Cảnh giác với các thủ đoạn của tin tặc tấn công mạng có chủ đích

8:4, Thứ Sáu, 20-10-2017

Xem với cỡ chữ : A- A A+
 Thời gian gần đây các cơ quan chức năng về an ninh mạnh đã phát hiện và có cảnh báo việc tin tặc gián điệp nước ngoài tổ chức nhiều chiến dịch tấn công mạng có chủ đích (APT) nhằm vào hệ thống mạng của các cơ quan, bộ ngành và địa phương ở Việt Nam.

 Thủ đoạn tin vi
Trong tháng 6 và tháng 7 - 2017, nhóm tin tặc này đã phát động nhiều chiến dịch tấn công mạng có chủ đích vào Việt Nam, tập trung khai thác lỗ hổng bảo mật CVE-2012-0158 tồn tại trong bộ sản phẩm phầm mềm Microsoft Office để đính kèm mã độc trong các tệp tin văn bản, tán phát qua thư điện tử (Danh sách tên 26 tệp tin mồi nhử chứa mã độc (Phụ lục 1)). Khi các tệp tin độc hại được mở trên máy tính, mã độc sẻ giải nén trong thư mục “%AppData%” của hệ điều hành Windows và tùy vào từng tệp tin mồi nhử, mã độc sẽ sinh ra một trong 3 nhóm file gồm 08 tệp tin độc hại khác.

Để trách các chương trình phòng chống virus phát hiện, qua mặt cơ chế giám sát hành vi của các hệ thống phát hiện tấn công mạng trên máy tính, mã độc sử dụng kỷ thuật DLL Hijacking, dùng các tệp tin có chứa chữ ký số hợp pháp của hãng Google và McAfee (phòng chống virus) để gọi các tệp tin thư viện liên kết động (đuôi mở rộng DLL) có chứa đoạn mã độc hại. Sau khi tệp tin DLL được gọi, nó sẽ thực thi một chương trình mã độc cho phép tải xuống các dòng mã độc khác qua mạng trên bộ nhớ Ram của máy tính (nhằm không để lại dấu vết trên ổ cứng) và tải một chương trình điều khiển từ xa được gọi là “NewCoRAT” từ các máy chủ điều khiển (C&C server) sử dụng các tên miền web.thoitietvietnam.org;dalat.dulichovietnam.net;halong.dulich.culao.com. Đồng thời cho phép thực hiện các hành vi gián điệp như: tắt hoặc khởi động lại máy tính; liệt kê danh sách ổ đĩa, danh sách thư mục, lấy thông tin và ổ đĩa, sao chép, xóa, sửa tên, thực thi tệp tin, tìm kiếm, tải thêm tệp tin (mã độc), gửi dữ liệu đánh cắp được ra ngoài internet, giám sát màn hình, thực thi các tác vụ trên máy tính của nạn nhân qua giao diện dòng lệnh từ xa.

Qua xác minh, các cơ quan chức năng đã phát hiện cả 03 tên miền máy chủ điều khiển trên được đăng ký vào cuối tháng 7 năm 2016 (khoảng 2 đến 3 ngày trước thời điểm tấn công mạng vào ngành hàng không Việt Nam) tại nhà cung cấp dịch vụ tên miền Enom (Mỹ) nhưng che dấu thông tin chủ thể đăng ký và phân giải đến 2 địa chỉ thông tin IP máy chủ đặt tại Singapore và Mỹ. Ngoài 03 tên miền nói trên, nhóm tin tặc này đã và đang sử dụng hạ tầng máy chủ điều khiển gồm nhiều tên miền con khác hiện vẫn đang hoạt động đặt tại các nơi như Singapore, Đài Loan, Mỹ, Đức...(có Danh sách 20 tên miền máy chủ điều khiển kèm theo (Phụ lục 2)). Đáng chú ý trong các tên miền trên, có tên miền dcsvn.orgphimnoi.org đã từng được nhóm tin tặc “Goblin Panda” sử dụng trong chiến dịch tấn công khủng bố mạng vào ngành hàng không Việt Nam đợt tháng 7 -2016 bằng mã độc gián điệp PlugX…

Gia tăng các chiến dịch APT

Các chiến dịch tấn công mạng có chủ đích nhằm vào Việt Nam thời gian gần đây có đặc điểm chung là đều liên quan đến mã độc PlugX do nhóm tin tặc “Goblin Panda” thực hiện. Chúng thường sử dụng các tệp tin mồi nhử là các tài liệu tiếng Việt, đặt tệp tin theo văn phong khối cơ quan nhà nước để gây sự chú ý, tò mò của người nhận. Các chiến dịch APT gần đây cho thấy nhóm tin tặc “Goblin Panda” thường xuyên tổ chức các chiến dịch tổ chức gián điệp mạng vào các cơ quan trọng yếu của Việt Nam, ít nhất là từ năm 2015 và gia tăng trong thời gian gần đây, đặc biệt là trước diễn biến phức tạp trên Biển Đông, cũng như chuẩn bị diễn ra Hội nghị thượng đỉnh cấp cao APEC tại Việt Nam vào tháng 11/2017…

Trước tình hình trên, các cơ quan, chuyên gia an ninh mạng đã cảnh báo đến các ban, bộ, ngành, địa phương, các tập đoàn kinh tế, tài chính nhà nước… cần nâng cao cảnh giác, chủ động phòng ngừa để ngăn chặn kịp thời để bảo vệ an toàn bí mật nhà nước, an ninh quốc gia. Các cơ quan, đơn vị cần chủ động rà soát, kiểm tra hệ thống mạng để kịp thời phát hiện các tệp tin độc hại; sử dụng hệ thống tường lửa để ngăn chặn kết nối tới các địa chỉ IP hoặc tên miền máy chủ điều khiển và các tên miền con có liên quan đến mã độc này (theo phụ lục đính kèm). Cập nhật phiên bản mới nhất hoặc bản vá bảo mật cho hệ điều hành, phần mềm ứng dụng Microsoft Office, chương trình phòng chống mã độc cho toàn bộ hệ thống mạng. Đối với các hệ thống máy tính chứa bị mật nhà nước, máy tính cách li với môi trường internet, đề nghị thiết lập máy chủ cập nhật ngoại tuyến hoặc tải và cài đặt ngoại tuyến các bản vá, cập nhật chính thức từ Microsoft. Khi phát hiện dấu hiệu mã độc PlugX tấn công, cần chủ động cô lập máy tính bị nhiễm, bốc gỡ mã độc và trao đổi thông tin về cơ quan chức năng phối hợp kiểm tra, xử lý.

T.L

 

 

Các tin khác