Hiểm họa tấn công APT từ các cuộc tấn công lừa đảo

09:52 | 31/01/2019

Ngày nay, tấn công có chủ đích đã trở thành mối nguy hiểm thường trực cho các tổ chức, doanh nghiệp, hạ tầng trọng yếu quốc gia. Được đánh giá là một hình thức tấn công “may đo”, dai dẳng và có chủ đích vào một thực thể, nên khi phát hiện tấn công APT thì thiệt hại cho tổ chức, doanh nghiệp là khó ước lượng được. Trong đó, giai đoạn chuẩn bị của vòng đời một cuộc tấn công APT được đánh giá rất quan trọng. Việc thu thập thông tin, nghiên cứu về con người, hạ tầng của mục tiêu trở thành vấn đề then chốt. Kẻ tấn công thường áp dụng kỹ nghệ xã hội, lừa đảo người dùng, lây nhiễm mã độc để khai thác thông tin. Một trojan, backdoor, virus nhiễm vào máy tính người dùng ngày hôm nay, có thể sẽ là mở đầu của một tấn công APT vào những ngày sau đó. Vì vậy, các cuộc tấn công lừa đảo trở thành một trong những dấu hiệu nhận biết của tấn công APT.

Đôi nét về tấn công APT

APT (Advanced Persistent Threat) là thuật ngữ dùng để mô tả một chiến dịch tấn công thường do một nhóm tin tặc sử dụng những kỹ thuật nâng cao nhắm vào mục tiêu cụ thể. Các mục tiêu thường được lựa chọn và nghiên cứu kỹ càng như các tổ chức, doanh nghiệp lớn, cơ quan an ninh, chính phủ.
Các cuộc tấn công này thường gây hậu quả nghiêm trọng, thông qua một số hình thức như: đánh cắp tài sản trí tuệ, xâm nhập thông tin nhạy cảm, phá hủy cơ sở hạ tầng quan trọng của tổ chức, chiếm đoạt tên miền….

Theo số liệu khảo sát của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho thấy, có hơn 27% các cuộc tấn công APT nhắm vào tổ chức Chính phủ. Tiếp theo là các tổ chức tài chính ngân hàng, doanh nghiệp viễn thông với khối lượng dữ liệu khách hàng lớn. Trong khi đó, 80-90% mã độc được dùng trong các cuộc tấn công APT đều là mã độc được thiết kế riêng cho mỗi tổ chức và dường như việc ngăn ngừa toàn diện các cuộc tấn công APT gặp nhiều khó khăn. Mặc dù, các tổ chức, doanh nghiệp vẫn đầu tư chi phí lớn cho các biện pháp phòng chống tấn công APT hàng năm.

Xuất hiện từ cuối năm 2010 đầu năm 2011, cho đến nay, tấn công APT luôn đứng đầu trong các hiểm họa an toàn, an ninh thông tin. Với phương thức tấn công tinh vi, liên tục, APT kết hợp các kỹ thuật tấn công nguy hiểm (RFI, SQL injection, XSS) và khai thác kỹ nghệ xã hội (Social Engineering) để qua mặt các giải pháp an toàn, an ninh thông tin. Trong đó, các cuộc tấn công bắt nguồn từ việc khai thác tâm lý xã hội như lừa đảo (phishing) xuất hiện ngày càng nhiều, bởi phương thức tấn công này đơn giản nhưng lại vô cùng hiệu quả, do lợi dụng trực tiếp vào sự thiếu hiểu biết, chủ quan của người dùng. Hình thức tấn công sử dụng kỹ nghệ xã hội không có phương thức cố định nên khó có giải pháp cụ thể để chống lại các cuộc tấn công này.

Một số cuộc tấn công APT điển hình bắt nguồn từ tấn công lừa đảo

Tấn công hướng tới đối tượng là các tổ chức, ngân hàng, tài chính

Theo thông tin từ VNCERT, trong tháng 7/2018, Trung tâm này đã ghi nhận các hình thức tấn công có chủ đích nhắm vào hệ thống thông tin của một số ngân hàng và hạ tầng quan trọng quốc gia tại Việt Nam. Tin tặc đã tìm hiểu kỹ về đối tượng và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ an toàn thông tin của các ngân hàng và hạ tầng thông tin quan trọng của các tổ chức nhằm chiếm quyền điều khiển máy tính của người dùng, qua đó tấn công các hệ thống máy tính nội bộ chứa nhiều thông tin quan trọng khác.

Mục đích chính của tin tặc là đánh cắp các thông tin quan trọng của ngân hàng và kiểm soát  hạ tầng thông tin quan trọng của các tổ chức. Với việc sử dụng kỹ thuật cao để tấn công, các hệ thống bảo vệ ATTT của ngân hàng hoặc các tổ chức sẽ khó phát hiện kịp thời, giúp tin tặc duy trì quyền kiểm soát hệ thống thông tin.

Tấn công hướng tới đối tượng là các tổ chức liên quan tới giáo dục, báo chí, quân sự

Theo báo cáo của Tập đoàn Thales (Pháp) ra ngày 18/01/2018 đã công bố việc phát hiện một số cuộc tấn công APT tiến hành các hoạt động tình báo trên quy mô toàn cầu từ ít nhất năm 2012. Một cuộc điều tra mở rộng của công ty an ninh Lookout (Mỹ) và tổ chức phi lợi nhuận Electronic Frontier Foundation (có trụ sở tại Mỹ) đã xác định nguồn gốc các cuộc tấn công này do nhóm có tên là Dark Caranal thực hiện với cách thức hết sức tinh vi và hiệu quả.

Dark Caranal phát triển phần mềm độc hại trên nền tảng hệ điều hành Windows và Android, nhắm mục tiêu vào các nhà báo, nhân viên quân sự, luật sư, nhà hoạt động và các tổ chức giáo dục. Các phần mềm này đã trích xuất hàng trăm gigabyte dữ liệu cá nhân bao gồm tin nhắn văn bản, ghi âm cuộc gọi, tệp tin ghi âm và hình ảnh từ thiết bị của người dùng ở ít nhất 21 quốc gia (chủ yếu ở khu vực châu Âu và Bắc Mỹ).

Theo các nhà nghiên cứu thì nhóm Dark Caracal không khai thác bất kỳ lỗ hổng zero-day nào để lây lan mã độc. Thay vào đó, nhóm sử dụng kỹ thuật Social Engineering qua các bài đăng trên mạng xã hội, khuyến khích người dùng truy cập website giả mạo và tải các phần mềm độc hại. Các máy chủ của Dark Caracal lưu trữ các website lừa đảo, giống như các cổng đăng nhập cho các dịch vụ quen thuộc như Twitter, Google và Facebook. Người dùng bị thu hút bởi các bài đăng công khai về các vấn đề hiện tại và các câu chuyện tin tức theo chủ đề chính trị chứa các liên kết đến website giả mạo. Các bài đăng này thường đăng tải trên các nhóm Facebook, thẻ Twitter và nhóm Whatsapp.

Kể từ khi đi vào hoạt động, Dark Caracal đã thực hiện nhiều chiến dịch lớn. Các quốc gia như Trung Quốc, Mỹ, Ấn Độ, Nga và nhiều quốc gia khác trên khắp thế giới đều trở thành nạn nhân của nhóm tin tặc này.

Tấn công nhắm vào các hệ thống thông tin trọng yếu quốc gia

Trên thế giới và Việt Nam đã ghi nhận rất nhiều cuộc tấn công có chủ đích sử dụng mã độc gián điệp, tại Việt Nam, một minh chứng điển hình là cuộc tấn công vào Tổng công ty cảng hàng không Việt Nam và Tổng công ty hàng không Việt Nam vào ngày 29/7/2016, gây tổn hại lớn cho mạng lưới thông tin, dữ liệu của 2 đơn vị này.

Cuối tháng 7/2018, VNCERT đã ghi nhận các hình thức tấn công có chủ đích nhắm vào một số cơ quan nhà nước tại khu vực miền Trung. Cụ thể, tin tặc chèn mã khai thác lỗ hổng CVE-2017-11882 vào một tài liệu của UBND quận Hải Châu với nội dung: “Phụ lục 1: Chương trình hoạt động CNTT 2018” để phát tán đến các đơn vị hành chính thuộc thành phố Đà Nẵng. Qua phân tích cho thấy, tin tặc đã tìm hiểu kỹ về đối tượng tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ. Mục đích chính của tin tặc là đánh cắp các thông tin nhạy cảm của cơ quan nhà nước.

Kết luận

Mặc dù, tấn công có chủ đích APT rất nguy hiểm, nhưng không phải không có cách phòng chống. Có nhiều tài liệu, sách, báo đã đưa ra cảnh báo, khuyến nghị các tổ chức, doanh nghiệp cách thức bảo vệ hạ tầng công nghệ thông tin trước các cuộc tấn công APT. Trong khuôn khổ bài viết này, tác giả muốn đề cập đến ảnh hưởng và vai trò của các cuộc tấn công lừa đảo trong tấn công APT, qua đó nhấn mạnh tầm quan trọng của việc phòng tránh tấn công sử dụng kỹ nghệ xã hội đối với các tổ chức, doanh nghiệp. Từ đó, ngăn ngừa hiểm họa từ các cuộc tấn công APT.