Mạng xã hội X của Elon Musk bị tấn công, lộ diện danh tính nhóm tin tặc

Dark Storm Team - một nhóm tin tặc chuyên thực hiện các cuộc tấn công từ chối dịch vụ (DDoS - Distributed Denial-of-Service) đã tuyên bố đứng sau vụ tấn công khiến mạng xã hội X bị ngưng trệ và không thể truy cập từ tối 10/3 (giờ Việt Nam). Nhóm này đã công bố ảnh chụp màn hình quá trình thực hiện tấn công cùng một báo cáo chi tiết về tình trạng các máy chủ của X, nhằm chứng minh hành động của mình.

Các chuyên gia bảo mật cho biết, Dark Storm Team là nhóm tin tặc ủng hộ Palestine, thường nhắm vào hệ thống máy tính và máy chủ của các công ty lớn tại Mỹ, Israel, Ukraine… Những nhóm tin tặc chuyên thực hiện tấn công DDoS như Dark Storm Team thường sử dụng botnet (mạng máy tính ma) gồm hàng nghìn đến hàng triệu thiết bị trên toàn cầu.

Chúng phát tán mã độc, lây nhiễm vào máy tính nạn nhân, sau đó điều khiển các thiết bị này để thực hiện các cuộc tấn công mà người dùng không hề hay biết. DDoS khiến máy chủ mục tiêu bị quá tải do phải xử lý lượng truy cập khổng lồ, dẫn đến gián đoạn hoặc sập hoàn toàn dịch vụ.

Tuy nhiên, phương thức này không gây mất mát hoặc hư hại dữ liệu, do đó mức độ thiệt hại thường thấp hơn so với các cuộc tấn công xâm nhập hoặc mã hóa dữ liệu.

Dark Storm Team đứng ra nhận trách nhiệm về vụ tấn công nhằm vào mạng xã hội X (Ảnh: Getty).

Do các cuộc tấn công DDoS xuất phát từ nhiều máy tính trên khắp thế giới, việc truy vết nguồn gốc thực sự của chúng gặp rất nhiều khó khăn.

Trước đó, ông Ciaran Martin, cựu lãnh đạo Trung tâm An ninh mạng Quốc gia Anh nhận định “có vẻ như X đã không triển khai Cloudflare đúng cách”. Cloudflare là công ty chuyên cung cấp dịch vụ bảo vệ chống DDoS. Ông Martin cũng cho biết X “đã đặt một số máy chủ bên ngoài thay vì bên trong lớp bảo vệ của Cloudflare”.

“Giống như có 4 cánh cửa, lắp khóa hiện đại vào 3 cánh, nhưng lại để một cánh không khóa”, ông Martin nhận xét. Đến nay, Cloudflare hiện chưa phản hồi về phát biểu trên.

Ông David Mound, chuyên gia an ninh mạng tại SecurityScorecard Inc. cho biết, hầu hết trang web lớn đều có các biện pháp bảo vệ mạnh mẽ trước loại tấn công này, bao gồm tường lửa ứng dụng web và các công nghệ khác để ngăn chặn truy cập trái phép vào máy chủ gốc.

“Nếu máy chủ gốc của X bị lộ hoặc không có bộ lọc phù hợp, đây là một sai sót bảo mật cơ bản”, ông Mound nói. Ông nhấn mạnh việc bảo vệ máy chủ gốc là tiêu chuẩn bảo mật lâu đời đối với bất kỳ dịch vụ web quy mô lớn nào.

Theo ông Meyer từ Nokia, phần lớn thiết bị tham gia vào cuộc tấn công đến từ Mỹ, Mexico, Tây Ban Nha, Italia và Brazil. Ông nhận định các thiết bị này có thể đã bị kiểm soát từ một quốc gia khác, nơi kẻ tấn công sử dụng nhiều lớp che giấu để giấu danh tính thực sự.

Ông Jason Kikta, cựu quan chức Bộ Chỉ huy An ninh mạng Mỹ cho biết, việc giả mạo địa chỉ của lưu lượng mạng truy cập trong các cuộc tấn công kiểu này là “rất phổ biến và đơn giản". "Những địa chỉ IP mà nạn nhân nhìn thấy trong một cuộc tấn công DDoS có giá trị tương đương với việc mô tả một tên cướp ngân hàng đang đeo mặt nạ kiểu nào. Nó có thể là manh mối ban đầu nhưng không thực sự hữu ích”, ông Kikta, hiện là Giám đốc An ninh thông tin tại Automox Inc., nhận xét.

Ông Meyer cho biết, cuộc tấn công xuất phát từ mạng botnet - một tập hợp máy tính bị nhiễm phần mềm độc hại và bị kiểm soát bởi tin tặc. Mạng botnet này bao gồm từ 10.000 đến 20.000 địa chỉ IP, chủ yếu liên quan đến camera an ninh và các đầu ghi hình mạng, vốn có thể đã bị nhiễm phần mềm độc hại.

Thanh Hiền (t/h)