Hai vụ tấn công bất ngờ
Theo thông tin từ Hiệp hội An ninh mạng quốc gia, khoảng 03h10 sáng ngày 4/6/2024, hệ thống công nghệ thông tin của Tổng Công ty Bưu điện Việt Nam (Vietnam Post) bị “tin tặc” tấn công, mã hoá dữ liệu khiến cho hoạt động bị ngưng trệ.
Kết quả phân tích ban đầu, đây là hình thức tấn công trực tiếp vào hệ thống máy chủ ảo hoá và mã hoá các file máy ảo (bao gồm cả hệ điều hành và dữ liệu) đòi tiền chuộc. Chưa có thông tin cụ thể về nhóm tấn công nhưng cách thức tấn công tương tự như cách VnDirect bị tấn công cách đây chưa lâu. Hiệp hội An ninh mạng quốc gia khuyến cáo các cơ quan, tổ chức, doanh nghiệp tại Việt Nam cần khẩn trương rà soát, làm sạch hệ thống và tăng cường giám sát an ninh mạng để phòng, chống các cuộc tấn công tương tự có thể còn tiếp diễn trong thời gian tới.
Theo thông báo của Vietnam Post, vụ tấn công đã gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Ngay khi phát hiện sự cố, đơn vị đã kích hoạt kịch bản hành động theo các hướng dẫn của cơ quan chức năng, trong đó có việc ngắt kết nối các hệ thống công nghệ thông tin để cô lập sự cố và bảo vệ dữ liệu. Các đơn vị chức năng gồm Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an, Cục An toàn thông tin - Bộ Thông tin và Truyền thông phối hợp cùng các công ty an ninh mạng, thành viên của Hiệp hội An ninh mạng quốc gia đã tích cực hỗ trợ Vietnam Post xử lý sự cố mã hóa dữ liệu.
Các hệ thống ảo hóa hiện nay đang được sử dụng rất phổ biến tại các tổ chức, doanh nghiệp của Việt Nam. Trong đó các hệ thống có quy mô từ 50 máy chủ trở lên thì gần như ảo hoá là giải pháp bắt buộc. Đây là hệ thống giúp cho quản trị viên thuận tiện trong việc thiết lập quản trị máy chủ, tối ưu hóa việc vận hành hệ thống. Tuy nhiên, thực tế cho thấy, vấn đề an ninh cho hệ thống ảo hoá chưa được tương xứng với quy mô đầu tư.
Ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế (Hiệp hội An ninh mạng quốc gia) cho biết: “Với các hệ thống máy chủ vật lý, không sử dụng ảo hoá, tin tặc sẽ phải tìm cách truy cập từng máy để tấn công, phá hoại, việc này sẽ mất nhiều thời gian, để lại dấu vết và dễ bị phát hiện. Trong khi nếu xâm nhập, chiếm quyền điều khiển hệ thống quản lý ảo hóa, “tin tặc” có thể từ một chỗ thực hiện chỉnh sửa hay bật tắt các máy chủ bao gồm các dịch vụ quan trọng đang chạy trên hệ thống, đặc biệt là có thể mã hoá toàn bộ các máy ảo, bao gồm cả các máy ảo dự phòng”…
Khi phát tán virus đã thực sự trở thành một “ngành công nghiệp”
Tấn công - ransomware - 01-1547. (Ảnh: VNISA). |
Ngày nay, hacker sử dụng AI (trí thông minh nhân tạo) tạo ra các dòng virus máy tính nguy hiểm, khó lường hơn, với số lượng hàng triệu mẫu được sinh ra mỗi ngày. Sự bùng nổ các ứng dụng mạng xã hội cũng như số lượng người dùng khiến virus có thể lây rất nhanh và lan rộng, thậm chí xâm nhập được vào cả máy quản trị mạng, điều mà trước đây hiếm khi xảy ra.
Theo các chuyên gia của Tập đoàn Công nghệ Bkav, virus lây lan chủ yếu qua hai con đường. Thứ nhất, virus lây lan qua các lỗ hổng Zero-Day trên hệ thống, một loại lỗ hổng bảo mật mà các nhà phát triển phần mềm chưa biết đến hoặc chưa có bản vá. Hacker có thể bỏ tiền, mua lỗ hổng Zero-Day từ chợ đen để dễ dàng xâm nhập vào các hệ thống.
Thứ hai, virus lây nhiễm thông qua lừa đảo (phishing). Kẻ xấu tạo ra vô số kịch bản khác nhau nhằm dụ người dùng truy cập vào các đường link độc hại hoặc tải về phần mềm crack, ứng dụng giả mạo có chứa virus… Những năm gần đây, phát tán virus đã thực sự trở thành một ngành “công nghiệp”.
Trước đây, khi virus xâm nhập vào máy tính chúng thường phá hoại hệ thống, làm chậm máy do cấu hình máy tính thấp, chúng có thể để lại dấu vết.
Tuy nhiên, giờ đây chúng được thiết kế “nằm vùng” để không bị phát hiện trong thời gian dài. Mục đích là, đối với các tổ chức chính phủ, cơ quan trọng yếu, virus sẽ thực hiện các hành vi gián điệp, sửa đổi, đánh cắp dữ liệu quan trọng. Còn trên các hệ thống của doanh nghiệp, virus mã hóa dữ liệu để tống tiền. Thời gian nằm vùng của virus có thể kéo dài từ vài tháng đến vài năm, giúp hacker hiểu rõ về hệ thống và có thể mã hóa tất cả dữ liệu nhằm chắc chắn người dùng không thể giải mã, buộc phải nộp tiền chuộc.
Ông Nguyễn Tiến Đạt, Tổng Giám đốc Công ty Phần mềm diệt virus Bkav Pro cho biết. “Tất cả các vụ việc bị mã hóa dữ liệu mà Bkav tham gia hỗ trợ thời gian qua, virus đã nằm vùng trong hệ thống từ 6 tháng đến 3 năm mà không bị phát hiện. Chúng đã có đủ thời gian để biết rõ mọi ngóc ngách trong hệ thống, cho đến khi có thể đánh cắp, mã hóa dữ liệu và làm tê liệt hệ thống rồi gửi thư tống tiền”.
Bên cạnh đó, sự hiểu nhầm lâu nay của người dùng về phần mềm diệt virus cũng góp phần khiến vấn nạn virus máy tính trở nên nghiêm trọng. Theo các chuyên gia, phần mềm diệt virus miễn phí, có sẵn đi kèm máy chỉ có tính năng cơ bản, không thể chống lại tất cả các hành vi nguy hiểm khó lường của virus cũng như không thể phát hiện virus nằm vùng.
Cũng theo khuyến cáo của Bkav, có một thực tế, cho dù một hệ thống được bảo vệ ở mức độ nào, cũng có thể bị tấn công và bị xâm nhập. Điều này xảy ra với cả những hệ thống trọng yếu bậc nhất thế giới như Bộ Quốc phòng Mỹ. Đã không ít lần, hệ thống với các điều kiện tối tân về công nghệ, mạnh về nhân sự và tài chính của xứ cờ hoa bị “tin tặc” xâm nhập thành công, đánh cắp dữ liệu và thực hiện nhiều hành vi gián điệp khác.
“Hãy biết chấp nhận thực tế là không có hệ thống nào an toàn tuyệt đối. Điều quan trọng làm sao có thể phát hiện sớm nhất những cuộc tấn công, khi hacker còn chưa kịp hiểu về hệ thống để mã hóa tống tiền”, ông Nguyễn Văn Thứ, Tổng Giám đốc Công ty An ninh mạng Bkav Cyber Security cho biết: “Việc virus mã hóa tống tiền nằm vùng lâu dài trong các hệ thống là rất nguy hiểm. Nhưng điều này cũng tạo cơ hội cho chúng ta tận dụng khoảng thời gian này để ngăn chặn chúng. Trong vòng 1 tiếng, 1 ngày hay thậm chí là 1 tuần mà phát hiện được sự xâm nhập của virus, trước khi chúng kịp học hiểu về hệ thống và thực thi mã độc, là có thể giảm thiểu thiệt hại”.
Một phần mềm diệt virus chuyên nghiệp, đủ mạnh là những điều kiện tối cần thiết để bảo đảm an ninh mạng cho một hệ thống. Tuy nhiên, đứng trước những cuộc tấn công và sự xâm nhập của “tin tặc”, quản trị mạng sẽ phải ứng phó thế nào? Điều này phụ thuộc rất lớn vào kinh nghiệm thực chiến của chính họ. Không có thực chiến, sẽ không thể có kinh nghiệm vận hành hệ thống và xử lý, khắc phục được sự cố.
Thực tế, Việt Nam thiếu đội ngũ nhân lực dày dạn kinh nghiệm, thiện chiến, có chuyên môn sâu về an toàn thông tin mạng. Khoảng 50% số cơ quan, tổ chức không có lực lượng sẵn sàng và quy trình thao tác chuẩn, ứng phó các sự cố an toàn thông tin mạng ngay cả khi đã phát hiện ra hoặc được cảnh báo bị tấn công (theo Hiệp hội An toàn thông tin Việt Nam VNISA). Một trong những nguyên nhân của vấn đề này là thiếu môi trường luyện tập chuyên biệt, chuyên nghiệp. Luyện tập trên hệ thống thật có khả năng làm ngưng trệ hệ thống và mang lại nhiều rủi ro. Một giải pháp tổng thể phòng, chống hacker và virus mã hoá tống tiền phải khắc phục được vấn đề này.
Do đó, để hỗ trợ các tổ chức, cơ quan, doanh nghiệp đối phó với hacker và virus mã hóa tống tiền, Bkav đã ra mắt bộ giải pháp Bkav SOC 2.0 (Security Operations Center). Bkav SOC 2.0 giám sát tất cả các vị trí hacker có thể xâm nhập vào cơ quan, tổ chức bao gồm: lớp mạng, hệ thống máy chủ, các website và tất cả các thiết bị đầu cuối phục vụ công việc… Từ đó, ngay lập tức phát hiện và ngăn chặn được hacker và virus trước khi chúng gây hại cho hệ thống.
Bkav đã xây dựng thao trường an ninh mạng - Vietnam Cyber Range (VCR), một giải pháp thuộc Bkav SOC 2.0. Đây một hệ thống mô phỏng, cho phép giả lập bất kỳ hệ thống thật nào trong thực tế, từ các hệ thống công nghệ thông tin như: chính phủ điện tử, đô thị thông minh, đến các hệ thống chuyên ngành như: điện lực, giao thông vận tải, tài chính… đáp ứng mọi nhu cầu về một môi trường thực chiến. Từ huấn luyện, nghiên cứu, đánh giá kỹ năng bảo đảm an toàn an ninh mạng cũng như cung cấp các kịch bản huấn luyện, diễn tập và có thể tùy biến theo nhu cầu, để giúp các đơn vị có thể diễn tập như đang thực hiện với hệ thống thật của mình…
Để tăng cường chủ động phòng, chống tấn công mã độc mã hoá dữ liệu, đặc biệt cho hệ thống ảo hoá, Ban nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia khuyến cáo: Các tổ chức, doanh nghiệp cần khẩn trương rà soát, làm sạch hệ thống (nếu có mã độc), đặc biệt với các máy chủ quan trọng như máy chủ quản lý hệ thống ảo hoá, máy chủ email, máy chủ AD. Cập nhật các bản vá lỗ hổng, loại bỏ các tài sản công nghệ thông tin không sử dụng để tránh bị lợi dụng tấn công mạng. Kiểm tra lại các hệ thống sao lưu dự phòng, cần có phương án tách biệt hoàn toàn giữa hệ thống chính và hệ thống dự phòng, không sử dụng chung một hệ thống quản lý phân quyền. Có kế hoạch sao lưu hệ thống một cách thường xuyên để bảo đảm dữ liệu có thể phục hồi nhanh nhất trong trường hợp hệ thống bị tấn công. Ban hành quy trình ứng phó, xử lý sự cố khi bị tấn công. Liên hệ ngay với các cơ quan chức năng để được hỗ trợ xử lý và điều phối ứng cứu. Bổ sung thu thập nhật ký (log) liên quan truy cập/xác thực với hệ thống ảo hoá. Bổ sung các tập luật (rule) cho các công cụ, giải pháp phòng, chống tấn công để phát hiện các hành vi truy cập/xác thực bất thường…