Trong nhiều năm, ngành an ninh mạng đã bị đối xử như Chicken Little, cố nói với bất cứ ai sẵn sàng nghe họ rằng “bầu trời sắp sập rồi”, rằng các tội phạm mạng đang cố đánh cắp những thông tin quý báu nhất của mọi người. Tuy nhiên, nó không đơn giản chỉ là vậy. Những kẻ tấn công là những sinh vật hóng thời cơ và tìm kiếm những đối tượng ít kháng cự nhất – nếu chúng tìm thấy một mạng máy tính được bảo mật an toàn, chúng thường sẽ bỏ qua mà tìm kiếm những mục tiêu dễ dàng hơn. Ngày nay tội phạm mạng lại là những chuyên gia đầy tham vọng – thường được tài trợ đầy đủ bởi các tổ chức tội phạm hay các quốc gia dân tộc – những kẻ dư thừa sức kiên nhẫn và bền bỉ cố gắng chọc thùng hàng phòng vệ của tổ chức.
Malware là một loại phần mềm hoặc mã code độc hại thường gây hại hoặc vô hiệu hóa, chiếm quyền kiểm soát, hoặc đánh cắp thông tin từ một hệ thống máy tính. Malware bao gồm botnet, virus, sâu mạng, Trojan horses, logic bomb, rootkit, bootkit, cổng sau (back-door), spyware và adware.
Hiện trạng của những vụ xâm nhập hiện nay
Các mối đe dọa hiện nay thường phức tạp hơn và bình đẳng cơ hội hơn bao giờ hết. Mọi doanh nghiệp và mọi thể loại thông tin đều bị đưa vào tầm nhắm. Không những thế, ngày càng nhiều lượt tấn công đều thành công vang dội, đem lại một dòng các vụ xâm nhập và rò rĩ dữ liệu bình ổn, trong đó bao gồm:
- Comodo (đối tác kinh doanh). Vào tháng Ba 2011, kẻ đột nhập đã vào mạng máy tính của một công ty bán lại (không phải mạng riêng của Comodo) và cướp các chứng chỉ số bảo mật 9 số để giả danh nhiều website như Google, Microsoft, Skype, và Yahoo!, và các trang khác. Sự việc này một khi được phơi bày đã vẽ lên vô vàn tiềm năng cho các kẻ tấn công để chiếm lấy thông tin nhạy cảm một cách gián tiếp thông qua việc nhắm vào các điểm yếu trong hệ thống doanh nghiệp.
- DigiNotar (tài sản trí tuệ). Vào tháng Chín 2011, cũng là kẻ đột nhập xác nhận đã tấn công vào Comodo (như trên) lại nhận hắnđứng đằng sau cuộc tấn công lớn hơn vào DigiNotar vào mùa hè năm 2011. Một cơ quan cấp chứng chỉ kỹ thuật số (Certificated Authority – CA) lại là mục tiêu và kẻ tấn công lại có thể làm ra được hàng trăm chứng chỉ số hợp pháp chohàng chục tên miền nổi tiếng. Những chứng chỉ số này cho phép hắn thực hiện các lần tấn công tiếp theo trong tương lai bằng cách giả danh một trang web bình thường để lừa những người dùng ngu ngơ. Chỉ hai tháng sau khi phát hiện đợt tấn công, DigiNotar phá sản. Đây là một minh chứng chocách mà chỉ với một cuộc tấn công đơn giản đã có thể phá hủy danh tính và khả năng sống còn của một công ty.
- RSA (tài sản trí tuệ). Vào tháng Ba 2011, công ty An ninh mạng RSA (một nhánh thuộc Công ty Cổ phần EMC) bị xâm nhập bởi kẻ xấu. Hắn đã gửi một email mạo danh với một thư mục Microsoft Excel đến cho vài nhân viên của RSA. Thư mục này có chứa phần mềm malware sử dụng lỗ hổng zero-day của phần mềm Adobe Flash để cài vào một cổng sau, từ đó giành lấy quyền sai khiến và kiểm soát, và đánh cắp mật khẩu cũng như các dữ liệu quý giá.
- Epsilon (thông tin khách hàng). Vào tháng Ba 2011, một phần dữ liệu khách hàng của Epsilon (một công ty tiếp thị trực tuyến) bị xâm nhập “bởi một lượt đăng nhập chưa có phép vào hệ thống email của Epsilon”, sau đó phát tán tên và địa chỉ email của khách hàng. Thông tin này có thể đã gợi ý cho những tên tội phạm khác cách tạo một “chiến dịch” lừa đảo spear phising email.
- Sony PlayStation (dữ liệu thẻ tín dụng). Vào tháng Tư năm 2011, các hacker đã xâm nhập vào được trang mạng của Sony Playstation, ước chừng đã cướp thẻ tín dụng và thông tin cá nhân (bao gồm tên, ngày tháng năm sinh, địa chỉ email và địa chỉ nhà, mật khẩu, lịch sử đăng nhập, tên người dùng, ID online, lịch sử mua hàng, và hồ sơ dữ liệu) của hơn 100 ngàn thành viên đăng ký. Tuy nhiên giá trị của thông tin cá nhân với vụ phạm tội trong tương lai – cả trên mạng và ngoài đời (ví dụ như bắt cóc hoặc tống tiền) – đều dễ dàng vượt quá giá trị của các thẻ tín dụng bị cướp đó( trị giá khoảng 1 đô la Mỹ cho một thẻ trên chợ đen).
- Thượng nghị viện Hoa Kỳ (tin tặc). Vào tháng Sáu 2011, LulzSec (một nhóm tội phạm mạng nhỏ) xâm nhập vào trang chủ Thượng nghị viên Hoa Kỳ và đăng một danh sách các thư mục online có hại – nhưng không phải thư mục nhạy cảm hay bảo mật. Những trường hợp khác của chủ nghĩa tin tặc trong mảng chính trị, gây ra bởi các nhóm tội phạm khác nhau bao gồm các cuộc tấn công vào các trang chủ của Dịch vụ Truyền thông Công cộng Hoa Kỳ (PBS), Công ty Truyền thông Fox, và MasterCard, Visa, và Paypal để trả đũa cho những bài viết tiêu cực hoặc những hành động thù địch của những tổ chức này chống lại trang WikiLeaks.
Spear Phishing là một chiến lược giả danh nhắm đến một đối tượng, lấy lòng tin của nạn nhân bằng cách thu thập các thông tin cụ thể về mục tiêu, nhờ vậy mà chúng có phần trăm thành công cao hơn. Một email spear phishing có thể bắt chước một tổ chức (như tổ chức tài chính) hoặc một cá nhân mà đối tượng biết và làm việc cùng, và trong email đó có thể chứa đựng những thông tin vô cùng cụ thể (ví như dùng tên của đối tượng thay vì chỉ ghi địa chỉ email).
Spear phishing, hay dạng tấn công phishing nói chung, thường không phải lúc nào cũng được thực hiện thông qua email. Chỉ cần có một đường link đơn giản cũng đủ, như một đường link trên Facebook, trong tin nhắn hoặc một địa chỉ URL rút ngắn trên Twitter. Những phương thức này thường hiệu quả đối với spear phishing bởi vì chúng cho phép kẻ thực hiện lấy được vô vàn các thông tin về mục tiêu của chúng và rồi lùa họ nhấn vào những đường link nguy hiểm ở ngay tại nơi mà người dùng thấy an toàn.
Nhiều tổ chức và cá nhân đã bị lùa vào cái bẫy mang tên “yên tâm” bởi niềm tin sai lầm rằng những dữ liệu mà kẻ tấn công có thể lấy được – và theo hệ quả, những dữ liệu mà họ nên quan tâm- là dữ liệu về tài chính, như số thẻ tín dụng hay thông tin ngân hàng. Nhưng thật ra nó lại không bị giới hạn chỉ ở các thông tin tài chính – nếu thông tin đó có giá trị với bạn hoặc với tổ chức của bạn, khả năng cao là nó cũng sẽ có giá trị với người khác!
Như hai ví dụ về Epsilon và Comodo ở trên, bạn không cần phải có một thứ gì cực kỳ quý giá trong mạng máy tính của riêng bạn để có thể trở thành một mục tiêu trong mắt các tội phạm mạng. Vậy thì độ an toàn của các trang mạng của đối tác và bên bán lại của bạn như thế nào?
Sự tiến hóa của tội phạm mạng
Tội phạm mạng ngày nay đã tiến hóa từ các cậu mọt sách thông thường –những kẻ chui rúc trong tầng hầm của nhà chúng, thúc đẩy bởi tiếng tăm, và hoạt động nhờ vào quá nhiều nước uống có ga – thành các tên tội phạm mạng chính gốc, nay được thúc đẩy bởi ham muốn của cải và được chống lưng bởi các quốc gia dân tộc, các tổ chức tội phạm, hoặc bởi các nhóm chính trị cực đoan. Ngày nay các kẻ tấn công này thường thuộc các kiểu sau đây:
- Có vô vàn nguồn tài nguyên đủ để tiến hành tổ chức một cuộc tấn công.
- Uyên thâm và chuyên sâu về kỹ thuật.
- Được tài trợ hậu hĩnh
- Có tổ chức tốt.
Vậy tại sao những điều này lại quan trọng? Bởi một cậu nhóc trong tầng hầm nhà nhóc có thể có khả năng đột nhập vào mạng máy tính của một tập đoàn, nhưng không hẳn biết được phải làm như thế nào với, ví dụ như, một mã nguồn RSA. Ở mặt khác, một gián điệp thuộc một quốc gia dân tộc hay một tổ chức tội phạm sẽ biết chính xác phải làm gì hoặc nên bán tài sản trí tuệ hắn lấy được với ai trên chợ đen hoặc chợ xám (thị trường phi chính thức).
Thêm vào đó, các tổ chức tội phạm và các quốc gia dân tộc có nguồn tài nguyên tài chính nhiều hơn bất cứ một cá nhân nào. Nhiều tổ chức hacker, được ngụy trang đầy đủ như một doanh nghiệp đàng hoàng với văn phòng, quầy tiếp tân, và những bàn làm việc với những tội phạm mạng cần mẫn chăm chỉ. Đây là những đế chế tội phạm đúng nghĩa và tầm ảnh hưởng của họ vượt ra xa hơn bất cứ cá nhân nào có thể với tới.
Ngày nay chúng ta không những phải đối mặt với những kẻ xấu đầy mưa mô, mà loại thông tin có giá trị với chúng lại còn ngày càng lan rộng ra hơn. Những nhóm này có thể làm những thứ vô cùng thú vị với các thông tin có thể trông vô dụng nhất có thể.
Dòng tuần hoàn của một cuộc tấn công tân tiến
Những chiến lược tấn công thời nay cũng đang dần tiến hóa. Thay vì tấn công trực tiếp vào một máy chủ hoặc tài sản có giá trị cao theo cách truyền thống, các chiến thuật ngày nay sử dụng một quá trình chi tiết, trong đó kết hợp các thủ thuật khai thác, phần mềm malware, và xâm nhập để làm nên một công cuộc tấn công vào mạng máy tính đồng nhất.
Ví dụ như, một lượt tấn công thường bắt đầu bằng cách đơn giản là lừa các cá nhân nhấn vào một đường link độc hại dẫn đến một trang web. Ở đây chúng sẽ lợi dụng nạn nhân, giành quyền kiểm soát của máy tính người dùng, và lén lút tải về đó các phần mềm malware độc hại. Những phần mềm malware này sẽ hoạt động như điểm kiểm soát của chúng trong trang mạng, cho phép kẻ tấn công mở rộng tầm công kích đến các mục tiêu khác trong mạng lưới nội bộ, sử dụng đặc quyền của mình lên các thiết bị bị nhiễm, và/hoặc tạo ra các tài khoản admin trái phép. Và đây chỉ là liệt kê một ít các chiến thuật của chúng.
Chìa khóa của dạng tấn công này chính là thay vì như trước đây, việc dùng phần mềm malware và việc khai thác lỗ hổng mạng máy tính là hai chiến thuật tách biệt với nhau, nay chúng đã được gom chung vào trong cùng một chuỗi quá trình. Hơn nữa, phần mềm malware hay một exploit (một phần của phần mềm/ đoạn dữ liệu/chuỗi các câu lệnh lợi dụng một lỗi hệ thống hoặc lỗ hổng bảo mật) đều không phải lá bài cuối cùng, mà chúng chỉ đơn giản mở lối cho bước tiếp theo của một kế hoạch tấn công ngày càng phức tạp. Phần mềm malware, hiện đang ngày càng được cá nhân hóa để tránh bị phát hiện, cung cấp một cơ chế bền vững cho kẻ tấn công từ xa, và mạng máy tính cho phép malware thích ứng và phản ứng lại với môi trường mà nó xâm nhiễm. Những thành phần chính trong chiến thuật tấn công tân tiến này bao gồm bộ phận xâm nhiễm, bộ phận bền vững, bộ phận kết nối, và bộ phận chỉ thị và kiểm soát.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
(Dịch bởi Vina Aspire)
Thegioibantin.com | Vina-Aspire News
Nguồn: Cybersecurity for Dummies
