh không có khóa", ông Martin đưa ra nhận xét. Đến nay, Cloudflare hiện chưa trả lời về lời phát biểu nói trên.

Ông David Mound, chuyên gia an ninh mạng tại SecurityScorecard Inc., cho biết hầu hết các trang web lớn đều có các biện pháp bảo vệ mạnh mẽ trước loại tấn công mạng này, bao gồm tường lửa ứng dụng web và các kỹ thuật bảo mật khác để ngăn chặn việc truy cập trái phép vào máy chủ gốc.

"Nếu máy chủ gốc của X bị lộ hoặc không có bộ lọc phù hợp, thì đây là một sai sót về bảo mật căn bản", ông Mound nói. Ông nhấn mạnh rằng, việc bảo vệ máy chủ gốc là một tiêu chuẩn bảo mật lâu đời đối với bất cứ dịch vụ web có quy mô lớn nhỏ nào.

Nguồn gốc cuộc tấn công

Tỷ phú Musk cho biết trong một cuộc phỏng vấn với Fox Business hôm 10/2 rằng công ty của ông đã lần ra địa chỉ IP có liên quan đến "khu vực ở Ukraine"(?). Tuy nhiên, các chuyên gia an ninh mạng đã tỏ ra hoài nghi về lời tuyên bố không có căn cứ này.

Theo ông Meyer từ Nokia, phần lớn các thiết bị tham gia vào cuộc tấn công đến từ Mỹ, Mexico, Tây Ban Nha, Ý và Brazil. Ông nhận định rằng, các thiết bị này có thể đã bị kiểm soát từ một quốc gia khác, nơi kẻ tấn công sử dụng nhiều lớp che giấu để giấu đi danh tính thực sự.

Ông Jason Kikta, cựu viên chức Bộ Chỉ huy An ninh mạng Mỹ, cho biết việc giả mạo địa chỉ của lưu lượng mạng truy cập trong các cuộc tấn công kiểu này là "rất phổ biến và đơn giản".

"Những địa chỉ IP mà nạn nhân nhìn thấy trong một cuộc tấn công DDoS có giá trị tương đương với việc mô tả một tên cướp ngân hàng đang đeo mặt nạ kiểu nào. Nó có thể là một manh mối ban đầu, nhưng không thực sự hữu ích", ông Kikta, hiện là Giám đốc An ninh thông tin tại Automox Inc., nhận xét.

Cuộc tấn công có liên quan đến mạng botnet

Ông Meyer cho biết cuộc tấn công xuất phát từ một mạng botnet, một tập hợp máy tính bị nhiễm phần mềm độc hại và bị kiểm soát bởi bọn tin tặc. Mạng botnet này bao gồm từ 10,000 đến 20,000 địa chỉ IP, chủ yếu có liên quan đến camera an ninh và các đầu ghi hình mạng, vốn có thể đã bị nhiễm phần mềm độc hại.

Nhiều thiết bị tham gia vào cuộc tấn công X được liên kết với botnet có tên "Eleven11bot". Ông Meyer cho biết, mạng botnet này đã từng thực hiện các cuộc tấn công từ chối dịch vụ nhắm vào các công ty cung cấp dịch vụ viễn thông và hạ tầng lưu trữ game. Ông đã theo dõi botnet này trong vài tuần vừa qua.

Sau khi tỷ phú Musk mua lại Twitter vào năm 2022 và đổi tên thành X, hơn 100 nhân viên phụ trách vấn đề bảo mật và quyền riêng tư đã rời khỏi công ty. Theo Bloomberg News, điều này khiến cho số lượng nhân sự chịu trách nhiệm bảo vệ cơ sở hạ tầng của nền tảng này khỏi các cuộc tấn công mạng và rò rỉ dữ liệu bị giảm đi khoảng một nửa.