CMC đề xuất các doanh nghiệp bảo mật lớn 'chung tay' rà quét, tìm diệt mã độc của chiến dịch tấn công APT

Nhấn mạnh tầm quan trọng của sự phối hợp trong xử lý sự cố, chuyên gia CMC đề xuất Cục An toàn thông tin đứng ra huy động các doanh nghiệp bảo mật lớn chung sức rà quét, tìm diệt mã độc của chiến dịch tấn công APT quy mô lớn nhắm vào các cơ quan nhà nước.
 

Theo chuyên gia CMC Cyber Security, để có thể ứng phó, xử lý kịp thời với các chiến dịch tấn công mạng quy mô lớn, quan trọng hơn cả là giữa các hệ thống giám sát của các cơ quan, tổ chức, doanh nghiệp làm về an toàn thông tin mạng cần có sự trao đổi, chia sẻ thông tin; từ đó cùng đưa ra biện pháp giám sát hiệu quả (Ảnh minh họa)

Thông tin thêm với ICTnews vào chiều nay, ngày 30/10/2019, chuyên gia phân tích mã độc của Trung tâm CMC SOC (thuộc CMC Cyber Security), Lưu Thế Hiển cho biết, chiến dịch tấn công APT quy mô lớn mới nhằm vào một số nước Tây Á và các nước khu vực Đông Nam Á trong đó có Việt Nam, nhóm tin tặc sử dụng phương thức tấn công, phát tán mã độc là sử dụng email lừa đảo với các file đính kèm là những tài liệu giả mạo công văn, tài liệu của các cơ quan nhà nước.

“Trong các chiến dịch tấn công APT trước, qua tìm hiểu của chúng tôi, các văn bản nội dung thường không rõ ràng, còn lần này các file văn bản giả mạo để lừa người dùng được làm giả với mức độ tinh xảo cao hơn, khiến cho người dùng khó phát hiện ra và rất dễ bị lừa, dụ mở file”, ông Lưu Thế Hiển chia sẻ.

Phân tích cụ thể hơn về mức độ nguy hiểm cũng như những ảnh hưởng đối với các cơ quan, tổ chức, doanh nghiệp và người dùng trong đơn vị khi bị lây nhiễm các mã độc của chiến dịch tấn công APT lần này, chuyên gia CMC SOC cho hay, sau khi đánh lừa được người dùng, kẻ tấn công sẽ truy cập vào máy của người dùng đó và có thể thu thập thêm những thông tin nhạy cảm gửi ra ngoài, hoặc tiến hành khai thác máy khác trong cùng hệ thống, hay để mã độc “nằm vùng” trong hệ thống chuẩn bị cho các chiến dịch tấn công tiếp theo. Từ các mã độc “nằm vùng” này, tin tặc sẽ điều khiển, truy cập hệ thống từ xa.

Hiện nay, chiến dịch tấn công của nhóm tin tặc vẫn đang diễn ra. Mã độc này không mang tính phá hoại nhiều, chủ yếu nhằm thu thập thông tin. Tuy nhiên, việc phát hiện các mã độc của chiến dịch tấn công APT tương đối khó, nếu hệ thống không có hoạt động giám sát thường xuyên, hàng ngày thì chắc chắn không thể thấy được bất thường, không nhận biết được đã bị lây nhiễm.

“Không giống như mã độc tống tiền, khi bị tấn công, mã hóa dữ liệu, người dùng sẽ biết ngay lập tức, còn với mã độc được sử dụng trong chiến dịch tấn công APT, người dùng không biết bị nhiễm khi nào và nó hoạt động ra sao. Đây là điều nguy hiểm nhất”, chuyên gia CMC nhấn mạnh.

Hơn thế, theo các chuyên gia CMC Cyber Security, các mã độc được nhóm tin tặc sử dụng trong chiến dịch tấn công còn liên tục tạo ra biến thể mới, khiến cho việc tìm, diệt khó khăn hơn. Tính đến thời điểm hiện tại, CMC Cyber Security,đã phát hiện được 13 mẫu mã độc (con số biến thể của mã độc được Cục An toàn thông tin (Bộ TT&TT) đưa ra trong thông tin cảnh báo sáng nay, ngày 30/10/2019, là 16 mẫu - PV). Song điều đáng lo ngại, theo các chuyên gia CMC Cyber Security chính là con số này vẫn đang gia tăng và số lượng các mẫu nghi ngờ là mã độc “ẩn mình” trong các hệ thống còn lớn hơn rất nhiều.

Chuyên gia CMC Cyber Security chia sẻ thêm, với việc tạo ra một con mã độc khá phức tạp, cho thấy nhóm tin tặc thực hiện chiến dịch tấn công APT quy mô lớn lần này được đầu tư mạnh, được tổ chức bài bản và chuyên nghiệp.

Ở góc độ của một doanh nghiệp thành viên mạng lưới ứng cứu sự cố an toàn mạng quốc gia, ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security cho rằng, để có thể ứng phó, xử lý kịp thời với các chiến dịch tấn công mạng quy mô lớn, quan trọng hơn cả là giữa các hệ thống giám sát của các cơ quan, tổ chức, doanh nghiệp làm về an toàn thông tin mạng cần có sự trao đổi, chia sẻ thông tin; từ đó cùng đưa ra biện pháp giám sát hiệu quả.

Đại diện CMC Cyber Security cũng đề xuất, đối với việc ứng phó với chiến dịch tấn công APT lần này, Cục An toàn thông tin với vai trò là cơ quan điều phối có thể huy động sự tham gia của các doanh nghiệp lớn trong lĩnh vực an toàn thông tin như Viettel, VNPT, CMC, BKAV… cùng chung tay mở đợt hỗ trợ các cơ quan, đơn vị, doanh nghiệp tiến hành rà quét, xử lý, bóc gỡ các mã độc của chiến dịch. Cục An toàn thông tin có thể khoang vùng các hệ thống thông tin nghi ngờ bị nhiễm mã độc và phân công các doanh nghiệp hỗ trợ cụ thể việc rà quét, xử lý, bóc gỡ.

Như ICTnews đã đưa tin, tối ngày 28/10/2019, CMC Cyber Security đã phát cảnh báo về chiến dịch tấn công APT vào các cơ quan hành chính Nhà nước Việt Nam. Chiến dịch tấn công APT quy mô lớn này, theo chia sẻ của đại diện Cục An toàn thông tin đã và đang được cơ quan này theo dõi, giám sát từ hơn 1 tháng gần đây.

Trong lệnh điều phối 1024 được Cục An toàn thông tin phát ra sáng nay, ngày 30/10/2019, Cục cho biết đã phát hiện và ghi nhận chiến dịch tấn công mạng có tổ chức và có chủ đích - APT với máy chủ điều khiển đặt bên ngoài lãnh thổ đã phát tán mã độc quy mô lớn nhằm vào các hệ thống thông tin của các cơ quan Chính phủ và chủ quản hệ thống thông tin hạ tầng quan trọng quốc gia tại Việt Nam. Đến nay, Cục An toàn thông tin đã xác định được hơn 400.000 địa chỉ IP bị lây nhiễm với hơn 16 biến thể của mã độc trong chiến dịch này.

Cũng tại lệnh điều phối này, cùng với việc yêu cầu các cơ quan, tổ chức, doanh nghiệp trên toàn quốc giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT, Cục An toàn thông tin cũng đề nghị các đơn vị hướng dẫn người sử dụng, khách hàng tải công cụ rà quét, diệt các mã độc của chiến dịch APT theo đường dẫn http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe.

M.T