Việt Nam đang bị tấn công APT, Cần làm gì để bảo vệ doanh nghiệp của bạn?
Mới đây Cục An toàn thông tin (Bộ TT&TT) phát đi lệnh điều phối, ứng cứu sự cố về các máy chủ tại Việt Nam bị tấn công APT quy mô lớn vào sáng 30-10
Tấn công APT là gì?
Tấn công apt hay còn gọi là tấn công có chủ đích
Advanced Persistent Threat – APT hay còn gọi là các cuộc tấn công chủ đích. APT là tấn công có định hướng mục tiêu vào mạng hoặc các máy tính riêng lẻ. Khác với tấn công đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn công chủ đích tìm kiếm cơ hội xâm nhập hệ thống bất kể mức độ bảo vệ.
Khi thực hiện tấn công chủ đích, những kẻ tấn công sử dụng mọi phương tiện như mã độc được thiết kế cho mục đích cụ thể, tấn công vào các máy chủ web và cơ sở hạ tầng mạng, kỹ nghệ xã hội, nội gián…. APT là loại tấn công phức tạp, trình độ cao và dai dẳng với mục đích chiếm quyền kiểm soát hệ thống trong thời gian lâu nhất có thể. APT thường được thực hiện trên các đối tượng được bảo vệ tốt, khi những phương pháp đơn giản không có hiệu quả hoặc dễ làm lộ kẻ tấn công
Cho đến nay, tấn công APT thường được dùng với mục đích:
– Thu thập thông tin tình báo có tính chất thù địch.
– Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.
– Làm mất uy tín của cơ quan tổ chức.
– Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực,….
APT diễn ra như thế nào?
“Vòng đời” của một cuộc tấn công APT được mô tả theo ba giai đoạn chính như sau, mỗi giai đoạn có thể có nhiều bước.
Ví dụ về tấn công apt
Tháng 3/2013, một cán bộ ngành Công an có nhận được một thư điện tử gửi đích danh từ địa chỉ email mang tên của một cán bộ thuộc Bộ Khoa học và Công nghệ. Email có chữ ký với đầy đủ thông tin, số điện thoại di động của người gửi, kèm theo một tập văn bản đính kèm là công văn mang tên “CV xin xác nhận LLKH- CN.doc”. Nhận thấy email này có một số điểm nghi vấn, đồng chí này đã liên lạc với người gửi thì được biết hộp thư email này thực ra đã bị đánh cắp password từ lâu và hiện chủ sở hữu đã mất quyền sử dụng. Người gửi email cũng không hề quen biết cán bộ công an này.
Một ví dụ khác, đó là email của nhân viên thường nhận được các email giả danh người trong công ty, đối tác trao đổi công việc, họ có thể nêu đúng tên người nhận người gửi, địa chỉ email, nhưng khi kiểm tra kỹ là email từ bên ngoài.
Các email này có nội dung chung là có file đính kèm và yêu cầu người nhận, xem, kiểm tra nội dung, và thực chất đây là mã độc
trong tất cả các ví dụ minh họa và các thống kê về tấn công APT đều không có mô tả về một kỹ thuật tấn công mới, hay cao siêu nào được áp dụng khi kẻ tấn công tiến hành APT. Từng kỹ thuật được sử dụng đều rất quen thuộc với các chuyên gia an toàn thông tin. Hầu hết các tấn công sau khi đã được phân tích đều thấy rằng, đó là tổng hợp của một số kiểu tấn công đang phổ biến. Kẻ tấn công đã phối hợp các biện pháp với nhau rất khoa học, tỉ mỉ và thông minh.
Cần làm gì để bảo vệ doanh nghiệp của bạn?
Cục An toàn thông tin đã phát lệnh điều phối, yêu cầu các cơ quan, tổ chức, doanh nghiệp gấp rút rà quét, bóc gỡ các tệp tin mã độc của chiến dịch tấn công có chủ đích (APT) quy mô lớn đang diễn ra trên không gian mạng Việt Nam.
Theo đó, cơ quan điều phối ứng cứu sự cố an toàn thông tin mạng quốc gia khuyến nghị người dùng khẩn trương tải công cụ rà soát, diệt mã độc nguy hiểm này trên trang ais.gov.vn; vncert.vn.
Khi phát tán diện rộng vào Việt Nam, mã độc chủ yếu được lây nhiễm qua đường email, đánh lừa người dùng nhấn vào file word (.doc) đính kèm. Ngoài việc đánh cắp thông tin, tin tặc còn có thể lợi dụng máy của người dùng để tấn công các máy tính khác, huy động thành một mạng máy tính để tấn công DDoS vào các hệ thống lớn. Các mã độc này cũng có thể nằm vùng, gián điệp để thực hiện tấn công leo thang các hệ thống thông tin trọng yếu.
Để phòng tránh bị lây nhiễm mã độc tấn công có chủ đích APT đặc biệt nguy hiểm nêu trên, người dùng cần cẩn trọng khi mở các email, nhất là những emai “lạ”, tuyệt đối không mở các file đính kèm mail nghi ngờ có cài mã độc. Chúng tôi cũng khuyến nghị người dùng cần nhanh chóng vào trang web của Cục An toàn thông tin tại địa chỉ ais.gov.vn để tải và chạy công cụ rà quét, diệt mã độc tấn công APT
Tải công cụ quét tìm và gỡ bỏ mã độc
đường dẫn:http://remove-apt.vnpt.vn/download/tools/incident-response-v1.0.exe
Theo dõi, giám sát những kết nối đến máy chủ điều khiển mã độc. Cụ thể, các cơ quan, tổ chức, doanh nghiệp được yêu cầu phải giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách được Cục An toàn thông tin tổng hợp
Danh sách Ip address, domain name cần theo dõi và chặn kết nối
| STT | c&c | STT | c&c |
| 1 | adobephotostage.com | 28 | 207.148.12.47 |
| 2 | olk4.com | 29 | 149.28.74.41 |
| 3 | apple-net.com | 30 | 207.148.78.101 |
| 4 | wbemsystem.com | 31 | 149.28.74.149 |
| 5 | yahoorealtors.com | 32 | 50.63.202.59 |
| 6 | airdndvn.com | 33 | 198.54.117.200 |
| 7 | officeproduces.com | 34 | 198.54.117.199 |
| 8 | web.adobephotostage.com | 35 | 198.54.117.197 |
| 9 | Web.officeproduces.com | 36 | 198.54.117.198 |
| 10 | Up.officeproduces.com | 37 | 162.255.119.150 |
| 11 | We.officeproduces.com | 38 | 167.88.180.148 |
| 12 | Download.officeproduces.com | 39 | 167.88.177.224 |
| 13 | geocities.jp | 40 | 167.88.180.3 |
| 14 | update.olk4.com | 41 | 45.248.87.14 |
| 15 | www.cab-sec.com | 42 | 91.195.240.117 |
| 16 | 167.88.178.24 | 43 | 103.224.182.250 |
| 17 | 43.254.217.67 | 44 | 167.88.177.224 |
| 18 | 154.221.24.47 | 45 | 167.88.178.24 |
| 19 | 144.202.54.86 | 46 | 185.239.226.19 |
| 20 | 50.63.202.94 | 47 | 185.239.226.19 |
| 21 | 50.63.202.67 | 48 | 45.77.209.52 |
| 22 | 50.63.202.82 | 49 | 167.88.178.118 |
| 23 | 184.168.221.94 | 50 | 185.239.226.61 |
| 24 | 184.168.221.82 | 51 | 45.77.184.12 |
| 25 | 184.168.221.71 | 52 | 167.88.178.118 |
| 26 | 50.63.202.73 | 53 | 185.239.226.61 |
| 27 | 45.32.50.150 | 54 | 45.77.184.12 |
Danh sách mã băm (HashMDS)
| STT | Mã băm – MD5 |
| 1 | 165F8683681A4B136BE1F9D6EA7F00CE |
| 2 | 9FF1D3AF1F39A37C0DC4CEEB18CC37DC |
| 3 | 4FE276EDC21EC5F2540C2BABD81C8653 |
| 4 | 43067F28DC5208D4A070CF3CC92E29FB |
| 5 | 11ADDA734FC67B9CFDF61396DE984559 |
| 6 | 08F25A641E8361495A415C763FBB9B71 |
| 7 | 01D74E6D9F77D5202E7218FA524226C4 |
| 8 | 6198D625ADA7389AAC276731CDEBB500 |
| 9 | 9B39E1F72CF4ACFFD45F45F08483ABF0 |
| 10 | 748DE2B2AA1FA23FA5996F287437AF1B |
| 1 1 | 5F094CB3B92524FCED2731C57D305E78 |
| 12 | 9A180107EFB15A00E64DB3CE6394328D |
| 13 | 05CF906B750EB335125695DA42F4EAFC |
| 14 | F62DFC4999D624D01E94B89946EC1036 |
| 15 | CA775717D000888A7F71A5907B9C9208 |
| 16 | A A115F20472E78A068C1BBF739C443 BF |
| 17 | CE78EA4ED30DBDF6BEA66561636298F0 |
| 18 | 684EE90242C8552561EE58EE66016640 |
| 19 | B9C10D6E459061CA6304BCCD7C94A471 |