CHƯƠNG 1: TỔNG QUAN LÝ THUYẾT 1.1. Các khái niệm đe dọa an toàn thông tin Khái niệm đe dọa (threat): Theo nghĩa rộng + Là các nguồn nguy hiểm + Bất kì lực lượng đối lập + Điều kiện, nguồn hoặc tình huống => có khả năng ảnh hướng tới thực hiệnphá vỡ KH hoặc làm giảm khả năng thực hiện nhiệm vụ, KH. Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất an toàn. Nguồn đe dọa: + Khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có điều kiện vi phạm để gây hại (khả năng xảy ra) + Có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng (động đất, sóng thần…)
Trang 1MỤC LỤC
MỞ ĐẦU
Hiện tại, mất an toàn thông tin đang là mối nguy, đe dọa tới các tổ chức, cá nhân, cộngđồng và nền kinh tế Các vụ tấn công mạng liên tiếp xảy ra trong thời gian gần đây, báođộng về sự nghiêm trọng của vấn đề này Ví dụ điển hình như ngày 29/7, website củaVietnam Airlines đã bị deface (tấn công thay đổi nội dung) với hình ảnh nhóm hacker1937cn đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng đã bị rò rỉ lênmạng Chưa dừng lại, hệ thống âm thanh và thông báo tại cảng hàng không Tân Sơn Nhất
và Nội Bài cũng đã bị can thiệp, sửa đổi hiển thị hình ảnh và âm thanh xuyên tạc về vấn
đề Biển Đông Sau khi phối hợp cùng đối tác tổ chức rà soát, kiểm tra và đánh giá hệthống, Vietnam Airlines cho biết thông tin thanh toán của khách hàng cung cấp trong quátrình mua vé trực tuyến trên website Vietnam Airlines vẫn được đảm bảo an toàn Vì vậynhóm 05 lựa chọn đề tài: “Tìm hiểu và trình bày về các mối đe dọa hiện nay”
CHƯƠNG 1: TỔNG QUAN LÝ THUYẾT
1.1 Các khái niệm đe dọa an toàn thông tin
- Khái niệm đe dọa (threat): Theo nghĩa rộng
+ Là các nguồn nguy hiểm
+ Bất kì lực lượng đối lập
+ Điều kiện, nguồn hoặc tình huống
=> có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm giảm khả năng thực hiệnnhiệm vụ, KH
Trang 2- Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm
có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất
an toàn
- Nguồn đe dọa:
+ Khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể cóđiều kiện vi phạm để gây hại (khả năng xảy ra)
+ Có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng(động đất, sóng thần…)
1.2 Phân loại đe dọa an toàn thông tin
- Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể là:
• Information disclosure (tiết lộ thông tin): là tiết lộ thông tin
• Denial of service attack (Tấn công từ chối phục vụ):
• Elevation of privilege (Nâng quyền): là hành động khai thác lỗ hổng do lỗi thiết kế hệthống hoặc phần mềm để truy cập tới các tài nguyên không được phép
- Các đe dọa thụ động và đe dọa chủ động:
+ Đe dọa thụ động: Trong các cuộc tấn công thụ động, kẻ tấn công chỉ đơn giản là phântích và lắng nghe lưu lượng mạng với mục tiêu để nắm bắt thông tin nhạy cảm của mụctiêu Các loại tấn công này làm tổn hại đến tính bảo mật của lưu lượng truy cập của ngườidùng
Trong cuộc tấn công thụ động, kẻ tấn công có được quyền truy cập trái phép vào lưulượng mạng mà không sửa đổi lưu lượng truy cập Các cuộc tấn công thụ động rất khóphát hiện vì các cuộc tấn công như vậy không làm hại đến lưu lượng người dùng hoặc cáchoạt động mạng bình thường Trong các cuộc tấn công thụ động, kẻ tấn công đo độ dài,thời gian và tần suất truyền dẫn không dây để có được một số thông tin có giá trị[1]
Trang 3+ Đe dọa chủ động: Một cuộc tấn công chủ động là một mạng lưới khai thác trong đó mộthacker cố gắng thay đổi dữ liệu trên mục tiêu hoặc dữ liệu đang được truyền đến mụctiêu[1]
- Các đe dọa truyền thống và đe dọa vật lí:
+ Communication and Network:
- Các đe dọa theo mức độ phức tạp sử lý
- Các đe dọa bên trong và bên ngoài
1.3 Một số mối đe dọa an toàn thông tin trong thương mại điện tử
- Các đe dọa vật lý:
Các đe dọa vật lý hoặc sự cố (accidental): là các mối đe dọa xảy ra đối với hạ tầng CNTT
và TMĐT như hỏa hoạn, lũ lụt, thiên tai, động đất, sóng thần… gây hậu quả không chỉđối với an toàn thông tin mà còn gây hủy hoại tài sản, công trình, tính mạng con người…
Trang 4• Ví dụ: cơn bão Morakot 2008 và các trận động đất lớn xảy ra tại khu vực Thái BìnhDương làm đứt cáp biển quốc tế SMW3, APCN, APCN-2, FEA, China US, EAC, C2C,gây mất liên lạc hầu hết các kênh kết nối trực tiếp từ Việt Nam đi Đài Loan, Nhật Bản,Hàn Quốc và một phần liên lạc hướng đi Mỹ VNPT bị mất gần 6.200 Mbps dung lượngtruyền dẫn quốc tế sử dụng cho dịch vụ viễn thông quốc tế như điện thoại, kênh thuêriêng, Frame Relay, VPN và Internet
- Các đe dọa đối với máy chủ:
Máy chủ là liên kết thứ ba trong bộ ba máy khách –Internet –máy chủ, bao gồm đườngdẫn giữa một người sử dụng và một máy chủ thương mại Máy chủ có những điểm yếu dễ
bị tấn công và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá hủy,hoặc thu được các thông tin một cách trái phép
• Ví dụ: vụ một hacker (X_Spider) đã tấn công vào máy chủ web củatechcombank.com.vn và để lại thông báo cần phải sửa lỗi và không gây thiệt hại gì chowebsite này X_Spider cho biết website phuthai đã gặp lỗ hổng bảo mật, qua đó anh ta
có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu củatechcombank.com.vn Vì các website đặt cùng server có chung thông số nên việc truy cập
"liên thông" (local attack) là có thể thực hiện được[2]
- Các đe dọa đối với máy khách:
Các chương trình gây hại được phát tán thông qua các trang web, có thể phát hiện ra sốthẻ tín dụng, tên người dùng và mật khẩu Những thông tin này thường được lưu giữtrong các tệp đặc biệt –gọi là cookie Các cookie được sử dụng để nhớ các thông tin yêucầu của khách hàng, hoặc tên người dùng và mật khẩu Nhiều nội dung động gây hại cóthể lan truyền thông qua các cookie, chúng có thể phát hiện được nội dung của các tệpphía máy khách, hoặc thậm chí có thể hủy bỏ các tệp được lưu giữ trong các máy khách
• Ví dụ, một virus máy tính đã phát hiện được danh sách các địa chỉ thư tín điện tử củangười sử dụng và gửi danh sách này cho những người khác trên Internet
- Đe dọa đối với kênh truyền thông:
Internet đóng vai trò kênh truyền thông Các thông tin trên Internet được gửi đi theo cáctuyến ngẫu nhiên, từ nút nguồn (node)tới nút đích Các thông tin này đi qua một số máy
Trang 5tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theonhững tuyến khác nhau Hiện rất khó đảm bảo tất cả các thông tin gửi đi trên Internet đều
an toàn Một số kẻ trộm trên mạng có thể đọc các thông tin, sửa đổi, hoặc thậm chí có thểloại bỏ các thông tin ra khỏi Internet Do vậy, các thông tin được gửi đi trên mạng thường
bị xâm phạm đến tính bí mật, tính riêng tư và tính toàn vẹn
- Đe dọa đối với cơ sở dữ liệu:
Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và nhận các thông tin về sản phẩm
từ các CSDL kết nối với máy chủ Web Ngoài các thông tin về s/phẩm, các CSDL có thểchứa các thông tin có giá trị khác Hầu hết các hệ thống CSDL có quy mô lớn và hiện đại
sử dụng cơ chế xác thực (tên người dùng + mật khẩu) Khi được xác thực, người sử dụng
có thể xem các phần đã chọn trong CSDL Y/c về tính bí mật đối với CSDL được đề cậpthông qua cơ chế phân quyền được thiết lập trong CSDL
Tuy nhiên, một số CSDL lưu giữ mật khẩu & tên người dùng không an toàn, hoặc dựavào máy chủ Web để có an toàn Khi máy chủ Web bị vi phạm, CSDL bị sử dụng bất hợppháp, làm lộ bí mật thông tin cá nhân Các Trojan horse nằm ẩn trong hệ thống CSDLcũng có thể làm lộ các thông tin bằng việc chuyển các thông tin nhạy cảm sang khu vuc itđược bảo vệ của CSDL, do đó bất kì ai cũng có thể xem xét các thông tin này Khi cácthông tin bị làm lộ, các user, kẻ cả đối tượng xấu đều có thể truy nhập
1.4 Mô hình đánh giá ATTT DREAD
Mô hình DREAD của Microsoft: DREAD là một phần của một hệ thống phân loại cácmối đe dọa bảo mật máy tính được sử dụng tại Microsoft để phân tích đánh giá các đedọa và các rủi ro
- Damage potential (thiệt hại tiềm ẩn) tổn thất ở mức độ nào nếu một lỗ hổng bị khaithác?
- Reproducibility (Lặp lại): Mức độ lặp lại tấn công dễ dàng hay không?
- Exploitability (khai thác lỗ hổng): Khả năng khai thác lỗ hổng để bắt đầu một tấn công?
- users (người bị ảnh hưởng): ai bị ảnh hưởng và những người nào bị ảnh hưởng?
- Discoverability (khả năng phát hiện): mức độ phát hiện/tìm ra lỗ hổng dễ hay khó?
CHƯƠNG 2: TRÌNH BÀY MỘT SỐ MỐI ĐE DỌA CHO ĐẾN NAY
Trang 62.1 Cơn bão số 10 năm 2017 (đe dọa vật lý)
Hàng triệu thuê bao Internet cả nước đang mất kết nối do ảnh hưởng từ cơn bão số 10
- Hậu quả sau cơn bão:
+ 15/9/2017 , người dùng Internet do nhà mạng FPT Telecom cung cấp tại khu vực miềnBắc và miền Trung đồng loạt rơi vào tình trạng mất kết nối Sự cố kéo dài đã gây ảnhhưởng không nhỏ đến người dùng của nhà mạng này Người dùng chỉ có thể sử dụng kếtnối dữ liệu 3G/4G từ thiết bị di động
+ Đại diện FPT Telecom lên tiếng xác nhận sự cố mất kết nối đường truyền Internet dođơn vị này cung cấp Cụ thể, cơn bão số 10 (bão Doksuri) tràn qua khu vực miền Trung
đã làm tuyến trục Bắc - Nam của FPT Telecom bị ảnh hưởng, gây ra tình trạng mất tínhiệu đường truyền
+ Cũng do ảnh hưởng của cơn bão số 10, mạng truyền hình và Internet của SCTV ở HàNội và một số khu vực miền Bắc đã bị mất tín hiệu vào tối 15/9/2017 do đường trục BắcNam bị đứt
+ Ngoài ảnh hưởng đến việc cung cấp dịch vụ của hai doanh nghiệp trên, bão số 10 đãgây thiệt hại khá nặng cho các đơn vị trong ngành thông tin-truyền thông của miền Trung.Ngày 15/9/2017, mạng viễn thông trên địa bàn Quảng Bình đã bị hỏng một số trạm cục
bộ do bị ngập nước và một số trạm không hoạt động được do mất điện Sóng di độngcũng đã bị mất trên diện rộng ở 4 địa bàn Quảng Trạch, Bố Trạch, thị xã Ba Đồn và ĐồngHới Mạng cáp viễn thông cũng bị chia cắt do bị gãy đổ cột
+ Còn tại Quảng Trị, ảnh hưởng của bão đã làm đứt 5 tuyến cáp của VNPT, 5 tuyến cápcủa Viettel và hai đơn vị này đều phải đưa vào hoạt động những tuyến dự phòng
Trang 7+ Tại Hà Tĩnh, cột truyền hình, cột sóng Viettel tại thị xã Kỳ Anh đã bị đổ gãy Tháp Đàiphát thanh truyền hình thị xã Kỳ Anh kiêm chức năng phát sóng viễn thông cũng bị gãy
đổ vào trưa 15-9 Toàn bộ khu vực Kỳ Anh bị tê liệt viễn thông…
+ Theo thống kê của Sở TT & TT tỉnh Hà Tĩnh về tình hình thiệt hại do bão số 10 gây racho mạng lưới: “2 cột ăng ten truyền hình thị xã Kỳ Anh và Hương Khê bị gãy, 15 cộtăng ten BTS các nhà mạng bị đổ; trên 1.850 cột treo cáp bị đổ, gãy; 1.025 tuyến cáp bịđứt, gãy; 189 nhà, trạm, bưu cục, điểm BĐ-VHX hư hỏng nặng; 100% các trạm BTS tại
Kỳ Anh, Cẩm Xuyên, Hương Khê và các vùng bị mất điện phải sử dụng máy nổ từ15/9/2017, rất nhiều thiết bị đầu cuối thuê bao trong dân hư hỏng ước tính thiệt hại banđầu trên 57,349 tỷ đồng.”
+ Ngoài ảnh hưởng bởi bão số 10, đường truyền Internet Việt Nam cũng đã gặp sự cố docác tuyến cáp quang biển chính đồng loạt gặp sự cố từ đầu tháng 9/2017 Điều này khiếntốc độ và lưu lượng Internet Việt Nam đi quốc tế suy giảm đáng kể
=> Điều này cho thấy các hiện tượng của tự nhiên như bão, lũ lụt, sạt lở… là 1 mối đe
dọa lớn đối với nghành TT & TT gây dán đoạn và mất an toàn về thông tin, ảnh hưởng,thiệt hại lớn về kinh tế đối với nhà nước cũng như các doanh nghiệp hoạt động trongnghành
2.2 Vụ tin tặc tấn công các sân bay tại Việt Nam 2016 (đe dọa đối với máy chủ)
- Diễn biến:
+ 27-7-2016 hàng không Việt Nam đã nhận diện được dấu hiệu bị tấn công mạng, thểhiện ở một số hệ thống hoạt động chập chờn, không ổn định…[3]
+ Vào lúc 13 giờ 46 phút ngày 29 tháng 7 tại Cảng hàng không quốc tế Tân Sơn Nhất và
16 giờ 7 phút tại cảng hàng không quốc tế Nội Bài, Các hệ thống máy tính làm thủ tụchàng không của Hãng Hàng không VietJet Air, Vietnam Airlines (bao gồm VASCO) tạinhà ga quốc nội của sân bay Tân Sơn Nhất, hệ thống thiết bị thông tin chuyên ngành hàngkhông (màn hình thông tin chuyến bay, màn hình máy tính phục vụ check-in tại quầy thủtục của Vietnam Airlines, hệ thống phát thanh) tại Nhà ga hành khách T1 của sân bay NộiBài bị tấn công xâm nhập mạng phải dừng hoạt động.Trên màn hình thông báo chuyến
Trang 8bay tại Tân Sơn Nhất và Nội Bài xuất hiện hình ảnh và chữ Trung Quốc với nội dung xúcphạm Việt Nam và Philippines, xuyên tạc về biển Đông[3]
+ Trang web chính thức của Vietnam Airlines tại địa chỉ www.vietnamairlines.com đã bịhacker chiếm quyền kiểm soát và chuyển sang trạng mạng xấu ở nước ngoài trang webnày xuất hiện hình ảnh và nội dung câu chữ xúc phạm Việt Nam và Philippines, xuyêntạc các nội dung về biển Đông[3]
+ Đến 17h ngày 29-07-2016 toàn bộ sự cố đã được khắc phục
- Hậu quả:
+ Hệ thống thông tin dữ liệu chuyến bay của các hãng hàng không bị xáo trộn đồng loạt,thông tin hành khách bị lộ Nhân viên phải làm thủ tục, xử lý danh sách khách hàng bằngtay
+ Dữ liệu chi tiết của hơn 410.000 thành viên chương trình Bông sen vàng của VietnamAirlines đều bị công khai.Danh sách này không chỉ có những khách hàng người Việt Nam
mà còn có cả khách hàng nước ngoài đến từ nhiều quốc gia như Nga, Đức, Canada, NhậtBản, Hàn Quốc phần lớn khách hàng trong số này là các lãnh đạo, quản lý cơ quan Nhànước, ngân hàng, doanh nghiệp lớn trong nhiều lĩnh vực Những thông tin trong file dữliệu bao gồm họ tên, ngày sinh, địa chỉ thường trú, đơn vị làm việc, số điện thoại, quốctịch, ngày tham gia chương trình, điểm tích lũy, mật khẩu tài khoản GLP…[4]
+ Theo lãnh đạo Trung tâm Ứng cứu khẩn cấp máy tính Viêt Nam (Bộ Thông tin vàTruyền thông) thì đơn vị này thực hiện chức trách nhiệm vụ chủ trì, phối hợp với Cục an
Trang 9toàn thông tin, Cục An ninh kinh tế tổng hợp (A85), Cục An ninh mạng (A68), Cục cảnhsát phòng chống tội phạm công nghệ cáo thuộc Bộ Công an, Tập đoàn Viettel, VNPT,FPT, Vietnamairline, ACV và các đơn vị liên quan để xử lý vụ tin tặc tấn công sân baynày Vietnam Airlines và chương trình Lotusmiles (Bông sen vàng) có đề nghị các hộiviên thay đổi ngay mật khẩu của tài khoản sau khi hệ thống được khắc phục Hãng hàngkhông cũng khuyến nghị hành khách nên ra sân bay sớm hơn thường lệ để làm thủ tục lênmáy bay[3]
+ Ngân hàng Nhà nước Việt Nam gửi đi văn bản ngày 30-07-2016 đến các tổ chức tíndụng, các tổ chức trung gian thanh toán về việc cảnh báo tình hình tội phạm tấn công các
hệ thống CNTT quan trọng của Việt Nam Ngân hàng Nhà nước đề nghị các tổ chức tíndụng và các tổ chức trung gian thanh toán thực hiện ngay việc rà soát, kiểm tra tình hình
an toàn an ninh hệ thống CNTT của đơn vị mình, đặc biệt là các hệ thống cung cấp dịch
vụ cho khách hàng trên mạng Internet như hệ thống website, Internet Banking[3]
+ Bộ trưởng Thông tin và Truyền thông Trương Minh Tuấn đề nghị giới công nghệ ViệtNam cũng như các bên liên quan tuân thủ pháp luật, tránh hành vi khiêu khích, thách thứckhông cần thiết đối với các nhóm hacker nước ngoài
• trên các màn hình thông báo chuyến bay tại Tân Sơn Nhất và Nội Bài và trangweb bị tấn công của hãng hàng không việt nam VNA đều xuất hiện hình ảnh vàchữ Trung Quốc với nội dung xúc phạm Việt Nam và Philippines, xuyên tạc về
Trang 10biển Đông Và đều có hình ảnh của nhóm hacker 1937CN nhóm hacker hàng đầuTrung Quốc.
- Cách thức tấn công:
+ Nhiều chuyên gia an ninh trong nước nhận định vụ việc tấn công ngày 29-07-2016được các hacker sử dụng phương pháp cài spyware vào máy của quản trị viên hệthống[4]
+ Một kịch bản tấn công đơn giản thường được những kẻ đứng đằng sau mạng lưới ngầmnày sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản vớinội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thìđúng là có nội dung có thật nhưng đồng thời lại bị nhiễm virus do trong file có chứa sẵnphần mềm gián điệp[4]
+ Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máytính Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update,Adobe Flash, Bộ gõ Unikey, Từ điển…[4]
+ Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển chúng nên rất khó phát hiện.Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thờithông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoạikhác[4]
+ Thông qua các máy tính đã bị mã độc kiểm soát, hacker có thể cấu hình thay đổi tênmiền của website để trỏ về trang web giả mạo, cấu hình thay đổi thông tin hiển thị trênmàn hình và nội dung trên hệ thống loa phát thanh thông báo
- Đánh giá:
Đây là vụ việc tấn công mạng lớn nhất từng được công bố từ trước đến nay của ngànhhàng không VIỆT NAM, qua đây ta thấy được rằng việc đảm bảo an toàn máy chủ cầnphải được quan tâm đặc biệt thông qua các biện pháp an toàn như kiểm tra kĩ lưỡng cácfile, ứng dụng được tải, cài cắm trên máy chủ
Trang 112.3 Vụ tấn công của WannaCry (đe dọa đối với máy khách)
WannaCry (tạm dịch là "Muốn khóc") còn được gọi là WannaDecryptor 2.0, là một phầnmềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng MicrosoftWindows[3] Là tên của 1 loại virus máy tính, một dạng chương trình chứa mã độc tốngtiền (ransomware) mà khi máy tính bị nhiễm virus này nó sẽ mã hoá toàn bộ các tệp dữliệu (file trong máy tính) như văn bản, âm thanh, hình ảnh, và nhiều loại file tài liệu khácthông dụng… sau đó hiện lên thông báo đòi tiền chuộc
- Nguyên nhân nhiễm virus WannaCry:
+ Máy tính của bạn bị nhiễm virus WannaCry là do truy cập vào các trang web, các linkkhông an toàn như web đen, website giả mạo, đồi trụy, quảng cáo, clickbait có nguồn gốckhông rõ ràng, sử dụng phần mềm crack…
+ Bạn vô tình hoặc cố ý click vào 1 đường link không rõ nguồn gốc, hoặc mở 1 email lạ.+ Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry
+ Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếngAnh gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật và lâynhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động ở trên, miễn
là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính đã nhiễm virus này
- Diễn Biến:
Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó đượcđưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên230.000 máy tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằngbitcoin với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc) Hiện thời người tabiết tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thunhập tối đa chỉ khoảng 30.000 Euro[3]
Cuộc tấn công này đã ảnh hưởng đến Telefónica và một số công ty lớn khác ở Tây BanNha, cũng như các bộ phận của Dịch vụ Y tế Quốc gia (NHS) của Anh, FedEx và
Trang 12Deutsche Banh Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấncông vào cùng một thời điểm Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga
và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này[3]
- Cách thức tấn công:
Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính,sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trênInternet, và các máy tính trên cùng mạng LAN Do được mã hóa theo thuật toán RSA2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải
mã các file đã bị WannaCry mã hóa Cách duy nhất để người dùng lấy lại dữ liệu là trảtiền cho hacker từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảmbảo do hacker hoàn toàn có thể "trở mặt"[3]
Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa vàchỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được.Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể
đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phầnmềm trở nên không kiểm soát được
Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là cáctập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thôngbáo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu Mã độc WannaCry khai thác lỗhổng của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ.Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mãđộc[5]
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận đượcthông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa Để khôi phục dữ liệu,người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấncông Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7ngày, dữ liệu của người dùng sẽ bị mất Màn hình của máy tính bị nhiễm WannaCry sẽ
Trang 13hiển thị đầy đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian vàđược thể hiện bằng 28 ngôn ngữ khác nhau[5].
- Hậu quả:
Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh] Vào ngày
12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầmtrọng lắm, và một số xe cứu thương phải đi nơi khác Vào năm 2016, hàng ngàn máy tínhtrong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP NissanMotor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệuquả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệthống của họ Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngănchặn sự lây lan của ransomware Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấpNga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm[3]
Theo thống kê của BBC, số máy tính bị ảnh hưởng bởi mã độc tống tiền (ransomware) đãlên đến 300.000 máy, tại 150 quốc gia Con số trên được dự báo vẫn đang và sẽ tiếp tụctăng
Theo dự đoán, tin tặc có thể bỏ túi hơn 1 tỷ USD từ nạn nhân trên khắp thế giới trước khithời hạn đòi tiền chuộc kết thúc
Những cái tên nổi tiếng chịu tác động từ cuộc tấn công này bao gồm gã khổng lồ vận tảiFedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga
Châu Á cũng ghi nhận nhiều trường hợp lây nhiễm ransomware, trong đó đánhg chú ý làviệc sinh viên các trường đại học không thể truy cập vào bài tiểu luận và giấy tờ quantrọng khác phục cho kỳ thi tốt nghiệp
Trên bình diện quốc tế, hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia Theocông ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến
là Ukraina, Ấn Độ và Đài Loan
Trang 14Ít nhất 45 bệnh viện ở Anh và các cơ sở y tế khác phải chịu tổn thất lớn, cản trở hoạt độngthăm khám, chữa trị cho bệnh nhân Thậm chí, nhiều trường hợp đã phải chuyển tới khuvực khác Thủ tướng Theresa May lên tiếng khẳng định, chưa tìm thấy bất kỳ dấu hiệunào chứng tỏ dữ liệu của bệnh nhân bị đánh cắp.
Đến thứ Bảy (13/5/2017), giới chức Anh cho biết có 48 trên tổng số 248 cơ sở y tế công(chiếm gần 20%) bị tấn công Trong đó, 42 trung tâm, bệnh viện đã khắc phục sự cố đểtrở lại hoạt động bình thường Trong tương lai, những loại mã độc như vậy có thể giếtchết con người
Một số trường hợp khác cũng ghi nhận tình trạng lây nhiễm, nhưng không làm gián đoạnhoạt động như Công ty vận tải Đức Deutsche Bahn, Hãng viễn thông Tây Ban NhaTelefónica và Nhà sản xuất ôtô Pháp Renaut
Bộ Nội vụ Nga xác nhận 1.000 máy tính của họ bị tấn công
Công ty bảo mật trực tuyến Trung Quốc Qihoo 360 đưa ra cảnh báo về phần mềm tốngtiền, đồng thời cho hay, nhiều máy tính nước này đã nhiễm ransomware, trong đó cónhững hệ thống đang sử dụng tiền ảo Bitcoin
2.4 Mã độc đào tiền ảo lây lan qua Facebook Messenger (đe dọa đối với kênh truyền thông)
Mã độc đào tiền ảo lây lan qua Facebook Messenger( FacexWorm)
FacexWorm không phải là hình thức tấn công mới Nó đã được phát hiện vào tháng 8năm 2017, mặc dù các nguyên tắc hoạt động và mục tiêu tấn công của nó vẫn chưa rõràng vào thời điểm đó Tuy nhiên, ngày 8 tháng 4 vừa qua, Trend Micro nhận thấy có sựtăng đột biến các hoạt động của FacexWorm ở Đức, Tunisia, Nhật Bản, Đài Loan, HànQuốc và Tây Ban Nha
Các nhà nghiên cứu bảo mật từ hãng Trend Micro vừa phát đi cảnh báo về một loại mãđộc mới đang phát tán qua Facebook Messenger nhắm đến đối tượng là những người cótham gia chơi tiền ảo nhằm đánh cắp tài khoản của họ