Từ phân tích kỹ thuật của 4 chiến dịch tấn công APT điển hình, các chuyên gia An ninh mạng Viettel chỉ ra rằng, con đường lây nhiễm chủ yếu là qua các email lừa đảo.
Các cuộc tấn công có chủ đích APT đang gia tăng
Tấn công APT – Mối đe dọa liên tục nâng cao là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng công nghệ cao và tiên tiến nhất để tấn công vào điểm yếu của hệ thống bởi một nhóm kẻ tấn công.
Mục tiêu của các cuộc tấn công APT được các đối tượng lựa chọn rất kỹ lưỡng và thường là các doanh nghiệp lớn, cơ quan an ninh, chính phủ. Các cuộc tấn công thường để lại hậu quả nặng nề như tài sản trí tuệ bị đánh cắp, thông tin nhạy cảm bị xâm phạm hoặc cơ sở hạ tầng quan trọng của tổ chức bị phá hủy.
 |
| Thời gian gần đây, các cuộc tấn công APT được các chuyên gia nhận định là có xu hướng ngày càng gia tăng. (Ảnh minh họa: Internet) |
Theo các chuyên gia, các cuộc tấn công APT đang có xu hướng gia tăng. Số liệu của Trung tâm Giám sát CNTT và An ninh mạng, Cục Cơ yếu Chính phủ cho biết, trong tổng số 76.977 cuộc tấn công vào các hệ thống CNTT trọng yếu năm 2021, có hơn 12.000 cuộc tấn công APT, chiếm tỷ lệ lớn. 25,59%, chỉ đứng sau số vụ tấn công khai thác lỗ hổng và quét mạng.
Với 6 tháng đầu năm nay, trong 48.646 cuộc tấn công mạng vào các hệ thống CNTT trọng yếu, số cuộc tấn công APT tiếp tục đứng thứ 3, chiếm 14,36%.
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT / CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông vừa tổ chức webinar chủ đề “Phân tích chiến dịch tấn công APT điển hình nhằm vào các tổ chức trên thế giới”, với sự tham gia của các diễn giả đến từ Công ty An ninh mạng Viettel: Giám đốc Trung tâm Phân tích và Chia sẻ Rủi ro An ninh mạng Trần Minh Quang và Chuyên viên Phân tích Rủi ro An ninh mạng Vũ Đức Hoàng, cùng vai trò Điều phối của Trưởng Ban Ứng phó sự cố – VNCERT / CC Dương Thành Vinh.
Đây là sự kiện thứ 6 trong chuỗi hội thảo web “Đảm bảo an toàn thông tin mạng quốc gia trong kỷ nguyên chuyển đổi số” được tổ chức hàng tháng nhằm nâng cao năng lực cho các thành viên Mạng lưới ứng phó sự cố an toàn. thông tin mạng quốc gia.
 |
| Chương trình hội thảo trên web tháng 9 với chủ đề “Phân tích các chiến dịch tấn công APT điển hình chống lại các tổ chức trong nước”. |
Tại chương trình webinar tháng 9, các chuyên gia An ninh mạng Viettel đã chia sẻ những nghiên cứu, phân tích chuyên sâu về 4 chiến dịch tấn công APT điển hình của 2 nhóm hacker Goblin Panda, Mustang Panda và các hệ thống cơ quan, tổ chức, doanh nghiệp tại Việt Nam.
Trên cơ sở nghiên cứu các chiến dịch tấn công theo mô hình với 4 điểm chính gồm nhóm tấn công, công cụ và kỹ thuật sử dụng, cơ sở hạ tầng dùng để tấn công và tấn công mục tiêu, các chuyên gia đã chỉ ra: Đặc trưng bởi hai nhóm Goblin Panda và Mustang Panda chuyên thực hiện các cuộc tấn công APT.
Đáng chú ý, nghiên cứu cũng chỉ ra rằng cả hai nhóm tấn công APT chủ yếu sử dụng phương thức tấn công “Spearphishing Attachment”. Kỹ thuật “tải bên dll” cũng rất phổ biến và có nhiều biến thể. Các biến thể của mã độc được cập nhật liên tục theo từng mục tiêu, chiến dịch.
Qua các chiến dịch tấn công APT điển hình, có thể thấy, với kỹ thuật phát tán qua USB, mã độc hoàn toàn có thể lây lan trong hệ thống mạng nội bộ của các cơ quan, tổ chức bị hạn chế truy cập Internet.
Ngoài ra, nhóm nghiên cứu cũng phát hiện ra rằng lượng cơ sở hạ tầng được hai nhóm tấn công sử dụng để điều khiển các chiến dịch tấn công là rất lớn, ước tính khoảng 500 địa chỉ C&C.
Làm thế nào để ngăn chặn và chống lại các cuộc tấn công APT?
Từ việc phát hiện con đường lây nhiễm chủ yếu qua email lừa đảo (email phishing – PV), các chuyên gia An ninh mạng Viettel khuyến cáo các cơ quan, tổ chức, doanh nghiệp cần sử dụng các giải pháp bảo mật email. đồng thời nâng cao ý thức bảo mật, an toàn thông tin cho cán bộ, công nhân viên về việc sử dụng thư điện tử.
Do các nhóm tấn công thường sử dụng chiêu “dll side loading” để làm giả phần mềm chính hãng và liên tục cập nhật phiên bản mới nên các cơ quan, tổ chức được khuyến cáo kiểm tra mã độc nội bộ theo thông tin mới. Liên tục cập nhật các giải pháp phòng thủ để phát hiện các mẫu mã độc mới.
Do mã độc có khả năng lây lan qua USB trong mạng nội bộ nên các tổ chức cần chú trọng nâng cao ý thức của cán bộ, công nhân viên, không chủ quan cho rằng mạng nội bộ không thể bị nhiễm mã độc.
Ngoài ra, để đối phó với hạ tầng phòng chống tấn công liên tục thay đổi và cập nhật, các cơ quan, tổ chức, doanh nghiệp phải cập nhật thông tin về mã độc mới, tệp phần mềm bị khai thác và nội kiểm phần mềm độc hại theo thông tin mới nhất; cân nhắc sử dụng giải pháp “Threat Intelligence” để có thể nắm bắt những thông tin mới nhất về các chiến dịch tấn công APT.
Vân Anh
Hàng tuần có hơn 265 sự cố tấn công mạng vào các hệ thống tại Việt Nam
Trong 6 tháng đầu năm nay, tổng số vụ tấn công mạng gây sự cố trên hệ thống thông tin tại Việt Nam là 6.641. Trung bình mỗi tuần có hơn 256 cuộc tấn công vào các hệ thống trong nước.
