Fake AV: giả dạng phần mềm diệt virus lừa ngƣời dùng mua bản quyền . Khi bị nhiễm loại malware này, ngƣời sử dụng sẽ liên tục nhận đƣợc các cảnh báo hệ thống bị nhiễm virus nguy hiểm, cần mua bản quyền để gỡ bỏ. Nhƣng thực chất các cảnh báo này đều là giả và phần mềm đƣa ra cảnh báo này mới chính là malware.
46 Trung tâm phân tích kỹ thuật tập đồn BKAV 47 Trung tâm phân tích kỹ thuật tập đồn BKAV
Hình 1.18: Hình ảnh Fake AV48 8. Ransomeware
Khi máy tính bị nhiễm Ransomeware – mã độc tống tiền, mã độc sẽ tự động mã hoá các file ứng dụng quan trọng trên máy để ngƣời dùng không thể sử dụng đƣợc. Kèm theo đó, là một thơng báo rất chi tiết về cách liên hệ với đơn vị tấn công để trả tiền (thƣờng qua Bitcoin) mua lại cách giải mã các file dữ liệu hoặc ứng dụng này
Hình 1.29: Màn hình tống tiến của mã độc WannaCry49
48 Trung tâm phân tích kỹ thuật tập đồn BKAV 49 Trung tâm phân tích kỹ thuật tập đoàn BKAV
9. Rootkit là Phần mềm can thiêpc̣ sâu vào hê c̣điều hành đểche giấu thơng tin
Ứng
dụng
Ro
otkit thớngHê
Hình 1.20: Sơ đồ Rootkit50
Hình 1.21: Mã Zeus update với thành phần đƣợc trang bị công nghệ Rootkit51
1.2.2.2. Xu hướng phát triển của các loại mã độc hiện nay
Việc phân loại mã độc thƣờng theo mục đích sử dụng và ít khi phân loại theo cách thức lây lan. Hiện nay, các loại mã độc đang phát triển mạnh theo hai xu hƣớng sau:
- Mã độc mã hóa tống tiền – Ransomware.
- Mã độc gián điệp – Spyware a. Ransomware
Ransomware là loại malware ngăn chặn hoặc giới hạn ngƣời dùng sử dụng thiết bị, hệ thống hoặc dữ liệu của mình. Một số mã hóa file khiến ngƣời dùng khơng thể mở đƣợc tài liệu quan trọng, một số khác dùng cơ chế khóa máy để khơng cho nạn nhân tiếp tục sử dụng.
Những trƣờng hợp đầu tiên bị dính ransomware mà đƣợc ghi nhận là tại Nga vào năm 2005 - 2006. Khi đó, một ransomware mang số hiệu TROJ_CRYZIP.A đã nén các tập tin quan trọng của ngƣời dùng lại thành một file zip rồi xóa đi các tập tin gốc. Để mở file zip này thì cần có password. TROJ_CRYZIP.A cịn tạo một file văn bản để làm "thƣ tống tiền" và yêu cầu ngƣời dùng muốn có password để mở file zip thì phải trả 300$.
50 Trung tâm phân tích kỹ thuật tập đồn BKAV 51 Trung tâm phân tích kỹ thuật tập đồn BKAV
Ban đầu ransomware chỉ hoành hành ở Nga, nhƣng nhờ vào cách kiếm lợi nhanh, nhiều và dễ, cùng với sự phát triển của các đồng tiền ảo, các hacker đã sử dụng mã độc này tấn cơng ngƣời dùng khắp thế giới, trong đó có Việt Nam. Tháng 1 năm 2015, hệ thống giám sát của Bkav phát hiện biến thể mới của dịng mã CryptoLocker có tên gọi CTB Locker, đang phát tán mạnh tại Việt Nam. Hàng loạt ngƣời dùng đã nhận đƣợc spam email đính kèm file .zip và khi mở file, máy tính sẽ bị mã hóa các file dữ liệu (Word, Excel), không thể giải mã đƣợc. Dữ liệu đã bị mã hóa sẽ khơng thể đƣợc khơi phục, vì hacker sử dụng thuật mã hóa cơng khai và khóa bí mật dùng để giải mã, chỉ đƣợc lƣu giữ trên server của hacker. Chỉ trong vịng10 ngày, 2.100 máy tính của ngƣời dùng trong nƣớc đã bị nhiễm CTB Locker.
Năm 2016, ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware. Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lƣợng email lƣu chuyển trong năm 2016 là email phát tán Ransomware, nhiều gấp 20 lần năm 2015. Nhƣ vậy, trung bình 10 email trong năm 2016 có 1,6 email chứa ransomware, một con số rất đáng báo động52.
Ransomware mã hóa các file dữ liệu trên máy tính, yêu cầu ngƣời sử dụng phải trả tiền chuộc từ 0,5 đến 1 Bitcoin (từ 500 đến 1.000 USD) để mở file. Đặc biệt, mã độc Popcorn Time xuất hiện trong thời gian gần đây cho phép ngƣời dùng giải mã miễn phí các tập tin của mình nếu làm theo hƣớng dẫn để lây nhiễm cho hai ngƣời khác. Hình thức phát tán chủ yếu của ransomware trong năm 2016 là thơng qua file đính kèm từ các spam email. Khi ngƣời dùng mở file đính kèm, mã độc sẽ chạy trực tiếp hoặc đƣợc file đính kèm tải về từ máy chủ C&C của hacker. Một số hình thức phát tán khác mà ransomware sử dụng là khai thác lỗ hổng, giả mạo trang web, giả mạo các chƣơng trình thơng dụng…
Locky là dòng ransomware lây lan rộng nhất trong năm 2016 với những chiến dịch gửi spam email số lƣợng rất lớn đính kèm các file tài liệu dạng .doc, .xls hoặc script nhƣ .js hay .wsf. Tập tin bị mã hóa từng thời điểm sẽ có đi khác nhau nhƣ *.aesir hay *.odin… Mã độc tống tiền Cerber năm 2016 mã hóa các tập tin dữ liệu và đổi đuôi thành *.cerber, *.cerber2, *.cerber3. .cerber 4 và .cerber 5. mã hóa tống tiền
Tháng 5/2017, mã độc WannaCrypto đã lây nhiễm hàng trăm nghìn máy tính tại 74 quốc gia. Ngày13/5, Hệ thống giám sát virus của Bkav ghi nhận những trƣờng hợp lây nhiễm mã độc này tại Việt Nam. WannaCry tấn cơng máy nạn nhân qua file đính kèm email hoặc link độc hại, nhƣ các dòng ransomware khác, đồng thời đƣợc bổ sung khả năng lây nhiễm trên các máy tính ngang hàng. WannaCry qt tồn bộ máy tính trong cùng
mạng LAN để tìm kiếm thiết bị chứa lỗ hổng EternalBlue của dịch vụ SMB (trên hệ điều hành Windows XP). Từ đó, mã độc có thể lây lan vào các máy có lỗ hổng, mà khơng cần ngƣời dùng phải thao tác trực tiếp với file đính kèm hay link độc hại. WannaCry có thể xếp vào mức nguy hiểm cao nhất, vì vừa lây lan cực nhanh vừa có tính phá hoại53.
Hình 1.22: Giao diện địi tiền chuộc của mã độc mã hóa tống tiền WannaCrypto54
Tại Việt Nam, cịn nhiều máy tính sử dụng hệ điều hành Windows XP tồn tại lỗ hổng EternalBlue, do chƣa vá lỗ hổng đã đƣợc Microsoft cập nhật lên mạng từ lâu, nên đã bị WannaCry khai thác để tấn công. Tới ngày 16/5/2017, tại Việt Nam đã có hơn 1.900 máy tính bị lây nhiễm mã độc tống tiền WannaCry, trong đó, khoảng 1.600 máy tính của
243 cơ quan, doanh nghiệp và khoảng 300 máy tính của ngƣời sử dùng cá nhân55. Đặc biệt, ransomware khơng chỉ nhắm đến ngƣời dùng Windows mà cịn mở rộng sang các hệ điều hành khác nhƣ Linux hay Mac OS, thậm chí cả thiết bị di động chạy Android và smart TV.
b. Phần mềm gián điệp
Phát tán virus đã thực sự trở thành một ngành "công nghiệp" trong hoạt động gián điệp trong các năm gần đây. Hoạt động gián điệp này không chỉ tồn tại ở những nƣớc phát triển nhƣ Mỹ, Đức, Pháp… mà còn hiện hữu ngay tại Việt Nam. Phần mềm gián điệp đã đƣợc ghi nhận xuất hiện tại hầu hết các cơ quan quan trọng từ các cơ quan Chính phủ, Quốc hội tới Bộ Quốc phịng, Bộ Cơng an hay các ngân hàng, viện nghiên cứu, trƣờng đại học… Các phần mềm gián điệp này lợi dụng lỗ hổng bảo mật trong các hệ điều hành, các phần mềm ứng dụng, các Firmware để phát tán.
53 Trung tâm phân tích kỹ thuật tập đồn BKAV 54 Trung tâm phân tích kỹ thuật tập đồn BKAV
Chi tiết nổi bật về xu hƣớng phát triển phần mềm gián điệp mạng cũng là nội dung chính và đƣợc phân tích xuyên suốt đề tài luận văn.
1.2.2.3. Social engineering
Hacker liên tục cải tiến, phát triển mã độc với công nghệ mới nhất và trở nên ngày càng nguy hiểm. Nhƣng khó khăn nhất là làm cách nào cài đƣợc mã độc đó vào máy tính của nạn nhân đƣợc nhắm đến, vì phải tìm đƣợc lỗ hổng bảo mật của hệ điều hành và các phần mềm ứng dụng trong máy tính của nạn nhân, cũng nhƣ phải lừa cho nạn nhân tự tải về mã độc này và cho chạy trên máy tính. Social engineering chính là thủ đoạn lừa nạn nhân tin tƣởng và tự tải về file đã bị đính kèm mã độc bằng cách tạo ra các tình huống hoặc thơng tin hấp dẫn phù hợp với từng nạn nhân, dẫn đến nhầm lẫn hoặc tin tƣởng và tự tải xuống file chứa mã độc hoặc tự truy cập vào một đƣờng link có chứa mã độc. Hậu quả là máy tính bị nhiễm mã độc mà ngƣời dùng không biết. Phần mềm gián điệp ban đầu đƣợc cài vào máy thƣờng là các Back door có chức năng tự động kết nối lên C&C server để tải về các mã độc khác theo lệnh của hacker, thƣờng có các chức năng bí mật lấy cắp dữ liệu hoặc phá hoại dữ liệu. Đây là loại tấn cơng có chủ đích, dai dẳng, thân thiện, thƣờng kéo dài với nhiều thủ đoạn đƣợc tính tốn, nghiên cứu rất kỹ về nạn nhân, nên các cuộc tấn công kéo dài cho đến khi nạn nhân xập bẫy của hacker.
Thông thƣờng, ngƣời dùng không đủ kiến thức về bảo mật máy tính, nên rất dễ bị lừa. Hiện nay, hacker đã phát triển kĩ năng về Social Engineering với những tình huống khơng ngờ nhất, làm cho ngƣời dùng không hề nghi ngờ rằng họ đang bị lừa.
Để phịng chống mã độc, Chính phủ đã ban hành nhiều văn bản pháp qui, qui định về xây dựng Hạ tầng mạng an toàn, đầu tƣ cho bảo mật, an ninh mạng, phòng chống mã độc và khuyến cáo ngƣời dùng sử dụng máy tính an tồn, nhƣng phần lớn các doanh nghiệp và tổ chức vẫn chƣa nhận thức đƣợc đầy đủ nguy cơ và tổ chức bảo vệ hệ thống mạng máy tính cũng nhƣ máy tính của ngƣời dùng trong mạng.
1.2.2.4. Phương thức và xu hướng hoạt động của gián điệp mạng sử dụng mã độc tấn công doanh nghiệp
Hàng loạt các vụ tấn công mạng, mất tài khoản gần đây có ngun nhân từ việc máy tính nạn nhân bị kiểm sốt, lấy cắp thơng tin bởi phần mềm gián điệp. Để phát tán, hacker gửi email đính kèm các file nhƣ Word, Excel, PDF, PowerPoint, Flashplayer… có nội dung hấp dẫn, bị cài virus dạng spyware. Hầu hết ngƣời nhận đƣợc email bị lừa vì tin vào “ngƣời gửi”, tin vào nội dung email, bị cuốn hút bởi file đính kèm…, đã mở file đính kèm và bị nhiễm spyware. Các phần mềm gián điệp này giúp hacker kiểm soát, điều khiển
máy tính nạn nhân từ xa. Chúng cũng nhận lệnh hacker tải các virus khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp dữ liệu.
Hình 1.23: Email giả mạo có đính kèm mã độc56
So với các phƣơng thức hoạt động gián điệp truyền thống, có thể phải mất cả chục năm với rất nhiều công sức và rủi ro cho các “điệp viên”, sử dụng gián điệp mạng có thể thực hiện với chi phí rẻ hơn rất nhiều, thời gian thực hiện rất ngắn, không bị cản trở bới khoảng cách địa lý, biện pháp bảo vệ vật lý, có thể ấn cơng bất cứ mục tiêu nào mà không phải chịu rủi ro về nhân lực, lộ nhân thân, nguồn gốc, vì ln đƣợc thực hiện nặc danh hoặc mạo danh và rất khó tìm nguồn gốc phát tán email. Ngồi ra, để có đƣợc sự hợp tác của các cơ quan pháp luật nƣớc ngồi tìm dấu vết điện tử (dấu vết này luôn đƣợc lƣu trữ trên máy chủ của bên thứ ba tại nƣớc khác), Cảnh sát nƣớc yêu cầu cung cấp chứng cứ phải thực hiện theo thủ tục của Hiệp định tƣơng trợ tƣ pháp (Việt Nam mới chỉ ký 14 Hiệp định tƣơng trợ tƣ pháp về hình sự và dẫn độ với các nƣớc57). Bên cạnh đó, các nƣớc phát triển (là những nƣớc có máy chủ cung cấp dịch vụ và lƣu chứng cứ) thƣờng bảo vệ thông tin cá nhân theo “Privacy Law” và không cung cấp dữ liệu, chứng cứ về nguồn gốc tấn công. Để có thể lấy đƣợc dữ liệu trên máy chủ, Cảnh sát phải cung cấp cho thẩm phán đủ chứng cứ phạm tội (căn cứ vào Luật Hình sự của nƣớc đó), để thẩm phán ký “Search Warrent” là lệnh khám xét, thì nhà cung cấp dịch vụ Internet mới cấp dữ liệu. Đây là khó khăn lớn nhất để tìm ra thủ phạm tấn cơng mạng, nhƣng đồng thời cũng là căn cứ để các cơ quan đặc biệt của các nƣớc tăng cƣờng hoạt động gián điệp mạng mà không lo bị điều tra và xử lý.
Có thể thấy xu hƣớng này qua một số vụ việc điển hình đã diễn ra tại Việt Nam nhƣ sau:
Ngày 29-3-2009, tờ New York Times (NYT) của Mỹ cho biết các nhà nghiên cứu ở Trung tâm nghiên cứu quốc tế Munk của Đại học Toronto (Canada) đã phát hiện một mạng máy tính gián điệp chuyên thâm nhập và lấy cắp dữ liệu (gọi là mạng GhostNet). Trong
56 Trung tâm phân tích kỹ thuật tập đồn BKAV
57https://lanhsuvietnam.gov.vn/Lists/BaiViet/B%C3%A0i%20vi%E1%BA%BFt/DispForm.aspx?List=dc7c7d75-6a32-4215-afeb- 47d4bee70eee&ID=414
gần hai năm, mạng GhostNet đã xâm nhập 1.295 máy tính ở 103 quốc gia, bao gồm nhiều máy thuộc các tổ chức phi chính phủ, các tổ chức quốc tế, đại sứ quán, bộ ngoại giao và văn phịng các chính phủ. Mạng GhostNet đƣợc kiểm sốt bởi các máy chủ điều khiển phần lớn đặt ở Trung Quốc. Trong danh sách các máy tính bị theo dõi, có 130 địa chỉ IP của Việt Nam (Bộ Cơng Thƣơng, Tập đồn Dầu khí Quốc Gia Việt Nam), chiếm 10% tổng số máy bị theo dõi. Số máy tính bị theo dõi của Việt Nam chỉ đứng sau Đài Loan.
Năm 2015, nhóm gián điệp mạng Trung Quốc Naikon tấn cơng các tổ chức chính phủ, quân sự và dân sự khu vực Biển Đơng, trong đó có Việt Nam. Naikon có mục tiêu tấn cơng, xâm nhập vào hệ thống máy tính của các cơ quan chính phủ, các tổ chức quân sự ở các nƣớc Philippines, Malaysia, Cambodia, Indonesia, Việt Nam, Myanmar, Singapore và Nepal. Naikon dùng phƣơng thức tấn cơng APT, lừa nạn nhân mở file đính kèm theo email giả mạo đƣợc thiết kế phù hợp với từng nạn nhân. Tệp tin đính kèm này trơng giống nhƣ file .doc, .exl, .pdf… nhƣng thực chất gắn kèm mã độc .exe.
Chiều 29 tháng 7 năm 2016, trang web chính thức và màn hình hiển thị thơng tin các chuyến bay của hai sân bay Nội Bài và Tân Sơn Nhất bị hacker tấn cơng. Nhóm Hacker Trung Quốc đã thay đổi giao diện trang chủ, tải lên màn hình thơng báo máy tính đã bị hacked, cho thấy hacker đã xâm nhập đƣợc sâu vào hệ thống máy tính của hai sân bay. Đồng thời cơ sở dữ liệu của Vietnam Airlines cũng bị xâm nhập, lấy cắp toàn bộ dữ liệu thơng tin hành khách của Chƣơng trình Bơng sen vàng và phát tán lên mạng Internet. Hệ thống máy chủ của Vietnam Airlines đã bị nhiễm phần mềm gián điệp, bị kiểm soát, theo dõi từ lâu mà không biết. Đây là phƣơng thức tấn công của gián điệp mạng, lợi dụng lỗ hổng bảo mật của Hệ điều hành hoặc các phần mềm của bên thứ ba cung cấp nhƣ Adobe, media player để cài mã độc và phát tán vào hệ thống máy tính.
Nhƣ vậy, có thể thấy với thực trạng nhiều cơ quan, doanh nghiệp bị tấn cơng có chủ đích APT, nhiễm mã độc gián điệp thời gian qua và tồn tại rất lâu trong hệ thống mà không phát hiện đƣợc, dẫn đến cơ quan đặc biệt của nƣớc ngồi có thể kiểm sốt hồn tồn hệ thống máy tính trong mạng LAN và máy tính cá nhân có liên quan và dẫn đến mất hết dữ liệu. Đây là nguy cơ vô cùng nghiêm trọng đối với toàn bộ hệ thống hạ tầng mạng máy tính quốc gia, đặc biệt là đối với các doanh nghiệp, cần phải nghiên cứu và tìm giải pháp ngay và trong dài hạn để phịng chống có hiệu quả tội phạm gián điệp mạng.
CHƢƠNG 2
THỰC TRẠNG HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC HIỆN NAY
Từ những khái niệm và nội hàm đƣợc làm rõ trong chƣơng 1, chƣơng 2 nghiên cứu bức tranh tổng quát khủng hoảng an ninh mạng trên thế giới và chi tiết những cuộc khủng hoảng an ninh mạng tiêu biểu tại Việt nam. Đây là cơ sở thực tiễn quan trọng để chƣơng 3 tổng kết những nguyên nhân và bài học khủng hoảng, nhận định những xu