Phòng tấn công APT, chuyên gia khuyến nghị các đơn vị hướng dẫn nhân viên dùng email an toàn
Từ phân tích kỹ thuật 4 chiến dịch tấn công APT điển hình, các chuyên gia Viettel Cyber Security chỉ ra rằng, con đường lây nhiễm chủ yếu là thông qua email phishing (thư điện tử lừa đảo).
Tấn công có chủ đích APT ngày càng gia tăng
Tấn công APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến nhất để đánh vào điểm yếu của hệ thống do một nhóm các kẻ tấn công thực hiện.
Mục tiêu của các cuộc tấn công APT được các đối tượng lựa chọn rất kỹ lưỡng và thường là các doanh nghiệp lớn, cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công thường gây hậu quả nặng nề như tài sản trí tuệ bị đánh cắp, thông tin nhạy cảm bị xâm nhập hay cơ sở hạ tầng quan trọng của tổ chức bị phá hủy…
Gần đây, tấn công APT được các chyên gia nhận định ngày càng có xu hướng gia tăng. (Ảnh minh họa: Internet)
Theo các chuyên gia, tấn công APT có xu hướng ngày càng gia tăng. Số liệu của Trung tâm CNTT và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ cho hay, trong tổng số 76.977 cuộc tấn công vào các hệ thống CNTT trọng yếu năm 2021, có tới hơn 12.000 cuộc tấn công APT, chiếm tỷ lệ 25,59%, chỉ xếp sau số lượng tấn công khai thác lỗ hổng và dò quét mạng.
Với 6 tháng đầu năm nay, trong 48.646 cuộc tấn công mạng vào các hệ thống CNTT trọng yếu, số cuộc tấn công APT tiếp tục được xếp ở vị trí thứ 3, chiếm 14,36%.
Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ TT&TT vừa tổ chức hội thảo trực tuyến chủ đề “Phân tích chiến dịch tấn công APT điển hình nhằm vào các tổ chức trong nước”, với sự tham gia của các diễn giả đến từ Viettel Cyber Security: Giám đốc Trung tâm phân tích và chia sẻ nguy cơ an ninh mạng Trần Minh Quảng và chuyên viên phân tích nguy cơ an ninh mạng Vũ Đức Hoàng, cùng vai trò điều phối của Trưởng phòng Ứng cứu sự cố - VNCERT/CC Dương Thành Vịnh.
Đây là sự kiện thứ 6 trong chuỗi webinar “Đảm bảo an toàn thông tin mạng quốc gia trong kỷ nguyên chuyển đổi số” được tổ chức định kỳ hàng tháng nhằm nâng cao năng lực cho các thành viên Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia.
Chương trình webinar tháng 9 có chủ đề chủ đề “Phân tích chiến dịch tấn công APT điển hình nhằm vào các tổ chức trong nước".
Tại chương trình webinar tháng 9, các chuyên gia Viettel Cyber Security đã chia sẻ những nghiên cứu, phân tích chuyên sâu về 4 chiến dịch tấn công APT điển hình của 2 nhóm hacker Goblin Panda, Mustang Panda và hệ thống của các cơ quan, tổ chức, doanh nghiệp tại Việt Nam.
Trên cơ sở nghiên cứu các chiến dịch tấn công theo mô hình với 4 điểm chính gồm nhóm tấn công, các công cụ và kỹ thuật được sử dụng, hạ tầng được dùng để tấn công và mục tiêu tấn công, các chuyên gia đã chỉ ra đặc trưng của 2 nhóm Goblin Panda và Mustang Panda chuyên thực hiện các cuộc tấn công APT.
Đáng chú ý, nghiên cứu cũng cho thấy, cả 2 nhóm tấn công APT đều sử dụng chủ yếu cách thức tấn công bằng kỹ thuật “Spearphishing Attachment”. Kỹ thuật “dll side loading” cũng được dùng rất phổ biến và có nhiều biến thể khác nhau. Các biến thể của mã độc được cập nhật liên tục theo từng mục tiêu và chiến dịch.
Qua các chiến dịch tấn công APT điển hình có thể thấy rằng, với kỹ thuật sử dụng lây lan qua USB, mã độc hoàn toàn có thể lây lan trong mạng nội bộ của cơ quan, tổ chức có giới hạn truy cập Internet.
Ngoài ra, nhóm nghiên cứu còn phát hiện ra số lượng cơ sở hạ tầng được 2 nhóm tấn công sử dụng để điều khiển các chiến dịch tấn công rất lớn, ước tính khoảng 500 địa chỉ C&C.
Phòng, chống các cuộc tấn công APT cách nào?
Từ phát hiện con đường lây nhiễm chủ yếu là thông qua email phishing (thư điện tử lừa đảo - PV), các chuyên gia Viettel Cyber Security khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần sử dụng những giải pháp bảo mật email, đồng thời nâng cao nhận thức về an ninh, an toàn thông tin cho cán bộ, nhân viên về sử dụng email.
Do các nhóm tấn công thường sử dụng kỹ thuật “dll side loading” để giả mạo phần mềm chính hãng và liên tục cập nhật phiên bản mới, các cơ quan, tổ chức được khuyến cáo rà soát mã độc nội bộ theo thông tin mới nhất, liên tục cập nhật giải pháp phòng thủ nhằm phát hiện mẫu mã độc mới.
Vì mã độc có khả năng lây lan qua USB trong mạng nội bộ, các tổ chức cần chú trọng nâng cao nhận thức của cán bộ, nhân viên, không chủ quan nghĩ rằng mạng nội bộ thì không thể bị lây nhiễm mã độc.
Ngoài ra, nhằm ứng phó với việc hạ tầng điều khiển tấn công liên tục thay đổi và cập nhật mới, các cơ quan, tổ chức, doanh nghiệp phải cập nhật thông tin về các mã độc mới, file phần mềm bị lợi dụng và rà soát mã độc nội bộ theo các thông tin mới nhất; cân nhắc sử dụng giải pháp “Threat Intelligence” để có thể nắm bắt được thông tin mới nhất về các chiến dịch tấn công APT.
Vân Anh
Mỗi tuần có hơn 265 sự cố tấn công mạng vào các hệ thống tại Việt Nam
Trong 6 tháng đầu năm nay, tổng số cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam là 6.641 cuộc. Trung bình mỗi tuần, có hơn 256 sự cố tấn công vào các hệ thống trong nước.
