Trong thời gian từ cuối tháng 5/2015 đến nay, nhiều trang thông tin điện tử tại Việt Nam đã bị tấn công, trong đó có cả các website .gov.vn thuộc các cơ quan, tổ chức nhà nước. 

Điều đáng nói là thủ pháp tấn công của tin tặc không hề tinh vi và lỗ hổng bị lợi dụng thực chất là lỗ hổng cũ, đã được cảnh báo từ trước.

Một số diễn đàn bảo mật như Whitehat.vn cho biết, số lượng các trang web bị tấn công trong đợt này lên đến hơn 1000 website. Tuy nhiên, báo cáo tại Hội nghị Giao ban QLNN tháng 5/2015 của Bộ TT&TT, ông Vũ Quốc Khánh, Giám đốc Trung tâm VNECRT cho biết, tỷ lệ thành công trên thực tế của đợt tấn công này không cao, chỉ khoảng 30-40%, tương ứng với 300-400 website bị tấn công mà thôi. Tuy nhiên, hacker đã tuyên bố khuếch đại, cố ý thống kê cả các website bị tấn công những đợt trước đó để gây cảm giác rằng đây là một "chiến dịch có quy mô".

Phân tích về tính chất của vụ tấn công, ông Khánh cho biết hacker chủ yếu tấn công website nhỏ lẻ, tư nhân là chính. Chỉ có khoảng 10 trang web có tên miền .gov.vn bị tấn công trong đợt này, hiện tại 8 website đã khắc phục xong sự cố."Mức độ ảnh hưởng thực tế không nhiều nhưng đây vẫn là một sự cảnh báo rất lớn về ATTT", ông Khánh nhận định.

Trong khi đó, trả lời VietNamNet, ông Lê Bá Quốc Thịnh, chuyên gia của Cục An toàn thông tin cho biết, từ sáng ngày 30/5/2015, đơn vị này đã ghi nhận hoạt động không ổn định của Cổng thông tin điện tử của một cơ quan trung ương. Đây là dấu hiện của một cuộc tấn công từ chối dịch vụ (DoS). Cuộc tấn công này được tiếp tục thực hiện vào ngày 31/5/2015 từ 11:36 đến 13:44 và các ngày tiếp theo với lưu lượng nhỏ hơn. Cũng trong ngày 30/5/2015, một số trang thông tin điện tử mang tên miền .vn của Việt Nam bắt đầu bị tấn công hàng loạt. Đến nay, tổng cộng đã có hơn 900 trang web tại Việt Nam bị tấn công thay đổi giao diện hoặc tải tệp tin trái phép.

Đánh giá về mức độ thiệt hại của đợt tấn công, ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin khẳng định, khi đã bị tấn công thì chắc chắn sẽ có thiệt hại, thiệt hại về thông tin, về uy tín, về mức độ tin cậy. Cục cùng các đơn vị chức năng liên quan hiện đang theo sát để có biện pháp xử lý phù hợp. 

"Thời gian gần đây, các nhóm tin tặc này tiếp tục đưa lên website của mình rất nhiều trang thông tin điện tử quan trọng của Việt Nam được cho là đã bị tấn công. Đến thời điểm này, Cục An toàn thông tin nhận định các thông tin về các trang thôn tin điện tử quan trọng bị tấn công này chưa được xác thực. Cục chưa ghi nhận được cuộc tấn công vào các trang quan trọng này. Tuy nhiên không loại trừ trường hợp các tin tặc đã phát động tấn công nhưng không đạt được mục đích", ông Dũng lưu ý.

Các tổ chức thiếu cảnh giác!

Liên quan đến nguyên nhân bị tấn công, VNCERT cho biết, các website bị tấn công chủ yếu sử dụng công nghệ cũ (máy chủ cài windows Server 2003 trở về trước), hoặc các phần mềm soạn thảo lỗi thời, chưa được cập nhật. Điều này cho thấy nhiều đơn vị chưa quan tâm đến bảo mật hệ thống.

Đồng quan điểm, ông Dũng cho rằng, đây chỉ là cuộc tấn công mang tính phong trào, tự phát với kỹ thuật tấn công đơn giản. Trên thực tế, ngay từ tháng 1/2015, Cục đã gửi văn bản cảnh báo về lỗ hổng và tin tặc lợi dụng trong đợt tấn công vừa qua, nhưng nhiều tổ chức vẫn không cập nhật vá lỗi. Đến tháng 4, Cục lại cảnh báo tiếp nhưng nhiều website vẫn không khắc phục lỗ hổng.

"Việc thiếu nhận thức và trách nhiệm về ATTT của một số cơ quan và cá nhân đã dẫn đến việc không kịp thời nâng cấp,vá lỗi dẫn đến việc bị tin tặc tấn công. Có thể kể tên điểm yếu được lợi dụng nhiều nhất là điểm yếu trên thành phần phần mềm FCKEditor đã quá cũ và không được cập nhật trên các trang thông tin này. Chỉ cần nghiêm túc thực hiện các khuyến cáo và cảnh báo trên từ phía Bộ TT&TT là các tổ chức, cơ quan đã có thể tránh được nhiều sự cố ATTT, trong đó có việc bị tấn công qua các điểm yếu an toàn thông tin tương tự đã bị khai thác trong thời gian qua", ông Dũng nhấn mạnh.

Bên cạnh đó, chủ quản các website của Việt Nam cần chủ động, nâng cao tinh thần trách nhiệm hơn nữa trong công tác bảo đảm an toàn thông tin cho các website của mình. Khi nhận được cảnh báo từ cơ quan chức năng về các nguy cơ, lỗ hổng, điểm yếu ATTT, cần sớm tổ chức thực hiện các biện pháp cập nhật, nâng cấp, vá lỗi. Đa phần các hoạt động này có thể tiến hành mà không đòi hỏi phí tổn đáng kể nào về nguồn lực đầu tư, đại diện Cục ATTT khuyến nghị.

Trong thời điểm hiện tại, Cục An toàn thông tin và VNCERT đang tiếp tục theo dõi và hỗ trợ các đơn vị bị tấn công để khôi phục hoạt động cũng như vá các điểm yếu bảo mật để tránh các tấn công tương tự trong tương lai.

Đồng thời, trong tháng 6, Cục ATTT sẽ tổ chức tuyên truyền phổ biến các kỹ năng và nhận thức cơ bản về an toàn thông tin để các cơ quan, tổ chức biết và thực hiện các biện pháp phòng, chống các nguy cơ mất an toàn thông tin. Cục cũng sẽ khẩn trương tổ chức các khoá đào tạo kỹ năng cơ bản và chuyên sâu về an toàn thông tin cho các cơ quan, tổ chức, trong đó có chủ quản các website, để phòng tránh các nguy cơ mất an toàn thông tin tương tự trong tương lai.

Về các giải pháp trung và dài hạn, Bộ TT&TT vừa báo cáo dự thảo Luật An toàn thông tin tại Kỳ họp thứ 9, Quốc hội khóa XIII. Dự án Luật sau khi được ban hành sẽ tạo thành hành lang pháp lý quan trọng cho công tác bảo đảm an toàn thông tin. Bên cạnh đó, theo chương trình công tác của Chính phủ, Thủ tướng Chính phủ, trong tháng 6/2015, Bộ TT&TT dự kiến sẽ trình Thủ tướng Chính phủ Kế hoạch bảo đảm an toàn thông tin quốc gia giai đoạn 2016-2020, làm cơ sở để triển khai các giải pháp tổng thể, đồng bộ, nâng cao năng lực bảo đảm an toàn thông tin của Việt Nam.

Trọng Cầm

Cảnh báo trên PCWorld, các chuyên gia bảo mật cho biết phần mềm ransomware đáng sợ nhất đối với người dùng Windows hiện nay là CryptoWall, một mã độc cực kỳ tinh vi có khả năng mã hóa nhiều dạng file khác nhau và đòi hỏi nạn nhân phải trả tiền chuộc dưới dạng Bitcoin nếu muốn khôi phục file. Sự nguy hiểm của CryptoWall là nó sử dụng những thuật toán mã hóa không thể bẻ vỡ và giấu máy chủ điều khiển trên các mạng ẩn danh Tor hay I2P, khiến cho giới bảo mật và lực lượng tư pháp rất khó chặn đứng dịch vụ.

Phiên bản mới nhất - CryptoWall 3.0 được tung ra hồi tháng 1 vừa qua sau 2 tháng "tác giả" của nó tạm nghỉ. Một sự thay đổi đáng chú ý là nó không còn đính kèm các tệp tin khai thác đặc quyền nội bộ nữa, Cisco Systems phân tích. Khai thác đặc quyền leo thang cho phép kẻ tấn công chạy các mã độc với quyền của Admin hoặc ngang cấp hệ thống thay vì chỉ sử dụng tài khoản người dùng của nạn nhân. CryptoWall cần cấp độ tiếp cận rất cao này để vô hiệu hóa các tính năng bảo mật trên những hệ thống bị nhiễm, do đó, việc loại bỏ tính năng này thoạt đầu có vẻ gây bất ngờ.

Tuy nhiên, trong thực tế, có thể suy đoán là các tác giả của CryptoWall muốn dựa vào các vụ tấn công download trên nền web để lây nhiễm hệ thống hơn, Cisco phân tích. Những cuộc tấn công kiểu này khởi phát từ các website bị đoạt quyền kiểm soát, hoặc thông qua các quảng cáo độc hại. Chúng thường khai thác những lỗ hổng bên trong plug-in trình duyệt như Flash Player, Java, Adobe Reader hay Silverlight. Những công cụ được sử dụng cho những vụ tấn công kiểu này được gọi là exploit kits và chúng đã có sẵn chức năng leo thang đặc quyền rồi.

Không những có thể tấn công diện rộng mà exploit kits còn rất khó ngăn ngừa, giới bảo mật cảnh báo. Chúng có tỷ lệ thành công cao hơn nhiều so với các phương pháp phát tán mã độc khác như đính kèm theo email.

Nhưng điều đó không có nghĩa là ransomware đã từ bỏ hẳn con đường lây nhiễm qua email. Các hãng bảo mật cho biết, họ đã ghi nhận được sự gia tăng đáng kể của số lượng máy tính bị lây nhiễm một ransomware khác là CTB-Locker.

Trên thực tế, CTB-Locker là ransomware phát tán qua email phổ biến nhất thế giới hiện nay, PCWorld cho hay. Chúng thường ẩn trong file đính kèm hiểm độc dạng zip, bên trong có chứa file .scr hoặc .cab. Chỉ cần chạy bất cứ file exe nào trong số này cũng sẽ khiến cho máy bị nhiễm ransomware.

Cũng giống như CryptoWall, CTB sử dụng thuật toán mã hóa rất mạnh, khiến cho nạn nhân không thể khôi phục file mà không trả tiền chuộc, trừ phi họ có file dự phòng không bị ảnh hưởng bởi sự cố. Khoản tiền chuộc phải nộp lên tới 3 Bitcoin, tương đương 650 USD, cao hơn rất nhiều so với khoản tiền 500 USD mà tác giả của CryptoWall đòi hỏi.

Một nguy cơ cần cảnh báo là người dùng Android không hề miễn nhiễm trước những nguy cơ này. Sau khi tung ra ransoware đầu tiên dành cho Android, các tác giả của Simplocker đã tái xuất "lợi hại" hơn xưa nhiều lần. Nếu như trước đây, chúng sử dụng cùng một thuật toán mã hóa cho tất cả các thiết bị bị lây nhiễm, khiến cho việc khôi phục file khá dễ dàng thì giờ đây, chúng đã sửa sai bằng một phiên bản mới tinh vi hơn nhiều. Hậu quả là hơn 5000 người dùng đã bị nhiễm chỉ sau vài ngày Simplocker xuất hiện.

Simplocker phát tán thông qua những quảng cáo độc hại trên các website khiêu dâm luôn đòi hỏi người dùng phải cài Flash Player nếu muốn xem video. Ứng dụng Flash Player mà những quảng cáo này cho cài chính là Simplocker.

Ở chế độ mặc định, Android chặn không cho cài đặt những ứng dụng không được tải từ Google Play. Tuy nhiên, kẻ tấn công thường dùng các thủ thuật để thuyết phục người dùng vô hiệu hóa cơ chế bảo mật này, cho phép chạy các ứng dụng từ nguồn không uy tín. Một khi cài đặt xong, Simplocker sẽ hiển thị thông điệp giả mạo từ FBI và đòi người dùng phải nộp 200 USD nếu muốn điện thoại được mở khóa.

Các hãng bảo mật khuyến cáo người dùng không nên trả tiền chuộc cho bọn tội phạm mạng, vì không có gì đảm bảo rằng chúng sẽ trao cho họ chìa khóa mã hóa sau đó, đồng thời càng khuyến khích chúng tấn công nhiều người hơn nữa. Do đó, bên cạnh việc cài đặt các phần mềm diệt virus, mã độc mới nhất, người dùng cần luôn xây dựng kế hoạch backup dữ liệu và file quan trọng trên những ổ đĩa hoặc mạng mà chỉ có thể truy cập thông qua mật khẩu/username. Bạn cũng nên thận trọng với việc mở email từ những nguồn xa lạ và không nên click vào quảng cáo trên các website "đen".

Trọng Cầm