Cơ quan Tình báo Canada lần đầu tiên sử dụng lệnh tòa án để làm sạch thiết bị nhiễm Botnet

Cơ quan tình báo Canada đã nhận được sự cho phép của thẩm phán để truy cập vào các máy chủ bị nhiễm mã độc, bộ định tuyến gia đình và thiết bị IoT trên lãnh thổ Canada nhằm vô hiệu hóa hai mạng lưới Botnet do nước ngoài điều hành. Đây là lần đầu tiên Cơ quan Tình báo An ninh Canada (CSIS) sử dụng quyền hạn giảm thiểu mối đe dọa theo cách này để làm sạch thiết bị của người dân.
Cơ quan tình báo Canada quét sạch Botnet
Cơ quan tình báo Canada lần đầu tiên sử dụng lệnh đặc biệt để can thiệp vào các thiết bị bị nhiễm Botnet.

Cơ quan tình báo của Canada đã nhận được sự cho phép của thẩm phán để truy cập vào các máy chủ bị nhiễm mã độc, bộ định tuyến gia đình và thiết bị IoT đang hoạt động trên lãnh thổ Canada nhằm vô hiệu hóa hai mạng lưới Botnet do nước ngoài điều hành.

Tòa án Liên bang đã công bố phiên bản công khai của phán quyết vào ngày 15 tháng 6. Đây là lần đầu tiên Cơ quan Tình báo An ninh Canada (CSIS) sử dụng quyền hạn giảm thiểu mối đe dọa (threat reduction warrant) theo cách này.

Lệnh này cho phép CSIS thay đổi, làm suy yếu và phá hủy dữ liệu Botnet trên các máy bị nhiễm, đồng thời ngắt kết nối các thiết bị này khỏi mạng lưới tấn công.

Các mục tiêu bao gồm máy chủ đặt tại Canada, bộ định tuyến dành cho văn phòng nhỏ và gia đình (SOHO), cùng các thiết bị Internet of Things: chuông cửa Ring, camera an ninh, TV và các thiết bị gia dụng có kết nối Wi-Fi khác.

Thẩm phán Catherine Kane đã phê duyệt lệnh này vào ngày 1 tháng 5 năm 2024, gia hạn vào tháng 8 năm đó và đưa ra các lý do bảo mật vào tháng 2 năm 2026. Lệnh này đã được giữ kín trong hơn hai năm cho đến khi bản sửa đổi được công bố vào tháng này.

CSIS cần lệnh này vì việc làm sạch thiết bị có thể bị coi là hành vi phạm tội nếu không có nó. Việc truy cập vào thiết bị của người khác và xóa dữ liệu được coi là hành vi phá hoại máy tính theo Bộ luật Hình sự (Criminal Code), vì vậy cơ quan này cần sự phê chuẩn của thẩm phán trước khi tác động vào máy móc.

Tòa án nhận thấy mối đe dọa đối với Canada đã được xác lập rõ ràng và cấp bách, đồng thời các biện pháp thực hiện là cần thiết, hợp lý và cân xứng. Tòa nhấn mạnh rằng hoạt động này nhắm vào thiết bị chứ không phải con người: không tìm kiếm danh tính người dùng, không chặn thu nội dung và bất kỳ dữ liệu cá nhân nào vô tình thu thập được đều bị hủy bỏ ngay lập tức.

Hai mạng lưới Botnet này hoạt động theo mô hình chuyển tiếp (relay) tiêu chuẩn. Một tầng chỉ huy sẽ đưa ra các lệnh; một lớp các thiết bị bị nhiễm sẽ chuyển tiếp lưu lượng truy cập. Bằng cách định tuyến qua các phần cứng của Canada bị chiếm quyền điều khiển, một quốc gia nước ngoài có thể giả dạng như một kết nối thông thường, một nhân viên làm việc tại nhà hoặc một khách hàng của ISP, trong khi thực tế đang dò quét cơ sở hạ tầng trọng yếu, mạng lưới chính phủ và quân sự.

Chủ sở hữu của chiếc chuông cửa bị nhiễm mã độc vô tình trở thành người chịu trách nhiệm cho lưu lượng truy cập mà họ chưa bao giờ gửi đi. Tòa án đã cảnh báo ngành năng lượng là một trong những mục tiêu và cho biết các đối thủ có thể điều khiển Botnet để thăm dò và có khả năng làm gián đoạn cơ sở hạ tầng của Canada.

Phán quyết công khai đã làm rõ bản chất sự việc: hai đối thủ nước ngoài, một mối đe dọa đối với an ninh của Canada, đã được tòa án xác nhận rõ ràng. Tuy nhiên, thông tin về "kẻ đứng sau" đã bị lược bỏ. Thời điểm và kỹ thuật trùng khớp với một giai đoạn cụ thể vào đầu năm 2024, nhưng tờ The Bureau – đơn vị đã hé lộ phán quyết này – cho biết họ không thể xác định từ các lý do đã bị chỉnh sửa rằng liệu hai mạng lưới Botnet này đều của Trung Quốc, Nga, hay mỗi nước một mạng lưới. Sự can thiệp của quốc gia nước ngoài là một phát hiện, còn danh tính cụ thể đã bị che đi.

Cùng một chiến thuật, thẩm quyền khác nhau

Thời điểm đó cũng là lúc diễn ra một loạt các chiến dịch làm sạch Botnet theo lệnh tòa án tại Hoa Kỳ. Trong một hoạt động vào tháng 12 năm 2023, FBI đã sử dụng chính kênh điều khiển của Botnet để xóa mã độc KV-botnet khỏi hàng trăm bộ định tuyến SOHO tại Mỹ, chủ yếu là các thiết bị Cisco và NetGear đã hết hạn hỗ trợ (end-of-life) mà nhóm Volt Typhoon liên quan đến Trung Quốc đang sử dụng để che giấu quyền truy cập nhằm chuẩn bị cho một cuộc khủng hoảng tiềm tàng trong hệ thống liên lạc, năng lượng, nước và vận tải của Mỹ.

Vài tuần sau đó, một hoạt động gần như tương tự đã được thực hiện nhắm vào một mạng lưới bộ định tuyến Ubiquiti riêng biệt mà GRU của Nga (nhóm APT28) đã biến thành một trạm chuyển tiếp gián điệp.

Trung tâm An ninh mạng của Canada đã tham gia cùng các đồng minh để cảnh báo về việc các tác nhân nhà nước lạm dụng thiết bị SOHO và IoT. Cả hai lần đều có chung một mô hình do tòa án phê duyệt: thiết bị tiêu dùng bị bỏ bê, một tác nhân nhà nước điều hành và một thẩm phán ký lệnh khử trùng từ xa.

Sự khác biệt nằm ở bên nắm giữ lệnh. Các hoạt động của Hoa Kỳ được thực hiện bởi cơ quan thực thi pháp luật là FBI và DOJ theo thẩm quyền khám xét và thu giữ.

Tại Canada, đây là một cơ quan tình báo sử dụng các biện pháp giảm thiểu mối đe dọa. Quyền hạn của CSIS là chủ động ngăn chặn một mối đe dọa thay vì chỉ thu thập thông tin tình báo, điều này đã được ghi vào Đạo luật CSIS (CSIS Act) nhiều năm trước và được sửa đổi trong Đạo luật An ninh Quốc gia 2017 (National Security Act, 2017), có hiệu lực từ năm 2019. CSIS chưa bao giờ sử dụng quyền hạn này theo cách như vậy cho đến tận bây giờ.

Vấn đề vẫn nằm ở các bộ định tuyến cũ

Bài học cho những người làm công tác phòng thủ là một thực tế khá tẻ nhạt. Các mạng lưới Botnet sống dựa trên những thiết bị không được bảo trì: bộ định tuyến hết hạn hỗ trợ vẫn được cắm vào mạng, các bộ IoT chưa bao giờ được cập nhật Firmware mới nhất, hoặc bất kỳ thứ gì vẫn để thông tin đăng nhập mặc định với bảng điều khiển quản lý hướng ra internet.

Chiến dịch làm sạch của chính phủ không khắc phục được điều đó. Trong các hoạt động tại Hoa Kỳ, mã độc đã được loại bỏ nhưng các lỗ hổng vẫn còn đó, và việc khởi động lại hoặc khôi phục cài đặt gốc có thể làm mất tác dụng của bản sửa lỗi, mở cửa cho việc tái nhiễm. Việc thay thế phần cứng cũ kỹ và thắt chặt bảo mật cho những thiết bị đang sử dụng là trách nhiệm của chủ sở hữu, chứ không phải của cơ quan đã đi dọn dẹp thay họ.

Một vấn đề mà phán quyết công khai chưa giải quyết xong: theo báo cáo của The Bureau, đơn vị nộp đơn đã dựa vào các địa chỉ IP mà CSIS thu thập được mà không có lệnh, vài tuần sau khi Tòa án Tối cao Canada tuyên bố trong vụ R. v. Bykovets rằng địa chỉ IP mang lại một kỳ vọng hợp lý về quyền riêng tư.

Liệu điều đó có phù hợp với thẩm quyền thu thập của CSIS hay không, và liệu chủ sở hữu của các thiết bị đã được làm sạch có bao giờ được thông báo hay không, vẫn còn là một câu hỏi bỏ ngỏ.