Việt Nam đang bị tấn công APT, Cần làm gì để bảo vệ doanh nghiệp của bạn?

Việt Nam đang bị tấn công APT, Cần làm gì để bảo vệ doanh nghiệp của bạn?

Mới đây Cục An toàn thông tin (Bộ TT&TT) phát đi lệnh điều phối, ứng cứu sự cố về các máy chủ tại Việt Nam bị tấn công APT quy mô lớn vào sáng 30-10

Tấn công APT là gì?

Tấn công apt hay còn gọi là tấn công có chủ đích

Advanced Persistent Threat – APT hay còn gọi là các cuộc tấn công chủ đích. APT là tấn công có định hướng mục tiêu vào mạng hoặc các máy tính riêng lẻ. Khác với tấn công đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn công chủ đích tìm kiếm cơ hội xâm nhập hệ thống bất kể mức độ bảo vệ.

Khi thực hiện tấn công chủ đích, những kẻ tấn công sử dụng mọi phương tiện như mã độc được thiết kế cho mục đích cụ thể, tấn công vào các máy chủ web và cơ sở hạ tầng mạng, kỹ nghệ xã hội, nội gián…. APT là loại tấn công phức tạp, trình độ cao và dai dẳng với mục đích chiếm quyền kiểm soát hệ thống trong thời gian lâu nhất có thể. APT thường được thực hiện trên các đối tượng được bảo vệ tốt, khi những phương pháp đơn giản không có hiệu quả hoặc dễ làm lộ kẻ tấn công

Cho đến nay, tấn công APT thường được dùng với mục đích:

– Thu thập thông tin tình báo có tính chất thù địch.
– Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.
– Làm mất uy tín của cơ quan tổ chức.
– Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực,….

APT diễn ra như thế nào?

“Vòng đời” của một cuộc tấn công APT được mô tả theo ba giai đoạn chính như sau, mỗi giai đoạn có thể có nhiều bước.

APT diễn ra như thế nào?

Ví dụ về tấn công apt

Tháng 3/2013, một cán bộ ngành Công an có nhận được một thư điện tử gửi đích danh từ địa chỉ email mang tên của một cán bộ thuộc Bộ Khoa học và Công nghệ. Email có chữ ký với đầy đủ thông tin, số điện thoại di động của người gửi, kèm theo một tập văn bản đính kèm là công văn mang tên “CV xin xác nhận LLKH-  CN.doc”. Nhận thấy email này có một số điểm nghi vấn, đồng chí này đã liên lạc với người gửi thì được biết hộp thư email này thực ra đã bị đánh cắp password từ lâu và hiện chủ sở hữu đã mất quyền sử dụng. Người gửi email cũng không hề quen biết cán bộ công an này.

Một ví dụ khác, đó là email của nhân viên thường nhận được các email giả danh người trong công ty, đối tác trao đổi công việc, họ có thể nêu đúng tên người nhận người gửi, địa chỉ email, nhưng khi kiểm tra kỹ là email từ bên ngoài.

Các email này có nội dung chung là có file đính kèm và yêu cầu người nhận, xem, kiểm tra nội dung, và thực chất đây là mã độc

tấn công apt, giả danh email

trong tất cả các ví dụ minh họa và các thống kê về tấn công APT đều không có mô tả về một kỹ thuật tấn công mới, hay cao siêu nào được áp dụng khi kẻ tấn công tiến hành APT. Từng kỹ thuật được sử dụng đều rất quen thuộc với các chuyên gia an toàn thông tin. Hầu hết các tấn công sau khi đã được phân tích đều thấy rằng, đó là tổng hợp của một số kiểu tấn công đang phổ biến. Kẻ tấn công đã phối hợp các biện pháp với nhau rất khoa học, tỉ mỉ và thông minh.

Cần làm gì để bảo vệ doanh nghiệp của bạn?

Cục An toàn thông tin đã phát lệnh điều phối, yêu cầu các cơ quan, tổ chức, doanh nghiệp gấp rút rà quét, bóc gỡ các tệp tin mã độc của chiến dịch tấn công có chủ đích (APT) quy mô lớn đang diễn ra trên không gian mạng Việt Nam.

Theo đó, cơ quan điều phối ứng cứu sự cố an toàn thông tin mạng quốc gia khuyến nghị người dùng khẩn trương tải công cụ rà soát, diệt mã độc nguy hiểm này trên trang ais.gov.vn; vncert.vn.

Khi phát tán diện rộng vào Việt Nam, mã độc chủ yếu được lây nhiễm qua đường email, đánh lừa người dùng nhấn vào file word (.doc) đính kèm. Ngoài việc đánh cắp thông tin, tin tặc còn có thể lợi dụng máy của người dùng để tấn công các máy tính khác, huy động thành một mạng máy tính để tấn công DDoS vào các hệ thống lớn. Các mã độc này cũng có thể nằm vùng, gián điệp để thực hiện tấn công leo thang các hệ thống thông tin trọng yếu.

Để phòng tránh bị lây nhiễm mã độc tấn công có chủ đích APT đặc biệt nguy hiểm nêu trên, người dùng cần cẩn trọng khi mở các email, nhất là những emai “lạ”, tuyệt đối không mở các file đính kèm mail nghi ngờ có cài mã độc. Chúng tôi cũng khuyến nghị người dùng cần nhanh chóng vào trang web của Cục An toàn thông tin tại địa chỉ ais.gov.vn để tải và chạy công cụ rà quét, diệt mã độc tấn công APT

Tải công cụ quét tìm và gỡ bỏ mã độc

đường dẫn:http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe

Theo dõi, giám sát những kết nối đến máy chủ điều khiển mã độc. Cụ thể, các cơ quan, tổ chức, doanh nghiệp được yêu cầu phải giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách được Cục An toàn thông tin tổng hợp

Danh sách Ip address, domain name cần theo dõi và chặn kết nối

STT c&c STT c&c
1 adobephotostage.com 28 207.148.12.47
2 olk4.com 29 149.28.74.41
3 apple-net.com 30 207.148.78.101
4 wbemsystem.com 31 149.28.74.149
5 yahoorealtors.com 32 50.63.202.59
6 airdndvn.com 33 198.54.117.200
7 officeproduces.com 34 198.54.117.199
8 web.adobephotostage.com 35 198.54.117.197
9 Web.officeproduces.com 36 198.54.117.198
10 Up.officeproduces.com 37 162.255.119.150
11 We.officeproduces.com 38 167.88.180.148
12 Download.officeproduces.com 39 167.88.177.224
13 geocities.jp 40 167.88.180.3
14 update.olk4.com 41 45.248.87.14
15 www.cab-sec.com 42 91.195.240.117
16 167.88.178.24 43 103.224.182.250
17 43.254.217.67 44 167.88.177.224
18 154.221.24.47 45 167.88.178.24
19 144.202.54.86 46 185.239.226.19
20 50.63.202.94 47 185.239.226.19
21 50.63.202.67 48 45.77.209.52
22 50.63.202.82 49 167.88.178.118
23 184.168.221.94 50 185.239.226.61
24 184.168.221.82 51 45.77.184.12
25 184.168.221.71 52 167.88.178.118
26 50.63.202.73 53 185.239.226.61
27 45.32.50.150 54 45.77.184.12

Danh sách mã băm (HashMDS)

STT Mã băm MD5
1 165F8683681A4B136BE1F9D6EA7F00CE
2 9FF1D3AF1F39A37C0DC4CEEB18CC37DC
3 4FE276EDC21EC5F2540C2BABD81C8653
4 43067F28DC5208D4A070CF3CC92E29FB
5 11ADDA734FC67B9CFDF61396DE984559
6 08F25A641E8361495A415C763FBB9B71
7 01D74E6D9F77D5202E7218FA524226C4
8 6198D625ADA7389AAC276731CDEBB500
9 9B39E1F72CF4ACFFD45F45F08483ABF0
10 748DE2B2AA1FA23FA5996F287437AF1B
1 1 5F094CB3B92524FCED2731C57D305E78
12 9A180107EFB15A00E64DB3CE6394328D
13 05CF906B750EB335125695DA42F4EAFC
14 F62DFC4999D624D01E94B89946EC1036
15 CA775717D000888A7F71A5907B9C9208
16 A A115F20472E78A068C1BBF739C443 BF
17 CE78EA4ED30DBDF6BEA66561636298F0
18 684EE90242C8552561EE58EE66016640
19 B9C10D6E459061CA6304BCCD7C94A471

Leave a Reply

Your email address will not be published. Required fields are marked *