Tấn công mạng sẽ nhắm tới mọi mục tiêu, từ ví điện tử cho tới Internet vệ tinh

17:33 | 21/03/2022
T.U

Các kỹ thuật mà tội phạm mạng tấn công có chủ đích sử dụng dẫn tới nhiều chiến dịch tấn công chuỗi cung ứng và tấn công bằng mã độc tống tiền phá hủy hệ thống.

Fortinet đã công bố những dự đoán từ đội ngũ nghiên cứu và thông tin mối đe dọa toàn cầu FortiGuard Labs về bối cảnh mối đe dọa mạng trong năm 2022 và những năm sau đó. Tội phạm mạng đang phát triển và mở rộng các phương thức tấn công nhằm vào các khu vực mới để khai thác những lỗ hổng trên khắp toàn bộ bề mặt tấn công, đặc biệt khi mô hình làm việc từ xa tiếp tục được áp dụng. Chúng đang tìm cách tối đa cơ hội từ biên mạng 5G đến hệ thống mạng lõi, nhà riêng và thậm chí cả kết nối Internet vệ tinh trong không gian. Từ các xu hướng khá rõ ràng, FortiGuard Labs đưa ra những dự đoán chiến lược về phương thức mà tội phạm mạng sẽ sử dụng sắp tới, cùng với các khuyến cáo để giúp các đội ngũ và phần mềm phòng thủ chuẩn bị khả năng bảo vệ hệ thống trước những cuộc tấn công sắp diễn ra.

Derek Manky, Lãnh đạo Bộ phận Security Insights & Global Threat Alliances của FortiGuard Labs cho biết: “Tội phạm mạng đang phát triển và trở nên giống với các nhóm tấn công chủ đích APT truyền thống hơn, trang bị thông tin về lỗ hổng zero-day, phá hủy hệ thống và có thể mở rộng các kỹ thuật của chúng khi cần thiết để đạt được mục tiêu. Chúng ta sẽ thấy các cuộc tấn công bao phủ phạm vi rộng hơn bên ngoài hệ thống mạng được mở rộng, thậm chí vào không gian, khi những kẻ tấn công lợi dụng một chu vi mạng phân mảnh, đội ngũ và công cụ làm việc tách biệt theo cấu trúc silo cũng như khi một bề mặt tấn công bị mở rộng đáng kể. Những mối đe dọa này sẽ khiến đội ngũ IT vốn đã quá tải trở nên rối loạn khi phải kiểm soát mọi hướng tấn công tiềm ẩn nguy cơ. Để chống lại những mối đe dọa đang liên tục đổi mới, các tổ chức cần áp dụng một nền tảng Security Fabric được xây dựng trên nền tảng kiến trúc lưới an ninh mạng”.

Tội phạm mạng tăng cường hoạt động do thám để tối đa hiệu quả của các cuộc tấn công như mã độc tống tiền

Dựa trên những quan sát được thông qua một chuỗi tấn công như mô hình ATT&CK MITRE, các cuộc tấn công thường được phân thành những giai đoạn đe dọa “left-hand” hay “right-hand”. Giai đoạn “left-hand” (bên trái) của chuỗi tấn công là các nỗ lực tiền chiến dịch, bao gồm lên kế hoạch, phát triển và các chiến lược vũ khí hóa. Giai đoạn “right-hand” (bên phải) là giai đoạn thực thi quen thuộc hơn của cuộc tấn công. FortiGuard Labs dự đoán rằng tội phạm mạng sẽ dành nhiều thời gian và công sức vào các hoạt động do thám và khám phá các lỗ hổng zero-day để khai thác các công nghệ mới và đảm bảo chiến dịch thành công hơn ngay từ giai đoạn “left-hand”. Thật không may, sẽ có một tỷ lệ gia tăng các cuộc tấn công mới được tiến hành chủ yếu ở “right-hand” do nhu cầu cao hơn từ thị trường dịch vụ tội phạm mạng.

Mã độc tống tiền sẽ phá hủy hệ thống hơn nữa

Sẽ tiếp tục có một xu hướng mở rộng của phần mềm tội phạm và mã độc tống tiền sẽ vẫn là tiêu điểm trong tương lai. Những kẻ tấn công bằng mã độc tống tiền đã kết hợp mã độc tống tiền với kỹ thuật từ chối dịch vụ phân tán DDoS, với kỳ vọng gây quá tải cho đội ngũ IT để họ không thể xoay sở trong nỗ lực giảm thiểu thiệt hại của cuộc tấn công. Việc bổ sung thêm một “quả bom hẹn giờ” là mã độc wiper - phần mềm độc hại không chỉ phá hủy dữ liệu mà còn phá hoại hệ thống và phần cứng – sẽ tạo ra thêm tính nguy cấp khiến các công ty phải trả tiền một cách nhanh chóng. Mã độc wiper đã hoạt động trở lại, nhắm vào các mục tiêu lớn, ví dụ như Olympic Games tại Tokyo. Dù mức độ liên kết giữa các phương thức tấn công của tội phạm mạng và các chiến dịch tấn công có chủ đích (APT) có như thế nào đi nữa, thì sớm hay muộn năng lực phá hủy hệ thống như mã độc wiper sẽ được bổ sung vào bộ công cụ tấn công bằng mã độc tống tiền. Đây có thể là một mối lo ngại đối với các môi trường mạng biên đang phát triển, hạ tầng trọng yếu và các chuỗi cung ứng.

Tội phạm mạng sử dụng công nghệ AI để làm chủ kỹ thuật giả mạo hình ảnh người - Deep Fake

Trí tuệ nhân tạo (AI) được sử dụng trong bảo vệ an ninh mạng theo nhiều cách, ví dụ như phát hiện hành vi bất thường có thể dẫn đến một cuộc tấn công, thông thường bằng botnet. Tội phạm mạng cũng đang tận dụng AI để phá các thuật toán phức tạp được dùng để phát hiện hành động bất thường của chúng. Sắp tới, phương thức này sẽ phát triển khi kỹ thuật giả mạo hình ảnh người (deep fake) trở thành một vấn nạn do chúng sử dụng AI để bắt chước hành động của con người và cải tiến các chiến dịch tấn công phi kỹ thuật. Hơn nữa, tiêu chuẩn để tạo ra được deep fake sẽ giảm xuống thông qua việc tiếp tục thương mại hóa các ứng dụng công nghệ cao. Những điều này dần dần có thể dẫn tới việc mạo nhận người khác trong thời gian thực từ các ứng dụng giọng nói và video vượt qua phân tích sinh trắc, đặt ra những thách thức trong việc bảo đảm an toàn cho các hình thức xác thực như xác minh giọng nói hoặc nhận diện khuôn mặt.

Nhiều chiến dịch tấn công hơn hướng vào các hệ thống ít bị nhắm mục tiêu trong chuỗi cung ứng

Trong nhiều hệ thống mạng, hệ điều hành Linux vận hành nhiều hệ thống điện toán phụ trợ (back-end) và không phải là mục tiêu chính của tội phạm mạng mãi cho tới gần đây. Các tập tin nhị phân độc hại gần đây đã bị phát hiện nhắm vào hệ thống WSL của Microsoft (Hệ thống con Windows dành cho Linux), một lớp tương thích để chạy các tệp thực thi nhị phân Linux nguyên bản trên Windows 10, Windows 11, và Windows Server 2019. Hơn nữa, mã độc chứa botnet đã và đang được xây dựng trên các nền tảng Linux. Thực tế này mở rộng hơn nữa bề mặt tấn công vào trung tâm của hệ thống mạng và gia tăng các mối đe dọa cần phải phòng thủ. Có những phân nhánh cho các thiết bị công nghệ vận hành (OT) và chuỗi cung ứng nói chung chạy trên nền tảng Linux.

Tội phạm mạng nhắm mục tiêu khắp mọi nơi 

Thách thức sắp tới mà các đội ngũ phòng thủ phải đối mặt sẽ lớn hơn, không chỉ là gia tăng số lượng của các cuộc tấn công hay các kỹ thuật ngày càng cải tiến của tội phạm mạng. Những khu vực mới có thể khai thác đang được khám phá trên khắp bề mặt tấn công thậm chí đã được mở rộng hơn. Điều này sẽ đặc biệt khó khăn vì các tổ chức trên toàn thế giới vẫn đang tiếp tục phải mở rộng kết nối mạng của họ với các biên mạng mới theo xu hướng áp dụng mô hình làm việc từ xa (WFA), học từ xa và các dịch vụ đám mây mới. Tương tự như vậy, tại nhà riêng, học tập và chơi game kết nối mạng là những hoạt động thông thường và ngày càng trở nên phổ biến hơn. Sự gia tăng về kết nối nhanh chóng, mọi lúc mọi nơi, tạo ra cơ hội tấn công lớn cho tội phạm mạng. Các tác nhân đe dọa đang chuyển nguồn lực sang nhắm mục tiêu và khai thác các biên mạng đang phát triển, cũng như các môi trường “từ xa” trên khắp các hệ thống mạng mở rộng, hơn là chỉ hướng tới hệ thống mạng lõi.

Tội phạm mạng nhắm tới ngoài không gian

FortiGuard Labs dự kiến sẽ thấy những mối đe dọa mới kiểu chứng minh khái niệm (proof-of-concept) nhắm vào các hệ thống mạng vệ tinh trong năm tới khi truy cập Internet từ vệ tinh tiếp tục phát triển. Các mục tiêu lớn nhất sẽ là các tổ chức phụ thuộc vào kết nối mạng vệ tinh để hỗ trợ các hoạt động có độ trễ thấp, như chơi game trực tuyến hay cung ứng các dịch vụ thiết yếu tới các địa bàn xa xôi, cũng như các văn phòng địa phương ở xa, các đường dẫn tài nguyên, tàu biển hoặc hàng không. Điều này cũng sẽ mở rộng bề mặt tấn công tiềm năng khi các tổ chức bổ sung kết nối mạng vệ tinh để kết nối các hệ thống độc lập (off-grid) trước đó, ví dụ như các thiết bị OT từ xa, đến các hệ thống kết nối được hợp mạng của họ. Khi điều này xảy ra, các dạng tấn công như mã độc tống tiền rất có thể sẽ phát triển theo.

Bảo vệ ví điện tử của bạn

Cướp tiền từ các giao dịch chuyển khoản đã trở nên ngày càng khó khăn đối với tội phạm mạng do các tổ chức tài chính đã mã hóa các giao dịch và yêu cầu xác thực đa yếu tố. Nhưng ngược lại, các ví điện tử đôi khi có thể kém an toàn hơn. Ví cá nhân có thể không thực hiện những giao dịch có giá trị quá lớn, nhưng tình thế hiện giờ đã thay đổi bởi các doanh nghiệp cũng bắt đầu sử dụng ví điện tử cho các giao dịch trực tuyến ngày càng nhiều hơn. Bởi vậy, có thể nhiều mã độc hơn sẽ được thiết kế đặc biệt để nhắm vào các thông tin ủy nhiệm được lưu trữ để chiếm đoạt tiền từ các ví điện tử.

Thể thao điện tử cũng trở thành mục tiêu

Thể thao điện tử (Esport) là các cuộc thi đấu video game giữa nhiều cá nhân hay đội chơi, thường là chuyên nghiệp. Đây là một ngành công nghiệp đang trên đà bùng nổ với mức doanh thu vượt 1 tỷ đô la trong năm nay. Esport là một mục tiêu hấp dẫn đối với tội phạm mạng, dù tấn công bằng kỹ thuật DDoS, mã độc tống tiền, đánh cắp tài chính và giao dịch, hay tấn công phi kỹ thuật, do môn thể thao này yêu cầu kết nối mạng liên tục và thường được chơi tại các hệ thống mạng tại nhà riêng không được bảo mật nhất quán, hoặc trong những tình huống với số lượng truy cập Wi-Fi mở lớn. Do đặc điểm tương tác của trò chơi, Esport cũng là mục tiêu cho lừa đảo và tấn công phi kỹ thuật. Bởi tốc độ tăng trưởng và lãi suất gia tăng, Esport và trò chơi trực tuyến rất có thể sẽ trở thành mục tiêu tấn công lớn trong năm 2022.

Nỗ lực sinh tồn tại biên mạng

Nhiều biên mạng hơn đang được vận hành bởi số lượng ngày càng tăng của các thiết bị IoT và OT, cũng như các thiết bị thông minh sử dụng công nghệ 5G và AI hỗ trợ cho việc tạo ra các giao dịch và ứng dụng trong thời gian thực. Các mối đe dọa mới tại biên mạng sẽ tiếp tục phát triển khi tội phạm mạng nhắm tới toàn bộ hệ thống mạng được mở rộng như điểm khởi đầu cho một cuộc tấn công. Tội phạm mạng sẽ nỗ lực để tối đa hóa mọi khoảng trống an ninh tiềm ẩn nguy cơ được tạo ra bởi các biên mạng thông minh và công nghệ cao trong sức mạnh điện toán để tạo ra các mối đe dọa nâng cao và nhiều nguy cơ phá hủy hệ thống hơn ở quy mô không thể lường trước. Đồng thời khi các thiết bị biên trở nên mạnh mẽ hơn với nhiều năng lực sẵn có, các cuộc tấn công mới sẽ được thiết kế để vượt khỏi cản trở của biên mạng. Xu hướng gia tăng các chiến dịch tấn công nhắm vào OT, đặc biệt tại biên mạng, rất có thể xảy ra khi việc hội tụ mạng IT và OT tiếp diễn.

Tội phạm mạng phát triển mạnh mẽ với nỗ lực sinh tồn tại biên mạng

Một mối đe dọa mới từ biên mạng đang phát triển. Chiến lược “nỗ lực sinh tồn” cho phép mã độc tận dụng các bộ công cụ và năng lực có sẵn trong môi trường bị xâm nhập từ đó các cuộc tấn công và trích xuất dữ liệu trông giống như hoạt động hệ thống bình thường và không gây chú ý. Các cuộc tấn công Hafnium trên các server Microsoft Exchange đã sử dụng kỹ thuật này để sống sót và bám trụ trên các bộ điều khiển miền. Tấn công theo chiến lược “Nỗ lực sinh tồn” rất hiệu quả vì chúng sử dụng các công cụ chính thống để che giấu các hành động bất chính của chúng. Sự kết hợp của kỹ thuật nỗ lực sinh tồn và Edge-Access Trojans (EATs) đồng nghĩa với việc các chiến dịch tấn công mới sẽ được thiết kế để sinh tồn tại biên mạng chứ không chỉ hệ thống trung tâm, do các thiết bị biên trở nên mạnh mẽ hơn, với nhiều năng lực nguyên bản hơn, và tất nhiên nhiều đặc quyền hơn. Mã độc dùng cho biên mạng có thể điều khiển các hoạt động và dữ liệu tại vùng biên, từ đó đánh cắp, cướp quyền hoặc thậm chí tống tiền các hệ thống, ứng dụng và thông tin quan trọng trong khi vẫn có thể tránh được việc bị phát hiện.

Web đen tạo ra các cuộc tấn công khả năng mở rộng của hạ tầng trọng yếu

Tội phạm mạng đã nhận ra rằng chúng có thể kiếm tiền từ dịch vụ bán lại mã độc trực tuyến. Thay vì phải cạnh tranh với những kẻ cung cấp các công cụ tương tự, chúng sẽ mở rộng danh mục của mình bao trùm cả các cuộc tấn công dựa trên công nghệ OT, đặc biệt khi việc hội tụ OT và IT tại biên mạng đang tiếp diễn. Giữ các hệ thống và hạ tầng trọng yếu như vậy để đòi tiền chuộc sẽ sinh lợi hấp dẫn nhưng cũng có thể gặp các hậu quả tồi tệ, bao gồm việc ảnh hưởng tới mạng sống và an toàn của nhiều người. Do các kết nối đang ngày càng được hợp mạng, bất kể điểm truy cập nào cũng có thể trở thành mục tiêu để tiếp cận vào hệ thống mạng IT. Trước đây, các cuộc tấn công trên hệ thống OT là domain của nhiều tác nhân đe dọa chuyên biệt hơn, nhưng những năng lực như vậy giờ đã bắt đầu được đưa vào trong bộ tấn công có thể mua được trên web đen, khiến chúng trở nên sẵn có đối với một nhóm những kẻ tấn công trên phạm vi rộng hơn nhiều.

Nền tảng Security Fabric được xây dựng trên một kiến trúc lưới an ninh mạng

Bảo vệ chu vi mạng đã phân mảnh và đội ngũ an ninh mạng thường hoạt động tách biệt theo các silo. Đồng thời, nhiều tổ chức đang chuyển dịch sang mô hình đa đám mây hoặc kết hợp. Tất cả những yếu tố này tạo điều kiện cho tội phạm mạng tiếp cận tinh vi và toàn diện hơn. Một kiến trúc lưới an ninh mạng tích hợp các biện pháp kiểm soát an ninh vào trong và trên khắp các kết nối và tài sản phân tán rộng rãi. Cùng với phương thức tiếp cận Security Fabric, các tổ chức có thể hưởng lợi từ nền tảng an ninh được tích hợp đảm bảo an toàn cho mọi tài sản tại chỗ (on premise), trong trung tâm dữ liệu, trong đám mây và tại biên mạng. Đội ngũ phòng thủ sẽ cần lên kế hoạch trước ngay từ bây giờ bằng cách tận dụng sức mạnh của AI và máy học (ML) để đẩy nhanh tốc độ của hoạt động ngăn ngừa, phát hiện và ứng phó với mối đe dọa.

Các công nghệ endpoint nâng cao như giải pháp phát hiện và ứng phó đầu cuối (EDR) có thể giúp xác định các mối đe dọa độc hại dựa trên hành vi. Đồng thời, giải pháp truy cập mạng zero-trust (ZTNA) sẽ rất cần thiết đối với truy cập ứng dụng an toàn để mở rộng các giải pháp bảo vệ tới các nhân viên và học viên từ xa, trong khi giải pháp Secure SD-WAN cũng rất quan trọng để bảo vệ các biên mạng WAN đang phát triển. Hơn nữa, việc phân đoạn mạng sẽ duy trì một chiến lược nền tảng nhằm hạn chế khả năng dịch chuyển đa phương của tội phạm mạng bên trong hệ thống và giữ cho các vi phạm bị kiềm chế về mặt phạm vi. Thông tin về mối đe dọa mạng phi pháp được tích hợp có thể cải thiện năng lực phòng thủ của tổ chức trong thời gian thực do tốc độ của các cuộc tấn công không ngừng được cải thiện. Trong khi đó trên khắp các lĩnh vực và loại hình của tổ chức, việc hợp tác và chia sẻ dữ liệu giúp kích hoạt những biện pháp ứng phó hiệu quả hơn và dự đoán tốt hơn những kỹ thuật trong tương lai, từ đó làm suy yếu các nỗ lực vi phạm sau này. Liên kết đội ngũ thông qua hợp tác nên được duy trì ưu tiên nhằm ngăn chặn những nỗ lực nhắm vào chuỗi cung ứng của tội phạm mạng trước khi chúng cố gắng liên kết tương tự như vậy.