Dự đoán các mối đe dọa nâng cao năm 2024

09:29 | 13/02/2024
TS. Nguyễn Tiến Dũng (Học viện Cảnh sát nhân dân)

Các cuộc tấn công APT (Advanced Persistent Threat) hiện nay là một trong những mối đe dọa nguy hiểm nhất vì chúng sử dụng các công cụ và kỹ thuật phức tạp, đồng thời thường nhắm đến những đối tượng, mục tiêu có giá trị và khó phát hiện. Trong bối cảnh căng thẳng địa chính trị leo thang, những cuộc tấn công mạng tinh vi này thậm chí trở nên khó lường hơn. Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã tiến hành giám sát một số nhóm tin tặc APT, phân tích xu hướng và dự đoán hoạt động trong tương lai để đón đầu bối cảnh mối đe dọa ngày càng gia tăng. Trong bài báo này sẽ đưa ra dự đoán xu hướng các mối đe dọa APT trong năm 2024 dựa trên báo cáo của GReAT.

GIA TĂNG TẤN CÔNG TRÊN CÁC THIẾT BỊ THÔNG MINH

Năm 2023 đánh dấu một năm báo động trong hoạt động khai thác các lỗ hổng trên thiết bị di động bằng phần mềm độc hại, điển hình là “Operation Triangulation” - một chiến dịch gián điệp mạng mới trên nền tảng iOS bằng việc phát tán mã độc thông qua các tin nhắn iMessage. Trong quá trình điều tra, GReAT đã xác định được 5 lỗ hổng trong iOS, bao gồm 4 lỗ hổng Zero-day. Những lỗ hổng này không chỉ ảnh hưởng đến điện thoại thông minh và máy tính bảng mà còn mở rộng sang máy tính xách tay, thiết bị đeo thông minh (wearables) và thiết bị thông minh (smart devices), bao gồm Apple TV và Apple Watch.

Trong năm 2024, có thể sẽ có thêm nhiều trường hợp tấn công nâng cao nhằm tận dụng các thiết bị tiêu dùng và công nghệ thông minh. Một xu hướng mới của các tác nhân đe dọa là mở rộng các hoạt động tấn công mạng sang các thiết bị IoT (Internet of Things) như camera thông minh, xe tự hành và hơn thế nữa. Nhiều tiện ích trong số này đều dễ bị ảnh hưởng bởi lỗ hổng bảo mật, cấu hình sai hoặc phần mềm lỗi thời, khiến chúng trở thành mục tiêu hấp dẫn và dễ dàng đối với những kẻ tấn công.

Trong chiến dịch Operation Triangulation, các hoạt động khai thác được thực hiện một cách kín đáo thông qua iMessage và được kích hoạt mà không cần sự tương tác của người dùng. Năm 2024, người dùng có thể sẽ chứng kiến các tác nhân đe dọa mở rộng nỗ lực giám sát, nhắm mục tiêu vào các thiết bị tiêu dùng khác nhau thông qua những lỗ hổng bảo mật và phương pháp khai thác lỗ hổng một cách bí mật, chẳng hạn như:

- Không cần nhấp chuột (Zero-click) thông qua các trình nhắn tin đa nền tảng phổ biến, cho phép tấn công mà không cần tương tác với nạn nhân tiềm năng.

- Một cú nhấp chuột (One-click) với việc gửi liên kết độc hại qua SMS hoặc ứng dụng nhắn tin, nơi nạn nhân có thể vô tình kích hoạt các cuộc tấn công bằng cách mở các liên kết này.

- Các tác nhân độc hại chặn lưu lượng mạng, ví dụ khai thác mạng Wifi - phương pháp ít phổ biến nhưng có khả năng đạt hiệu quả cao.

XÂY DỰNG CÁC MẠNG BOTNET MỚI VỚI PHẦN MỀM VÀ THIẾT BỊ HƯỚNG TỚI NGƯỜI DÙNG VÀ DOANH NGHIỆP

Một thực tế hiện nay là các lỗ hổng vẫn tồn tại trong các phần mềm và thiết bị phổ biến, dù cho mục đích sử dụng của cá nhân hay môi trường doanh nghiệp. Việc nghiên cứu các lỗ hổng, đặc biệt là các lỗ hổng nghiêm trọng và khắc phục chúng không phải lúc nào cũng được xử lý kịp thời. Điều này làm dấy lên mối lo ngại về khả năng xuất hiện các mối đe dọa mới, trong đó bao gồm các mạng lưới botnet quy mô lớn và được thiết lập để thực hiện các cuộc tấn công có chủ đích.

Xây dựng các mạng botnet liên quan đến việc cài đặt phần mềm độc hại một cách lén lút trên nhiều thiết bị mà chủ sở hữu thiết bị không hề hay biết. Các nhóm APT có thể đạt được nhiều mục đích khác nhau cho điều này. Đầu tiên, nó cho phép các tác nhân đe dọa che giấu mục tiêu thực sự của các cuộc tấn công diện rộng, khiến các quản trị viên công nghệ thông tin (CNTT) cũng như các giải pháp bảo mật gặp khó khăn trong việc xác định danh tính và động cơ của những kẻ tấn công. Hơn nữa, mạng botnet có thể bắt nguồn từ các thiết bị hoặc phần mềm của người dùng hoặc các tổ chức, qua đó không để rò rỉ cơ sở hạ tầng của kẻ tấn công. Chúng có thể hoạt động như các máy chủ proxy, trung tâm của máy chủ điều khiển và kiểm soát (C2) và trong trường hợp cấu hình mạng lỗi, chúng có thể là các điểm xâm nhập tiềm năng. Bản chất bí mật của các cuộc tấn công này đặt ra những thách thức trong việc phát hiện, đồng thời mang lại cho kẻ tấn công nhiều cơ hội xâm nhập và thiết lập sự hiện diện trong cơ sở hạ tầng của các mục tiêu.

CÁC CUỘC TẤN CÔNG MẠNG ĐƯỢC NHÀ NƯỚC BẢO TRỢ

Thời gian gần đây thế giới đã chứng kiến nhiều cuộc xung đột vũ trang diễn ra, trong đó, không gian mạng đóng một vai trò quan trọng trong việc hình thành thế trận mới có ảnh hưởng và tác động lớn đến cục diện chiến trường. Trong năm 2024, GReAT dự đoán sẽ có sự gia tăng các cuộc tấn công mạng do nhà nước bảo trợ khi căng thẳng địa chính trị gia tăng. Trong bối cảnh đó, các tổ chức truyền thông có thể được nhắm mục tiêu bởi mục đích phản tuyên truyền hoặc đưa thông tin sai lệch của đối phương.

Tin tặc sẽ chủ yếu tập trung vào việc đánh cắp dữ liệu, tấn công cơ sở hạ tầng CNTT và hoạt động gián điệp lâu dài. Ngoài ra, những kẻ tấn công sẽ không chỉ mã hóa dữ liệu mà chúng có thể phá hủy nó, gây ra mối đe dọa đáng kể cho các tổ chức dễ bị tấn công bởi động cơ chính trị. Điều này bao gồm các cuộc tấn công có mục tiêu cụ thể chống lại các cá nhân hoặc tổ chức. Những cuộc tấn công này có thể liên quan đến việc xâm phạm thiết bị của các cá nhân để có quyền truy cập vào tổ chức mà họ làm việc, sử dụng máy bay không người lái để xác định vị trí các mục tiêu cụ thể, sử dụng phần mềm độc hại để nghe lén,…

CHỦ NGHĨA TIN TẶC TRONG BỐI CẢNH ĐỊA CHÍNH TRỊ

Một xu hướng đáng chú ý khác là các nhóm hoạt động theo chủ nghĩa tin tặc hacktivism. Chúng có thể thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS), đánh cắp hoặc phá hủy dữ liệu, tấn công thay đổi giao diện,… nhắm vào các quốc gia đối trọng. Đặc biệt, những kẻ tấn công có thể đưa ra các tuyên bố giả về các cuộc tấn công mạng, dẫn đến những cuộc điều tra không cần thiết và kéo theo là sự cảnh báo liên tục của các nhà phân tích Trung tâm Điều hành An ninh mạng (SOC) và nhà nghiên cứu an ninh mạng.

Ngoài ra, các nhóm tin tặc hacktivism cũng lạm dụng công nghệ Deepfake để mạo danh và đưa thông tin sai lệch, cũng như các trường hợp khác, chẳng hạn như trường hợp tin tặc làm gián đoạn chương trình phát sóng truyền hình Nhà nước Iran trong các cuộc biểu tình. Nhìn chung, khi căng thẳng địa chính trị gia tăng và chưa có dấu hiệu dừng lại, GReAT cho biết trong năm 2024 có thể sẽ gia tăng các hoạt động hacktivism, vừa mang tính phá hoại vừa nhằm mục đích tuyên truyền.

LỪA ĐẢO TRỰC TUYẾN VỚI CÁC CÔNG CỤ AI

Chatbot và các công cụ AI tạo sinh (Generative AI) hiện đã phổ biến và dễ dàng truy cập. Xu hướng này đã được các tác nhân đe dọa lợi dụng để phát triển phiên bản chatbot độc hại dựa trên các phần mềm hợp pháp. Các mô hình khác như xxxGPT, WolfGPT, FraudGPT, DarkBERT,… thiếu các hạn chế nội dung khiến chúng trở nên hấp dẫn đối với những kẻ tấn công khai thác các mô hình này cho mục đích xấu. Điều này có thể tạo điều kiện thuận lợi cho việc phát tán hàng loạt các tin nhắn lừa đảo trực tuyến, thường đóng vai trò là bước khởi đầu trong các chiến dịch APT và các cuộc tấn công khác.

Trong năm tới, những kẻ tấn công có thể sẽ phát triển các phương pháp mới để tự động hóa hoạt động gián điệp nhắm vào mục tiêu của chúng. Điều này có thể bao gồm việc thu thập dữ liệu tự động từ sự hiện diện trực tuyến của nạn nhân, chẳng hạn như các bài đăng trên mạng xã hội, bình luận trên các phương tiện truyền thông hoặc bất kỳ nội dung nào liên quan đến danh tính của nạn nhân. Thông tin này sẽ được xử lý bằng các công cụ tổng hợp để tạo ra nhiều tin nhắn văn bản hoặc âm thanh khác nhau theo phong cách và giọng nói của từng cá nhân cụ thể.

SỰ XUẤT HIỆN CỦA NHIỀU NHÓM TIN TẶC CHO THUÊ

Các nhóm tin tặc cho thuê chuyên xâm nhập vào hệ thống và cung cấp dịch vụ đánh cắp dữ liệu cho phía khách hàng, từ các nhà điều tra tư nhân đến các đối thủ kinh doanh, xu hướng này dự kiến sẽ phát triển trong năm tới. Một trường hợp điển hình như vậy được các nhà nghiên cứu GReAT theo dõi là DeathStalker. Nhóm này tập trung vào các công ty luật và công ty tài chính, cung cấp dịch vụ tấn công mạng và hoạt động như một nhà môi giới thông tin thay vì hoạt động như một tác nhân APT truyền thống. Chúng sử dụng các email lừa đảo trực tuyến có tệp đính kèm độc hại để chiếm quyền kiểm soát thiết bị của nạn nhân và đánh cắp dữ liệu nhạy cảm.

Thông thường các nhóm như thế này sẽ bao gồm các tin tặc chuyên nghiệp được tổ chức theo thứ bậc, với các nhóm lãnh đạo quản lý. Chúng quảng cáo trên nền tảng web đen và sử dụng nhiều kỹ thuật khác nhau, như tấn công lừa đảo hay các phương pháp kỹ nghệ xã hội khác. Để tránh bị phát hiện, các tin tặc sử dụng giao tiếp ẩn danh và VPN (Virtual Private Network), đồng thời gây ra nhiều tác động khác nhau, từ vi phạm dữ liệu đến tổn hại danh tiếng. Dịch vụ của các nhóm tin tặc cho thuê nói chung không chỉ dừng lại ở hoạt động gián điệp mạng mà còn mở rộng sang hoạt động gián điệp thương mại. Chúng có thể thu thập dữ liệu về đối thủ cạnh tranh, chẳng hạn như các thông tin giao dịch tài chính và thông tin khách hàng.

KẾT LUẬN

Trong bối cảnh hoạt động của các nhóm APT đang có chiều hướng gia tăng cả về quy mô lẫn mức độ tinh vi, thị phần tội phạm mạng đã và đang hình thành những loại hình cũng như phương thức tấn công mới, điều này đặt ra những thách thức trong việc ứng phó với các cuộc tấn công. Do vậy, việc đón đầu các xu hướng và tìm hiểu về các mối đe dọa là cần thiết để giúp các cá nhân và tổ chức có thể cải thiện và chủ động tăng cường các giải pháp bảo mật nhằm phòng tránh và ngăn chặn các mối đe dọa ở mức tối thiểu.