Mã độc tấn công vào hệ thống thông tin Cảng hàng khơng Nội Bài là diskperf.exe, có đƣờng dẫn giả mạo phần mềm của Windows, dung lƣợng 3,9 MB, có chức năng mã hóa 84 Trung tâm phân tích kỹ thuật tập đồn BKAV
dữ liệu trong máy và hiển thị hình ảnh cảnh báo tấn công của hacker. Khi bị lây nhiễm, mã độc hiển thị ảnh tấn công của hacker trên màn hình chính, xóa những EventLog của Windows, mã hóa các tập tin dữ liệu và khơng thể giải mã khơi phục, khi khơng có mã khóa do hacker cung cấp.
Vụ tấn cơng website của Vietnamairlines:
- Hacker đã xâm nhập và kiểm sốt đƣợc máy tính bị nhiễm mã độc, nằm vùng, chiếm quyền điều khiển, nâng dần quyền quản trị bằng cách monitor và lấy cắp đƣợc email, account, password có quyền quản trị mạng và quản lý domain, xâm nhập vào server của nhà cung cấp dịch vụ quản lý tên miền, sửa lại IP, trỏ về nameserver khác, hƣớng tên miền của Vietnamairlines đến địa chỉ domain khác.
- Hacker đã xâm nhập vào server lƣu trữ dữ liệu, lấy cắp dữ liệu, trong đó có dữ liệu khách hàng của Vietnam Airlines bị đƣa lên mạng.
-Kết quả phân tích mã độc của Bkav cho thấy, sau khi xâm nhập vào máy tính, mã độc đã ẩn mình trong thời gian dài mà khơng bị phát hiện dƣới vỏ bọc giả mạo là một phần mềm diệt virus. Mã độc có kết nối thƣờng xuyên lên máy chủ điều khiển (C&C Server) thông qua tên miền dcsvn.org (nhái tên miền của website Đảng Cộng sản), để nhận lệnh tải về các module phần mềm gián điệp. Trong đó, tên domain là đƣợc đặt theo tên đặc trƣng của cơ quan, doanh nghiệp mà mã độc nhắm tới. Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm sốt, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại nhƣ xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Ngồi ra, mã độc cịn có thành phần chuyên để thao tác, xử lý với cơ sở dữ liệu SQL.
Hình 2.17: Trojan rundll.exe kết nối C&C server playball.ddns.info và nvedia.ddns.info85.
Sau khi xâm nhập vào máy tính, mã độc hoạt động ẩn dƣới vỏ bọc là phần mềm McAfee anti-virus và anti-spyware, để tránh sự phát hiện. Backdoor này kết nối thƣờng xuyên lên C&C server air.dcsvn.org, để nhận các lệnh điều khiển từ xa, kiểm soát và chiếm quyền điều khiển của máy tính, thu thập dữ liệu, ghi thao tác bàn phím keylogger, chụp màn hình, liệt kê các connection, liệt kê thông tin các process và các module của từng process, chỉnh sửa registry, khởi động, xóa, thay đổi của mọi dịch vụ, xử lý SQL… Dữ liệu đã lấy đƣợc gửi về máy chủ có tên miền playball.ddns.info và nvedia.ddns.info.
Chi tiết các thành phần mã độc tấn cơng VNA nhƣ sau:
Hình 2.18: Trojan giả danh McAee.exe kết nối C&C server air.dcsvn.org86
- Thông tin tên miền air.dcsvn.org nhƣ sau:
http://whois.domaintools.com/dcsvn.org Domain Name: DCSVN.ORG Domain ID: D172349652-LROR WHOIS Server:
Referral URL: www.west263.com Updated Date: 2014-06-24T03:48:08Z
Creation Date: 2014-04-25T02:03:04Z
Registry Expiry Date: 2017-04-25T02:03:04Z
Sponsoring Registrar: Chengdu West Dimension Digital Technology Co., Ltd.
Sponsoring Registrar IANA ID: 1556 Domain Status: ok https://icann.org/epp#ok Registrant ID: 1556-221656-d-01
Registrant Name: Shenzhen Longgang Xingjianxing Electrical Line Registrant Organization: Shenzhen Longgang Xingjianxing Electrical Line
Registrant Street: 85 Hao, Dapitou Rd., Buji Str. Registrant City: Shen Zhen
Registrant State/Province: GD Registrant Postal Code: 518000 Registrant Country: CN
Registrant Phone: +86.075583852686 Registrant Phone Ext:
Registrant Fax: +86.075583852686 Registrant Fax Ext:
Registrant Email:
Admin ID: 1556-221656-a-01 Admin Name: Meng Wang Admin Organization: Meng Wang
Admin Street: 85 Hao, Dapitou Rd., Buji Str. Admin City: Shen Zhen
Admin State/Province: GD Admin Postal Code: 518000 Admin Country: CN
Admin Phone: +86.075583852686 Admin Phone Ext:
Admin Fax: +86.075583852686 Admin Fax Ext:
Tech ID: 1556-221656-t-01
Tech Name: Meng Wang
Tech Organization: Meng Wang
Tech Street: 85 Hao, Dapitou Rd., Buji Str. Tech City: Shen Zhen
Tech State/Province: GD Tech Postal Code: 518000
Tech Country: CN
Tech Phone: +86.075583852686 Tech Fax: +86.075583852686
Name Server: NS6.MYHOSTADMIN.NET Name Server: NS5.MYHOSTADMIN.NET DNSSEC: unsigned
For more information on Whois status codes, please visit https://icann.org/epp
Hình 2.19: Thơng tin tên miền dcsvn.org87
- Hacker sử dụng phần mềm gián điệp lợi dụng lỗ hổng bảo mật (Windows, Word, Excel, Power Point, Adobe Flash Player…) để phát tán. Phƣơng thức tấn cơng là gửi email đính kèm file McAfee.exe, lừa ngƣời dùng đó là phần mềm diệt virus của Hãng bảo mật McAfee Antivirus. Khi ngƣời dùng tải về, mã độc là một Backdoor sẽ kích hoạt cùng file chuẩn của McAfee cùng đoạn code thƣ viện msi.dll có dung lƣợng rất nhỏ 4KB và đọc file McUtil.dll.mc dùng để chạy các file malware. File McUtil.dll.mc có các chức năng: kết nối lên C&C server air.dcsvn.org để nhận lệnh điều khiển và tải về các module phần mềm gián điệp có các chức năng: mở cổng hậu nhận lệnh điều khiển từ xa, chiếm quyền điều khiển máy tính từ xa, duyệt file và thu thập dữ liệu, ghi thao tác bàn phím – Keylogger, chụp màn hình, liệt kê các connection, liệt kê các process và module của từng process, chỉnh sửa Registry, khởi động, xóa và thay đổi config của service và xử lý SQL.
-Mã độc thƣờng đƣợc cài ẩn vào các file phổ biến của Windows Update, Adobe Flash, bộ
gõ Unikey, phần mềm diệt virus…, để lừa ngƣời dùng tải về máy tính của mình. Chúng hoạt động ẩn nên rất khó phát hiện. Các mã độc này âm thầm lấy cắp thông tin… gửi về máy chủ hosting của hacker (thƣờng đƣợc bên thứ 3 cung cấp dịch vụ host nhƣ Gmail, Yahoo, hoặc host ở vị trí địa lý mà Interpol khơng thể can thiệp đƣợc). Trong nhiều năm qua, các vụ tấn
công sử dụng phần mềm gián điệp đƣợc ghi nhận trong nhiều cuộc tấn cơng có chủ đích tại các cơ quan Chính phủ, Quốc hội, các viện nghiên cứu và trƣờng đại học.
- Đánh giá mức độ ảnh hƣởng: Hệ thống hàng không gồm 3 thành phần: Vận tải hàng không (chuyên chở khách và hàng hóa - các hãng hàng khơng), Cảng hàng không - sân bay (đảm bảo hạ tầng khu bay và khu vực làm thủ tục hành khách, hàng hóa) và Quản lý bay (bảo đảm các dịch vụ cho các chuyến bay thực hiện an toàn hiệu quả). Mỗi thành phần lại có một hệ thống mạng độc lập. Hệ thống Quản lý bay (Air Traffic Management System - ATM) có nhiệm vụ bảo đảm cho các chuyến bay đƣợc thực hiện an toàn. Hệ thống đƣợc xây dựng và vận hành tuân thủ những yêu cầu nghiêm ngặt về an ninh, an tồn của tổ chức Hàng khơng dân dụng quốc tế (ICAO). Trong lịch sử ngành hàng không thế giới chƣa ghi nhận vụ tấn công nào vào hệ thống Quản lý bay đƣợc thực hiện thành công. Một số hệ thống hàng không của các nƣớc trên thế giới cũng từng là mục tiêu của tội phạm mạng, tuy nhiên các vụ việc này chủ yếu tấn công vào hệ thống website dịch vụ phụ trợ nhƣ vụ tấn công từ chối dịch vụ DDoS sân bay Narita, Nhật Bản tháng 1/2016 hoặc tấn công khai thác lỗ hổng website của sân bay quốc tế Norwich, Mỹ tháng 10/2015. Trong vụ tấn công Vietnam Airlines và hệ thống thông tin hai sân bay Việt Nam, hacker mới chỉ xâm nhập đƣợc hệ thống mạng thông tin hiển thị về chuyến bay của hai sân bay, chƣa có dấu hiệu tấn cơng vào hệ thống Quản lý bay và cơ sở dữ liệu đặt chỗ, mua vé của Vietnamairline. Do đó, sự an tồn của các chuyến bay khơng bị ảnh hƣởng.
Hình 2.20: Hệ thống vận hành cảng hàng không88
CHƢƠNG 3
NGUYÊN NHÂN, XU HƢỚNG VÀ MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC TẤN CÔNG DOANH NGHIỆP LỚN VIỆT NAM
Chƣơng này tập trung vào việc đƣa ra các nguyên nhân và bài học từ thực tiễn các cuộc khủng hoảng, nhìn nhận xu hƣớng phát triển của tội phạm mạng, những giải pháp phòng chống và tăng cƣờng an ninh mạng cho các doanh nghiệp lớn tại Việt Nam. Tác giả cố gắng đƣa ra các biện pháp và kế hoạch hành động thiết thực, khả thi với nguồn lực hợp lý nhằm giải quyết câu hỏi đặt ra “với tình hình thế thì doanh nghiệp phải làm gì, bắt đầu từ đâu?”.
3.1. Một số nguyên nhân và bài học từ các cuộc khủng hoảng
Có rất nhiều nguyên nhân gây ra những cuộc khủng hoảng an ninh mạng nêu trên, tuy nhiên có thể gộp lại thành 3 nhóm ngun nhân chính nhƣ sau:
- Một là, cơ sở hạ tầng: thiếu các giải pháp, thiết bị an ninh mạng để phát hiện, ngăn chặn các cuộc tấn cơng;
-Hai là, quy trình quản trị mạng: thiếu hoặc khơng tn thủ các quy trình quản trị;
-Ba là, yếu tố con ngƣời: thiếu ý thức, kỹ năng của ngƣời sử dụng, trình độ chun mơn sâu về bảo mật chƣa tốt của quản trị viên hệ thống mạng.
3.1.1. Về cơ sở hạ tầng mạng
Một hệ thống thông tin phải đƣợc trang bị các giải pháp bảo vệ an ninh bảo mật toàn diện từ hạ tầng tới ứng dụng, từ vùng mạng bên ngoài cho tới mạng nội bộ bên trong. Những thiếu sót về giải pháp, cơng nghệ trong các cuộc khủng hoảng điển hình ở trên gồm:
-Thiếu thiết bị an ninh mạng cơ bản nhƣ Firewall: việc thiếu hệ thống Firewall làm cho tồn bộ mạng máy tính có thể bị dị qt và khai thác lỗ hổng khi kết nối internet. Các thiết bị Firewall cần thiết để bảo vệ các cổng kết nối mạng, phải đƣợc cập nhật, nâng cấp và cấu hình phù hợp để phát huy hết tính năng. Trong các vụ việc vừa qua, có đơn vị đã trang bị hệ thống Firewall, nhƣng khơng đƣợc cấu hình phù hợp, dẫn tới bị vơ hiệu hóa tồn bộ các chức năng bảo vệ của hệ thống. Nguy hại hơn, các Firewall này cịn tạo ra tâm lý “chủ quan” vì tƣởng rằng đã có Firewall bảo vệ. Bên cạnh đó, việc sử dụng thiết bị của các nhà cung cấp uy tín cũng đóng vai trị quan trọng đối với an ninh quốc gia. Do vậy, cần kiểm tra mã độc trƣớc khi đƣa các thiết bị mạng vào triển khai. Tháng 1/2016, một lỗ hổng quan trọng trong hệ điều hành FortiOS của thiết bị Firewall hãng Fortinet đƣợc phát hiện (đƣợc sử dụng khá phổ biến ở Việt Nam), có chứa một backdoor SSH có thể đƣợc dùng để truy cập thiết bị từ xa. Trong vụ tấn công hai sân bay, khi tiến hành điều tra sự cố, các chuyên gia cũng thực sự “ngạc nhiên” vì tồn bộ các thiết bị của hệ thống thông tin ở 2 sân
bay (hệ thống server hiển thị thông tin chuyến bay và hệ thống phát thanh bị xâm nhập chiếm quyền kiểm sốt), hồn tồn thiếu các hệ thống Firewall bảo vệ vịng ngồi cũng nhƣ phân tách các vùng mạng trong và mạng ngoài. Trong khi đây là các yêu cầu tối thiểu của việc bảo mật cho một hệ thống công nghệ thông tin.
- Thiếu hệ thống phát hiện xâm nhập (IPS/IDS): các hệ thống IPS/IDS có tác dụng phát hiện các bất thƣờng trong hệ thống mạng từ đó phát hiện nguy cơ tấn cơng vào hệ thống. Trong các cuộc khủng hoảng ở trên, mã độc đã đƣợc cài cắm vào hệ thống từ nhiều năm trƣớc và khơng bị phát hiện, cho đến khi có các dấu hiệu tấn cơng rõ ràng. Việc khơng có các hệ thống phát hiện tấn công sớm, tạo điều kiện cho hacker quét lỗ hổng bảo mật, tìm điểm yếu và tìm các phƣơng thức tấn công hiệu quả vào hệ thống, xâm nhập và nâng dần quyền truy cập mà không bị phát hiện. Trong các vụ việc kể trên, hầu hết các đơn vị đều khơng có giải pháp, thiết bị phát hiện xâm nhập tấn công hiệu quả. Kết quả điều tra ở VietNam Airlines cho thấy, hacker đã chuẩn bị và xâm nhập vào hệ thống trƣớc đó 2 năm mà quản trị không biết (tên miền của máy chủ điều khiển dcsvn.org đƣợc đăng ký vào năm 2014). Việc phát hiện các cuộc tấn công APT nhƣ tấn công vào Vietnam Airlines khơng thể nhận biết bằng “mắt thƣờng” mà phải có những cơng cụ giám sát và phát hiện, cảnh báo tự động, từ đó ngăn chặn sớm việc lây lan sâu/rộng vào trong hệ thống.
-Hệ thống mã hóa tạo kênh riêng ảo khi truy cập từ xa (VPN) và xác thực an toàn: ở các vụ việc trên, hacker thƣờng tấn cơng vào máy tính của quản trị viên, từ đó tấn cơng xâm nhập
sâu hơn vào hệ thống server từ các máy của quản trị viên. Việc thiếu các biện pháp mã hóa kênh truyền và xác thực mạnh tạo cơ hội cho hacker khi đã có tài khoản vào các server, có thể dễ dàng truy cập từ xa vào bất kỳ thời điểm nào mà không bị cảnh báo. Trong vụ tấn công vào VC Corp, hacker đã xâm nhập vào hàng trăm server để xóa dữ liệu, sau khi đã xâm nhập đƣợc vào máy tính của quản trị viên và dùng danh sách tài khoản/mật khẩu để xâm nhập vào vài trăm server khác từ những thơng tin lấy đƣợc trong máy tính của quản trị viên. Điều này đƣợc thực hiện một cách khá dễ dàng vì sau khi kiểm sốt máy tính của quản trị viên, hacker đã sử dụng sniffer thu thập dữ liệu trong mạng LAN một thời gian dài và lấy đƣợc thông tin truy cập (ID và mật khẩu truy cập) vào các server trong hệ thống.
Nhƣ vậy, từ những điểm yếu trong hệ thống thông tin đã bị khai thác cho thấy, việc đầu tƣ, nâng cấp thƣờng xuyên hạ tầng mạng với đầy đủ các giải pháp, thiết bị để phát hiện, cảnh báo và ngăn chặn kịp thời các cuộc tấn công là rất cần thiết, tránh việc mua vừa thừa những thiết bị không cần thiết, nhƣng thiếu những thiết bị cốt lõi. Thực tế trung bình cần đầu tƣ từ 5- 10% tổng mức đầu tƣ hệ thống thông tin cho an ninh mạng là có thể giảm thiểu tối đa các nguy cơ tấn công vào hệ thống.
3.1.2. Về qui trình quản trị mạng
Quy trình quản lý an ninh thơng tin, quy trình quản trị là một yếu tố quan trọng trong đảm bảo an ninh thông tin. Việc thiếu hoặc thực hiện khơng đầy đủ các quy trình sẽ tạo ra các rủi ro vô cùng lớn đối với hệ thống. Trong các cuộc tấn công trên, hacker đều lợi dụng các lỗ hổng của những phần mềm phổ biến, đã có bản vá an ninh đƣợc cơng bố, nhƣng do các phần mềm này trên các máy tính của quản trị viên không đƣợc cập nhật, dẫn tới hacker dễ dàng khai thác các lỗ hổng này để xâm nhập, kiểm sốt máy tính, từ đó tấn cơng sâu hơn vào hệ thống mạng của tổ chức.
Bên cạnh đó, việc cài đặt các phần mềm khơng có bản quyền, từ các nguồn khơng tin cậy cũng là nguyên nhân bị lây nhiễm mã độc, phần mềm gián điệp. Trong các cuộc khủng hoảng nêu trên, đã có trƣờng hợp phát hiện quản trị mạng bị lây nhiễm phần mềm gián điệp từ một phần mềm quản trị mạng khơng có bản quyền, bẻ khóa.
Theo một nghiên cứu của Bkav, số đƣờng link cho phép tải về những phần mềm phổ biến miễn phí, nhƣng có chứa mã độc nhƣ Unikey, IDM (hỗ trợ download…) nhiều hơn số link “sạch”.
Việc khơng kiểm sốt hoặc kiểm sốt khơng chặt chẽ những phần mềm đƣợc phép cài đặt trên máy tính của từng nhân viên là một trong các nguyên nhân chính tạo ra lỗ hổng bảo mật trong hệ thống, tạo điều kiện cho hacker tấn cơng có chủ đích, tấn cơng sử dụng phần mềm gián điệp thành công.
Vụ tấn cơng mạng tại VCCorp là một điển hình của việc thiếu quản lý trong cài đặt phần mềm. Quản trị viên hệ thống đã tự ý tải và cài đặt một phần mềm hỗ trợ quản trị mạng mà không biết rằng phần mềm đó đã đƣợc gắn kèm phần mềm gián điệp để theo dõi máy tính của quản trị, từ đó lấy cắp thơng tin để hacker xâm nhập sâu vào hệ thống.
Bên cạnh đó, việc có nhƣng khơng tn thủ các quy định cũng là nguyên nhân gây mất an ninh mạng. Qua điều tra vụ VCCorp, ban đầu để truy cập vào hệ thống server, một hệ thống xác thực qua SMS sử dụng mật khẩu một lần (OTP – One Time Passsord) đƣợc sử dụng. Khi