Chính phủ Hoa Kỳ vừa công bố số liệu mới nhất về số lượng công ty và cơ quan liên bang bị ảnh hưởng bởi cuộc tấn công SolarWinds gần đây.
Phó Cố vấn An ninh Quốc gia, bà Anne Neuberger cho biết: “Tính đến ngày 17/02/2021, 09 cơ quan liên bang và khoảng 100 công ty tư nhân đã bị ảnh hưởng bởi cuộc tấn công này”. Mặc dù không cho biết cụ thể tên các tổ chức bị tấn công, bà cho biết các cuộc tấn công bắt nguồn từ một quốc gia khác, nhưng các tin tặc đã tiến hành cuộc tấn công từ bên trong Hoa Kỳ.
Theo số liệu được công bố thì số nạn nhận bị ảnh hưởng bởi cuộc tấn công thấp hơn so với số liệu được công bố trước đấy là khoảng 250 cơ quan liên bang và doanh nghiệp, mặc dù cuộc điều tra mới ở giai đoạn đầu và có thể sẽ có thêm những nạn nhân khác. Đặc biệt, các công ty công nghệ bị xâm phạm đã tạo cơ hội cho tin tặc để tiến hành các cuộc tấn công sau đó. Có tới 18.000 khách hàng của công ty SolarWinds được cho là đã bị phát tán mã độc trực tiếp, mặc dù tin tặc đã không trực tiếp truy cập thêm vào các khách hàng này.
Cuộc tấn công SolarWinds được phát hiện lần đầu tiên vào tháng 12/2020, khi có thông tin cho rằng tin tặc đã xâm nhập phần mềm quản lý và giám sát của SolarWinds. Phần mềm này được sử dụng bởi nhiều cơ quan chính phủ và các công ty trong danh sách Fortune 500. Trong đó, Bộ tài chính, Thương mại, Nhà nước, Năng lượng và An ninh Nội địa Hoa Kỳ cùng các công ty lớn như Intel, Nvidia, Cisco, Belkin, FireEye và VMWare đều báo cáo là đã quan sát được mạng máy tính của họ bị ảnh hưởng bởi cuộc tấn công.
Do quy mô của cuộc tấn công rất lớn, nên có thể phải mất nhiều tháng thì chính phủ Hoa Kỳ mới hoàn thành được cuộc điều tra. Là một phần trong quá trình điều tra, Neuberger cho biết chính phủ đang lên kế hoạch hành động để khắc phục các vấn đề an ninh này và các cuộc thảo luận đang được tiến hành để có kế hoạch ứng phó với tin tặc.
Từ giữa thập niên 70 của thế kỷ XX, tấn công tiêm lỗi đã trở thành một vấn đề nghiêm trọng trong lĩnh vực bảo mật phần cứng. Đây là một loại tấn công kênh kề mạnh mẽ, có thể vượt qua được cơ chế bảo mật của thiết bị và thu thập dữ liệu bên trong. Hiện nay đã có nhiều giải pháp phát hiện và ngăn chặn dựa trên phần cứng và phần mềm. Bài báo này đề cập đến các phương pháp tấn công tiêm lỗi, cách phát hiện và phương pháp ngăn chặn.
Có rất nhiều phương pháp để tin tặc có thể tấn công vào các thiết bị điện tử, chip, lõi mạch tích hợp (integrated circuit – IC) nhằm phá khóa bảo mật và đánh cắp thông tin bên trong. Một trong những phương pháp thường được tin tặc sử dụng là tấn công tiêm lỗi (Fault Injection Attack – FIA) [1].
FIA là một phương pháp tấn công cố ý gây ra một lỗi trong thiết bị để điều chỉnh việc thực thi của hệ thống nhằm tạo ra các lỗ hổng bảo mật của thiết bị. FIA đã được biết đến từ những năm cuối của thế kỷ XX, được mô tả khi các lỗi ngẫu nhiên gây ra bởi các hạt phóng xạ được tạo ra bởi các phần tử có mặt tự nhiên trong các vật liệu thiết kế vi mạch [2]. Các hạt này gây ra hiện tượng lật bit ở một số khu vực bên trong chip và gây ra các lỗi không mong muốn.
Tấn công FIA đang trở thành chủ đề được quan tâm khi số lượng tin tặc ngày càng gia tăng, cũng như phương thức hoạt động của chúng tập trung và được quản lý tốt hơn. Các nhà thiết kế hệ thống trên chip nhận thức sâu sắc rằng, cần có những giải pháp được thiết kế ngay từ đầu để chống lại các cuộc tấn công chip đang ngày càng phát triển hiện nay.
TẤN CÔNG TIÊM LỖI
Ngày nay, tin tặc phải đối mặt với lớp phòng thủ bảo mật đầu tiên là các thuật toán mật mã rất mạnh mẽ, điển hình như thuật toán AES và thuật toán RSA [3]. Một trong những phương pháp để phá vỡ các thuật toán này là tấn công vét cạn (brute force), tức là cố gắng thử toàn bộ tổ hợp khóa để mở khóa. Phương pháp này đòi hỏi nhiều công sức và thời gian của kẻ tấn công.
Thay vì phải tốn thời gian và công sức như vậy, kẻ tấn công sử dụng phương pháp tấn công kênh kề để bẻ khóa, ví dụ tấn công FIA hoặc tấn công phân tích năng lượng đơn giản (Simple Power Analysis – SPA). Phương pháp này tuy không dễ dàng nhưng có thể thành công trong thời gian ngắn hơn so với các cuộc tấn công tổng lực như đã đề cập.
Tấn công FIA khiến các thiết bị điện tử thực hiện công việc gì đó khác với những gì mà nó dự định làm. Mục đích của kẻ tấn công là tạo ra lỗi tạm thời trong quá trình thực thi một số hoạt động chip cụ thể, do đó dẫn đến việc giảm hoặc vô hiệu hóa các tính năng bảo mật và biện pháp ứng phó.
Tấn công phân tích năng lượng đơn giản là phương pháp tấn công lợi dụng sự tiêu thụ năng lượng không chủ ý sẽ cung cấp thông tin về hoạt động bên trong của chip. Đây là phương pháp tấn công không xâm lấn và cho phép các kẻ tấn công trích xuất các khóa bí mật được sử dụng trong quá trình hoạt động bình thường của thiết bị [4],[5].
Khi các khóa được trích xuất, kẻ tấn công có thể dễ dàng truy cập trái phép vào thiết bị, giải mã, giả mạo tin nhắn, đánh cắp danh tính, sao chép thiết bị, tạo chữ ký trái phép và thực hiện giao dịch trái phép. Kẻ tấn công có thể thử tấn công FIA trước, sau đó là tấn công SPA hoặc kết hợp cả hai kỹ thuật trên để làm cho cuộc tấn công trở nên dễ dàng hơn.
Có nhiều cách tiếp cận FIA, bài viết chỉ tập trung vào hai trong số những cách tiếp cận nổi bật nhất là sự cố nguồn và sự cố xung clock. Đây là những tấn công không xâm lấn và không gây ra thiệt hại cho thiết bị điện tử.
SỰ CỐ NGUỒN
Hình 1. Sơ đồ mạch điện tạo ra sự cố trong đường dây cung cấp năng lượng
Hình 1 mô tả sơ đồ mạch điện tạo ra sự cố nguồn (Glitch power) trên đường truyền cung cấp năng lượng của thiết bị. Sự cố tín hiệu (Glitch signal) sẽ gây ra lỗi có chủ đích vào nguồn cung cấp cho mạch. Lỗi này chỉ đủ vừa để không làm hư hại đến các thiết bị trong mạch. Từ đây, những kẻ tấn công thu thập thông tin bên trong và phân tích.
Để bắt đầu tấn công, kẻ tấn công cố gắng lựa chọn những con chip có firmware phù hợp. Hầu hết các hệ thống khởi động firmware đều từ tín hiệu bên ngoài. Kẻ tấn công có thể dễ dàng thay đổi nội dung của tín hiệu đó. Đây chưa phải là tấn công FIA mà chỉ là hành động tiền đề để thực hiện tấn công FIA. Ngay tại thời điểm đó, chức năng khởi động an toàn xác nhận và chấp nhận firmware từ tín hiệu ngoài. Nó kiểm tra tất cả các byte, thực hiện tính toán và kết thúc bằng câu lệnh chấp nhận “yes”.
Tại đây, kẻ tấn công bắt đầu công việc của mình. Câu lệnh “yes” trong các mạch kỹ thuật số có thể là các xung lên hoặc xung xuống, ví dụ tín hiệu bên trong đi từ 0 đến 1 hoặc 1 xuống 0 trong một chu kỳ xung nhịp, báo hiệu cho CPU rằng hệ thống đã sẵn sàng để khởi động. Nếu phần mềm khởi động kiểm tra không thành công, tín hiệu sẽ không thực hiện và CPU sẽ hiểu rằng hệ thống không thể khởi động. Kẻ tấn công sẽ làm trục trặc hệ thống bằng cách tăng xung điện áp hoặc tạo ra sự cố giả như trong Hình 2.
Hình 2. Kẻ tấn công làm tăng điện áp hoặc tạo ra sự cố giả
Để thực hiện được việc này, kẻ tấn công cần phải biết chính xác tại thời điểm nào CPU sẵn sàng thực hiện câu lệnh đó. Hành động làm rối xung điện áp này phải đủ ngắn và đủ thấp để không làm hỏng chip. Xung này có thể dẫn đến một số tín hiệu bên trong tăng lên và chờ đợi tín hiệu hợp lệ khởi động an toàn. Nếu điều này không thành công, tin tặc sẽ thử lại, thay đổi kích thước và thời gian liên quan cho đến khi chúng thực hiện được.
Sau khi thành công, tin tặc có thể yêu cầu CPU chấp nhận bất kỳ chương trình cơ sở nào, bao gồm cả mã không được phép chạy. Mã độc này có thể có các chương trình lặp bổ sung, tức là không cần phải thực hiện tấn công nhiều lần mà chỉ một lần thành công là có thể lấy được các khóa mật mã hoặc dữ liệu bí mật. Sau khi lấy cắp thông tin, chúng sẽ để lại các ám hiệu để người dùng biết được dữ liệu có giá trị đã bị đánh cắp.
SỰ CỐ XUNG CLOCK
Hầu hết các bộ vi xử lý hay các thiết bị điện tử đều sử dụng xung clock (glitch clock) [6]. Vì vậy phương pháp lợi dụng sự cố xung clock được tin tặc sử dụng rất phổ biến hiện nay. Để thực hiện sự cố này, tần số của xung clock thường được tăng lên trong một hoặc nhiều chu kỳ, nói cách khác một hoặc nhiều xung clock ngắn được kích thích để tăng tốc tạm thời cho clock của chip như Hình 3. Hành động này có tác dụng gây ra một lỗi khi một lệnh đang được thực thi. Ví dụ, CPU đọc một ô nhớ chính xác tại thời điểm xảy ra sự cố. Kết quả được đọc trước khi dữ liệu ổn định trên bus bộ nhớ nhưng dữ liệu khác vẫn chưa kịp thực hiện được, dẫn đến giá trị không chính xác được đọc. Một ví dụ khác, CPU lấy một lệnh từ bộ nhớ, ngay lúc này thực hiện tấn công sự cố xung clock và lệnh đó không được thực hiện vì xung clock nhanh đã kích hoạt CPU tìm nạp câu lệnh tiếp theo.
Hình 3. Một hoặc nhiều xung ngắn được thêm vào để tạm thời tăng tốc xung clock bên ngoài chip
CÁCH PHÁT HIỆN TẤN CÔNG FIA
Các nhà thiết kế và phát triển chip đã phát triển hai phương pháp phát hiện tấn công FIA: phương pháp trình biên dịch và phương pháp kiểm tra mô hình. Phương pháp trình biên dịch là phương pháp phát hiện dựa trên phần mềm, còn phương pháp kiểm tra mô hình phát hiện dựa trên phần cứng.
Các cuộc tấn công FIA có thể được phát hiện bằng cách lưu trữ dữ liệu dư thừa và xử lý tín hiệu dự phòng. Từ quan điểm trên, phương pháp trình biên dịch được chia ra gồm: tổng kiểm tra tính toàn vẹn dữ liệu, sao chép đơn giản, dự phòng bổ sung, mặt nạ dự phòng và trích dẫn tính toán [7]:
– Phương pháp tổng kiểm tra tính toàn vẹn dữ liệu được thiết lập bởi một hàm phi tuyến tính và được sử dụng rộng rãi trong kỹ thuật truyền thông để phát hiện ra các lỗi đường truyền.
– Phương pháp sao chép đơn giản là sao chép một biến để tạo ra các biến có cùng kích thước, kiểu chữ. Tất cả các hoạt động của đường dẫn dữ liệu thông thường được sao chép và thực hiện trong nhiều đường dẫn dữ liệu. Thứ tự các đường dẫn khác nhau không phụ thuộc vào nhau và các đường dẫn dữ liệu khác nhau có thể được trộn lẫn ngẫu nhiên, khiến tin tặc không nhắm được đúng mục tiêu cần tấn công.
– Phương pháp dự phòng bổ sung sử dụng kiểu dữ liệu nghịch đảo so với dữ liệu gốc. Thay vì lấy cùng một giá trị để dự phòng, giá trị đảo ngược nhị phân có thể được sử dụng để thay thế.
– Phương pháp mặt nạ dự phòng thường được biết đến như là một biện pháp hiệu quả để chống lại các cuộc tấn công kênh kề hay tấn công FIA. Sự phụ thuộc giữa mức tiêu thụ năng lượng và các biến đã xử lý được loại bỏ bằng cách áp dụng mặt nạ ngẫu nhiên cho giá trị v:
vm = v.m (1)
với v – giá trị năng lượng của các linh kiện điện tử, vm – giá trị năng lượng ngẫu nhiên của linh kiện điện tử, m – hằng số ngẫu nhiên.
– Phương pháp trích dẫn tính toán là một phương pháp phát hiện lỗi xảy ra trong một hoặc tập hợp hoạt động. Kết quả của một thuật toán được xác minh bằng cách sử dụng các đặc tính của các hoạt động đang được thực hiện. Mặc dù phương pháp này có thể sẽ yêu cầu bộ nhớ tạm thời để thực hiện, như tất cả bộ nhớ đó sẽ được giải phóng ngay sau khi hoàn thành trích dẫn.
Phương pháp kiểm tra mô hình được sử dụng để kiểm tra mô hình sử dụng so với mô hình mẫu của nhà nhiết kế đưa ra, nhằm đảm bảo trong mạch hay chip không được gắn thêm phục vụ cho mục đích khác. Phương pháp này đòi hỏi thời gian và chi phí nên thường rất ít được sử dụng.
Ngoài hai phương pháp trình biên dịch và kiểm tra mô hình, hiện nay còn có một phương pháp khác là kết hợp của hai phương pháp này, hay được gọi là FedS [8]. FedS là khung tự động đầu tiên có thể xác định khả năng khai thác lỗi trong triển khai phần mềm, xem xét các thuộc tính mật mã phức tạp và các mô hình lỗi.
CÁCH NGĂN CHẶN TẤN CÔNG FIA
Các nhà thiết kế chip và thiết bị điện tử đã cố gắng thiết lập các giải pháp để bảo vệ các lỗ hổng của chip và FIA, trong đó bao gồm một số biện pháp điển hình như: dự phòng các tín hiệu logic điều khiển quan trọng, canary logic, mã Hamming, logic bus tách biệt. Những biện pháp này nằm trong Rambus Root-of-Trust core – phần mềm được phát triển dựa trên kỹ thuật nhúng, nhằm đảm bảo không có bất kỳ con đường tấn công nào để tin tặc có thể lợi dụng [9 – 11].
Logic điều khiển là một môi trường dễ bị tấn công FIA. Việc trục trặc tín hiệu điều khiển ngay lập tức dẫn đến sự cố xảy ra trong mạch điện, nghĩa là kiểm tra bảo mật bị vô hiệu hóa. Khi đó Rambus Root-of-Trust core sẽ duy trì dự phòng cho các tín hiệu điều khiển quan trọng. Điều này có nghĩa là tất cả các tín hiệu điều khiển được thực hiện nhiều lần, nhưng chúng được thực hiện khác nhau. Nếu một tin tặc tấn công FIA vào một tín hiệu điều khiển nào đó, ngay lập tức tín hiệu đó sẽ không được thực hiện và Rambus Root-of-Trust core sẽ đưa ra lệnh dự phòng. Lệnh này sẽ được thực thi vì rất khó để tin tặc có thể tấn công nhiều lần cùng một thời điểm.
Một biện pháp khác nữa là mã Hamming tín hiệu điều khiển. Cách thức hoạt động của biện pháp này là sử dụng các máy chủ được điều khiển trong CryptoManager Root of Trust (CMRT), là một thiết kế đồng xử lý bảo mật phần cứng độc lập để tích hợp vào các thiết bị bán dẫn, chạy một chuỗi lệnh được xác định trước để thực hiện hành động điều khiển. Điều này rất quan trọng để đảm bảo rằng các máy chủ hoạt động đúng thứ tự và đúng thời điểm. Tấn công FIA có thể ảnh hưởng đến các máy chủ, vì vậy cần đảm bảo rằng các mã Hamming luôn lớn hơn 1. Đây là một biện pháp đối phó hiệu quả rất cao nhằm phát hiện và đưa ra cảnh báo trạng thái bị tấn công trong các thiết bị điện tử hoặc chip.
Biện pháp cung cấp một cơ chế để xác định xem tin tặc có đang tấn công vào tín hiệu xung clock hay không. Đây là phương pháp thay thế thời gian để biết được một sự kiện cần phải xảy ra trong bao lâu. Khi clock hoạt động chính xác thì chip hay thiết bị điện tử hoạt động theo đúng thông số kỹ thuật chính xác. Để thực hiện được phương pháp này thì cần có thêm một kiểm tra bảo mật ở cuối nữa là “yes” hoặc “no”. Nếu tin tặc tấn công tín hiệu xung clock thông qua FIA, canary logic sẽ ngưng thực hiện câu lệnh đó. Điều này khiến màn hình an ninh hiển thị sự cố và ngay lập tức tài liệu quan trọng sẽ bị xóa để không bị đánh cắp thông tin.
Biện pháp logic bus tách biệt là một biện pháp ứng phó quan trọng khác. Khóa mật mã là dữ liệu kỹ thuật số. Trong hầu hết các trường hợp, nó được truyền qua các bus thông thường, phần lớn trên các chip. Tuy nhiên để bảo mật chặt chẽ hơn thì cần truyền trên các bus riêng. Nếu một hệ thống đang bị tấn công và mã độc đang chạy trên chip, nó không thể truy cập các khóa đó vì chúng ở trên một bus khác.
KẾT LUẬN
Ngày nay, cùng với sự phát triển của khoa học công nghệ trong lĩnh vực an toàn thông tin, ngày càng có nhiều phương pháp mà kẻ tấn công có thể sử dụng để bẻ khóa, đánh cắp dữ liệu. Tấn công FIA là vấn đề cấp bách cần phải được nghiên cứu nhiều và chuyên sâu hơn. Từ đó có thể chủ động phát hiện và ngăn chặn tấn công FIA nói riêng và tấn công mạng nói chung, đảm bảo an toàn thông tin cho các hệ thống.
Tài liệu tham khảo1. A. Vosoughi and S. Köse. Leveraging on-chip voltage regulators against fault injection attacks. In Proceedings of the 2019 on Great Lakes Symposium on VLSI, pages 15–20, May 2019.2. Timothy C. May and Murray H. Woods. A New Physical Mechanism for Soft Errorsin Dynamic Memories. In16th International Reliability Physics Symposium, pages 33–40, April 1978.3. C. Aumüller and et al. Fault attacks on RSA with CRT: Concrete results and practical countermeasures. In International Workshop on Cryptographic Hardware and Embedded Systems, pages 260–275. Springer, August 2002.4. Loïc Zussa, Jean-Max Dutertre, Jessy Clédière, Assia Tria. Power supply glitch induced faults on FPGA: an in-depth analysis of the injection mechanism. On-Line Testing Symposium (IOLTS), 2013 IEEE 19th International, Jul 2013, Chania, Greece.5. A. Barenghi, G. M. Bertoni, L. Breveglieri, M. Pellicioli, and G. Pelosi, “Low Voltage Fault Attacks to AES,” in Proc. International Symposium on Hardware-Oriented Security and Trust, pp. 7–12, 2010.6. Yifei Qiao, Zhaojun Lu, Hailong Liu, and Zhenglin Liu, “Clock Glitch Fault Injection Attacks on an FPGA AES Implementation”, in Journal of Electrotechnology, Electrical Engineering and Management (2017) Vol. 1, Number 1 Clausius Scientific Press, Canada.7. Hillebold Christoph, Compiler-Assisted IntegrityagainstFault Injection Attacks, Institute for Applied Information Processing and Communications Graz University of Technology In eldgasse 16a8010 Graz, Austria.8. K, K., Roy, I., Rebeiro, C., Hazra, A., & Bhunia, S. (2020). FEDS: Comprehensive Fault Attack Exploitability Detection for Software Implementations of Block Ciphers. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2020(2), pp. 272-299.9. F. Armknecht and W. Meier, “Fault attacks on combiners with memory,” in Proc. Selected Areas in Cryptography, vol. 3897, pp. 36–50, 2006.10. W. G. Halfond and A. Orso. Combining Static Analysis and Runtime Monitoring to Counter SQL-Injection Attacks. In Proceedings of the Third International ICSE Workshop on Dynamic Analysis (WODA 2005), pages 22–28, St. Louis, MO, USA, May 2005.11. Barenghi, L. Breveglieri, I. Koren, and D. Naccache. Fault Injection Attacks on Cryptographic Devices: Theory, Practice, and Countermeasures.Proceedings of theIEEE, 100(11):3056–3076, Nov 2012.
Theo báo cáo của Check Point (Israel), chỉ trong 2 tháng cuối năm 2020, các cuộc tấn công nhằm vào các bệnh viện và các tổ chức y tế, chăm sóc sức khỏe đã tăng 45%.
Trên thực tế, sự gia tăng của các cuộc tấn công mạng vào các tổ chức y tế và chăm sóc sức khỏe đang gấp đôi sự gia tăng tấn công mạng vào tất cả các ngành khác. Trong một báo cáo của Check Point cho biết, trung bình các tổ chức chăm sóc sức khỏe đã trải qua 626 cuộc tấn công mỗi tuần trong tháng 11, so với 430 cuộc tấn công trung bình vào các tháng trước đó. Các xu hướng tấn công phổ biến là ransomware, DDoS, mạng botnet và các cuộc tấn công thực thi mã từ xa.
Dữ liệu của Check Point cho thấy, các tổ chức y tế ở Trung Âu đang có sự gia tăng 145% trong tháng 11, 12. Đứng sau đó là các tổ chức y tế ở Đông Á (tăng 137%), Mỹ Latinh (tăng 112%) và Châu Âu tăng (67%). Ở cấp quốc gia thì Canada đang đứng đầu danh sách với mức tăng 200% các cuộc tấn công mạng nhằm vào các bênh viện và các tổ chức chăm sóc sức khỏe. Những số liệu thống kê này đều là những dữ liệu được lấy từ số lượng các cuộc tấn công mạng trong những tháng gần đây mà Check Point đã phát hiện và ngăn chặn.
Biểu đồ gia tăng tấn công mạng vào các tổ chức y tế và chăm sóc sức khỏe trên thế giới vào 2 tháng cuối năm 2020
Trong khi đó, theo Zscaler (công ty an ninh mạng của Mỹ) thì xu hướng tấn công mạng đang nhắm đến lĩnh vực này đó là do sự gia tăng đáng kể việc sử dụng các nhà cung cấp dịch vụ điện toán đám mây như Amazon Web Services, Google, Azure và Dropbox để lưu trữ. Các nhà nghiên cứu từ Zscaler’s ThreatlabZ đã quan sát và thấy sự gia tăng 500% các cuộc tấn công ransomeware được thực hiện qua các kênh mã hóa từ tháng 3 đến tháng 9/2020 trong lĩnh vực chăm sóc sức khỏe và chỉ đứng sau lĩnh vực truyền thông.
Các chuyên gia bảo mật đã chỉ ra nhiều yếu tố thúc đẩy sự gia tăng các cuộc tấn công mạng vào các tổ chức chăm sóc sức khỏe gần đầy vì các tổ chức này là những mục tiêu hoàn hảo với những dữ liệu quan trọng mà hơn nữa hầu hết các tổ chức trong lĩnh vực này đều không thể chịu được bất kỹ sự gián đoạn hoạt động nào, đặc biệt là trong đại dịch COVID-19 đang diễn ra.
Thực trạng hiện nay có thể cho chúng ta thấy được rằng, ngành chăm sóc sức khỏe đang tụt hậu so với nhiều ngành khác trong lĩnh vực công nghệ thông tin. Ngành có nhiều thay đổi lớn về quy mô nhưng chưa chú trọng đầu tư vào các hệ thống bảo mật và ứng dụng công nghệ thông tin. Các tổ chức này thường thiếu các biện pháp kiểm soát an ninh và dễ bị ảnh hưởng bởi các vấn đề an ninh mạng.
Tại Hoa Kỳ, việc phải tuân thủ các quy định và điều khoản của Cục quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) và Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm ý tế liên bang (HIPAA) đang là một trở ngại về ứng dụng công nghệ thông tin. Cụ thể hơn, HIPAA quy định rõ về trách nhiệm của các nhà cũng cấp dịch vụ chăm sóc sức khỏe, kế hoạch y tế, các trung tâm chăm sóc sức khỏe và các cộng sự của họ, những người truyền tải thông tin về sức khỏe và các thông tin liên quan (ví dụ: hồ sơ sức khỏe, đăng ký, thanh toán,…) nói chung đây là những quy tắc về quyền của người bệnh đối với thông tin sức khỏe của họ và khi nào thì các thông tin này được phép chia sẻ.
Đây là thông điệp của Chương trình Tọa đàm CIO|CSO Cyber Security 2020 do Tập đoàn Dữ liệu Quốc tế tại Việt Nam (IDG Việt Nam) phối hợp với Câu lạc bộ CEO|CIO và Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS) tổ chức ngày 17/12.
Toàn cảnh Chương trình Tọa đàm
Tham dự và chủ trì Tọa đàm là ông Nguyễn Sơn Hải – Giám đốc Công ty An ninh mạng Viettel Cyber Security, cùng khoảng 30 lãnh đạo công nghệ thông tin, an ninh thông tin của các ngân hàng, công ty dịch vụ tài chính như chứng khoán, bảo hiểm.
Năm 2020, đại dịch COVID-19 bùng phát khiến ngành tài chính, ngân hàng trên toàn cầu đứng trước một thách thức mới, đó là bắt buộc phải đẩy nhanh tiến độ chuyển đổi số để tồn tại và phát triển. Việt Nam cũng không ngoại lệ đối với điều này. Tuy nhiên, ngay từ trước khi đại dịch bùng phát, ngành tài chính và đặc biệt là ngân hàng Việt Nam cũng đã chủ động bước vào giai đoạn chuyển đổi số, cung cấp các dịch vụ thanh toán số cũng như nhiều dịch vụ khác trên nền tảng số.
Ngoài ra, một điểm nhấn khác là thanh toán dịch vụ công cũng tiếp tục được triển khai rộng rãi. Các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán đang tích cực triển khai kết nối thanh toán trực tuyến trên Cổng dịch vụ công Quốc gia, Cổng dịch vụ công của các Bộ, ngành, địa phương. Do đó, tốc độ chuyển đổi số các dịch vụ tài chính, ngân hàng ở Việt Nam đang diễn ra rất nhanh chóng. Tuy nhiên, song hành với đó thì số lượng các sự cố mất an toàn, an ninh thông tin cũng tăng cao.
Theo kết quả nghiên cứu vào tháng 3/2020 của FICO – Công ty chuyên phân tích và tư vấn quản trị doanh nghiệp của Mỹ, 96% ngân hàng tại Việt Nam cho biết rằng họ lo ngại về tình trạng mất an toàn, an ninh thông tin, nên sẽ đầu tư vào việc phòng chống tội phạm tài chính trong năm tới; cũng như 27% ngân hàng đã có kế hoạch tăng đáng kể khoản đầu tư này vào năm 2021.
Ngoài ra, theo Thiếu tướng Nguyễn Văn Giang – Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an thì từ đầu năm đến nay, đã có khoảng 4.000 vụ việc liên quan đến tấn công an ninh mạng, trong đó có lĩnh vực ngân hàng như khách hàng bị lừa mất tiền qua tài khoản do bị lừa đảo, kẻ gian mạo danh nhân viên ngân hàng hoặc gửi đường dẫn giả mạo ngân hàng, với tổng thiệt hại của những vụ tấn công trên khoảng 100 tỷ đồng. Điều này cho thấy công tác đảm bảo an toàn, an ninh thông tin ngành ngân hàng cần được chú ý hơn nữa.
Các chuyên gia trình bày tại Tọa đàm là các lãnh đạo và chuyên gia công nghệ thông tin, an toàn thông tin trong các ngân hàng, doanh nghiệp trong nước và quốc tế. Những nội dung được trình bày bao gồm: xu hướng chuyển đổi số ngành ngân hàng; nguy cơ mất an toàn an ninh thông tin tới ngành tài chính, ngân hàng trong dịch COVID-19 và trong xu hướng chuyển đổi số tại Việt Nam; thách thức đảm bảo an toàn, an ninh thông tin cho ngành ngân hàng, chứng khoán; nhận diện một số nguy cơ và đề xuất giải pháp cảnh báo sớm,…
Ông Nguyễn Sơn Hải phát biểu tại Tọa đàm
Trong đó, nổi bật là bài tham luận “Nhận diện một số nguy cơ mất an toàn, an ninh thông tin ngành tài chính, ngân hàng và giới thiệu giải pháp mới hỗ trợ công tác cảnh báo sớm” ông Nguyễn Sơn Hải. Ông đã trình bày về các nguy cơ, vấn đề mất an toàn thông tin chính trong ngành tài chính, ngân hàng hiện nay và một số hướng tiếp cận đối với giải pháp cảnh báo sớm.
Theo đó, số lượng tấn công lừa đảo hiện nay đang ngày một gia tăng. Theo số liệu của VCS, từ tháng 1/2020 đến nay, đã phát hiện ra 1.656 tên miền giả mạo, 1.299 tên miền lừa đảo (1.210 tên miền nước ngoài và 89 tên miền tại Việt Nam; với tổng cộng 26.055 người dùng bị ảnh hưởng. Trong đó, một số hình thức tấn công lừa đảo mới nổi và phát triển nhanh là tấn công lừa đảo lợi dụng lỗ hổng của mã xác thực 1 lần (OTP) thông qua kỹ thuật xã hội như tin nhắn và điện thoại; cũng như kỹ thuật giả mạo sâu (deepfake) mới.
Tấn công có chủ đích APT cũng phát triển nhanh trong năm nay, với 08 ngân hàng, 02 tổ chức chứng khoán và 293 tổ chức, cá nhân là nạn nhân của tấn công này; tăng hơn rất nhiều so với năm ngoái với chỉ 06 ngân hàng và 40 tổ chức, cá nhân.
Tấn công từ chối dịch vụ trong năm 2020 tại Việt Nam đã lên tới hơn 3 triệu tấn công, với cuộc tấn công lớn nhất được ghi nhận là khoảng 40 Gbps. Ngoài ra, nguy cơ về bảo mật cũng tăng cao khi nhu cầu làm việc tại nhà (work from home) trở nên phổ biến do đại dịch COVID-19.
Đối diện với các nguy cơ hiện hữu về bảo mật ngày một gia tăng như vậy, ông Nguyễn Sơn Hải đã trình bày các giải pháp cảnh báo sớm tấn công, trong đó có Trung tâm điều hành an ninh SOC 24/7. Hiện tại, Viettel đang cung cấp dịch vụ SOC cho hơn 30 khách hàng tại Việt Nam, có khả năng hoàn toàn chia sẻ thông tin với nhau. Đây chính là điểm mạnh của Viettel so với các giải pháp thông tin tình báo rủi ro khác. Ngoài ra, vì là một nhà mạng (ISP) nên Viettel có tất cả các luồng dữ liệu trên mạng sử dụng mạng Viettel, do đó hoàn toàn có thể phân tích những dữ liệu này trước khi đến người dùng, hoặc thu thập sau để cải thiện hệ thống phát hiện tấn công.
Các giải pháp khác của Viettel vô cùng đa dạng, có thể kể đến nền tảng thông tin tình báo mối đe dọa Threat Intelligence; giải pháp Viettel SOAR tự động hóa, hệ thống hóa quy trình; giải pháp phát hiện và ứng phó tấn công điểm cuối; giải pháp đảm bảo an toàn vành đai mạng với nền tàng Zero Trust; dịch vụ ứng cứu sự cố;…
Tại Phiên Tọa đàm, Ông Nguyễn Sơn Hải đã trình bày rõ thêm về Giải thưởng Frost & Sullivan năm 2020 mà VCS đã được nhận với vai trò là “Nhà cung cấp dịch vụ quản lý an ninh mạng tốt nhất Việt Nam”. Tiêu chí đánh giá của F&S dựa trên 3 điều chính: Thứ nhất là tầm nhìn, định hướng về lĩnh vực an toàn thông tin tại Việt Nam; Thứ hai là mức độ ảnh hưởng, doanh thu, quy mô và thị phần tại Việt Nam trong lĩnh vực SOC; Thứ ba là mức độ trưởng thành của công nghệ và khả năng cung cấp dịch vụ cho SOC, trong đó bao gồm cả đánh giá về mặt giải pháp, quy trình, con người. Đây là một giải thưởng danh giá và là khẳng định của những cố gắng của VCS trong năm qua với đầy khó khăn, thử thách.
Trong khuôn khổ Tọa đàm, Lễ ra mắt giải pháp thông tin tình báo về mối đe dọa Viettel Threat Intelligence đã được diễn ra. Đây là hệ thống cung cấp cơ sở dữ liệu các mối nguy hiểm, mối đe dọa về an toàn thông tin trên thế giới, cung cấp dữ liệu, tri thức về các cuộc tấn công, các mối đe dọa trên toàn cầu. Sản phẩm được trang bị những tính năng nổi bật như: thu thập các nguy cơ từ nhiều nguồn khác nhau; cung cấp threat feed cho các giải pháp an toàn thông tin khác; Hỗ trợ API và dữ liệu theo các định dạng chuẩn,…
Lễ ra mắt giải pháp thông tin tình báo về mối đe dọa Viettel Threat Intelligence
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT vừa có cảnh báo về nguy cơ tấn công mạng vào hệ thống thông tin của các cơ quan, tổ chức sử dụng thiết bị F5 BIG-IP.
Qua đánh giá sơ bộ của Trung tâm NCSC, Việt Nam có hàng trăm hệ thống đang sử dụng thiết bị F5 BIG-IP. Đây là những hệ thống đầu tiên nằm trong mục tiêu của đối tượng tấn công sẽ tìm đến. (Ảnh minh họa: IT Security Guru)
Theo thống kê, tính đến tháng 6/2020, có hơn 8.000 thiết bị trên Internet đang có nguy cơ bị tấn công bởi lỗ hổng bảo mật này, trong tổng số 621.257 host/địa chỉ IP public đang sử dụng F5 BIG-IP.
Qua đánh giá sơ bộ của Trung tâm NCSC, Việt Nam có hàng trăm hệ thống đang sử dụng thiết bị F5 BIG-IP. Đây là những hệ thống đầu tiên nằm trong mục tiêu của đối tượng tấn công sẽ tìm đến.
Để đảm bảo an toàn thông tin cho các hệ thống thông tin, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Trung tâm NCSC đề nghị các cơ quan, đơn vị, doanh nghiệp kiểm tra, rà soát hệ thống thông tin có khả năng bị ảnh hưởng bởi lỗ hổng “CVE-2020-5902” và có phương án xử lý, khắc phục.
Giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDoS) khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID-19. Các nhà nghiên cứu cũng báo cáo về sự gia tăng của các trang web và email lừa đảo, cũng như các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến.
Nhóm nghiên cứu của Kaspersky đã phân tích và so sánh các cuộc tấn công DDoS ảnh hưởng đến giáo dục trong tổng số các cuộc tấn công DDoS được Hệ thống DDoS Interlligence của Kaspersky phát hiện trong Quý I năm 2019 và Quý I năm 2020. Theo đó, số lượng các cuộc tấn công DDoS ảnh hưởng đến giáo dục tăng 550% trong tháng 1/2020 so với cùng kỳ năm 2019.
Đặc biệt, số lượng các cuộc tấn công tăng cao trong thời gian từ tháng 2/2020 đến tháng 6/2020 so với cùng kỳ năm 2019 (tăng từ 350% đến 500%). Các cuộc tấn công DDoS gia tăng tổng thể trong hai quý đầu của năm nay, theo báo cáo của các nhà nghiên cứu, sẽ có nhiều cuộc tấn công nhắm vào các dịch vụ học tập trực tuyến và đây sẽ là xu hướng tấn công chủ yếu trong năm nay.
Từ tháng 1/2020 đến tháng 6/2020, số lượng người dùng phải đối mặt với các mối đe dọa được ngụy trang dưới dạng các nền tảng học tập trực tuyến phổ biến hoặc ứng dụng hội nghị truyền hình đạt 168.550 mối đe dọa. Các nhà nghiên cứu đã kiếm tra dữ liệu có chứa mối đe dọa nằm trong các nền tảng và ứng dụng học tập phổ biến như: Moodle, Hệ thống quản lý học tập chung (LMS), Blackboard, Zoom, Google Classroom, Cousera, edX và Google Meet.
Các trang web lừa đảo thực hiện các nền tảng phổ biến như: Google Classroom và Zoom bắt đầu xuất hiện khi đại dịch COVID-19 tiếp tục diễn biến phức tạp. Một số trang web lừa đảo còn cho phép đăng ký tài khoản Microsoft teams và Google Meet. Những người truy cập vào những trang này có thể bị lừa nhấp vào các liên kết độc hại hoặc lộ thông tin đăng nhập.
Việc tội phạm mạng gửi email lừa đảo liên quan đến các nền tảng học tập là điều thường thấy. Nội dung thường về việc người dùng đã bỏ lỡ một cuộc họp hay khóa học đã bị hủy hoặc họ phải kích hoạt một tài khoản. Đôi khi chúng sẽ chuyển hướng đến một trang web độc hại yêu cầu người dùng tải xuống những ứng dụng. Từ đó, tội phạm mạng sẽ cài những phần mềm độc hại hoặc phần mềm quảng cáo trên những thiết bị của người dùng. Nền tảng phổ biến nhất bị tấn công trong năm 2020 là Zoom với 167.657 mối đe dọa.
Đối với nhiều tội phạm mạng nhắm mục tiêu vào lĩnh vực giáo dục, truy cập tài khoản chỉ là bước đầu tiên. Chúng có thể sử dụng các thông tin đăng nhập đó để thực hiện các cuộc tấn công spam hoặc giành quyền truy cập vào các ứng dụng khác nhau của cùng một người, nếu người dùng sử dụng cùng một tài khoản và mật khẩu trên nhiều ứng dụng.
Trung tuần tháng 11/2020, hãng trang phục nổi tiếng The North Face đã phải thiết lập lại nhiều tài khoản khách hàng, sau khi phát hiện một cuộc tấn công nhồi thông tin danh tính trên trang web của mình.
Trong một thông báo vi phạm dữ liệu gần đây, The North Face đã thông báo với khách hàng rằng họ đã được cảnh báo về hoạt động bất thường liên quan đến trang web thenorthface.com. Tại trang web, khách hàng có thể mua quần áo và thiết bị trực tuyến, tạo tài khoản và nhận điểm khách hàng thân thiết như một phần của Chương trình Phần thưởng VIPeak của công ty. Sau khi điều tra thêm, The North Face đã kết luận rằng tin tặc đã thực hiện tấn công nhồi thông tin danh tính trên trang web của họ trong hai ngày 08 – 09/10/2020.
Tấn công nhồi thông tin danh tính thành công do tin tặc lợi dụng thói quen của người dùng tái sử dụng mật khẩu trên nhiều tài khoản trực tuyến. Theo đó, tin tặc thường sử dụng số tài khoản và mật khẩu bị đánh cắp từ các nguồn khác như một vụ vi phạm dữ liệu của công ty hoặc trang web nào đó. Sau đó tin tặc sẽ sử dụng các thông tin đăng nhập đó để đăng nhập vào các tài khoản khác nhằm có được quyền truy cập trái phép. Quá trình này thường được tự động hóa và tội phạm mạng đã tận dụng thành công cách tiếp cận này để đánh cắp dữ liệu từ nhiều hãng nổi tiếng khác.
Trong thông báo vi phạm dữ liệu của công ty cho hay: “Dựa trên điều tra, chúng tôi tin rằng tin tặc đã giành được quyền truy cập tới địa chỉ email và mật khẩu của người dùng từ một nguồn khác (không phải từ The North Face) sau đó sử dụng những thông tin đăng nhập để truy cập vào tài khoản của người dùng trên trang web thenorthface.com”.
The North Face là công ty dẫn đầu thị trường Mỹ trong lĩnh vực quần áo và phụ kiện ngoài trời. Theo hãng thống kê xã hội StatSocial, công ty này đã thu về hơn 2 tỷ USD trong số 4 tỷ USD doanh thu hàng năm của ngành may mặc trong năm 2019. The North Face đã không tiết lộ số lượng khách hàng bị ảnh hưởng bởi vụ tấn công tuy nhiên, con số này có thể là đáng kể. Theo SimilarWeb, trang thenorthface.com đã nhận được 6,96 triệu lượt truy cập trong tháng 10/2020.
Ngoài địa chỉ email và mật khẩu của khách hàng, tin tặc có thể đã truy cập tới thông tin được lưu trữ trong tài khoản khách hàng tại trang thenorthface.com. Thông tin này bao gồm thông tin chi tiết về các sản phẩm đã được mua trên trang web của công ty, các mục đã được lưu vào mục ưa thích cũng như địa chỉ thanh toán, địa chỉ giao hàng, tổng điểm khách hàng thân thiết, email ưu tiên, họ và tên, ngày sinh và số điện thoại. Tất cả các thông tin này có thể bị lạm dụng để phát triển các kỹ thuật xã hội nhằm tấn công lừa đảo.
The North Face không giữ bản sao của dữ liệu thẻ thanh toán bao gồm thẻ tín dụng, thẻ ghi nợ hay thẻ cộng điểm trên trang web. Điều này đồng nghĩa với việc kẻ tấn công không thể xem số thẻ thanh toán, ngày hết hạn hoặc CVV của khách hàng.
The North Face cho biết rằng, ngay khi nhận biết về sự cố, công ty đã thực hiện những biện pháp hạn chế việc đăng nhập tài khoản từ những các nguồn đáng nghi ngờ hoặc theo cách đáng ngờ.
“Chúng tôi đã vô hiệu hóa tất cả các mật khẩu từ các tài khoản đã bị truy cập trong khoảng thời gian bị tấn công. Đồng thời, chúng tôi cũng đã xóa tất cả token thẻ thanh toán từ tất cả các tài khoản trên trang web. Do đó, khách hàng sẽ cần phải tạo một mật khẩu mới và nhập lại thông tin thẻ thanh toán trong lần mua sắm tiếp theo”, đại diện The North Face.
Do rất nhiều khách hàng tái sử dụng mật khẩu, nên những cuộc tấn công nhồi thông tin danh tính tiếp tục là một kỹ thuật phổ biến của tội phạm mạng truy cập vào tài khoản nạn nhân. Trong tháng 10/2020, thực khách tại chuỗi nhà hàng gà nổi tiếng Nando’s đã chứng kiến hàng trăm USD bị rút khỏi tài khoản ngân hàng của mình sau khi tội phạm mạng truy cập thông tin đặt hàng của nhà hàng. Vào đầu tháng 02/2020, tài khoản Twitter chính thức của FC Barcelona cũng đã bị tấn công nhồi thông tin danh tính.
The North Face khuyến cáo khách hàng đảm bảo sử dụng mật khẩu duy nhất và không tái sử dụng mật khẩu để tránh rủi ro tấn công nhồi thông tin danh tính.
Zhipu Technology Thâm Quyến – một công ty con của thương hiệu Gionee đã bí mật cài Trojan horse vào các mẫu điện thoại của hãng này và biến chúng thành công cụ kiếm tiền thông qua những hình thức quảng cáo khác nhau.
Theo đó, 26,52 triệu điện thoại di động Gionee đã bị nhiễm mã độc và trở thành công cụ để các cá nhân, doanh nghiệp kiếm tiền bất hợp pháp. Phương thức hoạt động thông qua việc cập nhật phiên bản phần mềm “Story Lock Screen” trên điện thoại di động Gionee, chương trình Trojan horse được cấy vào cùng với ứng dụng được cập nhật tự động và người dùng không hề hay biết về điều này.
Sau đó, những thiết bị Gionee sẽ nhận được lệnh “pull live” và liên tục xuất hiện các hiện tượng bất thường như không diệt được virus, key bị lỗi không lý do hoặc tự động tải các phần mềm rác. Sau đó, những thiết bị đã bị cấy mã độc này sẽ liên tục xuất hiện các chương trình quảng cáo dù đã chặn thông báo ứng dụng.
Theo báo cáo, trong khoảng thời gian từ tháng 12/2018 đến tháng 10/2019, các điện thoại Gionee đã thực hiện 2.884 tỷ lần kích hoạt quảng cáo và mang về 27 triệu nhân dân tệ cho các tổ chức, cá nhân liên quan.
Theo điều tra của Tòa án nhân dân thành phố Nghĩa Ô, tỉnh Chiết Giang công bố ngày 30/11, ngoài sự tham gia của công ty con điện thoại di động Gionee, Công ty Zhipu Thâm Quyến và Công ty TNHH Công nghệ Zhuhai Meizu cũng đã hợp tác với Công ty TNHH Công nghệ Meizu để thực hiện hành vi vi phạm này.
Mặc dù nguyên nhân của toàn bộ sự cố là do điện thoại di động Gionee gây ra, tuy nhiên Meizu cũng không thoát khỏi liên quan và đang được các nhà chức trách điều tra. Trong một tuyên bố mới đây, đại diện Meizu lên tiếng khẳng định: “Meizu kiên quyết hoạt động hợp pháp và không tham gia vào các vụ việc bất hợp pháp liên quan. Trong tương lai, chúng tôi sẽ tiếp tục đào sâu mảng kinh doanh bảo mật điện thoại di động để đảm bảo an toàn thông tin điện thoại di động”.
Sự cố này một lần nữa gióng lên hồi chuông cảnh tỉnh cho những người sử dụng điện thoại di động, nếu phát hiện thấy sự bất thường trong hệ thống, hãy kiểm tra kịp thời để có phương án dự phòng đảm bảo quyền riêng tư cũng như lợi ích hợp pháp của mình. Có thể xác định điện thoại bị cấy mã độc hay không bằng cách kiểm tra thông qua các phần mềm diệt virus, khi thấy thiết bị gặp tình trạng không thể tắt ứng dụng hoặc tự động tải về phần mềm lạ.
Ngoài ra, chỉ nên tải về ứng dụng cho thiết bị trên các cửa hàng đáng tin cậy. Bỏ thiết lập đồng ý mặc định cho việc tải về các ứng dụng hoặc cài đặt quyền riêng tư như truy cập vị trí, thông báo, đọc danh bạ và lịch sử cuộc gọi…Nếu thấy điện thoại có những hoạt động đáng ngờ hay đột ngột trở nên chậm hoặc khó sử dụng, người dùng có thể nhờ đến sự trợ giúp của kỹ thuật viên chuyên nghiệp để xác định tình trạng cụ thể của điện thoại.
OceanLotus hay còn được gọi là APT32 là một tổ chức tấn công mạng được cho là có nguồn gốc tại Việt Nam. Kể từ khi hoạt động, nhóm đã thực hiện nhiều cuộc tấn công vào Trung Quốc, cũng như nhiều nước khác trên thế giới. Bài viết này giới thiệu tới bạn đọc một số chiến dịch lớn sử dụng rất nhiều trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng.
Vào năm 2019, tại Hội nghị RSA được tổ chức tại Hoa Kỳ, công ty Veloxity (Hoa Kỳ) đã có một bài thuyết trình nhằm cung cấp thông tin về nguồn gốc và các hoạt động của OceanLotus. Đáng chú ý, Veloxity tiết lộ rằng, OceanLotus đã thiết lập và điều hành nhiều trang web cung cấp tin tức và thông tin về chống tham nhũng trong nhiều năm qua. Thoạt nhìn, các trang web giả mạo rất giống với các trang web chính thức đang hoạt động. Nhưng OceanLotus có toàn quyền kiểm soát việc theo dõi và tấn công khách truy cập các trang web giả mạo này. Trong số này có cả Facebook giả mạo với hơn 20.000 người theo dõi.
Ngay sau khi bài thuyết trình được đưa ra, các trang web giả mạo đã bị đóng cửa hoặc dừng hoạt động. Nhưng vào đầu năm 2020, các nhà nghiên cứu đã phát hiện một chiến dịch lớn sử dụng rất nhiều các trang web giả mạo mà OceanLotus tận dụng để tấn công người dùng các nước láng giềng Việt Nam.
Các trang web tin tức vận hành bởi OceanLotus
Trong suốt thời gian qua, các chuyên gia tại Volexity đã xác định được nhiều trang web tin tức bằng tiếng Việt dường như đã bị xâm nhập, sử dụng để tải xuống một bộ công cụ của OceanLotus. Tính năng của mỗi bộ công cụ khác nhau trên các website, nhưng mục tiêu chung nhằm thu thập thông tin về người dùng truy cập trang web. Trong một số trường hợp, chúng phát tán các phần mềm độc hại.
Tuy nhiên, khi kiểm tra kỹ hơn các trang web, các chuyên gia nhận thấy các trang web không bị xâm nhập, thay vào đó chúng được tạo và vận hành bởi OceanLotus. Mỗi trang web đều được đầu tư rất nhiều công sức để xây dựng. Chúng có rất nhiều chủ đề, nội dung, thậm chí cả hình ảnh và khẩu hiệu tùy chỉnh. Các trang tin tức này chứa nhiều nội dung, tuy nhiên không chuyển hướng độc hại và có đầy đủ các menu chỉ mục. Chỉ một số ít các bài báo cụ thể trong mỗi trang web có chứa nội dung độc hại. Các trang web khác nhau về chủ đề, với một số tập trung vào tin tức Việt Nam trong khi những trang khác tập trung vào tin tức theo chủ đề xung quanh các quốc gia Đông Nam Á.
Dưới đây là danh sách các trang web bạn đọc cần lưu ý trước khi truy cập.
Baodachieu[.]com: Trang web này đăng tải các tin tức tổng hợp và được viết bằng tiếng Việt. Trang web có một logo và khẩu hiệu cho biết trang này đang đăng tải những tin tức mà người khác muốn che giấu.
Baomoivietnam[.]com: Trang web này bao gồm các tin tức tổng hợp và viết bằng tiếng Việt. Trang chủ hiển thị logo tùy chỉnh và dòng giới thiệu trang cung cấp các tin tức ngắn và đáng tin cậy.
Nhansudaihoi13[.]org: Nội dung trang web đưa tin về Đại hội đại biểu toàn quốc lần thứ 13 của Đảng Cộng sản Việt Nam sắp diễn ra vào tháng 1/2021.
Tocaoonline[.]org: Trang web này dành riêng cho tin tức và “sự thật”.
Tinmoivietnam[.]com: Nội dung trang web bao gồm các tin tức tổng hợp và viết bằng tiếng Việt. Tên miền được đặt gần giống với một trang web tin tức tại Việt Nam (tinmoivietnam.net.)
Kmernews[.]com: Trang web có nội dung tin tức chung, viết bằng tiếng Campuchia và không có logo riêng.
Aostimenews[.]com: Trang web này bao gồm các tin tức chung, được viết bằng tiếng Anh và tiếng Lào. Nội dung web được chia sẻ từ trang web của Thời báo Lào (laotiantimes.com).
Malaynews[.]org: Trang web tin tức được viết bằng tiếng Anh và tiếng Mã Lai.
Philiippinesnews[.]net: Trang web này đưa tin về các sự kiện chung và viết bằng tiếng Anh.
Khmer-livenews[.]com: Trang web tin tức viết bằng tiếng Campuchia.
Khmerleaks[.]com: Trang web đăng tải tin tức tập trung vào Campuchia và cung cấp nội dung bằng cả tiếng Campuchia và tiếng Anh. Khẩu hiệu của trang web là “Luôn cập nhật những tin tức nóng hổi nhất về đất nước”.
Mặc dù, một số trang web ở trên có thể sử dụng bố cục tương tự, nhưng đại đa số có chủ đề riêng nên người dùng sẽ không nhận thấy sự liên quan. Các trang web cũng chủ yếu đăng tải nhiều loại tin tức gây tò mò đối với người đọc và hướng tới một nhóm người dùng cụ thể.
Trong đó có một trang web khác biệt so với các trang web còn lại và mang tính chất chính trị là nhansudaihoi13[.]org; liên quan đến Đại hội Cộng sản Việt Nam lần thứ 13 sắp tới. Song song, trang web này có một trang Facebook tương ứng chứa đầy đủ các bài đăng được sao chép từ các cơ quan truyền thông Việt Nam, tập trung vào vấn đề tham nhũng trong chính trị tại Việt Nam. Trang có hơn 1.000 lượt thích và thu hút tương tác từ một số cá nhân tại Việt Nam. Đáng chú ý, trang Facebook có một tài khoản Messenger liên kết với nó có thể sử dụng để gửi tin nhắn cho các cá nhân có lợi ích.
Tấn công nhằm vào khách truy cập
Các trang web thường chứa nhiều bài báo và nội dung để làm cho chúng có vẻ hợp pháp. Một số trang web có hơn 10.000 tin bài riêng lẻ. Nội dung phần lớn là thu thập và đăng lại từ nhiều trang tin tức trực tuyến hợp pháp khác. Có vẻ như nó thực hiện theo cách tự động và rất có thể thông qua các plugin WordPress. Người truy cập trang web sẽ được phân loại tự động qua các công cụ lập hồ sơ: người tình cờ truy cập đến trang và những mục tiêu cụ thể được gửi những liên kết đến các bài có chứa phần mềm độc hại thông qua các tin nhắn lừa đảo trực tuyến và mạng xã hội.
Khi người dùng truy cập một bài có chứa mã độc hại trên web, JavaScript độc hại sẽ được tải xuống và thực thi trên trình duyệt của người dùng web. Hoạt động của tập lệnh là khác nhau giữa các trang bị nhiễm khác nhau nhưng nhìn chung có hai phần: một tập lệnh để nắm bắt và lưu trữ thông tin về khách truy cập và một tập lệnh để đánh lừa người dùng tải xuống phần mềm hoặc tài liệu giả mạo. Chức năng của phần mềm được tải xuống dựa trên trình duyệt của người dùng và nội dung.
Để minh họa một ví dụ thực tế về cách hoạt động và giao diện của điều này đối với khách truy cập trang web, phần dưới đây sẽ sử dụng trang web giả mạo baomoivietnam[.]com với tin bài “Đại học Tôn Đức Thắng: Hiệu trưởng lạm quyền để xảy ra nhiều sai phạm” để lừa người dùng cài đặt mã độc hại. Sau khi truy cập vào trang web, máy tính người dùng sẽ tải JavaScript độc hại từ tên miền cdn.arbenha[.]com với nội dung là một trình phát video giả mạo. Lúc đầu, trang sẽ hiển thị hộp thoại cho biết video đang tải như Hình 1.
Hình 1: Một hộp thoại mô tả video đang được tải xuống
Nếu người dùng truy cập sử dụng hệ điều hành Windows, thì sau một vài giây video sẽ không tải được. Một thông báo sẽ được hiển thị cho biết rằng cần phải có Flash Player, kèm với một nút hướng người dùng nhấp vào để nâng cấp trình duyệt như Hình 2.
Hình 2: Thông báo yêu cầu người dùng nâng cấp Flash Player
Khi người dùng bấm vào nút “Nâng cấp ngay” thì máy tính sẽ tải về 1 tập tin RAR có tên là Adobe_Flash_Install. Tập tin này có chứa phần mềm độc hại chuyên được sử dụng bởi OceanLotus có tên gọi Cobalt Strike. Tuy nhiên, nếu người dùng đang sử dụng thiết bị di động truy cập trên nền tảng iOS hoặc Android, thì một hình ảnh sẽ hiển thị, yêu cầu “đăng nhập” để xem video có chứa nội dung giới hạn độ tuổi.
Hình 3: Thông báo yêu cầu đăng nhập nếu truy cập từ thiết bị di động
Nút “ĐĂNG NHẬP” chứa một siêu liên kết đến một trang chứa các bài đánh giá từ tên miền account.gservice[.]reviews. Mục đích chính của chúng là lừa đảo thông tin mật khẩu của người dùng. Cuối cùng, nếu người dùng cố gắng truy cập trang bằng thiết bị không thể xác định qua payload, thì website sẽ hiển thị nội dung không thể phát trên thiết bị này (Hình 4).
Hình 4: Thông báo khi truy cập không phải từ thiết bị Windows, Android và iOS
Cobalt Strike: Công cụ chuyên dụng cho chuyên gia an ninh mạng
Tập tin Adobe_Flash_install.rar từ trang web baomoivietnam[.]com chứa các tệp tin Flash_Adobe_Install.exe và goopdate.dll. Trong đó, tập tin goopdate.dll là một tập tin độc hại có chứa thuộc tính ẩn, nên sẽ không hiển thị với cấu hình mặc định của Windows Explorer trên Windows.
Khi chương trình khởi chạy sẽ kết nối đến địa chỉ quản trị tại tên miền summerevent.webhop[.]net để tải về các thành phần khác và nhận lệnh điều khiển. Từ đây OceanLotus sẽ có toàn quyền điều khiển máy của nạn nhân.
Kết luận
OceanLotus đang tiếp tục phát triển các cách thức để nhắm mục tiêu vào các cá nhân bên ngoài hoạt động lừa đảo trực tuyến và tận dụng các trang web bị xâm phạm. Việc tạo và duy trì một số trang web, sẽ nhằm mục đích tăng sự hiện diện trên mạng nhiều hơn và sử dụng chúng để tấn công khách truy cập. Nỗ lực này cho thấy OceanLotus sẽ còn tăng cường mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các cá nhân và tổ chức mục tiêu.
Người dùng cần nâng cao cảnh giác với các trang web truy cập, đặc biệt nếu các trang web có liên kết được gửi thông qua dịch vụ e-mail, trò chuyện, nhắn tin hoặc thậm chí là SMS. Hơn nữa, người dùng nên hết sức thận trọng nếu một trang web hiển thị tệp yêu cầu tải xuống hoặc đăng nhập.
Các nhà nghiên cứu bảo mật của Trend Micro vừa phát hiện một backdoor macOS mới được nhóm hacker OceanLotus sử dụng.
OceanLotus còn được biết đến với tên gọi APT-C-00 và APT32, chủ yếu nhắm mục tiêu vào các tổ chức chính phủ và doanh nghiệp ở Đông Nam Á. Đầu năm nay, nhóm hacker đã thực hiện các cuộc tấn công gián điệp lợi dụng đại dịch COVID-19 để nhắm vào Trung Quốc.
So với các biến thể phần mềm độc hại trước đây mà APT32 sử dụng, mã độc mới có những tương đồng về cách thức hoạt động và mã nguồn. Điều này khiến các nhà nghiên cứu nhận định rằng nhóm hacker đứng đằng sau phần mềm độc hại mới này. Một tài liệu có tên tiếng Việt cũng được sử dụng trong chiến dịch tấn công.
Phần mềm độc hại giả mạo tài liệu Word nhưng thực ra là ứng dụng nén dưới định dạng ZIP, trong tên có chứa các ký tự đặc biệt nhằm tránh bị phát hiện.
Trong gói ứng dụng nén trong file ZIP, các nhà nghiên cứu bảo mật phát hiện ra hai tệp, cụ thể là tập lệnh shell thực hiện nhiều quy trình độc hại và tệp Word được hiển thị trong quá trình thực thi.
Tập lệnh shell chịu trách nhiệm xóa thuộc tính kiểm dịch tệp (File Quarantine) cho các file trong gói và trong hệ thống, sao chép tài liệu Word vào thư mục tạm thời và mở nó. Tệp lệnh shell này tiếp tục giải nén tệp nhị phân giai đoạn hai và thay đổi quyền truy cập, sau đó xóa gói ứng dụng phần mềm độc hại và tài liệu Word khỏi hệ thống.
File Quarantine là một tính năng của hệ điều hành macOS, để cảnh báo người dùng khi mở một ứng dụng tải về từ Internet. Tính năng này sẽ hiển thị thông tin về nguồn tải file và thời gian tải file. Phần mềm độc hại mới xóa thuộc tính File Quarantine nhằm mục đích che giấu hành vi độc hại.
Mã được thực thi giai đoạn hai của tệp lệnh shell chịu trách nhiệm thay đổi dấu thời gian của file độc hại bằng cách sử dụng lệnh shell touch và đó tự xóa.
Mã thực thi ở giai đoạn ba chứa hai chức năng chính, một là để thu thập và gửi thông tin hệ điều hành đến máy chủ C&), hai là để nhận thông tin liên lạc bổ sung và thực hiện các hoạt động của backdoor.
Tương tự các mẫu phần mềm độc hại cũ hơn mà OceanLotus sử dụng, backdoor có thể thực hiện các hoạt động khác nhau dựa trên các lệnh đã nhận từ máy chủ điều khiển như lấy kích thước file, tải và chạy file, xóa, tải xuống hoặc tải file lên, thoát, chạy các lệnh trong thiết bị đầu cuối và nhận thông tin cấu hình.
Trend Micro cũng đã phân tích một số tên miền được sử dụng bởi máy chủ C&C trong các mẫu mã độc mới. Hãng khuyến cáo người dùng không nên nhấp vào liên kết hoặc tải xuống file đính kèm đến từ các nguồn đáng ngờ, luôn cập nhật hệ điều hành và ứng dụng, đồng thời sử dụng các giải pháp bảo mật để tăng cường an ninh hệ thống.