Bóng Ma VLAN – Sài Gòn 2025 (Giả định)

Đêm 14 tháng 3 năm 2025, tầng 47 tháp The Apex – Landmark 81, không khí ngưng đọng như khói thuốc lào trong một căn gác xép quận 4. Màn hình trung tâm điều khiển nhấp nháy đỏ máu. 247 camera IP im lặng. Cửa thang máy tầng hầm mở ra mà không cần thẻ. Trên màn hình lớn, dòng chữ trắng hiện lên: “MQTT PUBLISH – topic: /control/door/all – retained: true”. Không mật khẩu. Không TLS. Chỉ một gói tin 87 byte.

Kẻ tấn công đã ở trong nhà từ 19 ngày trước.

Flashback – 19 ngày trước, 20h17

Kỹ sư an ninh mạng tên Khang đứng trên sân thượng, tay cầm điếu thuốc không châm lửa. Anh là người từng ký hợp đồng triển khai hệ thống giám sát cho khu phức hợp. Hôm đó, bộ điều khiển SD-WAN báo “healthy”. VLAN 30 – Khách, VLAN 40 – Camera, VLAN 50 – Điều khiển – đều nằm sau lớp Zero Trust do nhà thầu thứ ba cấu hình. Nhưng di chuyển ngang không cần phá tường. Chỉ cần một switch lớp truy cập được cấu hình sai cho phép “permit ip any any” giữa VLAN 40 và 50 khi lưu lượng mang nhãn DSCP 46.

Trên tầng vật lý, Wi-Fi 6 của hệ thống quản lý tòa nhà đang phát sóng. Kẻ tấn công chỉ cần gửi một loạt khung deauth giả mạo từ một chiếc laptop cách đó hai tòa nhà, dùng anten định hướng. Client của camera IP ngắt kết nối, rồi tự động kết nối lại với điểm truy cập giả mạo. Không cần bẻ khóa WPA3 – chỉ cần nó tin tưởng tên SSID đúng.

Lớp Ứng dụng – 9 ngày trước

Camera IP bắt đầu gửi luồng qua đường dự phòng 5G khi đường truyền chính bị nhiễu. Giao thức mTLS giữa camera và trung tâm điều khiển đang dùng chứng chỉ có thời hạn 90 ngày. Việc xoay chứng chỉ thất bại từ tuần trước vì đường ống CI/CD của nhà cung cấp bị treo. Camera vẫn tin tưởng chứng chỉ cũ. Kẻ tấn công đứng giữa, thực hiện tấn công trung gian trên sóng 5G (dùng trạm gNodeB giả mạo giá rẻ cắm SIM công nghệ). Toàn bộ luồng video và lệnh điều khiển đều đi qua tay hắn mà không ai hay biết.

Cấu hình tự động IPv6 trên một số thiết bị IoT không bị tắt. SLAAC gửi thông báo bộ định tuyến mà không kiểm tra nguồn. Kẻ tấn công chèn thêm tuyến mặc định dẫn lưu lượng nhạy cảm về máy chủ của hắn.

Zero Trust sụp đổ – 4 ngày trước

Hắn đã ở trong VLAN 50. Không cần vượt tường lửa. SD-WAN không có phân đoạn vi mô nên mọi lưu lượng Đông-Tây đều được coi là “đã tin cậy”. Điểm cuối API quản lý cửa từ tầng hầm không yêu cầu xác thực lẫn nhau. Chỉ cần một JWT đã bị phát lại từ gói tin MQTT trước đó – vì chủ đề không mã hóa và không có kiểm tra tính toàn vẹn tin nhắn.

Khang nhận ra điều này khi xem lại nhật ký lúc 2h17 sáng. Nhưng lúc đó đã quá muộn.

Hiện tại – 14/3/2025, 3h09

Tất cả cửa thang máy, cửa thoát hiểm, và hệ thống báo cháy đều nhận lệnh “mở” từ một chủ đề MQTT duy nhất. Không ai bấm nút. Không ai ở trong tòa nhà lúc đó. Chỉ có bóng ma di chuyển qua VLAN.

Khang ngồi trong căn phòng tối, màn hình phản chiếu khuôn mặt ông. Ông thì thầm: “Tôi đã thiết kế nó an toàn.”

Nhưng mạng không bao giờ chỉ là đường truyền. Nó là hệ thống thần kinh. Khi một nút thần kinh bị nhiễm, toàn bộ cơ thể co giật.

(Toàn bộ tình huống trên là hoàn toàn giả định, được xây dựng nhằm minh họa chuỗi phản ứng dây chuyền khi hạ tầng kết nối trở thành điểm nghẽn then chốt. Người đọc có thể tự đánh giá mức độ thực tế của từng vector tấn công được mô tả.)