Năm 2012, 2.203 website của cơ quan, doanh nghiệp Việt Nam bị tấn công

Trong năm 2012, tấn công, phát tán phần mềm gián điệp (spyware) vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia. Thế giới trong năm qua bị rúng động bởi sự hoành hành của Flame và Duqu, những virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông. Các chuyên gia của Công ty Bkav nhận định, những vụ việc tương tự cũng đã bắt đầu diễn ra tại Việt Nam. 

An ninh mạng tại các cơ quan doanh nghiệp không được cải thiện

Theo thống kê của Bkav, trong năm 2012 vẫn có tới 2.203 website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, chủ yếu thông qua các lỗ hổng trên hệ thống mạng. So với năm 2011 (có 2.245 website bị tấn công), con số này hầu như không giảm. 

Thực trạng này cho thấy, an ninh mạng vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp. Theo nhận định của các chuyên gia Công ty Bkav, hầu hết cơ quan doanh nghiệp của Việt Nam chưa bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chưa tương xứng với tình hình thực tế. Đó là những nguyên nhân chính.

Phần mềm gián điệp - Chiến lược mới của tội phạm mạng

Trong năm 2012, tấn công, phát tán phần mềm gián điệp (spyware) vào các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính chất quốc gia. Thế giới trong năm qua bị rúng động bởi sự hoành hành của Flame và Duqu, những virus đánh cắp thông tin mật của các hệ thống điện toán khu vực Trung Đông. Các chuyên gia của Công ty Bkav nhận định, những vụ việc tương tự cũng đã bắt đầu diễn ra tại Việt Nam. 

 

“Bạn có thể sẽ giật mình với thông tin trên, song thực tế tại Việt Nam, hệ thống giám sát virus của Bkav đã phát hiện hàng loạt email đính kèm file văn bản chứa phần mềm gián điệp được gửi tới các cơ quan, doanh nghiệp”, ông Vũ Ngọc Sơn, Giám đốc Bộ phận nghiên cứu Công ty Bkav (Bkav R&D), nhận định. Do từ trước tới nay các file văn bản vẫn được cho là an toàn, hầu hết người nhận được email đã mở file đính kèm và bị nhiễm virus dạng spyware khai thác lỗ hổng của phần mềm Microsoft Office (bao gồm cả Word, Excel và PowerPoint). Khi xâm nhập vào máy tính, virus này âm thầm kiểm soát toàn bộ máy tính nạn nhân, mở cổng hậu (backdoor), cho phép hacker điều khiển máy tính nạn nhân từ xa. Chúng cũng nhận lệnh hacker tải các virus khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài liệu. 

Sự việc một lần nữa rung lên hồi chuông báo động về thực trạng mất an toàn an ninh mạng của các cơ quan, doanh nghiệp tại Việt Nam, đặc biệt trong bối cảnh thế giới luôn tiềm ẩn nguy cơ một cuộc chiến tranh mạng có thể xảy ra.

Virus trên điện thoại di động không còn là lý thuyết

Nếu như những năm trước, virus trên điện thoại di động còn manh nha, chủ yếu ở dạng thử nghiệm thì trong năm 2012, chúng đã trở thành mối đe dọa thực sự đối với người sử dụng. Hệ thống giám sát virus của Bkav đã phát hiện, từ đầu năm đến nay tại Việt Nam có tới 34.094 mẫu virus lây lan trên di động, gấp hơn 9 lần so với năm 2011 (3.700 mẫu). 

 

Các nghiên cứu của Bkav cho thấy hình thức lây nhiễm của virus trên điện thoại di động cũng tương tự virus trên máy tính. Lợi dụng nhu cầu tìm kiếm phần mềm nổi tiếng dành cho smartphone, hacker đã tạo ra những phần mềm giả mạo có chứa mã độc rồi đẩy lên các “chợ” ứng dụng không chính thống trên Internet, lừa người dùng tải về. Liên tiếp từ tháng 4/2012, các phần mềm như Instagram hay trò chơi Angry Birds đã bị virus núp bóng, mượn danh để tấn công người dùng. 

Xu hướng giả mạo phần mềm để lây nhiễm virus sẽ còn tiếp tục trong những năm tới, khi mà mỗi ngày có hàng nghìn ứng dụng dành cho smartphone được cập nhật lên Internet.  

Facebook - môi trường màu mỡ của tin tặc

Số lượng người sử dụng mạng xã hội Facebook bùng nổ kéo theo sự chuyển hướng tấn công của virus máy tính. Thay vì nhắm đến Yahoo! Messenger như trước đây, các loại malware chuyển sang lợi dụng mạng xã hội để lây nhiễm vào máy tính của người dùng. 

Một trong những chiêu thức phát tán virus khiến người dùng dễ bị mắc bẫy nhất trên Facebook hiện nay là ngụy tạo plugin của YouTube nhưng có chứa virus. Sau đó, kẻ xấu lừa người dùng tải plugin này về để xem video clip, thực chất là tải virus để phát tán đường link chứa virus tới danh sách bạn bè của nạn nhân. Các video thường là hình ảnh nhạy cảm của các ca sỹ, diễn viên hay cầu thủ nổi tiếng như Rihanna, Emma Watson, Ronaldo… để dễ lừa người sử dụng. 

Sự chủ quan đã khiến nhiều người dùng mắc lừa kẻ xấu, tự tải virus về máy tính. Ý thức của người sử dụng khi tham gia vào mạng xã hội trên Internet cũng là vấn đề đáng báo động trong năm 2012.

An ninh điện thoại di động nóng về cuối năm

Trong bức tranh toàn cảnh về an ninh mạng năm 2012, mảng an ninh trên điện thoại di động nổi cộm với nhiều biến động về cuối năm. Điều này cũng dễ hiểu vì smartphone đang dần thay thế cho điện thoại truyền thống và đạt mức tăng 47% (thống kê mới nhất của Công ty Gartner về tình hình điện thoại di động thế giới trong quý 3/2012). 

Sự tăng trưởng nóng của smartphone đã kéo theo nguy cơ mất an toàn an ninh thông tin trên thiết bị cầm tay đang dần thay thế máy tính. Hàng loạt vấn nạn như nghe lén điện thoại di động, lừa đảo bằng SMS trên iPhone, lừa đảo cước viễn thông qua cuộc gọi nhỡ và các biến tướng của nó... đã gây ra nhiều thiệt hại và sự hoang mang, lo sợ cho người sử dụng. Cũng trong năm vừa qua, Hệ thống thống kê tin nhắn rác của Bkav đã phát hiện, trung bình mỗi ngày có tới 9,8 triệu tin nhắn rác được gửi tới điện thoại di động của người dùng tại Việt Nam và các nhà mạng thu được 3 tỷ đồng mỗi ngày từ các hoạt động liên quan đến tin nhắn rác. 

Đáng lo ngại nhất là nhiều phần mềm nghe lén trên điện thoại di động đang được rao bán tràn lan trên mạng. Những phần mềm này cho phép người nghe lén kiểm soát mọi cuộc gọi đến và đi cùng nhiều dữ liệu quan trọng khác như nhật ký cuộc gọi, nội dung tin nhắn, hay vị trí của nạn nhân. Điều đó cũng có nghĩa là đời tư của người sử dụng rất dễ bị xâm phạm nghiêm trọng. 

Cuối tháng 12, Công ty An ninh mạng Bkav đã cung cấp giải pháp chống nghe lén trên điện thoại di động tích hợp trong phần mềm bảo vệ Smartphone - Bkav Mobile Security, đồng thời đưa ra khuyến cáo mạnh mẽ: “Điện thoại di động nên là vật bất ly thân và không được để người khác, dù là quen biết tùy ý sử dụng”.

Xu hướng năm 2013 

Hoạt động gián điệp mạng thông qua phát tán virus sẽ trở thành ngành "công nghiệp" trong năm 2013. Đa phần người sử dụng vẫn ngộ nhận rằng file văn bản (Word, Excel, PowerPoint) là loại file an toàn, không có virus. Không đơn giản để thay đổi quan điểm này trong tương lai gần và đó chính là điều kiện “lý tưởng” để giới tội phạm phát triển một mạng lưới gián điệp. 

Những hình thái phát tán mã độc vốn chỉ thấy trên môi trường máy tính sẽ chuyển hướng bùng phát trên môi trường smartphone trong năm 2013. Các phần mềm nổi tiếng, phần mềm an ninh cho điện thoại di động sẽ là đối tượng bị giả mạo nhiều nhất. "Nhu cầu cài đặt phần mềm an ninh cho di động tăng cao là miếng mồi ngon để giới tội phạm nhắm tới", ông Nguyễn Công Cường, phụ trách Bộ phận an ninh di động của Bkav nhận định.

 Hải Linh

Hé lộ mạng lưới gián điệp "Operation Red October"

Một chiến dịch gián điệp ảo khó nắm bắt nhằm vào mục tiêu ngoại giao, cơ quan chính phủ và các tổ chức nghiên cứu khoa học ở một số nước trong ít nhất 5 năm qua vừa được công bố.

Chiến dịch này nhắm vào các quốc gia ở Đông Âu, các nước cộng hòa Liên Xô cũ và các nước ở Trung Á, mặc dù nạn nhân có thể ở bất cứ đâu, bao gồm cả Tây Âu và Bắc Mỹ. Mục tiêu chính của những kẻ tấn công là thu thập các tài liệu nhạy cảm từ các tổ chức bị xâm nhập, trong đó bao gồm tình báo địa chính trị, các thông tin bảo mật để truy cập vào hệ thống máy tính phân loại, và dữ liệu từ các thiết bị di động cá nhân và thiết bị mạng.

Theo báo cáo phân tích của Kaspersky Lab, chiến dịch có tên gọi Operation Red October, gọi tắt là “ROCRA” vẫn còn hoạt động đến tháng Giêng năm 2013, là chiến dịch kéo dài từ năm 2007.

Mạng lưới gián điệp mạng nâng cao

Những kẻ tấn công đã hoạt động ít nhất là từ năm 2007, tập trung vào các cơ quan ngoại giao và chính phủ của các quốc gia khác nhau trên toàn thế giới, bên cạnh các tổ chức nghiên cứu, nhóm năng lượng hạt nhân và mục tiêu thương mại cũng như hàng không vũ trụ.

Các kẻ tấn công của Red October thiết kế phần mềm độc hại của riêng chúng, được xác định là "Rocra", có kiến trúc mô-đun độc đáo riêng bao gồm các phần mở rộng độc hại các đoạn mã đánh cắp thông tin cũng như các chương trình mã độc chạy ẩn.

Những kẻ tấn công thường sử dụng các thông tin từ các mạng bị nhiễm để xâm nhập vào các hệ thống bổ sung. Ví dụ, các thông tin bảo mật bị đánh cắp được biên soạn trong một danh sách và được sử dụng khi những kẻ tấn công cần đoán mật khẩu hay các cụm từ để đạt được quyền truy cập vào hệ thống bổ sung.

Để kiểm soát mạng lưới các máy tính bị nhiễm, những kẻ tấn công đã tạo ra hơn 60 tên miền và một số máy chủ lưu trữ ở các quốc gia khác nhau, chủ yếu là ở Đức và Nga. Theo phân tích của Kaspersky Lab về cơ sở hạ tầng của Rocra’s Command & Control (C2) cho thấy rằng chuỗi các máy chủ đã được thay  đổi thông tin xác thực nhằm giấu vị trí của trung tâm đầu não.

Thông tin bị đánh cắp từ các hệ thống bị nhiễm bao gồm các tài liệu có phần mở rộng: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Đặc biệt, các tập tin “acid*” mở rộng xuất hiện để chỉ phần mềm phân loại “Acid Cryptofiler”, được sử dụng bởi một số các thực thể, từ Liên minh châu Âu của NATO.

Để lây nhiễm hệ thống, những kẻ tấn công gửi một email lừa đảo đến nạn nhân và đính kèm phần mềm độc hại (Trojan Dropper). Để cài đặt các phần mềm độc hại và lây nhiễm sang hệ thống, các email độc hại bao gồm nhiều lỗ hổng đã được dựng lên nhằm vào các lỗ hổng bảo mật bên trong Microsoft Office và Microsoft Excel.

Các lỗ hổng có trong các email lừa đảo được tạo ra bởi những kẻ tấn công khác và sử dụng trong các cuộc tấn công mạng khác nhau bao gồm cả các nhà hoạt động tại Tây Tạng cũng như các mục tiêu khu vực quân sự và năng lượng ở châu Á. Điều duy nhất được thay đổi trong các tài liệu được sử dụng bởi Rocra là tập tin thực thi được gài vào, nơi mà những kẻ tấn công thay thế nó bằng mã riêng của chúng. Đáng lưu ý, một trong những lệnh của Trojan Dropper đã thay đổi hệ thống mặc định mã của lệnh nhắc phiên thành 1251, rất cần thiết để đưa ra phông chữ Cyrillic.

Mạng gián điệp có kiến trúc và chức năng độc đáo

Những kẻ tấn công tạo ra một nền tảng tấn công đa chức năng bao gồm các phần mở rộng và một số các tập tin độc hại được thiết kế để nhanh chóng điều chỉnh cấu hình hệ thống khác nhau và thu hoạch tình báo từ các máy tính bị nhiễm. Nền tảng của Rocra là duy nhất và đã không được Kaspersky Lab xác định trong các chiến dịch gián điệp mạng trước đó. Đặc điểm đáng chú ý bao gồm:

Mô-đun phục hồi: Một mô-đun duy nhất cho phép kẻ tấn công khôi phục lại máy tính bị nhiễm. Mô-đun này được chèn vào như một phần hỗ trợ giúp kết nối hệ thống được thiết lập trong việc cài đặt Adobe Reader và Microsoft Office và cung cấp cho những kẻ tấn công một cách rõ ràng để lấy lại quyền truy cập vào một mục tiêu hệ thống nếu phần chính của phần mềm độc hại được phát hiện và loại bỏ, hoặc nếu hệ thống được vá lỗi. Một khi các C2s hoạt động trở lại, những kẻ tấn công gửi một tập tin tài liệu chuyên ngành (PDF hoặc tài liệu Office) cho các máy tính của nạn nhân qua e-mail và sẽ kích hoạt các phần mềm độc hại một lần nữa.

Tổ hợp gián điệp mã hóa cao cấp: Mục đích chính của các mô-đun gián điệp là ăn cắp thông tin. Tổ hợp này bao gồm các tập tin từ hệ thống mật mã khác nhau, chẳng hạn như Acid Cryptofiler, được biết là sẽ được sử dụng trong các tổ chức của NATO, Liên minh châu Âu, Nghị viện châu Âu và Ủy ban châu Âu kể từ mùa hè năm 2011 để bảo vệ các thông tin nhạy cảm.

Thiết bị điện thoại di động: Ngoài nhắm mục tiêu đến các máy truyền thống, phần mềm độc hại có khả năng đánh cắp dữ liệu từ các thiết bị di động, chẳng hạn như các loại smartphone (iPhone, Nokia và Windows Mobile). Phần mềm độc hại cũng có khả năng ăn cắp thông tin cấu hình từ các thiết bị mạng doanh nghiệp chẳng hạn như các thiết bị định tuyến và chuyển mạch, cũng như các tập tin đã bị xóa từ ổ đĩa di động.

Xác định và tiêu diệt

Dựa trên các dữ liệu đăng ký máy chủ C2 và rất nhiều các dấu vết còn lại trong các tập tin thực thi của phần mềm độc hại, có bằng chứng kỹ thuật rõ ràng cho thấy những kẻ tấn công có nguồn gốc là người nói tiếng Nga. Ngoài ra, các tập tin thực thi được sử dụng bởi những kẻ tấn công chưa được biết cho đến gần đây, và không được xác định bởi các chuyên gia của Kaspersky Lab trong khi phân tích các cuộc tấn công gián điệp mạng trước.

Kaspersky Lab đang tiếp tục điều tra về Rocra bằng cách cung cấp các nguồn lực về các thủ tục khắc phục và giảm thiểu thiệt hại và chuyên môn kỹ thuật của mình để hợp tác với các tổ chức quốc tế, các cơ quan thực thi pháp luật và trung tâm ứng cứu khẩn cấp máy tính (CERTs).  Kaspersky Lab muốn gửi lời cảm ơn đến: US-CERT, Romanian CERT và Belarusian CERT cho sự hỗ trợ của các cơ quan này trong việc điều tra.

Phần mềm độc hại Rocra bị phát hiện, tiêu diệt và khắc phục thành công bởi các sản phẩm của Kaspersky Lab và được phân loại là Backdoor.Win32.Sputnik.

Wendy Nguyễn

Cách nào chống virus "chôm" tài khoản Internet Banking?

Dù mẫu virus đánh cắp tài khoản ngân hàng chưa xuất hiện ở Việt Nam nhưng tháng 1/2013, 2 ngân hàng lớn là BIDV và Vietcombank đã đồng loạt cảnh báo người dùng và cho biết không loại trừ khả năng sẽ xuất hiện ở Việt Nam trong thời gian tới.

Người dùng Việt cũng đứng trước nguy cơ bị đánh cắp tài khoản

Tháng 1/2013, Ngân hàng Ngoại thương Việt Nam (Vietcombank) đã thông báo về việc trên thế giới đã xuất hiện nhiều vụ lừa đảo trên mạng Internet do các đối tượng lợi dụng sự bất cẩn của người sử dụng để cài đặt virus độc hại trên máy tính cá nhân và thiết bị di động, từ đó lấy cắp thông tin và tiền từ tài khoản ngân hàng. Đặc biệt, gần đây, virus Eurograbber đã được các tin tặc sử dụng để lấy cắp 36 triệu euro từ nhiều tài khoản ngân hàng tại các nước châu Âu như Ý, Đức, Tây Ban Nha và Hà Lan. Tin tặc sử dụng email hay các trang web giả mạo để lừa khách hàng cài đặt virus trên máy cá nhân. Khi truy cập các dịch vụ trực tuyến của ngân hàng, virus này sẽ giả mạo thông báo của ngân hàng để dụ khách hàng cài đặt virus trên điện thoại di động. Sau đó, virus này sẽ lấy cắp mã xác thực sử dụng 1 lần (OTP) và kết hợp với virus hoạt động trên máy tính cá nhân để thực hiện giao dịch giả mạo lấy trộm tiền từ tài khoản khách hàng.

Tiếp đó, Ngân hàng Đầu tư và Phát triển Việt Nam (BIDV) cũng đưa ra những cảnh báo tương tự về loại virus này. BIDV đã dẫn thông báo của Bộ Công an khẳng định, biến thể mới của virus Zeus có tên gọi là Eurograbber đang hoạt động tại các nước thuộc Liên minh châu Âu nhưng phạm vi của nó có thể mở rộng đến châu Á, trong đó có Việt Nam. Thông báo khẳng định, nếu không nhận được đề nghị của khách hàng, BIDV sẽ không gửi bất kỳ tin nhắn/email nào cho khách hàng để yêu cầu cập nhật thông tin sử dụng dịch vụ như Số điện thoại, Tên truy cập hay các liên kết (đường link) để khách hàng tự cài đặt hoặc tự cập nhật chương trình. Ngoài ra, người dùng nên lưu ý một số dấu hiệu mà tin tặc thường mạo danh ngân hàng để gửi email như có các câu chào chung như "Dear Customer”, thường kèm các thông tin đe dọa về tài khoản của người sử dụng và yêu cầu phải có hành động ngay, ví dụ “hãy trả lời trong vòng 5 ngày, nếu không chúng tôi sẽ đóng tài khoản của bạn” hoặc “hòm mail của bạn đã đầy, hãy nhấp vào liên kết dưới đây để cập nhật tài khoản email của bạn” và kèm thêm những đường link khả nghi dài hơn bình thường dẫn đến một địa chỉ lạ...

Dù khẳng định chưa có ghi nhận về việc virus này xuất hiện tại Việt Nam nhưng cả Vietcombank và BIDV đều khuyến cáo người sử dụng cảnh giác với các hình thức dẫn dụ này của tin tặc.

Trước đó, tháng 8/2012, Công ty CMC InfoSec đã cảnh báo người dùng trong nước về một loại virus mới có tên gọi Virus.Win32.XdocCrypt.1, lây nhiễm vào các file Microsoft Office (.doc, .xls) và các file thực thi (.exe) để đánh cắp thông tin tài khoản ngân hàng trực tuyến. Chỉ trong vòng 2 ngày, số lượng máy tính bị nhiễm trên thế giới đã lên hơn 4.000 máy.

Trao đổi với phóng viên ICTnews, ông Nguyễn Minh Đức, Giám đốc bộ phận An ninh mạng của Bkav cho biết, dòng virus Zeus đánh cắp tài khoản ngân hàng trực tuyến cũng như các biến thể của nó đã xuất hiện từ cách đây khá lâu. Ngoài việc đánh cắp mật khẩu của người dùng, các mẫu virus này còn có thể tự động chụp lại màn hình để ghi lại các mật khẩu một lần và làm gián đoạn đường truyền của người sử dụng trước khi họ kịp thanh toán qua mạng. Từ đó, tin tặc có thể sử dụng mật khẩu một lần đó để rút tiền của người dùng. Mẫu biến thể mới của virus Zeus có tên gọi là Eurograbber mà các ngân hàng BIVD và Vietcombank cảnh báo còn có thể hoạt động trên smartphone để lấy cắp mật khẩu sử dụng một lần của khách hàng.

Sở dĩ gần đây các ngân hàng mới bắt đầu cảnh báo mã độc đánh cắp tài khoản ngân hàng trực tuyến là do số lượng người dùng Internet để thanh toán đã bắt đầu tăng lên và hình thành thói quen, sử dụng thường xuyên hơn. "Vì thế, dù chưa phát hiện trường hợp nào nhưng không sớm thì muộn, các tin tặc sẽ nhắm đến người dùng ngân hàng trực tuyến ở Việt Nam", ông Đức cho biết thêm.

Nâng cao nhận thức của người sử dụng

Cũng theo ông Đức, để bảo vệ mình trước các virus đánh cắp tài khoản ngân hàng trực tuyến, người dùng nên lựa chọn dịch vụ của những ngân hàng có chế độ xác thực ít nhất 2 bước và sử dụng mật khẩu một lần thông qua các thiết bị token để giảm thiểu rủi ro mã độc hơn là nhận mật khẩu qua tin nhắn điện thoại.

Còn người sử dụng cũng nên trang bị cho máy tính, smartphone những giải pháp về công nghệ như các phần mềm diệt virus để giúp phát hiện, ngăn chặn các mã độc. Hơn thế, người dùng cũng cần nâng cao nhận thức, không mở các file, các email, đường dẫn "lạ" và để ý đường dẫn trên trình duyệt khi được yêu cầu nhập tài khoản cá nhân. "Chúng ta cũng không nên thực hiện các thao tác giao dịch tài khoản ngân hàng trực tuyến khi sử dụng Internet WiFi ở các địa điểm công cộng như quán cafe để giảm thiểu nguy cơ bị đánh cắp mật khẩu", ông Đức kết luận.

Còn theo đại diện CMC Infosec, người dùng cần cẩn trọng khi duyệt web và tránh mở file đính kèm trong email không rõ nguồn gốc, tải về các phần mềm miễn phí trên mạng thông qua Internet. Để có thể nhận biết được sự thay đổi của đuôi tệp tin, người dùng cần bật tính năng hiện phần mở rộng tên file (Tools-> Folder Options -> View-> bỏ chọn Hide extensions for known file types), đồng thời cập nhật phiên bản Java, Flash Player và các bản cập nhật Windows mới nhất.

Theo ICTNews