Drone tấn công Amazon: Ranh giới chiến tranh bị xóa mờ

Lần đầu tiên trong lịch sử, một cuộc chiến tranh tấn công trực tiếp hạ tầng đám mây thương mại toàn cầu. Hậu quả không chỉ là dịch vụ gián đoạn mà là câu hỏi chưa có đáp án: ranh giới nào còn lại giữa mục tiêu quân sự và dân sự?

Ngày 2/3/2026, Amazon Web Services (AWS) thông báo hơn 60 dịch vụ đám mây tại UAE và Bahrain bị gián đoạn nghiêm trọng. Nguyên nhân không phải lỗi kỹ thuật. Hai trung tâm dữ liệu tại UAE và một tại Bahrain vừa bị drone đánh trúng trực tiếp.

Đây không phải thiệt hại phụ trong chiến tranh. Đây là thứ mà thế giới chưa từng chứng kiến, một cuộc tấn công vũ trang vật lý nhắm trực tiếp vào hạ tầng điện toán đám mây thương mại toàn cầu. Nó xảy ra vào đúng thời điểm cơ quan chịu trách nhiệm bảo vệ internet Mỹ chỉ còn hoạt động với chưa đến 40% nhân lực.

Ba tòa nhà không phải mục tiêu quân sự

AWS là xương sống vô hình của internet thương mại toàn cầu. Các dịch vụ của họ chạy bên dưới hàng nghìn ứng dụng mà hàng trăm triệu người dùng mỗi ngày - từ hệ thống đặt vé máy bay, ngân hàng số đến nền tảng y tế điện tử và phần mềm quản lý chuỗi cung ứng. Người dùng cuối không biết họ đang dùng AWS. Họ chỉ biết khi nó ngừng hoạt động.

AWS công bố danh sách các dịch vụ bị ảnh hưởng tại hai khu vực UAE và Bahrain: Amazon EC2 (hệ thống máy chủ ảo cho thuê, nền tảng mà doanh nghiệp dùng để chạy ứng dụng thay vì mua máy chủ vật lý riêng), Amazon S3 (kho lưu trữ dữ liệu đám mây), Amazon RDS (cơ sở dữ liệu doanh nghiệp), DynamoDB, Lambda và CloudWatch. Tổng cộng hơn 60 dịch vụ ghi nhận tỷ lệ lỗi cao và khả năng hoạt động suy giảm nghiêm trọng.

Hậu quả dây chuyền xảy ra ngay lập tức. Các tổ chức tài chính khu vực mất khả năng xử lý giao dịch trong nhiều giờ. Hệ thống y tế điện tử tại UAE gián đoạn.

Khi AWS kích hoạt cơ chế chuyển dự phòng tự động, tự động chuyển tải sang trung tâm dữ liệu ở khu vực khác khi một khu vực gặp sự cố, hệ thống không đủ băng thông để hấp thụ toàn bộ lưu lượng chuyển hướng trong thời gian thực. AWS cảnh báo phục hồi sẽ mất ít nhất một ngày do quy mô thiệt hại vật lý và "tình trạng bất ổn tại Trung Đông nhiều khả năng sẽ tiếp diễn, khiến hoạt động phục hồi thêm phức tạp”.

Rafe Pilling, chuyên gia chiến lược mối đe dọa tại Sophos, đã cảnh báo chính xác điều này trước khi chiến tranh nổ ra: "Khi Iran đánh giá các lựa chọn của mình, xác suất ngày càng tăng rằng các nhóm vũ trang ủy nhiệm và hacktivist (các nhóm vì động cơ chính trị thay vì lợi nhuận tài chính) có thể tiến hành các hành động nhắm vào mục tiêu quân sự, thương mại hoặc dân sự”.

Câu hỏi trị giá 15 tỷ USD

Đầu năm 2026, Microsoft công bố khoản cam kết đầu tư 15 tỷ USD vào hạ tầng trí tuệ nhân tạo và điện toán đám mây tại UAE đến năm 2029. Google, Meta và Oracle cũng có hiện diện hạ tầng vật lý đáng kể tại khu vực Vịnh. Đến nay, toàn bộ các khoản đầu tư đó đang nằm trong bán kính tác chiến của một cuộc xung đột vũ trang khu vực.

Đây là câu hỏi chiến lược mà không CEO công nghệ nào, không chính phủ nào và không tổ chức quốc tế nào có sẵn câu trả lời: khi một trung tâm dữ liệu tư nhân phục vụ hàng chục triệu người dùng dân sự bị tấn công trong chiến tranh, nó được bảo vệ theo luật nhân đạo quốc tế không? Hay nó là mục tiêu hợp pháp vì đồng thời phục vụ cả hợp đồng chính phủ và quân sự?

Trung tâm Nghiên cứu Chiến lược và Quốc tế (CSIS) đã cảnh báo trước khi chiến tranh nổ ra: "Các đối thủ có thể nhắm vào các trung tâm dữ liệu, hạ tầng năng lượng hỗ trợ điện toán và các điểm thắt cáp quang”. Dự báo đó đã trở thành thực tế tại UAE trước khi bất kỳ cơ chế pháp lý hay quân sự nào được thiết kế để ứng phó.

Cơ quan bảo vệ Internet Mỹ: Trống ghế giám đốc, cắt giảm nhân lực

​Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) là tổ chức chịu trách nhiệm bảo vệ hạ tầng số quan trọng của Mỹ và điều phối ứng phó khi xảy ra tấn công mạng quy mô lớn. Đây là tổ chức mà toàn bộ thế giới phương Tây nhìn vào để định hướng phản ứng trong khủng hoảng.

​Thực trạng ngày 28/2/2026, CISA đang hoạt động ở mức 38% nhân lực, khoảng 2.324 người so với biên chế bình thường hơn 3.200. Cơ quan không có giám đốc thường trực. Ứng viên được đề cử là ông Sean Plankey đang chờ Thượng viện phê chuẩn, quá trình bị trì hoãn vì tranh cãi chính trị liên quan đến báo cáo về nhóm tấn công mạng Salt Typhoon. Quyền giám đốc bị điều chuyển sang vị trí khác đúng hai ngày trước khi Mỹ triển khai chiến dịch Operation Epic Fury.

Tình trạng này không phải ngẫu nhiên. Chính quyền Trump cắt 495 triệu USD ngân sách CISA trong chu kỳ ngân sách hiện tại. Chương trình An ninh Bầu cử bị xóa sổ hoàn toàn. Trung tâm Quản lý Rủi ro Quốc gia, đơn vị phân tích và giảm thiểu rủi ro mạng nhắm vào hạ tầng quan trọng, mất 70 triệu USD và 35 vị trí nhân sự. Hàng loạt chuyên gia an ninh mạng kỳ cựu rời tổ chức theo làn sóng cắt giảm từ đầu năm 2025.

​Annie Fixler, Giám đốc Trung tâm Đổi mới Không gian mạng và Công nghệ thuộc Quỹ Bảo vệ Dân chủ, nhận định: "Đây là thời điểm tồi tệ nhất để cơ quan an ninh mạng của Washington vận hành với nhân lực hạn chế. Điều này làm suy yếu khả năng của chính phủ liên bang trong việc cung cấp thông tin mối đe dọa kịp thời cho khu vực tư nhân”.

Đúng lúc hàng nghìn doanh nghiệp toàn cầu cần biết phải làm gì trước làn sóng tấn công mạng Iran, cơ quan duy nhất có nhiệm vụ trả lời câu hỏi đó đang không có người lãnh đạo và thiếu hơn 1.000 chuyên gia.

150 vụ tấn công mạng trong 48 giờ

Sau ngày 28/2, công ty bảo mật CloudSEK ghi nhận hơn 150 sự kiện tấn công mạng liên quan đến các nhóm hacktivist Iran trong vòng 48 giờ đầu. Mục tiêu không chỉ là Israel hay Mỹ. Chúng trải rộng qua năng lượng, tài chính, hàng không, viễn thông và hạ tầng quan trọng trên nhiều quốc gia, kể cả các nước không có bất kỳ vai trò nào trong chiến dịch Operation Epic Fury.

Phương thức tấn công gồm ba loại chủ yếu: tấn công từ chối dịch vụ phân tán DDoS (đồng thời gửi lượng truy cập khổng lồ vào hệ thống mục tiêu cho đến khi quá tải và ngừng phản hồi - PV), xâm nhập thay đổi nội dung website, và các chiến dịch đánh cắp hoặc phá hủy dữ liệu.

CloudSEK xác nhận nhiều chiến dịch trong số này sử dụng công cụ được hỗ trợ bởi trí tuệ nhân tạo để tự động hóa việc lựa chọn mục tiêu và lên chiến lược tấn công.

Đây là hiệu ứng domino ngoài tầm kiểm soát mà giới chuyên gia an ninh mạng gọi là "sương mù chiến tranh mạng": trong môi trường xung đột cao, các nhóm hacktivist bán độc lập tấn công bất kỳ mục tiêu nào họ có thể tiếp cận. Không có ai ra lệnh. Không có ai dừng họ lại. Không có cơ chế quốc tế nào để phân biệt đâu là tấn công do nhà nước chỉ đạo, đâu là hoạt động tự phát của một nhóm thanh niên trong phòng Telegram.

Ranh giới dân sự và quân sự bị xóa nhòa

Trong chiến tranh truyền thống, Công ước Geneva vạch ra ranh giới pháp lý rõ ràng giữa mục tiêu quân sự và hạ tầng dân sự được bảo vệ. Ranh giới đó đang tan biến trong kỷ nguyên AI và điện toán đám mây.

Cùng một trung tâm dữ liệu vừa lưu trữ hồ sơ bệnh nhân dân sự vừa xử lý hợp đồng quốc phòng. Cùng một mạng cáp quang vừa truyền tin nhắn cá nhân vừa mang dữ liệu tình báo. Cùng một nền tảng đám mây vừa chạy ứng dụng đặt thức ăn vừa hỗ trợ hệ thống chỉ huy quân sự.

​Không có điều ước quốc tế nào hiện hành định nghĩa rõ ràng hạ tầng đám mây thương mại là cơ sở hạ tầng dân sự được bảo vệ. Không có cơ chế nào buộc các bên xung đột phải tránh nhắm vào trung tâm dữ liệu tư nhân. Không có nghị định thư nào quy định trách nhiệm của các tập đoàn công nghệ trong việc bảo vệ hoặc di dời hạ tầng khi xung đột leo thang.

AWS xây dựng trung tâm dữ liệu tại UAE và Bahrain vì nơi đó có khách hàng, giá điện cạnh tranh và kết nối cáp quang tốt. Không ai thiết kế chúng để chịu đựng chiến tranh. Không ai có kế hoạch dự phòng cho kịch bản drone tấn công trực tiếp vào phần cứng vật lý.

Câu hỏi không còn là liệu hạ tầng số thương mại toàn cầu có trở thành chiến trường hay không bởi nó đã trở thành chiến trường rồi. Câu hỏi duy nhất còn lại là: lần sau sẽ là trung tâm dữ liệu nào, ở thành phố nào, phục vụ bao nhiêu triệu người và ai sẽ chịu trách nhiệm bảo vệ nó?

Từ Vũ

Xem thêm: