Một số cơ quan nhà nước tại khu vực miền Trung bị tấn công APT

T.H Theo ICTnews

03/08/2018 16:35:46

Cuối tháng 7/2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) ghi nhận các hình thức tấn công có chủ đích của tin tặc nhắm vào một số cơ quan nhà nước tại khu vực miền Trung.

Theo VNCERT, hacker đã dùng kỹ thuật cao để thực hiện các vụ tấn công có chủ đích (APT) nhắm vào một số cơ quan nhà nước (CQNN) ở miền Trung, khiến hệ thống bảo vệ của một số CQNN sẽ khó phát hiện kịp thời.

Cụ thể, tin tặc sẽ chèn mã khai thác lỗ hổng CVE-2017-11882 vào tài liệu của 1 cơ quan nhà nước ở địa phương với nội dung “Phụ lục 1: Chương trình hoạt động CNTT 2018” để phát tán vào các đơn vị khác trong hệ thống hành chính của địa phương đó.

Với hình thức tấn công có chủ đích này, tin tặc sẽ bỏ thời gian để tìm hiểu kỹ về đối tượng mình muốn tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ nhằm chiếm quyền điều khiển máy tính của người dùng và thông qua đó tấn công các hệ thống máy tính nội bộ chứa thông tin quan trọng khác. Mục đích chính của tin tặc là đánh cắp các thông tin nhạy cảm của cơ quan nhà nước.

“Với việc hacker sử dụng các kỹ thuật cao để tấn công, các hệ thống bảo vệ của một số cơ quan nhà nước tại địa phương sẽ khó phát hiện kịp thời và đồng thời giúp hacker duy trì quyền kiểm soát hệ thống thông tin lâu dài”, đại diện VNCERT nhận định.

Cùng với việc gửi cảnh báo tới những cơ quan nhà nước bị tấn công APT, Trung tâm VNCERT cũng đã đề nghị các cơ quan nhà nước này thực hiện gấp một số biện pháp để kịp thời phát hiện và ngăn chặn cuộc tấn công có chủ đích mới được phát hiện gần đây.

Cụ thể, Trung tâm VNCERT đã đề nghị cơ quan nhà nước theo dõi và ngăn chặn kết nối tới các địa chỉ IP và Domain, bao gồm: 192.99.181.14; 176.223.165.122; impresstravel.ga; *.impresstravel.ga; dulichculao.com; *.dulichculao.com; dulichbiendao.org; *.dulichbiendao.org; vietbaotinmoi.com; *.vietbaotinmoi.com; sggpnews.com; *.sggpnews.com; malware-sinkhole.net; *.malware-sinkhole.net; toonganuh.com; *. toonganuh.com; sodexoa.com; *. sodexoa.com.

Cùng với đó, VNCERT cũng đề nghị các cơ quan nhà nước này rà soát hệ thống và xóa các tập tin mã độc có kích thước tương ứng:

VNCERT, an ninh mạng, an ninh thông tin, tấn công APT, tấn công có chủ đích,

Đồng thời, các cơ quan nhà nước còn được yêu cầu thực hiện theo hướng dẫn của VNCERT về kiểm tra mã MD5, SHA-1 của tập tin và gỡ bỏ tập tin chứa mã độc.

Mới đây, trong chia sẻ tại hội thảo - Diễn tập ứng cứu sự cố ATTT mạng khu vực miền Trung và Tây Nguyên năm 2018 có chủ đề “Phòng chống tấn công APT vào hạ tầng thông tin quan trọng quốc gia”, đại diện VNCERT từng cảnh báo về các cuộc tấn công APT, và cho rằng đây là hình thức luôn được xếp trong tốp đầu về hiểm họa an toàn, an ninh thông tin.

Theo VNCERT, số liệu khảo sát cho thấy, có hơn 27% các cuộc tấn công APT nhắm vào tổ chức Chính phủ. Tiếp theo là các tổ chức tài chính ngân hàng, doanh nghiệp viễn thông với dữ liệu khách hàng rất lớn. Trong khi đó, 80 - 90% mã độc được dùng trong các cuộc tấn công APT đều là mã độc được thiết kế riêng cho mỗi tổ chức và dường như việc ngăn ngừa toàn diện các cuộc tấn công APT gặp nhiều khó khăn mặc dù các tổ chức, doanh nghiệp hàng năm vẫn chi hàng tỷ USD cho các biện pháp phòng chống.

VNCERT, an ninh mạng, an ninh thông tin, tấn công APT, tấn công có chủ đích,
Ảnh chụp màn hình từ Trang thông tin điện tử của Đảng bộ Tp. Đà Nẵng

Liên quan đến vụ việc này, ngày 2/8, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Chi nhánh Đà Nẵng cũng đã gửi công văn số 11/VNCERTDN-CB đến UBND TP Đà Nẵng và Sở Thông tin và Truyền thông (Sở TT-TT), khuyến cáo và yêu cầu theo dõi, ngăn chặn kết nối, xóa các tập tin mã độc tấn công có chủ đích vào hệ thống thông tin chính quyền điện tử UBND TP Đà Nẵng.