Tấn công APT ngày càng gia tăng
Mới đây, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết, khoảng cuối tháng 7, trung tâm đã ghi nhận các hình thức tấn công APT của tin tặc nhắm vào một số cơ quan nhà nước tại khu vực miền Trung. Cụ thể, tin tặc chèn mã khai thác lỗ hổng CVE-2017-11882 vào tài liệu của 1 cơ quan nhà nước ở địa phương với nội dung “Phụ lục 1: Chương trình hoạt động công nghệ thông tin (CNTT) 2018” để phát tán vào các đơn vị khác trong hệ thống hành chính của địa phương đó.
Theo VNCERT, với hình thức tấn công APT, tin tặc sẽ bỏ thời gian để tìm hiểu kỹ về đối tượng mình muốn tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ nhằm chiếm quyền điều khiển máy tính của người dùng và thông qua đó tấn công các hệ thống máy tính nội bộ chứa thông tin quan trọng khác. Mục đích chính của tin tặc là đánh cắp các thông tin nhạy cảm của cơ quan nhà nước. “Với việc hacker sử dụng các kỹ thuật cao để tấn công, các hệ thống bảo vệ của một số cơ quan nhà nước tại địa phương sẽ khó phát hiện kịp thời và sẽ giúp hacker duy trì quyền kiểm soát hệ thống thông tin lâu dài”, đại diện VNCERT nhận định.
Hồi cuối năm 2017, dự báo về các xu hướng tấn công mạng nổi bật sẽ diễn ra trong năm 2018, các chuyên gia đã nhận định năm 2018, các cuộc tấn công APT sẽ diễn ra với cường độ cao hơn rất nhiều. Do đó, các cơ quan nhà nước cần đặc biệt quan tâm đầu tư kịp thời cho các dịch vụ, giải pháp giám sát và phòng chống APT. Bắt đầu xuất hiện từ cuối năm 2010 đầu năm 2011, đến nay tấn công APT luôn được xếp trong nhóm đầu về hiểm họa ATTT. Theo VNCERT, số liệu khảo sát cho thấy, có hơn 27% các cuộc tấn công APT nhắm vào tổ chức Chính phủ.
Tiếp theo là các tổ chức tài chính ngân hàng, doanh nghiệp viễn thông với dữ liệu khách hàng rất lớn. Trong khi đó, 80 - 90% mã độc được dùng trong các cuộc tấn công APT đều là mã độc được thiết kế riêng cho mỗi tổ chức và dường như việc ngăn ngừa toàn diện các cuộc tấn công APT gặp nhiều khó khăn mặc dù các tổ chức, doanh nghiệp hàng năm vẫn chi hàng tỷ USD cho các biện pháp phòng chống.
Việt Nam đã ghi nhận rất nhiều cuộc tấn công APT. Điển hình nhất là cuộc tấn công vào Tổng công ty Cảng hàng không Việt Nam (ACV) và Tổng công ty Hàng không Việt Nam (Vietnam Airlines) ngày 29-7-2016. “Bên cạnh đó, hiện vẫn còn tồn tại một khoảng cách lớn về tương quan lực lượng và năng lực giữa tội phạm mạng và đội ngũ phòng thủ. Hậu quả của một cuộc tấn công APT vào các hệ thống thông tin quan trọng quốc gia luôn hiện hữu và không thể lường được, có thể làm suy yếu nền kinh tế, chính trị của một quốc gia mà không tốn một mũi tên, viên đạn” - đại diện VNCERT nhận định.
Con người là điểm yếu
Ông Phil Quade, Giám đốc ATTT Công ty Bảo mật Fortinet (Hoa Kỳ) cho biết, các hoạt động độc hại trên mạng nhắm vào cơ sở hạ tầng trọng yếu quốc gia, bao gồm các hệ thống nước, giao thông, năng lượng, tài chính và các dịch vụ khẩn cấp. Sự gián đoạn của các dịch vụ đó có thể gây ảnh hưởng nghiêm trọng tới nền kinh tế, đời sống của người dân, thậm chí có thể gây ra thương vong về tính mạng. Đối với những lĩnh vực cơ sở hạ tầng trọng yếu, các cuộc tấn công có thể tới từ các nhóm tin tặc có động cơ kinh tế, chính trị...
Trong một số trường hợp, nhóm tấn công này có thể gây gián đoạn các dịch vụ công cộng một cách nghiêm trọng, hoặc mục tiêu của chúng hoàn toàn có thể xấu xa hơn rất nhiều, ví dụ như muốn người tiêu dùng đánh mất niềm tin vào lĩnh vực tài chính quốc gia.
Thách thức lại nằm ở chỗ, rất nhiều các trường hợp tấn công vào cơ sở hạ tầng trọng yếu lại không có dấu hiệu rõ ràng. Rất nhiều sự xâm nhập tấn công trong số này rất “chậm và nhẹ nhàng”. Chỉ khi những cuộc tấn công lớn xảy ra, các nạn nhân mới có thể nhận ra và bắt đầu hành động để chống lại. “Cách tốt nhất để tìm ra sự xâm nhập gia tăng và phản ứng lại một cách hợp lý nhất chính là thông qua tự động hoá. Bởi vì mắt người có thể không nhìn ra được các cuộc tấn công âm thầm, chậm rãi, và chúng ta không thể phản ứng đủ nhanh khi phát hiện ra một hành vi vi phạm”, ông Phil Quade nhấn mạnh.
Mới đây, VNCERT và Công ty ATTT CyRadar đều cảnh báo mã độc đang tấn công APT vào một số ngân hàng và hạ tầng thông tin quan trọng quốc gia ở Việt Nam. Ngay sau đó, CyRadar đã liên tiếp phát hiện ra một số tổ chức khác cũng đã bị tấn công với hình thức tương tự. Theo phân tích của chuyên gia CyRadar, cuộc tấn công khởi đầu bằng 1 email chứa file văn bản pdf đính kèm, được gửi tới 1 số nhân vật quan trọng của ngân hàng.
Do mã độc hoàn toàn mới, nên phần mềm diệt virus trên các máy tính của ngân hàng chưa thể phát hiện và xóa bỏ. Khi người dùng mở file pdf này lên, lập tức mã độc hại được nhúng trong file thực hiện một loạt các hành động âm thầm để khéo léo tải xuống máy tính của nạn nhân 1 phần mềm gián điệp. Phần mềm gián điệp này có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker điều khiển từ xa.
CyRadar khuyến nghị, các ngân hàng cũng cần nhận thức rằng, những giải pháp truyền thống là chưa đủ để chống lại các cuộc tấn công mạng ngày càng tinh vi và cần sử dụng thêm các giải pháp tiên tiến, thông minh có khả năng phát hiện bất thường. Đặc biệt, các ngân hàng, tổ chức cần nâng cao cảnh giác, nhanh chóng rà soát hệ thống mạng để phát hiện ra các kết nối và file nghi ngờ. “Một hệ thống có thể được trang bị giải pháp, thiết bị đồng đều để bịt hoặc sớm phát hiện các cuộc tấn công nhắm vào lỗ hổng của hệ thống, nhưng điểm yếu cố hữu là con người vẫn luôn có thể phá vỡ tính chặt chẽ của hệ thống”, chuyên gia của Công ty CyRadar nhấn mạnh.