Tình hình tấn công mạng năm 2015

09:47 | 03/02/2016

Trong bài báo này, Tạp chí An toàn thông tin điểm lại tình hình tấn công mạng năm 2015.

Tại việt nam

Trong năm 2015, các cuộc tấn công mạng có quy mô và mức độ lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế. Theo thống kê của VNCERT, xu hướng tấn công lừa đảo, mã độc, thay đổi giao diện trở nên phổ biến. Cụ thể, đã có 4.484 sự cố tấn công lừa đảo, 6.122 sự cố thay đổi giao diện, 14.115 sự cố về mã độc và 3.257 sự cố khác được ghi nhận trong 11 tháng đầu năm. Bên cạnh đó, trong các trang web/cổng thông tin điện tử của Cơ quan nhà nước đã có 9 website bị tấn công thay đổi giao diện với 144 đường dẫn bị thay đổi; 106 website bị cài mã độc với 227 đường dẫn phát tán mã độc, 1 website bị tấn công cài mã lừa đảo. Các hình thức lừa đảo trực tuyến gia tăng, bao gồm lừa đảo chiếm đoạt thẻ cào điện thoại di động và tài khoản mạng xã hội, lấy cắp thông tin cá nhân. Các hình thức quảng cáo rác, tin nhắn rác vẫn chưa được kiểm soát. Đặc biệt, tấn công có chủ đích vào các cơ quan nhà nước chiếm 2,5% Quý I và gia tăng 7,1% trong Quý II. Theo thống kê của hãng bảo mật Kaspersky và Symantec, Việt Nam nằm trong số các nước có số người dùng di động bị mã độc tấn công nhiều nhất thế giới. Gần 50% người dùng có nguy cơ nhiễm mã độc khi sử dụng Internet trên máy tính. Loại mã độc đáng lo ngại nhất hiện nay là mã độc tống tiền - Ransomware. 

Một số cuộc tấn công mạng điển hình trong năm 2015:

- Google.com.vn bị tấn công: Ngày 23/02/2015, trang Web tìm kiếm Google Việt Nam xuất hiện thông báo đã bị tấn công bởi nhóm hacker Lizard Squad. Ngay sau khi phát hiện sự cố, Google đã chặn hướng truy cập tới website nhằm sửa lỗi và khắc phục. Đã có nhiều nhận định khác nhau về nguyên nhân của vụ việc này như: hệ thống quản lý tên miền quốc gia bị tấn công, đơn vị quản lý tên miền tự ý thay đổi mà không có sự đồng bộ với VNNIC....



- Hơn 50.000 tài khoản VNPT bị lộ thông tin: Một nhóm hacker với tên gọi DIE Group đã tiến hành khai thác lỗ hổng của môđun tra cứu thông tin khách hàng trên một máy chủ cũ tại chi nhánh VNPT Sóc Trăng. Thông tin tài khoản bị công khai bao gồm: mã số khách hàng, họ tên, địa chỉ, số điện thoại (di động và cố định).... Phần lớn những thông tin cá nhân bị tiết lộ vẫn đang hoạt động. Các đơn vị chức năng đã phối hợp với VNPT Sóc Trăng xử lý kịp thời dứt điểm, đảm bảo an toàn các tài khoản và dữ liệu cho khách hàng.

- Các cuộc tấn công của tin tặc Trung Quốc: Dấu hiệu về cuộc tấn công đầu tiên đã được hãng bảo mật Kaspersky phát hiện vào tháng 4/2015. Một nhóm tin tặc có tên Naikon được cho là của Trung Quốc đã tham gia hoạt động gián điệp mạng với mục tiêu là các quốc gia ở vùng biển Đông. Nhóm tin tặc đã sử dụng hình thức tấn công bằng cách gửi email đến nạn nhân có đính kèm tập tin độc hại. Cuộc tấn công thứ hai do hãng bảo mật FireEye phát hiện. Nhóm tin tặc APT30 bắt đầu mua những tên miền để phục vụ cho hoạt động tấn công mạng của mình từ ngày 14/3/2004. Sau đó một tháng, các tên miền này bắt đầu hoạt động, với các loại mã độc được đính kèm. Mục tiêu chính của những loại mã độc này là lấy cắp một cách có hệ thống các “thông tin nhạy cảm” từ các chính phủ, các tập đoàn và các nhà báo có liên quan đến chính phủ Trung Quốc, thuộc khu vực Đông Nam Á và Ấn Độ, trong đó có cả Việt Nam. 

Trên thế giới

- “Hacking Team” bị hack: Ngày 5/7/2015, một nhóm tin tặc đã thực hiện tấn công vào công ty chuyên cung cấp phần mềm gián điệp Hacking Team và sau đó sử dụng tài khoản Twitter của chính công ty này để công khai các dữ liệu khai thác được. Có khoảng 500GB dữ liệu đã được phát tán trên Internet qua BitTorrent nhằm mục đích tiết lộ danh sách khách hàng và những mã nguồn được bảo vệ, bao gồm nội dung các email liên lạc, bản ghi âm, mã nguồn, danh sách khách hàng cùng với thời gian giao dịch. Trong danh sách này có Cục Điều tra Liên bang Mỹ (FBI), một số tổ chức thuộc các nước Tây Ban Nha, Úc, Chile, Iraq....

- Chiến tranh mạng giữa tổ chức Hồi giáo IS và nhóm hacker Anonymous: Cuộc chiến này bắt nguồn từ sau cuộc khủng bố đẫm máu tại Paris hôm 13/11. Đầu tiên, nhóm hacker Anomymous tuyên bố sẽ tấn công IS trên mạng Internet và thực tế cuộc chiến này đã diễn ra. Nhiều tài khoản Twitter của IS bị tấn công, nhiều kênh liên lạc của IS bị phá hỏng. Đến lượt IS tự nhận họ là “ông chủ” của thế giới ảo và sẽ trả đũa Anonymous. Ngày 7/12, nhóm hacker Anonymous còn tuyên bố dành riêng một ngày là ngày 11/12 làm “Ngày trêu tức IS” với những cuộc tổng tấn công vào các tài khoản Twitter, Facebook và YouTube của IS.

Lỗ hổng an toàn thông tin

- Lỗ hổng từ “Hacking team”: Trong quá trình phân tích dữ liệu bị rò rỉ của Hacking Team, các nhà nghiên cứu đã phát hiện ra các lỗ hổng liên quan đến phần mềm Adobe Flash Player, hệ điều hành Windows, Internet Explorer.... Trong đó, các lỗ hổng zero-day của Adobe Flash Player được cho là nghiêm trọng nhất: Lỗ hổng CVE-2015-5119 có thể cho phép tin tặc thực thi mã độc, gây “crash” máy và thực hiện kiểm soát toàn bộ hệ thống bị ảnh hưởng; Lỗ hổng CVE-2015-5122 có thể khiến máy tính bị “crash” và cho phép kẻ tấn công chiếm quyền điều khiển của hệ thống.... Đặc biệt, các lỗ hổng này đều có đoạn mã khai thác POC thành công, gây ảnh hưởng lớn tới cộng đồng mạng.

- Dell, Lenovo lén cài phần mềm quảng cáo vào máy tính người dùng: Tháng 2/2015, nhà sản xuất PC Lenovo bị tố cài đặt adware (phần mềm quảng cáo) vào máy tính. Có tên gọi Superfish, adware này có thể đưa các quảng cáo của bên thứ ba vào các kết quả tìm kiếm trên Google. Nghiêm trọng hơn, loại adware này còn có thể tiếp tay cho hacker ăn cắp các thông tin cá nhân quan trọng của người dùng như tài khoản ngân hàng. Mike Shaver - một kỹ sư của Facebook, mới đây cũng phát hiện ra rằng, Superfish đã cài một chứng chỉ Tấn công ở giữa (man-in-the-middle) có thể cho phép các bên thứ ba theo dõi các website người dùng truy cập. Lenovo sau đó đã phải đưa ra công cụ gỡ bỏ adware này. Vào cuối năm 2015, hãng Dell cũng bị phát hiện có những hành vi tương tự.



- Android bị phát hiện có lỗ hổng bảo mật Stagefright ảnh hưởng gần 1 tỷ thiết bị: Nền tảng Android của Google từ trước tới nay luôn bị đánh giá thấp về khả năng bảo mật và Stagefright là minh chứng rõ ràng nhất cho điều này. Stagefright  là tên gọi của thư viện media, một phần trong mã nguồn mở của Android giúp điện thoại “bung” các tin nhắn đa phương tiện, cho phép thiết bị hiểu được các nội dung MMS (nội dung đa phương tiện). Với Stagefright, tin tặc có thể tấn công chỉ bằng cách đơn giản là gửi đi tin nhắn MMS độc hại đến thiết bị của nạn nhân. Nó nguy hiểm tới mức, người dùng không cần mở tin nhắn đó ra thì mục đích của kẻ xấu đã được hoàn thành, bởi ngay khi nhận tin, điện thoại của họ đã bị lây nhiễm. Google mặc dù nhận thức được sự nguy hiểm của Stagefright, nhưng việc khắc phục lại không hề dễ dàng. Lý do là vì, không như iOS, quá trình phát hành một bản cập nhật vá lỗi cho Android phải qua rất nhiều bước, liên quan tới cả nhà sản xuất phần cứng lẫn nhà mạng viễn thông.

Bên cạnh đó, một loạt các lỗ hổng nghiêm trọng tác động đến cộng đồng CNTT là Ghost, VENOM, Freak.... Lỗ hổng bảo mật Ghost trong glibc cho phép tin tặc có thể thực thi các lệnh từ xa nhằm chiếm quyền điều khiển máy chủ Linux. Lỗ hổng này liên quan đến lỗi tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ thống Linux, có mặt trong các mã glibc từ năm 2000. Trong khi đó, Freak lại gây ảnh hưởng đến giao thức bảo mật SSL/TLS, cho phép thực hiện điều khiển từ xa các máy chủ SSL để tiến hành các cuộc tấn công hạ cấp RSA và tạo điều kiện cho tấn công Brute force. Lỗ hổng bảo mật VENOM (Virtual Environment Neglected Operations Manipulation) với mã định danh CVE-2015-3456 được đánh giá là vô cùng nguy hiểm, ảnh hưởng đến chương trình điều khiển đĩa mềm trong QEMU (một bộ giả lập máy tính mã nguồn mở được sử dụng để quản lý máy ảo). Lỗ hổng này cho phép tin tặc gửi lệnh và những thông số dữ liệu đặc biệt từ hệ thống người dùng đến FDC, gây tràn bộ đệm và thực thi mã tùy ý trong tiến trình hypervisor của thiết bị đầu cuối qua một số lệnh. 

Dự báo xu hướng tấn công mạng năm 2016

Theo các chuyên gia ATTT, xu hướng tấn công mạng năm 2016 sẽ diễn biến theo một số chiều hướng như: Tấn công mạng nhằm vào các dữ liệu người dùng sẽ gia tăng với các tấn công mã hóa dữ liệu tống tiền, tấn công trộm cắp thông tin cá nhân. Mã độc nhắm đến điện thoại thông minh với các hình thức tấn công tinh vi hơn sẽ xuất hiện. Xu hướng IoT sẽ làm xuất hiện các loại mã độc, các hình thức tấn công mới nhắm đến các thiết bị thông minh sử dụng trong cuộc sống. Tấn công vào các hạ tầng trọng yếu sẽ tăng theo xu hướng phát triển của các chiến dịch tấn công liên quan đến chiến tranh mạng do các quốc gia hoặc các tổ chức tội phạm thực hiện.

Theo các chuyên gia ATTT của Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ, để giúp các tổ chức và người dùng tránh được các cuộc tấn công mạng, cần phải thực hiện các biện pháp: Xây dựng các quy chế, chính sách về bảo mật của tổ chức. Tiến hành rà soát tổng thể hệ thống, đặc biệt các vấn đề ATTT. Thường xuyên cập nhật các bản vá cập nhật phần mềm từ các nhà cung cấp sản phẩm, dịch vụ; thiết lập hệ thống sao lưu dự phòng, đảm bảo tránh rủi ro mất dữ liệu khi có sự cố xảy ra. Ngoài ra, với các tài khoản email, facebook..., cần thay đổi mật khẩu theo định kỳ, hạn chế việc sử dụng email miễn phí, trong trường hợp có đính kèm các tài liệu quan trọng gửi qua email phải đặt mật khẩu để đảm bảo an toàn.