CMC đề xuất các doanh nghiệp bảo mật lớn “chung tay” rà quét, tìm diệt mã độc của chiến dịch tấn công APT

Theo chuyên gia CMC Cyber Security, để có thể ứng phó, giải quyết kịp lúc với các chiến dịch tấn công mạng quy mô lớn, quan trọng hơn cả là giữa các hệ thống quan sát của các cơ quan, tổ chức, doanh nghiệp làm về an toàn tin tức mạng cần có sự trao đổi, chia sẻ thông tin; từ đấy cùng đem ra biện pháp quan sát hữu hiệu (Ảnh minh họa)

Thông tin thêm với ICTnews vào chiều nay, ngày 30/10/2019, chuyên gia phân tích mã độc của Trung tâm CMC SOC (thuộc CMC Cyber Security), Lưu Thế Hiển cho biết, chiến dịch tấn công APT quy mô lớn mới nhằm vào một số nước Tây Á và các nước khu vực Đông Nam Á trong đấy có Việt Nam, nhóm tin tặc sử dụng phương thức tấn công, phát tán mã độc là sử dụng email lừa đảo với những file đính kèm là những tư liệu giả mạo công văn, tài liệu của các bộ phận nhà nước.

“Trong các chiến dịch tiến công APT trước, qua tìm hiểu của chúng tôi, các văn bản nội dung thường không rõ ràng, còn lần này các file văn bản giả mạo để lừa người dùng được làm giả với chừng độ tinh xảo cao hơn, khiến cho người sử dụng khó phát giác ra và rất dễ dẫn đến lừa, dụ mở file”, ông Lưu Thế Hiển chia sẻ.

Phân tích cụ thể hơn về mức độ hiểm nguy cũng giống những ảnh hưởng đối với các cơ quan, tổ chức, doanh nghiệp và người sử dụng trong đơn vị khi bị lây nhiễm các mã độc của chiến dịch tiến công APT lần này, chuyên gia CMC SOC cho hay, sau khi đánh lừa được người dùng, kẻ tấn công sẽ truy cập vào máy của người dùng đó và cũng đều có thể thu thập thêm những tin tức mẫn cảm gửi ra ngoài, hoặc triển khai khai thác máy khác trong cùng hệ thống, hay để mã độc “nằm vùng” trong hệ thống trang bị cho những chiến dịch tấn công tiếp theo. Từ các mã độc “nằm vùng” này, tin tặc sẽ điều khiển, truy cập hệ thống từ xa.

Hiện nay, chiến dịch tấn công của nhóm tin tặc vẫn đang diễn ra. Mã độc này sẽ không mang tính phá hoại nhiều, chủ đạo nhằm thu thập thông tin. Tuy nhiên, việc phát giác các mã độc của chiến dịch tấn công APT tương đối khó, nếu hệ thống không có hoạt động giám sát thường xuyên, hàng ngày thì chắc chắn không thể thấy được bất thường, không nhận hiểu rằng đã trở nên lây nhiễm.

“Không giống như mã độc tống tiền, khi bị tấn công, mã hóa dữ liệu, người sử dụng sẽ biết ngay lập tức, còn với mã độc được dùng trong chiến dịch tấn công APT, người dùng không biết bị nhiễm bao giờ và nó hoạt động ra sao. Đây là điều nguy hiểm nhất”, chuyên gia CMC nhấn mạnh.

Hơn thế, theo một số chuyên gia CMC Cyber Security, các mã độc được nhóm tin tặc sử dụng trong chiến dịch tấn công còn liên tục tạo ra biến thể mới, khiến cho việc tìm, diệt khó khăn hơn. Tính đến thời điểm hiện tại, CMC Cyber Security,đã phát giác được 13 kiểu dáng độc (con số biến thể của mã độc được Cục An toàn tin tức (Bộ TT&TT) đem ra trong tin tức cảnh báo sáng nay, ngày 30/10/2019, là 16 mẫu – PV). Song điều đáng lo ngại, theo những chuyên gia CMC Cyber Security chính là số lượng này vẫn đang gia tăng và con số các mẫu nghi ngờ là mã độc “ẩn mình” trong số hệ thống còn lớn hơn rất nhiều.

Chuyên gia CMC Cyber Security chia sẻ thêm, với việc tạo ra một con mã độc khá phức tạp, cho biết nhóm tin tặc thi hành chiến dịch tiến công APT quy mô lớn lần này được đầu tư mạnh, được tổ chức bài bản và chuyên nghiệp.

Ở góc độ của 1 doanh nghiệp thành viên mạng lưới tiếp ứng sự cố an toàn mạng quốc gia, ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security cho rằng, để cũng có thể ứng phó, xử lý kịp thời với các chiến dịch tấn công mạng quy mô lớn, quan trọng hơn hết là giữa các hệ thống quan sát của các cơ quan, tổ chức, doanh nghiệp làm về an toàn thông tin mạng cần thiết sự trao đổi, chia sẻ thông tin; từ đó cùng đưa ra giải pháp quan sát hiệu quả.

Đại diện CMC Cyber Security cũng đề xuất, đối với việc ứng phó với chiến dịch tiến công APT lần này, Cục An toàn tin tức với vai trò là bộ phận điều hướng có thể kêu gọi sự tham dự của các doanh nghiệp lớn trong nghề an toàn tin tức như Viettel, VNPT, CMC, BKAV… cùng chung tay mở đợt hỗ trợ các cơ quan, đơn vị, doanh nghiệp triển khai rà quét, xử lý, bóc gỡ các mã độc của chiến dịch. Cục An toàn tin tức cũng có thể có thể khoang vùng các hệ thống tin tức nghi ngờ bị nhiễm mã độc và cắt cử các doanh nghiệp hỗ trợ cụ thể việc rà quét, xử lý, bóc gỡ.

Như ICTnews đã đưa tin, tối ngày 28/10/2019, CMC Cyber Security đã phát cảnh báo về chiến dịch tấn công APT vào các cơ quan hành chánh Nhà nước Việt Nam. Chiến dịch tấn công APT quy mô lớn này, theo chia sẻ của đại diện Cục An toàn thông tin đã và đang được bộ phận này theo dõi, quan sát từ hơn 30 ngày gần đây.

Trong lệnh điều hướng 1024 được Cục An toàn thông tin  phát ra sáng nay, ngày 30/10/2019, Cục cho thấy đã phát giác và ghi nhận chiến dịch tiến công mạng có tổ chức và có chủ đích – APT với máy chủ điều khiển đặt bên ngoài lãnh thổ đã phát tán mã độc quy mô lớn nhằm vào các hệ thống tin tức của các cơ quan Chính phủ và chủ quản hệ thống thông tin hạ tầng quan trọng quốc gia tại Việt Nam. Đến nay, Cục An toàn tin tức đã xác định được hơn 400.000 địa điểm IP bị truyền nhiễm với trên 16 biến thể của mã độc trong chiến dịch này.

Cũng tại lệnh điều phối này, cùng theo với việc yêu cầu các cơ quan, tổ chức, doanh nghiệp trên cả nước giám sát nghiêm ngặt, chống lại kết nối đến các máy server điều khiển mã độc APT, Cục An toàn thông tin cũng đề xuất các đơn vị chỉ dẫn người sử dụng, khách hàng tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe.