Khi quân đội Nga đổ bộ đến biên giới vào ngày 14.1, hàng chục trang web của chính phủ Ukraine đã bị tấn công thay đổi nội dung với dòng chữ "Hãy sợ hãi và chờ đợi điều tồi tệ nhất".

Vụ tấn công phối hợp này được các quan chức an ninh mạng Ukraine và phương Tây coi là lời cảnh báo ban đầu rằng Nga sẽ tiến hành cuộc chiến kỹ thuật số đáng sợ cùng cuộc tấn công trên bộ vào Ukraine. Ngay sau đó, một loạt các cuộc tấn công mạng lớn đã được phát hiện vào các nhóm năng lượng và truyền thông nhưng cũng nhanh chóng bị đẩy lùi.

Một tháng sau cuộc tấn công của Nga, các quan chức Ukraine an ủi rằng các mạng quan trọng đã chịu đựng được các cuộc tấn công trong hàng tuần. Thế nhưng, một quan chức đã cảnh báo các nguồn lực mạnh mẽ hơn của Nga có thể làm suy giảm dần khả năng chống trả trực tuyến.

Bản tường trình về giai đoạn đầu cuộc chiến tranh mạng của Nga với Ukraine dựa trên các cuộc phỏng vấn với các quan chức Ukraine và phương Tây có kiến ​​thức trực tiếp về các sự kiện, nhiều trong số đó chưa được báo cáo trước đây.

Cùng thời điểm khi các trang web chính phủ Ukraine bị tấn công vào tháng 1.2022, Ukrenergo (công ty truyền tải điện thuộc sở hữu của chính phủ Ukraine) đã quan sát thấy sự gia tăng trong các nỗ lực xâm nhập vào mạng của họ. Các kỹ sư đã cảnh giác cao độ, được giao nhiệm vụ ngăn chặn sự lặp lại của một cuộc tấn công mạng năm 2015 - khi đó ​​hacker Nga cắt điện tới các khu vực Kyiv.

dang-sau-he-thong-phong-thu-online-ukraine2.jpg

Hoạt động của gần 6.000 tuabin gió do Enercon sở hữu bị ảnh hưởng bởi một cuộc tấn công mạng có thể xảy ra vào hệ thống vệ tinh vài giờ sau khi Nga đánh Ukraine - Ảnh: Reuters

Theo Oleksander Kharchenko, cố vấn của Bộ Năng lượng Ukraine, đến tháng 2.2022, số lần thất bại đã cao gấp ba lần so với một năm trước đó. Một nỗ lực đặc biệt táo bạo liên quan đến việc một nhân viên địa phương đang cố gắng lén đưa mã độc vào trụ sở công ty.

Oleksander Kharchenko nói: “Họ đang thử mọi thứ, cố gắng đột nhập vào trang web của chúng tôi, thử DDoS 24/7". DDoS mô tả hành vi tấn công từ chối dịch vụ phân tán, nơi hàng ngàn máy tính gửi yêu cầu đồng thời để phá hủy hệ thống.

Trong vòng 1 giờ sau khi Tổng thống Vladimir Putin tuyên bố trước rạng sáng 24.2 rằng đã điều quân đến Ukraine, hàng ngàn modem trên khắp Trung Âu đã mất kết nối với một vệ tinh bay cách Trái đất 36.000 km.

Khi các modem kết nối với khách hàng của vệ tinh ViaSat (Mỹ) nhấp nháy cảnh báo, việc mất dữ liệu đột ngột truyền qua châu Âu. Khoảng 5.800 tuabin gió thuộc sở hữu của Enercon (Đức) đã chuyển sang chế độ dự phòng do công ty mất khả năng giám sát hoạt động của chúng từ xa. Hàng ngàn người ở Ý, Đức và Ba Lan bị mất kết nối internet. ViaSat đã thừa nhận gặp sự cố mạng nhưng không đổ lỗi cho Nga về điều đó.

Ở Ukraine, việc mất kết nối dữ liệu đột ngột đã ảnh hưởng đến các căn cứ quân sự rải rác của nước này. Song khi hàng chục modem cấp quân sự Ukraine đột ngột ngừng hoạt động, quân đội đã nhanh chóng chuyển sang các phương thức liên lạc được mã hóa khác. Một trong những người có kiến ​​thức về vụ việc cho biết: “Luôn có các hệ thống dự phòng. Chiến tranh mới bắt đầu, nhưng các đội đã được huấn luyện cho tình huống này để tránh thảm họa bằng mọi giá".

Các mạng lưới viễn thông và lưới năng lượng của Ukraine phần lớn vẫn có khả năng phục hồi, song một số bị sập chỉ sau một trận mưa tên lửa và súng cối đã phá hủy cơ sở hạ tầng vật chất, chẳng hạn ở thành phố Mariupol, theo Victor Zhora, quan chức cấp cao được giao nhiệm vụ điều phối hệ thống phòng thủ mạng của đất nước với các đồng minh phương Tây.

Ông Victor Zhora nói thêm, cường độ các cuộc tấn công, không phải vào mạng lưới điện, đã giảm kể từ khi bắt đầu xảy ra các cuộc chiến. “Chúng ta hiện có những khoảng thời gian yên tĩnh hơn trước và điều đó có thể được giải thích do đối thủ tập trung chiến tranh thông thường vào Ukraine thay vì cơ sở hạ tầng CNTT”, Victor Zhora cho hay.

Các kỹ sư Ukraine, đặc biệt là những người bảo vệ cơ sở hạ tầng dân sự khỏi các cuộc tấn công mạng, đã có thể kêu gọi sự hỗ trợ từ các công ty phương Tây như Cisco, Microsoft và Google, đang bảo vệ ít nhất 150 công ty trong nước.

dang-sau-he-thong-phong-thu-online-ukraine.jpg

Khi quân đội Nga bắt đầu cuộc chiến trên mặt đất, hàng chục hacker có quan hệ với Nga và Belarus đã thực hiện các cuộc tấn công mạng trên khắp Ukraine - Ảnh: EPA

Xen kẽ đó là những cuộc tấn công mạng không thường xuyên với cường độ dữ dội. Ngày 24.2, vào khoảng thời gian các kết nối vệ tinh ViaSat bị cắt đứt, các cuộc tấn công trên toàn Ukraine cũng được thực hiện bởi khoảng 100 hacker có kỹ năng cao từ gần 12 nhóm có quan hệ với Nga và Belarus. Serhii Demadiuk, Phó thư ký Hội đồng Quốc phòng và An ninh Quốc gia, đồng thời là cựu Cục trưởng Cảnh sát mạng Ukraine, nói thông tin này.

Serhii Demadiuk nói: “Các cuộc tấn công mạng vào cơ sở hạ tầng CNTT, trước cuộc chiến và ném bom vật lý vào các thành phố của Ukraine, là hoạt động mạng phức tạp nhất lịch sử và là một trong những ví dụ đầu tiên cho thấy một cuộc chiến tranh mạng thực sự trông như thế nào”.

Trong một ví dụ, ông nói tổ chức an ninh lớn của Ukraine với hơn 5.000 nhân viên và 1.000 máy chủ đã ngăn chặn tình trạng mất toàn bộ dữ liệu nghiêm trọng chỉ với 90 phút dự phòng do cảnh báo từ đối tác Mỹ.

Những cuộc tấn công vẫn chưa dừng lại. Theo các nhà nghiên cứu tại hãng Symantec (Mỹ), một tổ chức tài chính được nhắm mục tiêu vào ngày đầu tiên của cuộc chiến, đã chứng kiến ​​loạt các phần mềm độc hại khác được gọi là wiper malware vào ngày 14.3. Chúng cố gắng xóa tất cả dữ liệu của họ, cùng nỗ lực xóa sạch dữ liệu tại nhà cung cấp CNTT lớn.

Matt Olney, người đứng đầu nhóm tình báo về mối đe dọa bên trong Cisco, nói: “Người Ukraine hiện có kiến ​​thức chuyên môn mà có thể họ không có vào năm 2015. Họ đã học được những bài học trong 5, 6 năm qua”.

Từng nghiên cứu cuộc tấn công ban đầu từ Nga năm 2015 đã đánh sập các mạng lưới năng lượng của Ukraine và một phần mềm độc hại năm 2017, Matt Olney (biệt danh NotPetya) đã xóa một cách hiệu quả các bộ phận lớn hệ thống máy tính. Cisco có khoảng 500 người làm việc để giúp khách hàng ứng phó với các cuộc tấn công.

Trong một trường hợp, vụ bắn phá yêu cầu các kỹ sư phải chuyển các máy chủ đến thành phố khác và đưa chúng trở lại trực tuyến (nhiệm vụ tốn nhiều công sức và phức tạp ngay cả trong thời gian bình thường) để giữ cho hệ thống hoạt động, theo Matt Olney.

Các quan chức Mỹ nói rằng một phần khả năng phục hồi đáng ngạc nhiên của Ukraine trên chiến trường mạng là do Nga chưa phát huy hết khả năng cho các cuộc tấn công tàn khốc.

"Tôi vẫn tương đối ngạc nhiên rằng họ không thực sự đưa ra mức độ độc hại mà kho vũ khí mạng của họ có", Thượng nghị sĩ Mỹ Mark Warner nói tại một hội nghị tuần trước.

Những người khác, bao gồm cả Matt Olney tại Cisco, nói rằng Nga đang sử dụng kho vũ khí mạng của mình cho các hoạt động gián điệp truyền thống hơn, chẳng hạn như hack các mạng phương Tây để vượt qua các lệnh trừng phạt hoặc theo dõi hoạt động di chuyển của quân đội.

Ngày càng có nhiều lo ngại rằng Nga vẫn có thể tấn công một loạt các mục tiêu.

Tổng thống Mỹ - Joe Biden hôm 22.3 cảnh báo các doanh nghiệp Mỹ tăng cường phòng thủ mạng trước nguy cơ bị Nga tấn công mạng. Ông nói: “Sức mạnh không gian mạng của Nga có quy mô khá lớn và nó đang đến".