Phân tích kịch bản tấn công thường được hacker sử dụng

Thu thập thông tin

Theo chuyên gia Nguyễn Xuân Trường của Công ty Sao Bắc Đẩu: Tấn công trong hệ thống mạng cũng khá giống tấn công trong quân sự. Trước hết họ sẽ thu thập thông tin về đối tượng cần tấn công bằng nhiều cách thức khác nhau: qua đài báo, phương tiện xã hội, qua mối quan hệ, qua mạng internet, thậm chí là tới tận nơi để tìm hiểu…

Hacker sẽ thu thập càng nhiều thông tin càng tốt: web, email, điện thoại, nhân sự, hoạt động kinh doanh, sơ đồ hệ thống… Sau đó họ dùng công cụ kỹ thuật để tìm lỗ hổng. Đôi khi họ chưa tiến hành trực tiếp vào hệ thống mà tập trung tấn công vào máy tính, điện thoại, email… của một nhân viên nào đó trong tổ chức hoặc tổ chức liên quan (tìm hiểu gián tiếp). Thông qua những bước trung gian như vậy để lấy thông tin cần.

“Hai bước này nói thì đơn giản nhưng đôi khi quá trình có thể vài ngày, vài tháng hoặc nhiều năm. Khi đã chuẩn bị đầy đủ họ sẽ thực hiện thâm nhập, gây hại hoặc âm thầm gây hại. Với những hacker cao thủ họ sẽ cố gắng xóa dấu vết để những người quản trị vận hành ko thể phát hiện hệ thống đã bị thâm nhập” ông Trường nhấn mạnh..

Gửi email chứa phần mềm gián điệp

Theo ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, một kịch bản tấn công đơn giản thường được hacker sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm file văn bản. Nội dung và địa chỉ của các email này là có thật, nội dung file đính kèm cũng là có thật nhưng máy tính người dùng bị nhiễm virus do trong file có chứa sẵn phần mềm gián điệp. Khi các file văn bản này được mở, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update, Adobe Flash, Bộ gõ Unikey, Từ điển… và chỉ hoạt động khi có lệnh của những kẻ điều khiển nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin gửi về máy chủ điều khiển hoặc nhận lệnh để thực hiện các hành vi phá hoại khác.

Phân tích từ vụ việc website của Vietnam Airlines bị tấn công thay đổi giao diện và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền, ông Ngô Tuấn Anh cho rằng, hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware).

Ông Tuấn cho rằng: Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích".

Cung cấp thiết bị có chứa sẵn mã độc

Trên cơ sở thống kê những hoạt động tấn công, phát tán mã độc, sao chép, ăn cắp công nghệ… trong thời gian gần đây, chuyên gia Nguyễn Xuân Trường nhận định: có thể nói thiết bị, phần mềm nguồn gốc từ TQ có nguy cơ chứa mã độc cao hơn các nước và vùng lãnh thổ khác rất nhiều.

Ông Trường dẫn các thông báo mới đây của Ủy ban tình báo Hạ viện Mỹ (US House Intelligence Committee) đưa ra một bản báo cáo trong đó khuyến nghị rằng: các sản phẩm của công ty Viễn thông lớn từ TQ như Huawei, ZTE có thể có mã độc. Hãng bảo mật Cheetah Mobile Security Lab tuyên bố phát hiện Trojan đặc biệt nguy hiểm mang tên Cloudsota bị cài đặt sẵn trên rất nhiều loại máy tính bảng Trung Quốc. Công ty bảo mật G-Data (Đức) nhận thấy 26 mẫu điện thoại Android từ nhiều công ty khác nhau bị cài phần mềm độc hại. Thậm chí, trong số này có cả những thiết bị của Huawei, Lenovo và Xiaomi (thiết bị của các hãng được bán rất nhiều ở Việt Nam).

Việc sử dụng thiết bị, phần mềm không an toàn có thể tạo ra những nguy cơ vô cùng lớn.

Dư luận đã từng xôn xao về việc nhiều máy tính bán tại Việt Nam của Lenovo có cài sẵn phần mềm LSE, "hội đủ những đặc tính của một phần mềm theo dõi"
LSE có các đặc tính của một phần mềm gián điệp với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính, can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows, chiếm quyền cao nhất và thực hiện các thay đổi quan trọng, tự động tải về nhiều tập tin, phần mềm theo chỉ định của Lenovo.

Phần mềm này có nguy cơ đe doạ an toàn, an ninh hệ thống an ninh mạng tại các quốc gia trên thế giới, trong đó có Việt Nam khi tin tặc có thể khai thác để chiếm quyền điều khiển máy tính từ xa.

Ngày 19/7/2014, trang Ocworkbench.com công bố thông tin từ nhóm nghiên cứu IMA Mobile (Hồng Kông) về việc phát hiện smartphone Redmi Note của Xiaomi Trung Quốc cài sẵn ứng dụng ngầm, có khả năng tự sao lưu tin nhắn SMS, hình ảnh, nội dung đa phương tiện để gửi về máy chủ đặt tại Trung Quốc.

Theo giới bảo mật, việc gửi tin nhắn, lịch sử cuộc gọi hay hình ảnh... là một điều rất nghiêm trọng và đây được xem là hành động đánh cắp thông tin của người dùng.

Cuối tháng 10/2015, Công ty TNHH Đầu tư Vinamob đã bị phát hiện cấu kết với 3 doanh nghiệp trụ sở tại Trung Quốc cung cấp dịch vụ nội dung thông qua việc cài đặt sẵn các mã lệnh nhắn tin đến đầu số 8x61 trên các máy điện thoại xuất xứ Trung Quốc như “Nokia” 2700 C-2, ZES Z10 để trừ tiền người dùng Việt Nam.

Các đối tượng đã cài đặt sẵn các mã lệnh nhắn tin trên máy điện thoại sản xuất ở Trung Quốc và ẩn toàn bộ thông tin mà người dùng có thể nhận biết được (không lưu lại tin nhắn đi đến), máy điện thoại của người dùng sẽ tự động nhắn tin đến đầu số 8x61 và các nhà mạng sẽ tự động trừ tiền trong tài khoản của người dùng. Đến khi bị phát hiện, các đối tượng đã móc túi người dùng trót lọt hơn 2,6 tỷ đồng.

Cuối tháng 11/2015, Cheetah Mobile Security Lab công bố thông tin có khoảng 30 thương hiệu tablet giá rẻ khác nhau của Trung Quốc như SoftWinners, RockChip, WorryFree... đều cài sẵn trojan có tên gọi “Cloudsota” trước khi đến tay người dùng.

Thông qua mã độc Cloudsota, các tin tặc có thể chiếm quyền điều khiển máy tính bảng từ xa mà người dùng không hay biết, sau đó có thể gỡ bỏ những ứng dụng bảo mật, cài đặt thêm các ứng dụng độc hại khác trên thiết bị để thực thi thêm nhiều quyền hạn cũng như lấy cắp thông tin của người dùng.

Các chuyên gia bảo mật nhận định loại mã độc này được cài đặt sâu vào bên trong firmware của thiết bị và có chức năng tự khôi phục mỗi khi người dùng khởi động lại máy tính bảng, do vậy rất khó để có thể loại bỏ.

Người dùng phải làm gì?

Chuyên gia Nguyễn Xuân Trường nhận định: Trong thế giới số chúng ta phải chấp nhận chung sống với tội phạm mạng. Xác định như vậy để luôn có ý thức cảnh giác cao nhất.

“Với các thiết bị việc chưa phát hiện ra mã độc không có nghĩa là nó không tồn tại, và việc nó chưa gây hại không phải là nó sẽ không gây hại. Điều quan trọng là chúng ta phải ý thức được và có kế hoạch hành động phòng ngừa khi còn có thời gian”.- ông Trường nói.

Vì vậy, các doanh nghiệp, tổ chức có kết nối với Internet bắt buộc phải thực hiện các biện pháp an toàn bảo mật và nên tham vấn những đơn vị chuyên nghiệp về an toàn bảo mật để có giải pháp tốt nhất.

An toàn bảo mật là một giải pháp tổng thể bao gồm: Quy trình, chính sách + Biện pháp kỹ thuật. Dù tội phạm mạng tinh vi thế nào đi chăng nữa thì yếu tố con người vẫn là nhân tố quyết định.

Chuyên gia khuyến cáo phải đầu tư đào tạo cho nhân viên từ cấp thấp nhất như thư ký, nhân viên văn phòng... cho đến các quản trị cấp cao như CEO, CFO... bên cạnh việc trang bị thiết bị an toàn, an ninh tốt.

Theo thống kê do Athena thu thập thông tin từ những doanh nghiệp mất dữ liệu thì đến hơn 70% là từ vị trí những người dùng cuối cùng như nhân viên văn phòng, thư ký... Các nhân viên này thiếu hiểu biết về kiến thức an ninh mạng nên vô tư tải về các phần mềm trên mạng và cài vào máy mình. Điều này đã dẫn đến phần mềm gián điệp được cài theo vào máy và từ đây leo thang lên các máy khác, mở cổng để bên ngoài xâm nhập vào và đánh cắp dữ liệu. Điều tệ hại là các nhân viên này hầu như không biết hoạt động nguy hiểm của mình, vô tình "rước" spyware hay còn gọi nội gián vào hệ thống.
Các cấp quản lý cần phải nghĩ đến các phương án dự phòng ở những tình huống tấn công mạng, vì nếu không dự phòng từ trước thì nó sẽ gây ra khó khăn hoặc gây khủng hoảng cho doanh nghiệp.

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav cho rằng: Để đảm bảo an toàn, các doanh nghiệp, đặc biệt là các doanh nghiệp phi CNTT, bên cạnh sự chuẩn bị tốt về nhân lực, trang thiết bị thì việc điều phối ứng phó an ninh mạng cũng là điều cực kỳ quan trọng. Chúng ta có con người, có thiết bị an ninh mạng nhưng trong trường hợp xảy ra sự cố mà không huy động các nguồn lực đó và không có kịch bản để ứng phó thì toàn bộ hệ thống về con người, thiết bị đó đều không có giá trị.

Cần thường xuyên tổ chức diễn tập với kịch bản cụ thể về phương án ứng cứu sự cố an ninh mạng, giống như các cuộc diễn tập về cứu hỏa, phòng cháy chữa cháy định kỳ thường niên.

Đặc biệt, trong một dự án IT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng, nếu không hệ quả tất yếu là hệ thống bị xâm nhập, bị đánh cắp dữ liệu. Việc khắc phục rất tốn kém và mất nhiều thời gian./.

N.Trí/VOV.VN