Bảo mật thông tin – Kẻ tàng hình trong thế giới số: 'Khóa tay' kẻ tàng hình (Bài 2)

• An ninh mạng và kẻ gian giấu mặt (bài 1)

Âm thầm đánh cắp thông tin

Những năm gần đây, hệ thống mạng tại Việt Nam luôn bị đặt trong tình trạng báo động với rất nhiều vụ tấn công, phá hoại, phát tán virus, phần mềm gián điệp, mã độc với tính chất, mức độ ngày càng nguy hiểm, tiềm ẩn nhiều nguy cơ đối với an ninh quốc gia và trật tự an toàn xã hội, gây mất an toàn thông tin (ATTT). Trong đó, có nhiều vụ việc nghiêm trọng đã được các tổ chức bảo mật và cơ quan chức năng phát giác, “khóa tay” kẻ phạm pháp tàng hình.

Sau khi hãng bảo mật Fire Eye công bố báo cáo về nhóm hacker có tên APT30 đặt tại Trung Quốc thực hiện những đợt tấn công nhằm vào khu vực Đông Nam Á và Ấn Độ, trong đó có Việt Nam suốt 10 năm qua, dư luận trong nước đã được một phen lo ngại về độ “ẩn mình” của nhóm này. 

Theo báo cáo của FireEye, có thể bắt đầu từ năm 2005, APT30 đã thực hiện chiến dịch tấn công trên không gian mạng internet với mục tiêu là khu vực Đông Nam Á và Ấn Độ, trong đó có Việt Nam. Khi phân tích mã độc (malware) của APT30, các chuyên gia FireEye phát hiện phương pháp phát triển mã độc của nhóm tin tặc này một cách bài bản, chuyên nghiệp. Mã độc được thiết kế riêng để tiếp cận trực tiếp các lĩnh vực như ngoại giao, chính trị, báo chí và khu vực kinh tế tư nhân mà APT30 nhắm tới. Tới nay, đã có tới 200 mẫu mã độc của nhóm tin tặc này được phát hiện trong quá trình theo dõi của FireEye đã và đang tấn công các tổ chức quan trọng ở Việt Nam. 

Ông Wias Issa, Giám đốc cấp cao khu vực châu Á - Thái Bình Dương, Nhật Bản của FireEye cho biết, các thông tin mà APT 30 đánh cắp là những thông tin chính trị, kinh tế, quân sự, các vùng đất tranh chấp. 

Giải thích về việc APT30 chưa từng thay đổi công cụ tấn công, chiến thuật hay cách thức kể từ ngày đầu, ông Issa cho rằng, khả năng cao nhất là vì nhóm này chưa bị phát hiện. 

Từ đó cho thấy, nhiều tổ chức không hề hay biết về các cuộc tấn công trình độ cao này và việc lộ, lọt các dữ liệu quan trọng ở mức độ nào cũng không thể đánh giá hết được bởi “gián điệp” đặc biệt này đã âm thầm tấn công, âm thầm thu thập dữ liệu trong khoảng thời gian quá dài, tới cả chục năm.

“Việc công bố tung tích về nhóm hacker ATP30 của Fire Eye nhằm giúp Việt Nam và các nước Đông Nam Á nắm bắt được thông tin, gia tăng kinh nghiệm để có thể chủ động hơn trong việc ứng phó bởi các cơ quan chính phủ và các tổ chức tại Việt Nam sẽ còn phải đối mặt với những nhóm tin tặc được trang bị tốt với chiến thuật dai dẳng, đeo bám đến khi thành công tương tự như ATP30” - ông Issa cảnh báo.

Điều đáng nói là sự xuất hiện của các nhóm tin tặc tấn công mạng âm thầm nhưng nguy hiểm tương tự như APT30 không còn là chuyện hi hữu. 

Theo thống kê của Cục An ninh mạng, Bộ Công an, tại Việt Nam, trong thời gian qua, tin tặc nước ngoài phát động nhiều cuộc tấn công hệ thống mạng Việt Nam. Riêng năm 2014, Bộ Công an đã phát hiện gần 6.000 trang tin, cổng thông tin điện tử Việt Nam bị tin tặc tấn công, chiếm quyền quản trị, chỉnh sửa nội dung, trong đó có 246 trang tên miền gov.vn. 

Bên cạnh đó, Việt Nam cũng trở thành mục tiêu tấn công chính trong hàng loạt hoạt động tình báo mạng quy mô lớn, phần lớn xuất phát từ các quốc gia có tiềm lực công nghệ như chiến dịch “LURID”, “Operation Shady RAT”, “Byzantine Hades”... 

Qua kiểm tra, đánh giá an ninh tại các cơ quan bộ, ngành Trung ương, Bộ Công an phát hiện các cơ quan này bị nhiễm nhiều loại virus gián điệp nguy hiểm, xâm nhập hệ thống máy tính. 

Ngoài ra, Bộ Công an phát hiện nhiều thiết bị phần cứng bị cài mã độc gây nguy cơ bị khống chế từ xa và định vị người sử dụng thông qua trạm BTS, smartphone chứa mã độc chạy Android cho phép định vị, lấy trộm danh bạ, tin nhắn… Thậm chí, một số thiết bị lưu trữ di động có chứa sẵn mã độc cho phép tin tặc lấy cắp dữ liệu. 

Bộ Công an cũng đã phát hiện hacker nước ngoài đang mở chiến dịch gián điệp mạng quy mô lớn nhằm vào Việt Nam với thủ đoạn tấn công bằng mã độc với gần 100 mẫu khác nhau vào hệ thống thư điện tử của nhiều cơ quan Đảng, Nhà nước, dẫn dụ người dùng mở tập tin nhúng mã độc để xâm nhập, kiểm soát máy tính và chiếm đoạt thông tin, tài liệu. Đồng thời sử dụng các máy tính, tài khoản chiếm đoạt được làm bàn đạp mở rộng tấn công, xâm nhập, kiểm soát toàn bộ hệ thống mạng máy tính tại các cơ quan trọng yếu.

Vừa qua, cơ quan Công an phát hiện địa chỉ http://vefamily.com là một diễn đàn của tổ chức tội phạm mạng (underground UG) xuyên quốc gia, được đánh giá có quy mô lớn nhất từ trước đến nay. Tổ chức này có địa bàn hoạt động trải dài khắp cả Việt Nam và mạng lưới “chân rết” với hàng trăm đối tượng liên quan ở 23 bang tại các nước Mỹ, Đức, Anh...  

Từ việc đánh cắp tài liệu trên mạng, các đối tượng trộm cắp thông tin thẻ tín dụng, chúng còn truyền bá văn hóa phẩm đồi trụy, rao bán các công cụ kỹ thuật để xâm nhập trái phép vào các website, chia sẻ cho nhau kinh nghiệm tìm lỗi các trang web, mã nguồn để tấn công website...

Bắt “kẻ tàng hình” xâm nhập vào cơ quan, doanh nghiệp

Theo báo cáo của Trung tâm Công nghệ thông tin, Ban Cơ yếu Chính phủ, trước diễn biến phức tạp của tình hình ATTT trong nước, Ban Cơ yếu Chính phủ đã và đang triển khai hệ thống giám sát ATTT cho gần 20 mạng CNTT trọng yếu của các cơ quan Trung ương, bộ, ngành và tỉnh, thành. 

Kết quả thống kê ban đầu cho thấy, số lượng tấn công mạng tăng mạnh và đạt đỉnh điểm vào những tháng cuối năm 2014. Sang đầu năm 2015, mặc dù số lượng đã giảm đi nhiều nhưng vẫn còn ở mức cao, đáng báo động. Phần lớn các tấn công mạng được ghi nhận là tấn công dò quyét (trên 87%) nhằm tìm kiếm các điểm yếu lỗ hổng bảo mật của hệ thống từ đó thực hiện các tấn công khác nhằm chiếm quyền điều khiển hệ thống. Chiếm 5% tấn công dò quét mật khẩu là loại tấn công phổ biến thứ 2. Điều này cảnh báo các cơ quan phải có chính sách quản lý mật khẩu mạnh, chặt chẽ để chống lại tấn công này. 

Bên cạnh đó, báo cáo thống kê năm 2014 của hãng bảo mật Symantec Việt Nam về các nguy cơ mất ATTT liên quan đến rò rỉ, thất thoát dữ liệu cũng cho thấy, 68% doanh nghiệp Việt Nam cho biết đã từng rò rỉ thông tin quan trọng ra bên ngoài tổ chức, tăng 18% so với năm 2013.

Đề cập đến các vụ việc cụ thể, Đại tá Trần Văn Doanh, Phó Cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (C50), Tổng cục Cảnh sát, Bộ Công an cho biết: Cục C50 đã phối hợp với các đơn vị tiến hành xác minh hàng nghìn cuộc tấn công mạng, qua đó điều tra, khám phá nhiều vụ án liên quan đến hành vi xâm nhập trái phép, trộm cắp cơ sở dữ liệu hoặc đe dọa tống tiền các doanh nghiệp như vụ công ty bảo hiểm bị đối tượng tấn công hệ thống máy tính, mã hóa dữ liệu, đe dọa tống tiền 2 triệu USD. 

Vụ công ty bị các đối tượng xâm nhập trái phép, xóa sạch toàn bộ cơ sở dữ liệu hệ thống mạng, trong đó có kết quả hoạt động kinh doanh cùng nhiều tài liệu quan trọng, gây thiệt hại ước tính hàng trăm tỷ đồng. Vụ công ty thực phẩm bị các đối tượng ở Thanh Hóa dọa tiêm thuốc trừ sâu vào sản phẩm và đòi tống tiền 300 tiệu đồng. Gần đây nhất là vụ việc các đối tượng tấn công vào website của VNPT Sóc Trăng trộm cắp hơn 50.000 thông tin cá nhân của khách hàng… 

Đặc biệt, C50 đã làm rõ nhiều vụ việc đối tượng trộm cắp và phát tán trên mạng Internet nhiều tài liệu chứa thông tin quan trọng của một số bộ, ngành. Điển hình như vụ việc, các máy tính của một tập đoàn lớn bị hacker cài đặt virus, phần mềm keyloogeer nhằm chiếm đoạt mật khẩu máy tính và truy cập trái phép, trộm cắp nhiều thông tin quan trọng liên quan đến hoạt động kinh doanh của doanh nghiệp này.

(Còn tiếp)