Các dữ liệu thống kê đã cho chúng ta một bức tranh tƣơng đối đầy đủ về khủng hoảng an ninh mạng những năm qua trên tồn thế giới, trong đó Việt nam là một thành viên của mạng tồn cầu. Tiếp theo, chúng ta sẽ phân tích chi tiết một số cuộc khủng hoảng tiêu biểu tại Việt nam thời gian qua để thấy rõ hơn về nội dung tấn công và cụ thể các vấn đề doanh nghiệp bị hại cần phải giải quyết.
2.2. Một số cuộc khủng hoảng an ninh mạng tiêu biểu tại Việt Nam
65 Theo “Tổng quan tình hình an ninh mạng tại Việt Nam” tại phiên hội thảo chính của Security World 2017 của Cục An ninh mạng - Bộ
Cơng an
Việt nam ln nằm trong nhóm những nƣớc bị tấn cơng mạng nhiều nhất trên thế giới với thiệt hại khơng ngừng gia tăng. Đề tài chọn phân tích 3 cuộc khủng hoảng an ninh mạng lớn, có thể coi là tiêu biểu trong 4 năm trở lại đây, có tính điển hình về cả cách thức tấn cơng, đối tƣợng bị tấn công cũng nhƣ các thiệt hại và ảnh hƣởng tới xã hội. Các khủng hoảng này cũng đại diện cho xu hƣớng tấn công gián điệp mạng, xu hƣớng tấn công mới của giới tội phạm mạng vào các doanh nghiệp Việt Nam. Từ kết quả phân tích, tác giả mong muốn đem lại những nhận thức về nguy cơ an ninh mạng do hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp Việt Nam phục vụ cho ngƣời quản trị an ninh phi truyền thống.
Vụ thứ nhất là Khủng hoảng tấn công mạng bằng mã độc VCCorp năm 2014:
Đây là vụ điển hình của việc tấn cơng bằng phần mềm gián điệp cơng nghiệp, có kế hoạch rõ ràng, bền bỉ, lâu dài và đầu tƣ chi phí tấn cơng lớn. Mục đích của kẻ tấn cơng là xâm nhập, nằm vùng theo dõi lâu dài, thu thập thông tin tài khoản, email và password của quản trị mạng và ngƣời dùng trong mạng, lấy cắp dữ liệu diện rộng, gây thiệt hại cho doanh nghiệp. Khủng hoảng VCCorp năm 2014 đã đánh dấu khủng hoảng an ninh mạng lớn xảy ra trong làng truyền thông Việt Nam với mức độ nguy hiểm và ảnh hƣởng lâu dài. Đối tƣợng bị tấn cơng là cơng ty truyền thơng chính của Bộ TTTT, có nền tảng cơng nghệ thông tin tốt và đội ngũ chuyên môn mạnh so với nền tảng chung của xã hội. Thiệt hại kinh tế rất lớn và nhanh, khơng chỉ làm ảnh hƣởng đến uy tín và tài chính của VCCorp và các bên liên quan, mà còn ảnh hƣởng tới rất nhiều ngƣời sử dụng dịch vụ của VCCorp cũng nhƣ các đối tác.
Vụ thứ hai là giả mạo email của Thủ tƣớng, phát tán mã độc tấn công các doanh nghiệp năm 2015:
Đây là vụ điển hình cho việc tấn cơng diện rộng, chi phí tấn cơng thấp, nhƣng đem lại hiệu quả cao, với phƣơng pháp tấn công bằng cách phán tán mã độc gián điệp mạng vào hệ thống máy tính của doanh nghiệp Việt Nam và ngƣời dùng. Đây cũng là lý do để đề tài lựa chọn và phân tích vụ tấn cơng này.
Vụ thứ ba là khủng hoảng tấn công mạng bằng mã độc vào 2 sân bay và lấy cắp dữ liệu của Việt Nam Airlines năm 2016:
Vụ tấn cơng này điển hình cho phƣơng pháp tấn cơng có chủ đích (APT) với chi phí đầu tƣ tấn cơng lớn, thời gian hoạt động ẩn của mã độc lâu dài trong hệ thống máy tính của doanh nghiệp, nhằm theo dõi, lấy cắp dữ liệu và khi cần thì phá hoại hạ tầng thông tin quốc gia. Hacker đã tấn công vào 3 doanh nghiệp lớn, cung cấp dịch vụ hạ tầng giao thơng hàng khơng nhạy cảm, có nhiều dữ liệu của khách hàng. Cuộc tấn công này cho thấy, phần lớn các vụ tấn
cơng xâm nhập có thể kéo dài nhiều năm mà khơng bị phát hiện, ngay cả những doanh nghiệp lớn cũng rất chủ quan, thiếu đầu tƣ cho an tồn, an ninh mạng, phịng chống tấn cơng mạng và có thể bị thiệt hại lớn cả về uy tín và chi phí để khắc phục hậu quả.
Những vụ tấn công thời gian qua cho thấy, nguy cơ tấn công mạng ngày càng gia tăng vào những doanh nghiệp lớn, có cơ sở dữ liệu quan trọng, khả năng tự phát hiện bị tấn cơng rất thấp, chi phí khắc phục khi bị mất hoặc phá hoại lớn hơn nhiều so với chi phí đầu tƣ cho an ninh mạng, bảo vệ an toàn dữ liệu. Phần lớn các doanh nghiệp cho rằng hacker tấn công nơi khác và không tấn công doanh nghiệp của mình, thậm chí khi đã phát hiện bị tấn cơng, cũng không coi là nghiêm trọng, nên không cần đầu tƣ để bảo vệ hệ thống mạng.
Tính chất đặc thù của tấn công “gián điệp mạng” là giả danh, mạo danh, ẩn danh, sử dụng dịch vụ của bên cung cấp thứ 3 nhƣ email, account, Facebook, nickname…, sử dụng hosting và domain điều khiển của nƣớc khác, xóa mọi dấu vết, thơng tin (kể cả mã nguồn, khi đã mã hóa) về hacker, sử dụng tiền ảo trong giới hacker. Đồng thời, để điều tra loại tội phạm xuyên quốc gia này cần phải hợp tác quốc tế với Cảnh sát các nƣớc nhƣ yêu cầu cung cấp dữ liệu về IP, email, account lại vơ cùng khó khăn, hầu nhƣ khơng thể nhận đƣợc sự hợp tác tìm nguồn gốc truy cập và dấu vết tấn công mạng. Hacker rất tự tin không thể bị bắt khi tấn công mạng. Đây cũng là những nguyên nhân dẫn đến hoạt động tấn công mạng bằng phần mềm gián điệp ngày càng gia tăng và hậu quả thiệt hại ngày càng lớn.
Hầu hết là các doanh nghiệp chỉ biết mình bị tấn cơng gián điệp mạng khi hacker cơng khai hóa cuộc tấn cơng và hậu quả đã vơ cùng nghiêm trọng. Đó cũng chính là lý do luận văn khơng đi vào phân tích lý do, động cơ tấn công của tội phạm mạng, để đƣa ra những biện pháp hạn chế chúng, mà chỉ tập trung vào việc phân tích diễn biến và phân tích kỹ thuật, đánh giá xu hƣớng tấn công, nguyên nhân và bài học từ các vụ khủng hoảng này làm cơ sở để đƣa ra các giải pháp phòng chống và tăng cƣờng an ninh mạng cho doanh nghiệp.
2.2.1. Khủng hoảng VCCorp năm 2014
Tháng 10 năm 2014, hệ thống máy chủ của Công ty cổ phần truyền thông Việt Nam (VCCorp) bị tấn cơng liên tục trong vịng 1 tuần, thiệt hại ƣớc tính lên đến 20-30 tỷ đồng.
Diễn biến vụ việc:
Sáng 13/10/2014, hệ thống trang web do VCCorp phụ trách dữ liệu và kỹ thuật, bao gồm những website đƣợc nhiều ngƣời biết đến nhƣ Dân trí, Kênh 14, Vneconomy, CafeF, Ngƣời lao động và trang web bán hàng nhƣ Muachung… đều không thể truy cập và thông báo "lỗi bảo trì hệ thống", "505 - service unavailable"… Cùng lúc, hệ thống quảng cáo AdMicro Network mà bộ phận quảng cáo Admicro đặt trên các website hợp tác cũng khơng cịn xuất hiện.