Hơn 100 công ty bị ảnh hưởng bởi tấn công SolarWinds

Chính phủ Hoa Kỳ vừa công bố số liệu mới nhất về số lượng công ty và cơ quan liên bang bị ảnh hưởng bởi cuộc tấn công SolarWinds gần đây.

Hơn 100 công ty bị ảnh hưởng bởi tấn công SolarWinds

Phó Cố vấn An ninh Quốc gia, bà Anne Neuberger cho biết: “Tính đến ngày 17/02/2021, 09 cơ quan liên bang và khoảng 100 công ty tư nhân đã bị ảnh hưởng bởi cuộc tấn công này”. Mặc dù không cho biết cụ thể tên các tổ chức bị tấn công, bà cho biết các cuộc tấn công bắt nguồn từ một quốc gia khác, nhưng các tin tặc đã tiến hành cuộc tấn công từ bên trong Hoa Kỳ.

Theo số liệu được công bố thì số nạn nhận bị ảnh hưởng bởi cuộc tấn công thấp hơn so với số liệu được công bố trước đấy là khoảng 250 cơ quan liên bang và doanh nghiệp, mặc dù cuộc điều tra mới ở giai đoạn đầu và có thể sẽ có thêm những nạn nhân khác. Đặc biệt, các công ty công nghệ bị xâm phạm đã tạo cơ hội cho tin tặc để tiến hành các cuộc tấn công sau đó. Có tới 18.000 khách hàng của công ty SolarWinds được cho là đã bị phát tán mã độc trực tiếp, mặc dù tin tặc đã không trực tiếp truy cập thêm vào các khách hàng này.

Mới đấy, Microsoft cũng đã chia sẻ chi tiết về các phương pháp tinh vi mà các tin tặc đã sử dụng để che giấu hoạt động của mình bên trong mạng của các công ty sử dụng nền tảng SolarWinds. Thông tin này đã được tiết lộ bởi các chuyên gia bảo mật thuộc Nhóm nghiên cứu Microsoft 365 Defender, Trung tâm Tình báo về các mối đe dọa của Microsoft (MSTIC) và Trung tâm Điều hành phòng thủ trên không gian mạng của Microsoft (CDOC).

Cuộc tấn công SolarWinds được phát hiện lần đầu tiên vào tháng 12/2020, khi có thông tin cho rằng tin tặc đã xâm nhập phần mềm quản lý và giám sát của SolarWinds. Phần mềm này được sử dụng bởi nhiều cơ quan chính phủ và các công ty trong danh sách Fortune 500. Trong đó, Bộ tài chính, Thương mại, Nhà nước, Năng lượng và An ninh Nội địa Hoa Kỳ cùng các công ty lớn như Intel, Nvidia, Cisco, Belkin, FireEye và VMWare  đều báo cáo là đã quan sát được mạng máy tính của họ bị ảnh hưởng bởi cuộc tấn công.

Do quy mô của cuộc tấn công rất lớn, nên có thể phải mất nhiều tháng thì chính phủ Hoa Kỳ mới hoàn thành được cuộc điều tra. Là một phần trong quá trình điều tra, Neuberger cho biết chính phủ đang lên kế hoạch hành động để khắc phục các vấn đề an ninh này và các cuộc thảo luận đang được tiến hành để có kế hoạch ứng phó với tin tặc.

Quốc Trường

(Theo theverge.com)

Tấn công tiêm lỗi: Cách phát hiện và ngăn chặn

Từ giữa thập niên 70 của thế kỷ XX, tấn công tiêm lỗi đã trở thành một vấn đề nghiêm trọng trong lĩnh vực bảo mật phần cứng. Đây là một loại tấn công kênh kề mạnh mẽ, có thể vượt qua được cơ chế bảo mật của thiết bị và thu thập dữ liệu bên trong. Hiện nay đã có nhiều giải pháp phát hiện và ngăn chặn dựa trên phần cứng và phần mềm. Bài báo này đề cập đến các phương pháp tấn công tiêm lỗi, cách phát hiện và phương pháp ngăn chặn.

Tấn công tiêm lỗi: Cách phát hiện và ngăn chặn

Có rất nhiều phương pháp để tin tặc có thể tấn công vào các thiết bị điện tử, chip, lõi mạch tích hợp (integrated circuit – IC) nhằm phá khóa bảo mật và đánh cắp thông tin bên trong. Một trong những phương pháp thường được tin tặc sử dụng là tấn công tiêm lỗi (Fault Injection Attack – FIA) [1].

FIA là một phương pháp tấn công cố ý gây ra một lỗi trong thiết bị để điều chỉnh việc thực thi của hệ thống nhằm tạo ra các lỗ hổng bảo mật của thiết bị. FIA đã được biết đến từ những năm cuối của thế kỷ XX, được mô tả khi các lỗi ngẫu nhiên gây ra bởi các hạt phóng xạ được tạo ra bởi các phần tử có mặt tự nhiên trong các vật liệu thiết kế vi mạch [2]. Các hạt này gây ra hiện tượng lật bit ở một số khu vực bên trong chip và gây ra các lỗi không mong muốn.

Tấn công FIA đang trở thành chủ đề được quan tâm khi số lượng tin tặc ngày càng gia tăng, cũng như phương thức hoạt động của chúng tập trung và được quản lý tốt hơn. Các nhà thiết kế hệ thống trên chip nhận thức sâu sắc rằng, cần có những giải pháp được thiết kế ngay từ đầu để chống lại các cuộc tấn công chip đang ngày càng phát triển hiện nay.

TẤN CÔNG TIÊM LỖI

Ngày nay, tin tặc phải đối mặt với lớp phòng thủ bảo mật đầu tiên là các thuật toán mật mã rất mạnh mẽ, điển hình như thuật toán AES và thuật toán RSA [3]. Một trong những phương pháp để phá vỡ các thuật toán này là tấn công vét cạn (brute force), tức là cố gắng thử toàn bộ tổ hợp khóa để mở khóa. Phương pháp này đòi hỏi nhiều công sức và thời gian của kẻ tấn công.

Thay vì phải tốn thời gian và công sức như vậy, kẻ tấn công sử dụng phương pháp tấn công kênh kề để bẻ khóa, ví dụ tấn công FIA hoặc tấn công phân tích năng lượng đơn giản (Simple Power Analysis – SPA). Phương pháp này tuy không dễ dàng nhưng có thể thành công trong thời gian ngắn hơn so với các cuộc tấn công tổng lực như đã đề cập.

Tấn công FIA khiến các thiết bị điện tử thực hiện công việc gì đó khác với những gì mà nó dự định làm. Mục đích của kẻ tấn công là tạo ra lỗi tạm thời trong quá trình thực thi một số hoạt động chip cụ thể, do đó dẫn đến việc giảm hoặc vô hiệu hóa các tính năng bảo mật và biện pháp ứng phó.

Tấn công phân tích năng lượng đơn giản là phương pháp tấn công lợi dụng sự tiêu thụ năng lượng không chủ ý sẽ cung cấp thông tin về hoạt động bên trong của chip. Đây là phương pháp tấn công không xâm lấn và cho phép các kẻ tấn công trích xuất các khóa bí mật được sử dụng trong quá trình hoạt động bình thường của thiết bị [4],[5].

Khi các khóa được trích xuất, kẻ tấn công có thể dễ dàng truy cập trái phép vào thiết bị, giải mã, giả mạo tin nhắn, đánh cắp danh tính, sao chép thiết bị, tạo chữ ký trái phép và thực hiện giao dịch trái phép. Kẻ tấn công có thể thử tấn công FIA trước, sau đó là tấn công SPA hoặc kết hợp cả hai kỹ thuật trên để làm cho cuộc tấn công trở nên dễ dàng hơn.

Có nhiều cách tiếp cận FIA, bài viết chỉ tập trung vào hai trong số những cách tiếp cận nổi bật nhất là sự cố nguồn và sự cố xung clock. Đây là những tấn công không xâm lấn và không gây ra thiệt hại cho thiết bị điện tử.
 
SỰ CỐ NGUỒN

Tấn công tiêm lỗi: Cách phát hiện và ngăn chặn
Hình 1. Sơ đồ mạch điện tạo ra sự cố trong đường dây cung cấp năng lượng

Hình 1 mô tả sơ đồ mạch điện tạo ra sự cố nguồn (Glitch power) trên đường truyền cung cấp năng lượng của thiết bị. Sự cố tín hiệu (Glitch signal) sẽ gây ra lỗi có chủ đích vào nguồn cung cấp cho mạch. Lỗi này chỉ đủ vừa để không làm hư hại đến các thiết bị trong mạch. Từ đây, những kẻ tấn công thu thập thông tin bên trong và phân tích.

Để bắt đầu tấn công, kẻ tấn công cố gắng lựa chọn những con chip có firmware phù hợp. Hầu hết các hệ thống khởi động firmware đều từ tín hiệu bên ngoài. Kẻ tấn công có thể dễ dàng thay đổi nội dung của tín hiệu đó. Đây chưa phải là tấn công FIA mà chỉ là hành động tiền đề để thực hiện tấn công FIA. Ngay tại thời điểm đó, chức năng khởi động an toàn xác nhận và chấp nhận firmware từ tín hiệu ngoài. Nó kiểm tra tất cả các byte, thực hiện tính toán và kết thúc bằng câu lệnh chấp nhận “yes”.

Tại đây, kẻ tấn công bắt đầu công việc của mình. Câu lệnh “yes” trong các mạch kỹ thuật số có thể là các xung lên hoặc xung xuống, ví dụ tín hiệu bên trong đi từ 0 đến 1 hoặc 1 xuống 0 trong một chu kỳ xung nhịp, báo hiệu cho CPU rằng hệ thống đã sẵn sàng để khởi động. Nếu phần mềm khởi động kiểm tra không thành công, tín hiệu sẽ không thực hiện và CPU sẽ hiểu rằng hệ thống không thể khởi động. Kẻ tấn công sẽ làm trục trặc hệ thống bằng cách tăng xung điện áp hoặc tạo ra sự cố giả như trong Hình 2.

Tấn công tiêm lỗi: Cách phát hiện và ngăn chặn
Hình 2. Kẻ tấn công làm tăng điện áp hoặc tạo ra sự cố giả

Để thực hiện được việc này, kẻ tấn công cần phải biết chính xác tại thời điểm nào CPU sẵn sàng thực hiện câu lệnh đó. Hành động làm rối xung điện áp này phải đủ ngắn và đủ thấp để không làm hỏng chip. Xung này có thể dẫn đến một số tín hiệu bên trong tăng lên và chờ đợi tín hiệu hợp lệ khởi động an toàn. Nếu điều này không thành công, tin tặc sẽ thử lại, thay đổi kích thước và thời gian liên quan cho đến khi chúng thực hiện được.

Sau khi thành công, tin tặc có thể yêu cầu CPU chấp nhận bất kỳ chương trình cơ sở nào, bao gồm cả mã không được phép chạy. Mã độc này có thể có các chương trình lặp bổ sung, tức là không cần phải thực hiện tấn công nhiều lần mà chỉ một lần thành công là có thể lấy được các khóa mật mã hoặc dữ liệu bí mật. Sau khi lấy cắp thông tin, chúng sẽ để lại các ám hiệu để người dùng biết được dữ liệu có giá trị đã bị đánh cắp.

SỰ CỐ XUNG CLOCK

Hầu hết các bộ vi xử lý hay các thiết bị điện tử đều sử dụng xung clock (glitch clock) [6]. Vì vậy phương pháp lợi dụng sự cố xung clock được tin tặc sử dụng rất phổ biến hiện nay. Để thực hiện sự cố này, tần số của xung clock thường được tăng lên trong một hoặc nhiều chu kỳ, nói cách khác một hoặc nhiều xung clock ngắn được kích thích để tăng tốc tạm thời cho clock của chip như Hình 3. Hành động này có tác dụng gây ra một lỗi khi một lệnh đang được thực thi. Ví dụ, CPU đọc một ô nhớ chính xác tại thời điểm xảy ra sự cố. Kết quả được đọc trước khi dữ liệu ổn định trên bus bộ nhớ nhưng dữ liệu khác vẫn chưa kịp thực hiện được, dẫn đến giá trị không chính xác được đọc. Một ví dụ khác, CPU lấy một lệnh từ bộ nhớ, ngay lúc này thực hiện tấn công sự cố xung clock và lệnh đó không được thực hiện vì xung clock nhanh đã kích hoạt CPU tìm nạp câu lệnh tiếp theo.

Tấn công tiêm lỗi: Cách phát hiện và ngăn chặn
Hình 3. Một hoặc nhiều xung ngắn được thêm vào để tạm thời tăng tốc xung clock bên ngoài chip

CÁCH PHÁT HIỆN TẤN CÔNG FIA

Các nhà thiết kế và phát triển chip đã phát triển hai phương pháp phát hiện tấn công FIA: phương pháp trình biên dịch và phương pháp kiểm tra mô hình. Phương pháp trình biên dịch là phương pháp phát hiện dựa trên phần mềm, còn phương pháp kiểm tra mô hình phát hiện dựa trên phần cứng.

Các cuộc tấn công FIA có thể được phát hiện bằng cách lưu trữ dữ liệu dư thừa và xử lý tín hiệu dự phòng. Từ quan điểm trên, phương pháp trình biên dịch được chia ra gồm: tổng kiểm tra tính toàn vẹn dữ liệu, sao chép đơn giản, dự phòng bổ sung, mặt nạ dự phòng và trích dẫn tính toán [7]:

– Phương pháp tổng kiểm tra tính toàn vẹn dữ liệu được thiết lập bởi một hàm phi tuyến tính và được sử dụng rộng rãi trong kỹ thuật truyền thông để phát hiện ra các lỗi đường truyền.

– Phương pháp sao chép đơn giản là sao chép một biến để tạo ra các biến có cùng kích thước, kiểu chữ. Tất cả các hoạt động của đường dẫn dữ liệu thông thường được sao chép và thực hiện trong nhiều đường dẫn dữ liệu. Thứ tự các đường dẫn khác nhau không phụ thuộc vào nhau và các đường dẫn dữ liệu khác nhau có thể được trộn lẫn ngẫu nhiên, khiến tin tặc không nhắm được đúng mục tiêu cần tấn công.

–  Phương pháp dự phòng bổ sung sử dụng kiểu dữ liệu nghịch đảo so với dữ liệu gốc. Thay vì lấy cùng một giá trị để dự phòng, giá trị đảo ngược nhị phân có thể được sử dụng để thay thế.

– Phương pháp mặt nạ dự phòng thường được biết đến như là một biện pháp hiệu quả để chống lại các cuộc tấn công kênh kề hay tấn công FIA. Sự phụ thuộc giữa mức tiêu thụ năng lượng và các biến đã xử lý được loại bỏ bằng cách áp dụng mặt nạ ngẫu nhiên cho giá trị v:

vm = v.m    (1)

với v – giá trị năng lượng của các linh kiện điện tử, vm – giá trị năng lượng ngẫu nhiên của linh kiện điện tử, m – hằng số ngẫu nhiên.

– Phương pháp trích dẫn tính toán là một phương pháp phát hiện lỗi xảy ra trong một hoặc tập hợp hoạt động. Kết quả của một thuật toán được xác minh bằng cách sử dụng các đặc tính của các hoạt động đang được thực hiện. Mặc dù phương pháp này có thể sẽ yêu cầu bộ nhớ tạm thời để thực hiện, như tất cả bộ nhớ đó sẽ được giải phóng ngay sau khi hoàn thành trích dẫn.

Phương pháp kiểm tra mô hình được sử dụng để kiểm tra mô hình sử dụng so với mô hình mẫu của nhà nhiết kế đưa ra, nhằm đảm bảo trong mạch hay chip không được gắn thêm phục vụ cho mục đích khác. Phương pháp này đòi hỏi thời gian và chi phí nên thường rất ít được sử dụng.

Ngoài hai phương pháp trình biên dịch và kiểm tra mô hình, hiện nay còn có một phương pháp khác là kết hợp của hai phương pháp này, hay được gọi là FedS [8]. FedS là khung tự động đầu tiên có thể xác định khả năng khai thác lỗi trong triển khai phần mềm, xem xét các thuộc tính mật mã phức tạp và các mô hình lỗi.

CÁCH NGĂN CHẶN TẤN CÔNG FIA

Các nhà thiết kế chip và thiết bị điện tử đã cố gắng thiết lập các giải pháp để bảo vệ các lỗ hổng của chip và FIA, trong đó bao gồm một số biện pháp điển hình như: dự phòng các tín hiệu logic điều khiển quan trọng, canary logic, mã Hamming, logic bus tách biệt. Những biện pháp này nằm trong Rambus Root-of-Trust core – phần mềm được phát triển dựa trên kỹ thuật nhúng, nhằm đảm bảo không có bất kỳ con đường tấn công nào để tin tặc có thể lợi dụng [9 – 11].

Logic điều khiển là một môi trường dễ bị tấn công FIA. Việc trục trặc tín hiệu điều khiển ngay lập tức dẫn đến sự cố xảy ra trong mạch điện, nghĩa là kiểm tra bảo mật bị vô hiệu hóa. Khi đó Rambus Root-of-Trust core sẽ duy trì dự phòng cho các tín hiệu điều khiển quan trọng. Điều này có nghĩa là tất cả các tín hiệu điều khiển được thực hiện nhiều lần, nhưng chúng được thực hiện khác nhau. Nếu một tin tặc tấn công FIA vào một tín hiệu điều khiển nào đó, ngay lập tức tín hiệu đó sẽ không được thực hiện và Rambus Root-of-Trust core sẽ đưa ra lệnh dự phòng. Lệnh này sẽ được thực thi vì rất khó để tin tặc có thể tấn công nhiều lần cùng một thời điểm.

Một biện pháp khác nữa là mã Hamming tín hiệu điều khiển. Cách thức hoạt động của biện pháp này là sử dụng các máy chủ được điều khiển trong CryptoManager Root of Trust (CMRT), là một thiết kế đồng xử lý bảo mật phần cứng độc lập để tích hợp vào các thiết bị bán dẫn, chạy một chuỗi lệnh được xác định trước để thực hiện hành động điều khiển. Điều này rất quan trọng để đảm bảo rằng các máy chủ hoạt động đúng thứ tự và đúng thời điểm. Tấn công FIA có thể ảnh hưởng đến các máy chủ, vì vậy cần đảm bảo rằng các mã Hamming luôn lớn hơn 1. Đây là một biện pháp đối phó hiệu quả rất cao nhằm phát hiện và đưa ra cảnh báo trạng thái bị tấn công trong các thiết bị điện tử hoặc chip.

Biện pháp cung cấp một cơ chế để xác định xem tin tặc có đang tấn công vào tín hiệu xung clock hay không. Đây là phương pháp thay thế thời gian để biết được một sự kiện cần phải xảy ra trong bao lâu. Khi clock hoạt động chính xác thì chip hay thiết bị điện tử hoạt động theo đúng thông số kỹ thuật chính xác. Để thực hiện được phương pháp này thì cần có thêm một kiểm tra bảo mật ở cuối nữa là “yes” hoặc “no”. Nếu tin tặc tấn công tín hiệu xung clock thông qua FIA, canary logic sẽ ngưng thực hiện câu lệnh đó. Điều này khiến màn hình an ninh hiển thị sự cố và ngay lập tức tài liệu quan trọng sẽ bị xóa để không bị đánh cắp thông tin.

Biện pháp logic bus tách biệt là một biện pháp ứng phó quan trọng khác. Khóa mật mã là dữ liệu kỹ thuật số. Trong hầu hết các trường hợp, nó được truyền qua các bus thông thường, phần lớn trên các chip. Tuy nhiên để bảo mật chặt chẽ hơn thì cần truyền trên các bus riêng. Nếu một hệ thống đang bị tấn công và mã độc đang chạy trên chip, nó không thể truy cập các khóa đó vì chúng ở trên một bus khác.

KẾT LUẬN

Ngày nay, cùng với sự phát triển của khoa học công nghệ trong lĩnh vực an toàn thông tin, ngày càng có nhiều phương pháp mà kẻ tấn công có thể sử dụng để bẻ khóa, đánh cắp dữ liệu. Tấn công FIA là vấn đề cấp bách cần phải được nghiên cứu nhiều và chuyên sâu hơn. Từ đó có thể chủ động phát hiện và ngăn chặn tấn công FIA nói riêng và tấn công mạng nói chung, đảm bảo an toàn thông tin cho các hệ thống.

Tài liệu tham khảo1. A. Vosoughi and S. Köse. Leveraging on-chip voltage regulators against fault injection attacks. In Proceedings of the 2019 on Great Lakes Symposium on VLSI, pages 15–20, May 2019.2. Timothy C. May and Murray H. Woods. A New Physical Mechanism for Soft Errorsin Dynamic Memories. In16th International Reliability Physics Symposium, pages 33–40, April 1978.3. C. Aumüller and et al. Fault attacks on RSA with CRT: Concrete results and practical countermeasures. In International Workshop on Cryptographic Hardware and Embedded Systems, pages 260–275. Springer, August 2002.4. Loïc Zussa, Jean-Max Dutertre, Jessy Clédière, Assia Tria. Power supply glitch induced faults on FPGA: an in-depth analysis of the injection mechanism. On-Line Testing Symposium (IOLTS), 2013 IEEE 19th International, Jul 2013, Chania, Greece.5. A. Barenghi, G. M. Bertoni, L. Breveglieri, M. Pellicioli, and G. Pelosi, “Low Voltage Fault Attacks to AES,” in Proc. International Symposium on Hardware-Oriented Security and Trust, pp. 7–12, 2010.6. Yifei Qiao, Zhaojun Lu, Hailong Liu, and Zhenglin Liu, “Clock Glitch Fault Injection Attacks on an FPGA AES Implementation”, in Journal of Electrotechnology, Electrical Engineering and Management (2017) Vol. 1, Number 1 Clausius Scientific Press, Canada.7. Hillebold Christoph, Compiler-Assisted IntegrityagainstFault Injection Attacks, Institute for Applied Information Processing and Communications Graz University of Technology In eldgasse 16a8010 Graz, Austria.8. K, K., Roy, I., Rebeiro, C., Hazra, A., & Bhunia, S. (2020). FEDS: Comprehensive Fault Attack Exploitability Detection for Software Implementations of Block Ciphers. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2020(2), pp. 272-299.9. F. Armknecht and W. Meier, “Fault attacks on combiners with memory,” in Proc. Selected Areas in Cryptography, vol. 3897, pp. 36–50, 2006.10. W. G. Halfond and A. Orso. Combining Static Analysis and Runtime Monitoring to Counter SQL-Injection Attacks. In Proceedings of the Third International ICSE Workshop on Dynamic Analysis (WODA 2005), pages 22–28, St. Louis, MO, USA, May 2005.11. Barenghi, L. Breveglieri, I. Koren, and D. Naccache. Fault Injection Attacks on Cryptographic Devices: Theory, Practice, and Countermeasures.Proceedings of theIEEE, 100(11):3056–3076, Nov 2012.

TS. Phạm Văn Tới, ThS. Bạch Hồng Quyết

Gia tăng tấn công mạng vào các tổ chức y tế và chăm sóc sức khỏe trong đại dịch COVID-19

Quốc Trường

(theo darkreading)

Ngành ngân hàng đối diện với nhiều nguy cơ mất an toàn thông tin hơn trong giai đoạn chuyển đổi số

Thảo Uyên

Cảnh báo nguy cơ tấn công mạng vào các hệ thống thông tin dùng thiết bị F5 BIG-IP

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT vừa có cảnh báo về nguy cơ tấn công mạng vào hệ thống thông tin của các cơ quan, tổ chức sử dụng thiết bị F5 BIG-IP.

Qua đánh giá sơ bộ của Trung tâm NCSC, Việt Nam có hàng trăm hệ thống đang sử dụng thiết bị F5 BIG-IP. Đây là những hệ thống đầu tiên nằm trong mục tiêu của đối tượng tấn công sẽ tìm đến. (Ảnh minh họa: IT Security Guru)

Nguy cơ tấn công mạng vào hệ thống thông tin của các cơ quan, tổ chức sử dụng thiết bị F5 BIG-IP vừa được Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cảnh báo tới các đơn vị chuyên trách CNTT của các bộ, ngành, địa phương; các tập đoàn, tổng công ty nhà nước và các ngân hàng, tổ chức tài chính.

Ông Trần Quang Hưng, Giám đốc Trung tâm NCSC cho biết, qua công tác theo dõi thông tin trên không gian mạng và hoạt động hợp tác, chia sẻ thông tin với các tổ chức lớn về an toàn thông tin trong và ngoài nước, Trung tâm đã phát hiện nhiều hệ thống thông tin sử dụng thiết bị F5 có khả năng bị tấn công thông qua lỗ hổng trong thiết bị F5 BIG-IP Traffic Management User Interface (TMUI) (CVE-2020-5902).

Lỗ hổng “CVE-2020-5902” ảnh hưởng các phiên bản của BIG-IP từ 11.x đến 15.x cho phép đối tượng tấn công chèn và thực thi mã từ xa, chiếm quyền kiểm soát hệ thống.

Đại diện Trung tâm NCSC cho hay, đây là lỗ hổng bảo mật đặc biệt nghiêm trọng, được phát hiện trong giao diện người dùng quản lý lưu lượng truy cập của thiết bị 5F BIG-IP. Khai thác thành công lỗ hổng này, đối tượng tấn công có thể thu thập thông tin, có khả năng tạo hoặc xóa tệp, vô hiệu hóa các dịch vụ, chạy các lệnh hệ thống với mã Java tùy ý, chiếm quyền kiểm soát hệ thống mục tiêu.

Theo thống kê, tính đến tháng 6/2020, có hơn 8.000 thiết bị trên Internet đang có nguy cơ bị tấn công bởi lỗ hổng bảo mật này, trong tổng số 621.257 host/địa chỉ IP public đang sử dụng F5 BIG-IP.

Qua đánh giá sơ bộ của Trung tâm NCSC, Việt Nam có hàng trăm hệ thống đang sử dụng thiết bị F5 BIG-IP. Đây là những hệ thống đầu tiên nằm trong mục tiêu của đối tượng tấn công sẽ tìm đến.

 

Để đảm bảo an toàn thông tin cho các hệ thống thông tin, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Trung tâm NCSC đề nghị các cơ quan, đơn vị, doanh nghiệp kiểm tra, rà soát hệ thống thông tin có khả năng bị ảnh hưởng bởi lỗ hổng “CVE-2020-5902” và có phương án xử lý, khắc phục.

Các cơ quan, đơn vị cũng được đề nghị rà soát lại toàn bộ hệ thống thông tin của mình, thường xuyên kiểm tra, đánh giá để chủ động phát hiện và xử lý kịp thời những lỗ hổng bảo mật.

Tăng cường giám sát hệ thống, thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và tổ chức lớn về an toàn để phát hiện kịp thời nguy cơ tấn công mạng.

Trường hợp cần hỗ trợ, các cơ quan, đơn vị có thể liên hệ với đầu mối của Trung tâm Giám sát an toàn không gian mạng quốc gia – NCSC, Cục An toàn thông tin, Bộ TT&TT theo số điện thoại 0243.209.1616 hoặc địa chỉ thư điện tử ais@mic.gov.vn.

(Nguồn : ictnews.vietnamnet.vn)

Tấn công DDoS vào giáo dục tăng cao trong năm 2020

Giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDoS) khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID-19. Các nhà nghiên cứu cũng báo cáo về sự gia tăng của các trang web và email lừa đảo, cũng như các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến.

Nhóm nghiên cứu của Kaspersky đã phân tích và so sánh các cuộc tấn công DDoS ảnh hưởng đến giáo dục trong tổng số các cuộc tấn công DDoS được Hệ thống DDoS Interlligence của Kaspersky phát hiện trong Quý I năm 2019 và Quý I năm 2020. Theo đó, số lượng các cuộc tấn công DDoS ảnh hưởng đến giáo dục tăng 550% trong tháng 1/2020 so với cùng kỳ năm 2019.

Đặc biệt, số lượng các cuộc tấn công tăng cao trong thời gian từ tháng 2/2020 đến tháng 6/2020 so với cùng kỳ năm 2019 (tăng từ 350% đến 500%). Các cuộc tấn công DDoS gia tăng tổng thể trong hai quý đầu của năm nay, theo báo cáo của các nhà nghiên cứu, sẽ có nhiều cuộc tấn công nhắm vào các dịch vụ học tập trực tuyến và đây sẽ là xu hướng tấn công chủ yếu trong năm nay.

 

Từ tháng 1/2020 đến tháng 6/2020, số lượng người dùng phải đối mặt với các mối đe dọa được ngụy trang dưới dạng các nền tảng học tập trực tuyến phổ biến hoặc ứng dụng hội nghị truyền hình đạt 168.550 mối đe dọa. Các nhà nghiên cứu đã kiếm tra dữ liệu có chứa mối đe dọa nằm trong các nền tảng và ứng dụng học tập phổ biến như: Moodle, Hệ thống quản lý học tập chung (LMS), Blackboard, Zoom, Google Classroom, Cousera, edX và Google Meet.

 

Các trang web lừa đảo thực hiện các nền tảng phổ biến như: Google Classroom và Zoom bắt đầu xuất hiện khi đại dịch COVID-19 tiếp tục diễn biến phức tạp. Một số trang web lừa đảo còn cho phép đăng ký tài khoản Microsoft teams và Google Meet. Những người truy cập vào những trang này có thể bị lừa nhấp vào các liên kết độc hại hoặc lộ thông tin đăng nhập.

 

Việc tội phạm mạng gửi email lừa đảo liên quan đến các nền tảng học tập là điều thường thấy. Nội dung thường về việc người dùng đã bỏ lỡ một cuộc họp hay khóa học đã bị hủy hoặc họ phải kích hoạt một tài khoản. Đôi khi chúng sẽ chuyển hướng đến một trang web độc hại yêu cầu người dùng tải xuống những ứng dụng. Từ đó, tội phạm mạng sẽ cài những phần mềm độc hại hoặc phần mềm quảng cáo trên những thiết bị của người dùng. Nền tảng phổ biến nhất bị tấn công trong năm 2020  là Zoom với 167.657 mối đe dọa.

 

Đối với nhiều tội phạm mạng nhắm mục tiêu vào lĩnh vực giáo dục, truy cập tài khoản chỉ là bước đầu tiên. Chúng có thể sử dụng các thông tin đăng nhập đó để thực hiện các cuộc tấn công spam hoặc giành quyền truy cập vào các ứng dụng khác nhau của cùng một người, nếu người dùng sử dụng cùng một tài khoản và mật khẩu trên nhiều ứng dụng.

(Nguồn: mic.gov.vn)

Hãng The North Face bị tấn công nhồi thông tin danh tính

Quang Minh

(Theo Threadpost)

Hơn 26 triệu điện thoại Gionee bị cấy mã độc

M.H

OceanLotus: Mở rộng hoạt động gián điệp mạng thông qua các trang web giả mạo

Đăng Thứ (Theo Volexity)

APT32 sử dụng macOS backdoor mới trong các cuộc tấn công

  1. Các nhà nghiên cứu bảo mật của Trend Micro vừa phát hiện một backdoor macOS mới được nhóm hacker OceanLotus sử dụng.

    OceanLotus còn được biết đến với tên gọi APT-C-00 và APT32, chủ yếu nhắm mục tiêu vào các tổ chức chính phủ và doanh nghiệp ở Đông Nam Á. Đầu năm nay, nhóm hacker đã thực hiện các cuộc tấn công gián điệp lợi dụng đại dịch COVID-19 để nhắm vào Trung Quốc.

    So với các biến thể phần mềm độc hại trước đây mà APT32 sử dụng, mã độc mới có những tương đồng về cách thức hoạt động và mã nguồn. Điều này khiến các nhà nghiên cứu nhận định rằng nhóm hacker đứng đằng sau phần mềm độc hại mới này. Một tài liệu có tên tiếng Việt cũng được sử dụng trong chiến dịch tấn công.

    Phần mềm độc hại giả mạo tài liệu Word nhưng thực ra là ứng dụng nén dưới định dạng ZIP, trong tên có chứa các ký tự đặc biệt nhằm tránh bị phát hiện.

    c11c-article-200911-zshlayer-main.jpg

    Trong gói ứng dụng nén trong file ZIP, các nhà nghiên cứu bảo mật phát hiện ra hai tệp, cụ thể là tập lệnh shell thực hiện nhiều quy trình độc hại và tệp Word được hiển thị trong quá trình thực thi.

    Tập lệnh shell chịu trách nhiệm xóa thuộc tính kiểm dịch tệp (File Quarantine) cho các file trong gói và trong hệ thống, sao chép tài liệu Word vào thư mục tạm thời và mở nó. Tệp lệnh shell này tiếp tục giải nén tệp nhị phân giai đoạn hai và thay đổi quyền truy cập, sau đó xóa gói ứng dụng phần mềm độc hại và tài liệu Word khỏi hệ thống.

    File Quarantine là một tính năng của hệ điều hành macOS, để cảnh báo người dùng khi mở một ứng dụng tải về từ Internet. Tính năng này sẽ hiển thị thông tin về nguồn tải file và thời gian tải file. Phần mềm độc hại mới xóa thuộc tính File Quarantine nhằm mục đích che giấu hành vi độc hại.

    Mã được thực thi giai đoạn hai của tệp lệnh shell chịu trách nhiệm thay đổi dấu thời gian của file độc hại bằng cách sử dụng lệnh shell touch và đó tự xóa.

    Mã thực thi ở giai đoạn ba chứa hai chức năng chính, một là để thu thập và gửi thông tin hệ điều hành đến máy chủ C&), hai là để nhận thông tin liên lạc bổ sung và thực hiện các hoạt động của backdoor.

    Tương tự các mẫu phần mềm độc hại cũ hơn mà OceanLotus sử dụng, backdoor có thể thực hiện các hoạt động khác nhau dựa trên các lệnh đã nhận từ máy chủ điều khiển như lấy kích thước file, tải và chạy file, xóa, tải xuống hoặc tải file lên, thoát, chạy các lệnh trong thiết bị đầu cuối và nhận thông tin cấu hình.

    Trend Micro cũng đã phân tích một số tên miền được sử dụng bởi máy chủ C&C trong các mẫu mã độc mới. Hãng khuyến cáo người dùng không nên nhấp vào liên kết hoặc tải xuống file đính kèm đến từ các nguồn đáng ngờ, luôn cập nhật hệ điều hành và ứng dụng, đồng thời sử dụng các giải pháp bảo mật để tăng cường an ninh hệ thống.

    Theo Security Week