Phát hiện chiến dịch tấn công APT vào các ngân hàng, hạ tầng quan trọng

VNCERT cho biết, mục đích chính của tin tặc trong chiến dịch tấn công có chủ đích APT trong thời gian sát Tết nguyên đán Kỷ Hợi 2019 là đánh cắp các thông tin quan trọng của ngân hàng và các tổ chức hạ tầng quan trọng quốc gia (Ảnh minh họa: Internet)

Chiều tối nay, ngày 31/1/2019, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã phát lệnh điều hướng hỏa tốc yêu cầu gần 200 đơn vị thành viên Mạng lưới tiếp ứng sự cố quốc gia theo dõi, chống lại kết nối và xoá các tập tin mã độc tấn công có chủ đích vào các tổ chức hạ tầng quan trọng quốc gia.

Ông Nguyễn Khắc Lịch, Phó Giám đốc Trung tâm VNCERT cho biết, thực hành công tác theo dấu và giám sát trên không gian mạng Việt Nam, trong thời gian giáp Tết Kỷ Hợi 2019, Trung tâm đã ghi nhận chiến dịch tấn công có chủ đích (APT) của tin tặc nhằm vào hệ thống thông tin và hạ tầng quan trọng quốc gia tại Việt Nam.

Theo phân tích của chuyên gia VNCERT, với hình thức tiến công có chủ đích này, tin tặc đã tìm hiểu kỹ về đối tượng tiến công và thực hiện các thủ thuật lừa đảo, kết hợp với những giải pháp kỹ thuật cao để qua mặt hệ thống bảo vệ an toàn thông tin của các tổ chức hạ tầng quan trọng nhằm chiếm quyền điều khiển máy tính của người dùng và thông qua đó tiến công các hệ thống máy tính nội bộ chứa tin tức quan trọng khác.

“Mục đích chính của tin tặc là đánh cắp các thông tin quan trọng của ngân hàng và các tổ chức hạ tầng quan trọng quốc gia. Với việc sử dụng các kỹ thuật cao để tấn công thì những hệ thống bảo quản an toàn thông tin của ngân hàng hoặc các tổ chức hạ tầng quan trọng sẽ khó phát giác kịp thời và cùng theo đó giúp tin tặc duy trì quyền khống chế hệ thống thông tin”, VNCERT cho hay.

Thực hiện trách nhiệm của Cơ quan điều hướng quốc gia về ứng cứu sự cố an toàn tin tức mạng, trong lệnh điều phối tiếp ứng hỏa tốc mới phát ra, Trung tâm VNCERT yêu cầu các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia thi hành gấp các giải pháp theo dõi, rà soát hệ thống và xóa các thư mục, tập tin mã độc, chống lại kết nối đến máy chủ điều khiển mã độc để kịp thời phát giác và ngăn chặn cuộc tấn công có chủ đích.

Danh sách 52 tên miền và địa điểm IP của các máy chủ điều khiển mã độc C&C các đơn vị thành viên mạng lưới được đề nghị phải theo dõi và chống lại kết nối.

Cụ thể, các đơn vị thành viên Mạng lưới tiếp ứng sự cố quốc gia được VNCERT đề xuất theo dõi và chống lại kết nối đến các máy chủ điều khiển mã độc C&C có những tên miền và địa chỉ IP gồm: 192.227.248.189; usfinance.club; ukfinance.online; 107.174.39.144; 184.164.139.212; shengu.tech; kalya.website; smtp3.info; urlmon.online; 107.175.94.16; zivet37.services…

Cùng với đó, Trung tâm VNCERT cũng đề xuất các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia triển khai rà quét hệ thống và xoá các thư mục và tập tin mã độc có kích thước tương ứng như MD5: 25376ea6ea0903084c45bf9c57bd6e4f; MD5: 1e2795f69e07e430d9e5641d3c07f41e; MD5: 3be75036010f1f2102b6ce09a9299bca; HSMBalance.exe MD5: 34404a3fb9804977c6ab86cb991fb130; HSMBalance.exe SHA-1:b345e6fae155bfaf79c67b38cf488bb17d5be56d; ICAS.ps1 MD5:b12325a1e6379b213d35def383da2986; ICAS.ps1 SHA-1: c48ff39e5efc6ca60c31200344c47b5de3b3605d; MD5: 7c651d115109fd8f35fđfc44fd24518; MD5: 8a41520c89dce75a345ab20ee352fef0…

Sau khi thi hành theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tiến công có chủ đích vào các tổ chức hạ tầng quan trọng quốc gia, các đơn vị được yêu cầu báo cáo tình hình về Cơ quan điều hướng ứng cứu sự cố quốc gia (Trung tâm VNCERT) theo email ir@vncert.gov.vn; điện thoại 0869100319 trước 12h ngày 12/2/2019.

Nhấn mạnh những mã độc được tin tặc sử dụng trong chiến dịch tấn công APT nhằm vào các hệ thống tin tức của các ngân hàng và tổ chức hạ tầng hiểm yếu của Việt Nam trong thời gian giáp Tết Kỷ Hợi 2019 rất nguy hiểm, cũng đều có thể đánh cắp thông tin và phá hủy hệ thống thông tin, Cơ quan điều phối quốc gia về ứng cứu sự cố đòi hỏi Lãnh đạo các đơn vị thành viên Mạng lưới nghiêm túc thi hành lệnh điều phối.

Mạng lưới tiếp ứng sự cố an toàn tin tức mạng quốc gia hiện có gần 200 đơn vị thành viên, bao gồm các thành viên bắt buộc và các thành viên tình nguyện tham gia.

Trong đó, các thành viên bắt buộc là những đơn vị chuyên trách về tiếp ứng sự cố, an toàn tin tức hoặc CNTT của các bộ, bộ phận ngang bộ, bộ phận thuộc Chính phủ, cơ quan trung ương; Sở TT&TT các tỉnh, thành thị trực thuộc trung ương; Cơ quan, đơn vị có chức năng liên quan thuộc Bộ TT&TT (Cục An toàn thông tin, Trung tâm VNCERT, Trung tâm Internet Việt Nam, Cục Bưu điện Trung ương); cơ quan, đơn vị có chức năng liên quan thuộc Bộ Công an (Cục An ninh mạng; Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao); Cơ quan, đơn vị có chức năng liên quan thuộc Bộ Quốc phòng (Cục CNTT, Ban Cơ yếu Chính phủ);

Các doanh nghiệp cung cấp dịch vụ hạ tầng viễn thông, Internet (ISP); các tổ chức, doanh nghiệp cung cấp dịch vụ trung tâm dữ liệu, cho thuê không gian lưu trữ tin tức số; đơn vị quản lý, vận hành cơ sở dữ liệu quốc gia; đơn vị chuyên trách về an toàn thông tin, CNTT của các tổ chức ngân hàng, tài chính, kho bạc, thuế, hải quan; Các tổ chức, doanh nghiệp quản lý, vận hành các hệ thống thông tin quan trọng, các hệ thống điều khiển công nghiệp (SCADA) thuộc các lĩnh vực Năng lượng, Công nghiệp, Y tế, TN&MT, GD&ĐT, Dân cư và đô thị.

Theo hoạch toán của các đơn vị khối an toàn tin tức của Bộ TT&TT, trong năm ngoái, Trung tâm Giám sát an toàn không gian mạng quốc gia thuộc Bộ đã ghi nhận 10.220 cuộc tiến công mạng vào các hệ thống tin tức tại Việt Nam, bao gồm 5.932 cuộc tiến công lừa đảo (Phishing), 3.198 cuộc tấn công thay đổi giao diện (Deface) và 1.090 cuộc tiến công cài cắm mã độc (Malware). Cũng trong năm 2018, theo ghi nhận của Trung tâm, có 4.181.773 địa điểm IP Việt Nam nằm trong những mạng máy tính ma (botnet). Đặc biệt, về tình hình an toàn, an ninh mạng tại Việt Nam trong năm 2019, khối an toàn tin tức của Bộ TT&TT đã đưa ra dự đoán 5 khuynh hướng chính, trong đó có khuynh hướng tiến công mạng có chủ đích vào các cơ quan, tổ chức nhà nước nhằm lấy cắp thông tin, dữ liệu.