Việt Nam hứng chịu đợt tấn công mạng lớn nhắm vào cơ quan chính phủ

Tấn công APT cài mã độc

Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết có hơn 400.000 địa chỉ IP tại Việt Nam đã nhiễm hơn 16 biến thể mã độc khác nhau, đây là tấn công có chủ đích (APT) nhằm vào các hệ thống thông tin của các cơ quan Chính phủ và chủ quản hệ thống thông tin hạ tầng quan trọng quốc gia tại Việt Nam.

Theo đó, cơ quan điều phối ứng cứu sự cố an toàn thông tin mạng quốc gia đã xác định đây là một chiến dịch tấn công APT từ một nhóm tin tặc nước ngoài có tổ chức. Mã độc được nhóm tin tặc sử dụng trong chiến dịch tấn công APT lần này rất nguy hiểm, đã tấn công vào các cơ quan của Chính phủ, các hạ tầng thông tin trọng yếu quốc gia và người dùng trên mạng Internet Việt Nam.

Khi phát tán diện rộng vào Việt Nam, mã độc chủ yếu được lây nhiễm qua đường email, đánh lừa người dùng nhấn vào file word (.doc) đính kèm. Ngoài việc đánh cắp thông tin, tin tặc còn có thể lợi dụng máy của người dùng để tấn công các máy tính khác, huy động thành một mạng máy tính để tấn công từ chối dịch vụ (DDoS) vào các hệ thống lớn. Các mã độc này cũng có thể nằm vùng, gián điệp để thực hiện tấn công leo thang các hệ thống thông tin trọng yếu.

Tấn công bằng phương thức APT là hình thức tấn công phổ biến vào hạ tầng an ninh mạng Việt Nam. Trước đó, trong thời gian giáp Tết nguyên đán Kỷ Hợi 2019, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) ghi nhận chiến dịch tấn công APT của hacker với mục đích chính là đánh cắp thông tin quan trọng của ngân hàng, các tổ chức hạ tầng quan trọng quốc gia.

Và với hình thức tấn công APT hacker lợi dụng để cài mã độc ransomware (mã độc tống tiền) vào máy người dùng. Và ở đợt tấn công này cũng vậy, hacker gửi các văn bản chứa mã độc có nội dung không rõ ràng, các văn bản giả mạo được làm giả với mức độ tinh xảo cao hơn, khiến cho người dùng khó phát hiện ra các điểm bất thường nên dễ bị nhầm lẫn, lừa gạt dẫn dụ mở văn bản có chứa mã độc.

 

Tác động của mã độc tống tiền

Một khi bị mã độc ransomware tấn công, bị hại chỉ có một trong hai phương án lựa chọn. Một là trả tiền chuộc để lấy lại dữ liệu, hai là chấp nhận mất tất cả dữ liệu. Trong năm 2019, tại Mỹ đã có 2 trường hợp trả số tiền hơn nửa triệu USD để chuộc lại dữ liệu. Đầu tiên, thị trấn ven biển Riviera Beach đã trả 600.000 USD tiền chuộc cho những tin tặc đột nhập vào hệ thống máy tính của chính quyền.

Sau đó,  thành phố Lake City đã chi trả 500.000 USD để chuộc lại dữ liệu sau khi bị hacker xâm nhập vào hệ thống máy tính. Lãnh đạo Lake City quyết định làm theo yêu cầu của tin tặc là thanh toán bằng tiền ảo Bitcoin sau 2 tuần không thể truy cập máy tính.

Hiện nay, việc phát hiện các biến thể ransomware rất đa dạng. Riêng trong năm 2019, các nhà nghiên cứu bảo mật theo dõi hơn 1.100 biến thể ransomware khác nhau và con số này không ngừng tăng lên và ransomware ngày càng tinh vi hơn. Top 10 mã độc nổi tiếng trong năm 2019 phải kể đến như: Bad Rabbit, GandCrab, Cerber, Dharma, Jigsaw, Katyusha, LockerGoga, PewCrypt, Ryuk, SamSam.

Trong đó mã độc đòi tiền chuộc có tên gọi Cerber là một trong những mã có mối đe dọa cao. Nó có khả năng mã hóa các tập tin của người sử dụng và sau đó cung cấp tính năng TTS (text-to-speech) để nạn nhân nhận được thông điệp về khoản tiền chuộc. Sau khi mã hóa dữ liệu trên máy tính nạn nhân , virus sẽ để lại những thông báo đòi tiền chuộc ở dạng .TXT , HTML và VBS tại mỗi thư mục có chứa dữ liệu bị mã hóa. Mã độc này đòi tiền chuộc 1.24 Bitcoin ( khoảng 520$ ) và khoản tiền này tăng lên gấp đôi nếu như sau 1 tuần không trả tiền chuộc .

Mã độc này có khả năng thu về tiền chuộc lên đến 1 triệu USD/năm, mặc dù chỉ có 0,3% trong số những nạn nhân phải chấp nhận trả tiền. Mã độc hại này cũng có khả năng phát hiện các máy ảo, từ đó ngăn chặn sự phân tích của các nhà nghiên cứu bảo mật. Thậm chí, bản cập nhật mới của Cerber có khả năng ăn cắp mật khẩu trình duyệt và thông tin đăng nhập bitcoin, thay vì chỉ mã hóa tập tin như thông thường.

Đối phó các cuộc tấn công mã độc

Các chuyên gia an ninh mạng cho rằng, để đối phó không chỉ các cuộc tấn công APT mà để đảm bảo an toàn, an ninh mạng, các tổ chức, doanh nghiệp, cơ quan cần chủ động xây dựng hệ thống phòng thủ đa lớp, đặc biệt là đầu tư vào đội ngũ nhân sự làm an toàn thông tin và nâng cao trình độ nhận thức của toàn nhân viên thông qua các chương trình đào tạo.

Bên cạnh đó, cần có hệ thống thiết bị sao lưu dữ liệu.Các công ty có quy trình sao lưu đáng tin cậy thường có thể phục hồi nhanh hơn từ các sự cố này và tiếp tục hoạt động bình thường mà không phải trả tiền chuộc.

Ngoài ra, việc kiểm tra các bản sao lưu và đảm bảo các hệ thống có thể được khôi phục hoàn toàn từ chúng cũng quan trọng không kém. Nếu có sự thiếu đồng bộ trong hệ thống sao lưu, mọi công sức sao lưu sẽ biến mất, hệ thống của doanh nghiệp, cơ quan chính phủ sẽ không thể khôi phục lại như mong muốn.