Các hacker Ukraine phá hủy hạ tầng IT của nhà sản xuất drone Nga

 (prm.ua)
1 điểm bởi GN⁺ 2025-07-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhóm hacker Ukraine đã phối hợp với cơ quan tình báo quân sự để làm tê liệt hạ tầng IT của Gaskar Integration, một trong những nhà sản xuất drone lớn của Nga
  • Hơn 47TB dữ liệu quan trọng và tài liệu sao lưu đã bị xóa, khiến hoạt động kinh doanh cốt lõi bị gián đoạn
  • Hệ thống nội bộ nhà máy cùng các chương trình kế toán và sản xuất đều rơi vào trạng thái không thể vận hành
  • Ngay cả cửa ra vào của nhà máy sản xuất cũng bị khóa, buộc nhân viên phải sử dụng lối thoát hiểm để ra vào
  • Dữ liệu bị chiếm đoạt bao gồm thông tin cá nhân của nhân viên và tài liệu kỹ thuật về drone, sau đó được cung cấp cho Bộ Quốc phòng Ukraine

Nội dung chính

  • Các nhà hoạt động mạng Ukraine đã phối hợp với cơ quan tình báo quân sự để tấn công mạng lưới và hạ tầng máy chủ của Gaskar Integration, một trong những nhà sản xuất quy mô lớn nhất cung cấp drone cho quân đội Nga
  • Vụ tấn công đã phá hủy hơn 47TB thông tin kỹ thuật cùng 10TB dữ liệu sao lưu, trong đó còn có dấu hiệu cho thấy sự hợp tác chặt chẽ giữa Nga và Trung Quốc
  • Do vụ hack, internet, chương trình sản xuất, chương trình kế toán và toàn bộ hệ thống trong doanh nghiệp đều bị tê liệt, khiến trung tâm R&D của Gaskar cũng không thể vận hành bình thường
  • Tất cả cửa ra vào trong các nhà máy sản xuất drone đều bị khóa, khiến nhân viên phải ra về và di chuyển qua lối thoát hiểm
  • Thông tin bị lấy cắp bao gồm bản khảo sát mật của nhân viên và tài liệu kỹ thuật liên quan đến sản xuất drone, và đã được chuyển cho các chuyên gia thuộc Bộ Quốc phòng Ukraine

Bối cảnh bổ sung

  • Các chuyên gia an ninh mạng thuộc cơ quan tình báo quân sự trước đây cũng từng vô hiệu hóa website đường sắt Nga bằng một cuộc tấn công mạnh
  • Trong quá khứ, họ cũng từng tấn công thành công Regiontransservice của Nga, khiến toàn bộ dịch vụ bị ngừng hoạt động

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-17
Ý kiến trên Hacker News

  • Tôi vận hành một lab nhỏ tại nhà, có khoảng 30 dịch vụ
    Một ngày nọ tôi thay ổ đĩa chính và dùng bản sao lưu để dựng lại mọi thứ từ đầu, chỉ mất một giờ là hoạt động trở lại
    Nhưng sau đó tôi phải vật lộn suốt một tuần để chỉnh chỗ này chỗ kia, kể cả những phần mà tôi còn không nhớ nổi vì sao mình lại cấu hình như vậy
    Đây chỉ là một lab đơn giản dựa trên Docker do một người quản lý, và tôi cũng làm trong ngành IT
    Nhưng khôi phục toàn bộ hạ tầng từ đầu, thứ đã được nhiều người quản lý trong nhiều năm, thực sự là một việc khổng lồ
    Tôi từng tình nguyện giúp một bệnh viện gần đó khôi phục sau khi bị ransomware tấn công, và hai nhân viên IT ở đó hoàn toàn không biết phải làm gì, sự hỗ trợ chính thức thì dưới mức kỳ vọng
    Tôi cũng từng hỗ trợ các sự cố ransomware ở doanh nghiệp lớn, và nỗ lực để nhớ ra vì sao hệ thống lại được cấu hình như vậy là vô cùng lớn
    Dù có tài liệu và có thử nghiệm đi nữa thì khi vào thực chiến vẫn thấy rõ bức tường của thực tế

    • Nhà tôi từng bị cảnh sát đột kích và họ mang đi số thiết bị trị giá 10.000 USD, gồm desktop, laptop, NAS, ổ cứng và nhiều thứ khác
      Nhờ trước đây từng phụ trách kế hoạch sao lưu và khôi phục thảm họa ở chỗ làm cũ nên tôi đã chuẩn bị sẵn

      • Bản sao lưu mirror tại chỗ (cảnh sát không tìm thấy hoặc thấy nhưng bỏ lại)
      • Thiết bị cũ (tôi có xu hướng sưu tầm, cũng là để phòng tình huống kiểu này)
      • Nhiều bản sao lưu offsite
      • Tài liệu hóa quy trình thiết lập
        Chỉ trong một hai ngày tôi đã khôi phục được phần lớn, mất dữ liệu khoảng hai ngày, may là chỉ dùng ở nhà nên không quá nghiêm trọng
        Sau vụ đó tôi đã thực hiện nhiều cải tiến mang tính cấu trúc, nên nếu sau này xảy ra chuyện tương tự thì thiệt hại sẽ còn ít hơn
        (Và 8 tháng sau cảnh sát kết luận tôi vô tội và yêu cầu trả lại thiết bị, nhưng bọn trẻ thì đã bị sang chấn)

    • Đây chính là lý do vì sao tài liệu hóa quan trọng đến vậy, và ở cấp độ kiến trúc phần mềm cũng thế
      Chỉ vài tháng sau là rất dễ quên mất vì sao mình đã đưa ra lựa chọn đó
      Ví dụ như "vì sao lại chọn Kysely làm công cụ ORM/SQL", "vì sao dùng Deno/Bun", "vì sao cấu trúc thư mục theo tính năng", "vì sao fork thư viện và quản lý nó thế nào", "vì sao chọn AWS/GCP/Azure/Docker", "vì sao chọn bản phân phối Kubernetes này", "vì sao khởi động dự án này/mục tiêu là gì"
      Vì vậy tôi tạo phần # Decisions trong README.md để ghi lại
      Nhờ thế tôi thoát khỏi cảnh cứ liên tục nghi ngờ quyết định của chính mình và lục tung tài liệu không hồi kết

    • Mainframe thập niên 90 ổn định đến mức khó tin và có cấu hình dự phòng rất tốt, nên có những trường hợp hơn 10 năm không cần reboot, thậm chí còn nâng cấp kernel không gián đoạn được
      Nhưng rồi một công ty bị mất điện, máy phát điện dự phòng cũng hỏng, và khi có điện trở lại thì họ mất hàng tháng chỉ để xác định cỗ máy đó thực sự đang làm gì và phải khởi động nó thế nào
      Từ sau đó, phần lớn công ty bắt đầu cố ý reboot mainframe 6 tháng một lần để kiểm tra khả năng khởi động lại

    • Trong thực tiễn IT hiện đại, khôi phục sau thảm họa gần như không được tính đến
      Ngay cả những tổ chức sao lưu rất nghiêm ngặt cũng hiếm khi thật sự kiểm tra việc khôi phục
      Vì thiếu nhân lực nên người ta chỉ lo dựng nhanh thứ gì đó lên
      Thiết kế một hạ tầng có thể tái cấu hình dễ dàng đòi hỏi công sức gấp đôi so với chỉ cài đặt cho chạy được

    • Tôi tò mò về câu chuyện tình nguyện hỗ trợ bệnh viện bị ransomware
      Trong healthcare IT, quyền truy cập thường bị kiểm soát cực kỳ chặt, trước đây nếu không có đào tạo PHI hay kiểm tra lý lịch thì không thể vào hệ thống được; nên tôi muốn hỏi là trong tình huống khẩn cấp họ đã cho làm thủ tục onboard tạm thời thật nhanh, hay là bạn tham gia tình nguyện nhờ quan hệ quen biết trong bệnh viện

  • Tôi đang làm ở một công ty Đức
    Bộ phận quản lý sản xuất đang in kế hoạch trước 3 tháng ra Excel để làm việc
    Việc migrate hệ thống ERP đã thất bại, và không ai biết cách giải quyết
    Bộ phận quản lý sản xuất che giấu chuyện này và thậm chí không nói gì với bộ phận kỹ thuật
    Tình trạng này có vẻ sẽ kéo dài nhiều năm, đúng kiểu một hệ thống nuôi sống các consultant
    Nó chứng minh rằng sản xuất không nhất thiết phải có hạ tầng IT, không có thì vẫn sống được, có thì chỉ là tốt hơn thôi

    • Cuối thập niên 90 đến đầu 2000, Bộ Quốc phòng Đan Mạch từng cố triển khai DeMars, một hệ thống mua sắm mới xây trên SAP
      Một người bạn tôi làm công việc mua sắm khi đó đã đặt mua một lượng vật tư cực lớn ngay trước khi DeMars được đưa vào sử dụng, thậm chí còn từng bị gọi lên vì nghi ngờ gian lận
      Lý do là anh ấy không tin DeMars và cho rằng giữ tồn kho là rất quan trọng
      Quả đúng như vậy, khi DeMars đi vào hoạt động thì công việc mua sắm gần như tê liệt trong suốt một năm
      Cuối cùng chỉ những mặt hàng do bạn tôi phụ trách là vẫn còn tồn kho trong suốt quá trình chuyển sang hệ thống mới

    • Cuối thập niên 90 tôi từng làm firmware developer tại một hãng sản xuất
      Đó vẫn là thời mà mọi thứ đều được ghi ra giấy
      Công ty đã triển khai thành công một ERP dựa trên Oracle và ai cũng vui mừng, nhưng 6 tháng sau có người lái xe nâng đâm vào tường phòng máy, gây cháy ở UPS và thiêu rụi ba rack thiết bị, trong đó có cả server Oracle
      Vì không ai thật sự tin hệ thống nên mọi thứ vẫn tiếp tục được ghi trên giấy, nên mãi đến khi tôi nghỉ việc sau 6 năm thì công việc vẫn chạy bằng giấy cộng với báo cáo Excel
      Kết quả là phương pháp dựa trên giấy được chứng minh là chống chịu xe nâng tốt hơn

    • Excel là thứ mà rất nhiều nhân viên văn phòng có thể trực quan hiểu và chỉnh sửa
      Nếu phần lớn hạ tầng IT có thêm những khả năng dễ tiếp cận như vậy thì có lẽ sẽ thực dụng hơn nhiều

    • Mặt khác, khi tự động hóa IT đã ăn sâu vào sản xuất và không còn ai quen với cách làm thủ công trước đây, thì quay lại phương thức thủ công có thể thực sự rất khó
      Dù điều này còn tùy vào độ phức tạp của đơn hàng/quy trình làm việc

    • Không có phần mềm thì drone cũng vô dụng
      Nếu nhớ hết tồn kho thì có thể còn lắp được vài chiếc quadcopter điều khiển tay, nhưng sản xuất linh kiện in 3D, bay ổn định, vận hành tự động, giám sát và các ứng dụng nâng cao khác thì không thể
      Điều khiển từ xa cũng sẽ rất khó

  • Chiến tranh mạng ở Ukraine đang đạt tới một đỉnh cao mới, vượt ra ngoài khái niệm tấn công mạng đơn thuần
    Các cơ sở sản xuất drone Nga như nơi vừa bị tấn công lần này chính là một trong những yếu tố cốt lõi đã làm thay đổi cục diện cuộc chiến
    Drone đã mang đến những đổi mới như trinh sát, gây nhiễu và đánh chặn đạn dược
    Sức phá hoại của chúng lớn so với vật liệu sử dụng, và nhờ tiến bộ trong công nghệ nhận diện hình ảnh, một số chiếc vẫn hoạt động được ngay cả khi bị gây nhiễu tín hiệu
    Một hiện thực như phim điệp viên đang diễn ra
    Điều đó cho thấy Ukraine rất giỏi trong chiến tranh bất đối xứng
    Bằng cách phá hủy máy bay ném bom tầm xa và làm tê liệt các điểm sản xuất drone, họ đang làm lung lay lực lượng chủ lực của Nga
    Không biết chiến tranh sẽ kết thúc thế nào, nhưng rõ ràng sự kháng cự của Ukraine sẽ còn tiếp tục

    • Trong tiểu thuyết Ministry of the Future, drone phát triển tới mức chiến tranh truyền thống trở nên vô nghĩa trong một thế giới mà không ai còn an toàn
      Chỉ một nhóm nhỏ cũng có thể ám sát bất kỳ ai ở bất kỳ đâu trên thế giới
      Ý tưởng thì thú vị, nhưng cốt truyện yếu nên cá nhân tôi không thực sự muốn giới thiệu cuốn sách đó

    • Về chuyện “drone vẫn hoạt động khi bị gây nhiễu điện tử”, gần đây còn có loại drone không dùng sóng vô tuyến mà được điều khiển bằng cáp quang, thực tế còn đáng sợ hơn

    • Việc drone đóng vai trò quan trọng trong cuộc chiến này có áp dụng cho các cuộc chiến khác trong tương lai hay không vẫn còn phải chờ xem
      Bối cảnh đặc biệt là Nga chấp nhận tổn thất nhân mạng rất lớn để tiến lên từng chút một đang làm tăng giá trị của drone FPV
      Đa số quốc gia sẽ không chấp nhận mức tổn thất như vậy, nên tôi không nghĩ hình thái này sẽ trở thành tiêu chuẩn của chiến tranh
      Có khi drone phản lực tầm xa giá rẻ lại sẽ đóng vai trò quan trọng hơn

    • Thông tin trong bài chứa khá nhiều giả định
      Chúng ta mới chỉ nghe từ một phía, và vì giá trị tuyên truyền nên có thể đã bị phóng đại
      Nếu version control được quản lý đúng, thì việc mỗi developer giữ bản sao code và file CAD ở local là chuyện bình thường
      Email và file văn phòng có thể đã mất, nhưng chưa chắc đó đã là tổn thất chí mạng
      Website vẫn đang hoạt động bình thường
      Công ty bị tấn công lần này cũng không phải cái tên nổi tiếng trong cộng đồng drone, nên có lẽ không phải kiểu gián đoạn sản xuất của một mẫu lớn nào đó
      Khó tin là họ lại không biết những nguyên tắc cơ bản như version control, và tôi cũng có cảm giác cách viết bình luận này trông như do ChatGPT tạo ra

  • Tôi làm ở một công ty tầm trung tại Thụy Sĩ
    Chúng tôi đang tự phát triển ERP, và stack của nó là một cơn ác mộng đúng nghĩa
    Chúng tôi tự gọi đó là ‘security through chaos’
    Kẻ tấn công dù xâm nhập được cũng sẽ không thoát ra nổi
    Dù 90% code bị phá hủy thì dịch vụ cũng không bị ảnh hưởng, vì 95% trong đó vốn đã là code vô dụng

    • Tôi từng có kinh nghiệm tự phát triển hệ thống MRP cho doanh nghiệp lớn nên rất tò mò xem cách này sẽ đi đến đâu
      Bình thường tôi còn thêm cả một lớp xác thực khóa dựa trên OTP-hash vào các phương thức bảo mật/khôi phục thảm họa được khuyến nghị
      Tôi từng nghĩ mình đã quá tay, nhưng hệ thống này gần như giống một kịch bản sinh tồn tận thế

    • Nghe như đây là dạng khả năng phục hồi được sinh ra từ quá trình tiến hóa vậy

    • Buồn cười thật, đúng kiểu ICE wall ngoài đời thật

    • Vừa đáng sợ vừa có gì đó khiến người ta phải thán phục

  • Phần lớn doanh nghiệp không thật sự chuẩn bị cho tình huống gần như toàn bộ kho lưu trữ dữ liệu trong công ty bị xóa sạch hoàn toàn và phải triển khai lại từ số 0
    Nếu bạn chưa từng tự tay khôi phục từ số 0, rất có thể trong các phụ thuộc triển khai đang tồn tại vòng lặp
    Bạn triển khai config pusher bằng Jenkins/Puppet/Ansible, rồi đến một lúc nào đó chính Jenkins lại bắt đầu phụ thuộc vào config pusher, và thế là không thể chỉ dựng tuần tự từng thứ lên nữa, mà phải lần ngược toàn bộ lịch sử thay đổi từ trước tới nay

    • Trong IT, gần như mọi nơi đều có phụ thuộc vòng
      SSO trở thành phụ thuộc của gần như mọi hệ thống, rồi bên trong SSO cũng lại xuất hiện cấu trúc vòng với mạng và đủ loại hệ thống quản trị khác
      Khởi động lại hoàn toàn từ đầu lúc nào cũng khó và tốn thời gian
      Nếu không xây dựng hạ tầng kép tách biệt hoàn toàn thì gần như không thể giải quyết vấn đề này một cách trọn vẹn

    • Một công ty tôi biết cũng từng gặp chuyện tương tự cách đây một năm
      Main storage cluster mà mọi thứ phụ thuộc vào đã chết
      Cuối cùng họ phải redeploy lại toàn bộ từ laptop Dev để khôi phục

    • black start (khôi phục từ trạng thái trắng hoàn toàn) là một bài toán cực kỳ khó
      Facebook trước đây cũng từng phải dùng khoan để mở khóa cửa trung tâm dữ liệu rồi mới vào khôi phục được

    • Tôi tò mò trong tình huống như thế thì phải làm sao mới khôi phục được
      Nếu còn tài liệu trên giấy thì có thể bootstrap từ đó không, hay phải giả định là ngay cả thứ đó cũng đã biến mất

    • Ngành xây dựng cũng gặp vấn đề tương tự
      Vòng đời sản phẩm là 50 năm trở lên, thậm chí có khi hàng trăm năm, nhưng nhiều file thiết kế làm từ 30 năm trước giờ không mở được vì vấn đề tương thích định dạng
      Câu chuyện số hóa đã được nói đến từ hàng chục năm nay, nhưng cuối cùng những bản vẽ 2D cũ (hoặc ngày nay là PDF, thứ người ta gọi là ‘giấy kỹ thuật số’) có thể lại hữu ích cho tương lai
      Việc dùng giấy thật đang giảm dần, nhưng với các vấn đề tương thích file, có cảm giác cuối cùng giấy vẫn có thể trở nên hữu dụng

  • Tiêu đề bài viết gọi những kẻ tấn công là ‘cyber activist’, còn phần nội dung lại gọi họ là ‘cyber criminal’
    Điều đó khiến tôi liên tưởng đến những lực lượng hoạt động ở ranh giới như hải tặc tư nhân hay giấy phép cướp biển thời tàu buồm ngày xưa
    Lý thuyết chiến tranh thế hệ thứ tư từng nói đặc trưng là ranh giới dân sự - quân sự bị xóa nhòa
    Các quy tắc giao chiến ngày càng mơ hồ

    • Nga đang dùng drone giết thường dân mỗi ngày
      Đây không phải thứ mơ hồ kiểu chiến tranh lai trong vùng xám, mà đơn giản là những người dân đang cố để hàng xóm của mình không bị drone sát hại

    • Có vẻ đây là vấn đề dịch thuật
      Trang đó khá thiên về ủng hộ Ukraine, nên có thể họ không muốn làm hacker trông tiêu cực và đã dùng ‘cyber criminal’ đơn giản theo nghĩa ‘hacker’

    • Thực tế thì khả năng hợp lý nhất có lẽ là họ hoạt động có tổ chức dưới sự điều phối của quân đội Ukraine
      Nên xét như vậy thì gọi họ là tội phạm có lẽ không đúng

    • Khá giống tình huống Robin Hood
      Với người này là anh hùng, với người khác là tội phạm
      Có lẽ bản thân bài viết là tổ hợp từ nhiều bài nên thuật ngữ bị lẫn lộn
      Giá mà trong chiến tranh mạng có một thuật ngữ riêng để chỉ phe phái
      “Cyber activist” chỉ gợi cảm giác như người biểu tình trên mạng, nên thay vì một từ sáo mòn như trong phim, tôi muốn thấy kiểu “cyber soldier” hay “network militia” hơn

  • Tôi thấy buồn cười một mình khi nhìn ngày trong ảnh bài báo lệch đúng một ngày so với thời điểm bắt đầu Unix epoch

  • Website đó rất kỳ lạ
    Chính phủ Nga chặn nên hiện lỗi TLS, vượt qua được thì lại thấy trang "Blocked" của Cloudflare, và phải dùng VPN mới truy cập được bản gốc bài viết bằng tiếng Nga

    • Trang được liên kết là tiếng Anh, nhưng có thể người dùng ở Nga không phải mục tiêu của bản tiếng Nga của website này
      Ở Nga, vấn đề ngôn ngữ khá nhạy cảm, nhưng ở Ukraine thì tiếng Nga thực tế vẫn được dùng nhiều và các bài báo tiếng Nga vẫn được xuất bản

    • Tôi thật sự khuyên nên tận dụng các trang lưu trữ như archive.today, archive.org (Internet Archive)
      Liên kết archive cũng vừa được ai đó lưu gần đây

    • Có thể đây không phải vấn đề của website đó mà là do chặn từ phía chính phủ, hoặc do CloudFlare
      Cũng có thể Cloudflare chặn vì nguyên nhân gốc rễ gây ra lỗi TLS

  • Tôi tự hỏi liệu hai bên có lo về firmware của drone hay không
    Có vẻ sẽ rất có giá trị về mặt chiến lược nếu lén cài firmware đã bị chỉnh sửa vào những chiếc drone mà đối phương sử dụng

    • Ý tưởng thú vị nhưng rủi ro cao (dễ bị phát hiện và có thể làm hỏng toàn bộ chiến dịch)
      Cuối cùng tôi nghĩ phương án cứng rắn vẫn hợp lý nhất

    • Drone thường được flash firmware ngay trước khi làm nhiệm vụ

    • Thực ra có lẽ còn hiệu quả hơn cả việc đóng cửa nhà máy nếu khiến drone bí mật hành xử khác đi, ví dụ tấn công căn cứ nhà ngay lúc phóng hoặc cho phép bị điều khiển từ xa

    • Một chiến thuật thú vị tôi từng nghe là cài virus vào thẻ SD của drone, để khi drone rơi sang phía địch và họ cắm thẻ vào máy tính thì máy đó sẽ bị lây nhiễm

  • “Các nhà hoạt động mạng Ukraine hợp tác với cơ quan tình báo quân đội…”
    Tức là chỉ nhận tín hiệu từ cơ quan tình báo nước ngoài, nên không phải chiến tranh mạng trực tiếp

    • Về ý kiến “chỉ nhận tín hiệu từ cơ quan tình báo nước ngoài nên không phải chiến tranh mạng trực tiếp”
      Cơ quan tình báo Nga từ lâu đã trực tiếp tấn công các nước NATO, gần như không còn chỗ nào để biện minh nữa

    • Giữa Ukraine và Nga đã là chiến tranh suốt nhiều năm, nên thật ra cũng không cần kiểu phủ nhận hợp lý (deniability) đó nữa

    • Tôi tò mò “cơ quan tình báo nước ngoài” ở đây nghĩa là gì, và thực tế thì tấn công qua lại vẫn diễn ra liên tục trên toàn thế giới, nên đừng ngây thơ mà nghĩ khác

    • Có người chỉ ra rằng bài báo không hề nhắc đến “cơ quan tình báo nước ngoài”

    • Bài viết ghi rõ là cơ quan tình báo quân sự Ukraine