So với các phƣơng thức hoạt động gián điệp truyền thống, có thể phải mất cả chục năm với rất nhiều công sức và rủi ro cho các “điệp viên”, sử dụng gián điệp mạng có thể thực hiện với chi phí rẻ hơn rất nhiều, thời gian thực hiện rất ngắn, không bị cản trở bới khoảng cách địa lý, biện pháp bảo vệ vật lý, có thể ấn cơng bất cứ mục tiêu nào mà không phải chịu rủi ro về nhân lực, lộ nhân thân, nguồn gốc, vì ln đƣợc thực hiện nặc danh hoặc mạo danh và rất khó tìm nguồn gốc phát tán email. Ngồi ra, để có đƣợc sự hợp tác của các cơ quan pháp luật nƣớc ngồi tìm dấu vết điện tử (dấu vết này luôn đƣợc lƣu trữ trên máy chủ của bên thứ ba tại nƣớc khác), Cảnh sát nƣớc yêu cầu cung cấp chứng cứ phải thực hiện theo thủ tục của Hiệp định tƣơng trợ tƣ pháp (Việt Nam mới chỉ ký 14 Hiệp định tƣơng trợ tƣ pháp về hình sự và dẫn độ với các nƣớc57). Bên cạnh đó, các nƣớc phát triển (là những nƣớc có máy chủ cung cấp dịch vụ và lƣu chứng cứ) thƣờng bảo vệ thông tin cá nhân theo “Privacy Law” và không cung cấp dữ liệu, chứng cứ về nguồn gốc tấn cơng. Để có thể lấy đƣợc dữ liệu trên máy chủ, Cảnh sát phải cung cấp cho thẩm phán đủ chứng cứ phạm tội (căn cứ vào Luật Hình sự của nƣớc đó), để thẩm phán ký “Search Warrent” là lệnh khám xét, thì nhà cung cấp dịch vụ Internet mới cấp dữ liệu. Đây là khó khăn lớn nhất để tìm ra thủ phạm tấn cơng mạng, nhƣng đồng thời cũng là căn cứ để các cơ quan đặc biệt của các nƣớc tăng cƣờng hoạt động gián điệp mạng mà không lo bị điều tra và xử lý.
Có thể thấy xu hƣớng này qua một số vụ việc điển hình đã diễn ra tại Việt Nam nhƣ sau:
Ngày 29-3-2009, tờ New York Times (NYT) của Mỹ cho biết các nhà nghiên cứu ở Trung tâm nghiên cứu quốc tế Munk của Đại học Toronto (Canada) đã phát hiện một mạng máy tính gián điệp chuyên thâm nhập và lấy cắp dữ liệu (gọi là mạng GhostNet). Trong
56 Trung tâm phân tích kỹ thuật tập đoàn BKAV
57https://lanhsuvietnam.gov.vn/Lists/BaiViet/B%C3%A0i%20vi%E1%BA%BFt/DispForm.aspx?List=dc7c7d75-6a32-4215-afeb- 47d4bee70eee&ID=414
gần hai năm, mạng GhostNet đã xâm nhập 1.295 máy tính ở 103 quốc gia, bao gồm nhiều máy thuộc các tổ chức phi chính phủ, các tổ chức quốc tế, đại sứ quán, bộ ngoại giao và văn phịng các chính phủ. Mạng GhostNet đƣợc kiểm sốt bởi các máy chủ điều khiển phần lớn đặt ở Trung Quốc. Trong danh sách các máy tính bị theo dõi, có 130 địa chỉ IP của Việt Nam (Bộ Công Thƣơng, Tập đồn Dầu khí Quốc Gia Việt Nam), chiếm 10% tổng số máy bị theo dõi. Số máy tính bị theo dõi của Việt Nam chỉ đứng sau Đài Loan.
Năm 2015, nhóm gián điệp mạng Trung Quốc Naikon tấn cơng các tổ chức chính phủ, quân sự và dân sự khu vực Biển Đơng, trong đó có Việt Nam. Naikon có mục tiêu tấn cơng, xâm nhập vào hệ thống máy tính của các cơ quan chính phủ, các tổ chức quân sự ở các nƣớc Philippines, Malaysia, Cambodia, Indonesia, Việt Nam, Myanmar, Singapore và Nepal. Naikon dùng phƣơng thức tấn công APT, lừa nạn nhân mở file đính kèm theo email giả mạo đƣợc thiết kế phù hợp với từng nạn nhân. Tệp tin đính kèm này trơng giống nhƣ file .doc, .exl, .pdf… nhƣng thực chất gắn kèm mã độc .exe.
Chiều 29 tháng 7 năm 2016, trang web chính thức và màn hình hiển thị thơng tin các chuyến bay của hai sân bay Nội Bài và Tân Sơn Nhất bị hacker tấn cơng. Nhóm Hacker Trung Quốc đã thay đổi giao diện trang chủ, tải lên màn hình thơng báo máy tính đã bị hacked, cho thấy hacker đã xâm nhập đƣợc sâu vào hệ thống máy tính của hai sân bay. Đồng thời cơ sở dữ liệu của Vietnam Airlines cũng bị xâm nhập, lấy cắp toàn bộ dữ liệu thơng tin hành khách của Chƣơng trình Bơng sen vàng và phát tán lên mạng Internet. Hệ thống máy chủ của Vietnam Airlines đã bị nhiễm phần mềm gián điệp, bị kiểm sốt, theo dõi từ lâu mà khơng biết. Đây là phƣơng thức tấn công của gián điệp mạng, lợi dụng lỗ hổng bảo mật của Hệ điều hành hoặc các phần mềm của bên thứ ba cung cấp nhƣ Adobe, media player để cài mã độc và phát tán vào hệ thống máy tính.
Nhƣ vậy, có thể thấy với thực trạng nhiều cơ quan, doanh nghiệp bị tấn cơng có chủ đích APT, nhiễm mã độc gián điệp thời gian qua và tồn tại rất lâu trong hệ thống mà không phát hiện đƣợc, dẫn đến cơ quan đặc biệt của nƣớc ngồi có thể kiểm sốt hồn tồn hệ thống máy tính trong mạng LAN và máy tính cá nhân có liên quan và dẫn đến mất hết dữ liệu. Đây là nguy cơ vô cùng nghiêm trọng đối với toàn bộ hệ thống hạ tầng mạng máy tính quốc gia, đặc biệt là đối với các doanh nghiệp, cần phải nghiên cứu và tìm giải pháp ngay và trong dài hạn để phịng chống có hiệu quả tội phạm gián điệp mạng.
CHƢƠNG 2
THỰC TRẠNG HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC HIỆN NAY
Từ những khái niệm và nội hàm đƣợc làm rõ trong chƣơng 1, chƣơng 2 nghiên cứu bức tranh tổng quát khủng hoảng an ninh mạng trên thế giới và chi tiết những cuộc khủng hoảng an ninh mạng tiêu biểu tại Việt nam. Đây là cơ sở thực tiễn quan trọng để chƣơng 3 tổng kết những nguyên nhân và bài học khủng hoảng, nhận định những xu hƣớng tấn cơng mạng, từ đó đƣa ra những giải pháp phịng chống gián điệp mạng sử dụng mã độc tấn cơng doanh nghiệp lớn Việt Nam.
2.1. Tình hình khủng hoảng an ninh mạng hiện nay
Chúng ta sẽ cùng phân tích tình hình an ninh mạng từ năm 2013 khi mà phát tán virus thực sự trở thành một ngành "cơng nghiệp" trong hoạt động gián điệp mạng. Ngồi hình thức phát tán lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, PowerPoint), các phần mềm gián điệp đã tiến thêm một bƣớc là kết hợp sử dụng hình thức phishing, tạo ra xu hƣớng phát triển ngày càng nguy hiểm và khó lƣờng.
Trƣớc tiên, chúng ta thống kê lại các vụ khủng hoảng an ninh mạng lớn trên thế giới từ năm 2013 trở lại đây:
Năm 2013
Bảng 2.1: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2013
TT Tổ chức 1 Cục dự trữ liênbang Mỹ 2 Facebook 3 Twitter 4 Apple 5 Evernote 6 Drupal
8 Yahoo! Japan 9 Adobe 10 Shinhan, Nonghyup, Jeju Woori 11 YTN, MBC, KBS 12 The York Times Năm 2014
Bảng 2.2: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2014
TT Tổ chức 1 Apple iCloud 2 Snapchat 3 eBay 4 Home Depot 5 Sony Pictures
Chase 7 Hệthống Camera trên toàn giới 8 VCCorp Năm 2015
Bảng 2.3: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2015
TT Tổ chức 1 Các thiết bị Android 2 Apple MacKeeper 3 Vtech 4 Phòng quản lý nhân Mỹ 5 T-Mobile 6 TalkTalk 7 Ashley Madison
9 IRS 10 Banco Austro 11 TPBank 12 NH Bangladesh 13 Hacking Team 14 Lầu Góc 15 Hạ Đức (Bundestag) 16 Philippines, Malaysia, Cambodia, Indonesia, Việt Myanmar, Singapore, và Nepal 40
Năm 2016
Bảng 2.4: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2016
TT Tổ chức 1 Yahoo 2 Friend Finder Networks 3 LinkedIn 4 Tumblr 5 Dailymo tion 6 Rambler 7 Mossack Fonseca (hồ Panama) 8 Đảng dân Mỹ 9 Dyn 10 Deutsche Telekom 11 2 sân bay 12 Vietcom bank
Trƣớc hết, có thể nhận thấy hầu hết những cuộc khủng hoảng lớn đều là kết quả của những cuộc tấn cơng có chủ đích APT. Qua dữ liệu thống kê trên cũng nhƣ thống kê của các tập đoàn an ninh mạng trên thế giới cho thấy số lƣợng, mục tiêu, cách thức tấn công, mức độ nguy hiểm và tinh vi của tấn công APT đã không ngừng gia tăng theo thời gian.
Năm 2013, các cuộc tấn cơng APT trên tồn cầu tăng 91% và kéo dài trung bình gấp ba lần so với các cuộc tấn cơng năm 2012. Cùng với đó, thời gian nằm vùng kéo dài nhiều tháng, trƣớc khi tấn cơng thay vì tấn cơng nhanh. Lỗ hổng zero-day và các trang web chƣa đƣợc vá lỗi tạo kẽ hở cho tội phạm tấn công. Việc tấn cơng các lỗ hổng zero-day rất khó phát hiện, vì chúng cho phép hacker bí mật lây nhiễm lên hệ thống của nạn nhân, mà không bị lệ thuộc vào kiến trúc mạng. 77% các trang web chính thống có chứa những lỗ hổng, có thể bị khai thác và cứ 8 website thì có 1 website có chứa những lỗ hổng lớn dễ bị khai thác58.
Năm 2014, các mã độc công nghiệp đã bắt đầu đƣợc tạo ra với chi phí lớn hơn, bắt đầu hƣớng tới phục vụ cho tấn công mạng với các mục đích chính trị, xã hội và kinh tế. Điều nguy hiểm là, tội phạm mạng tích cực sử dụng Proxy nhƣ mạng Tor để che giấu nguồn gốc tấn công, mã độc, hoạt động kinh doanh mã độc và dữ liệu lấy cắp đƣợc.
Cùng với đó, tội phạm mạng chuyên nghiệp tiếp tục xâm nhập vào các mạng doanh nghiệp bằng cách tấn công APT cao theo phƣơng pháp spear-phishing, kết hợp với kiểu tấn công tự động tải về phần mềm độc hại cũng nhƣ khai thác lỗ hổng trên trình duyệt web. Năm 2015, 2016 ghi nhận xu hƣớng tội phạm APT tấn công mạnh vào hạ tầng trọng yếu quốc gia, các tổ chức nhà nƣớc với mục đích chính trị rõ nét.
Tổng kết bức tranh khủng hoảng an ninh mạng thời gian qua theo các xu hƣớng gây thiệt hại chính cho thấy:
1. Xu hướng tấn cơng APT lấy cắp thơng tin, làm rị rỉ dữ liệu
- Tấn công lấy cắp dữ liệu ngày càng gia tăng với đơn vị thơng tin rị rỉ lớn: Năm
2012 mới có hơn 300 triệu định danh ngƣời dùng bị lộ, năm 2013 con số này là 552 triệu (tăng 62%) và năm 2014 đã lên tới hơn 1 tỷ đơn vị (tăng 54%), con số này tiếp tục gia tăng trong năm 2015 và 201659.
Ngồi ra, số lƣợng các vụ rị rỉ lớn cũng không ngừng gia tăng. Năm 2012, chỉ duy nhất một vụ rò rỉ mất hàng chục triệu bản dữ liệu và năm 2013 con số này đã là 8 vụ. Năm 2014, ghi nhận các vụ rò rỉ lên tới hàng trăm triệu file và tới năm 2016 thậm chí nhiều vụ tới hàng nửa tỷ bản ghi dữ liệu bị lấy cắp.
58 Số liệu của Kaspersky Lab, 2013
- Đối tượng tấn công là những cơng ty, tổ chức có chứa lượng dữ liệu người dùng, khách hàng lớn, thông tin xã hội nhạy cảm: Đó là những cơng ty cơng nghệ, mạng xã hội,
cơ quan chính phủ, ngân hàng, nhà sản xuất xe hơi, đồ chơi trẻ em và hay những website hẹn hò trực tuyến, website dịch vụ nhạy cảm…
- Cách thức và môi trường tấn công cũng không ngừng được mở rộng: Các nhóm
tội phạm liên tục cải tiến phần mềm độc hại, sử dụng nhiều cách xâm nhập và chiến lƣợc tấn công với mức độ nguy hiểm và sự tinh vi ngày càng lớn.
- Mục đích của tội phạm lấy cắp thơng tin cũng ngày càng đa dạng: Bên cạnh
những mục đích truyền thống nhƣ lấy cắp thơng tin thẻ tín dụng, chiếm đoạt tài chính, mã hóa tống tiền tổ chức cơng ty…, tội phạm cịn hƣớng tới thông tin xã hội, đặc biệt thơng tin chính trị và thơng tin quản lý quan trọng…
2. Xu hướng tống tiền bằng mã độc
Năm 2012 đánh dấu sự bắt đầu của mã độc tống tiền và thay đổi về cách thức hoạt động, thì năm 2013 đã phát triển rất mạnh, tăng tới 500%. Những kẻ lừa đảo trực tuyến tiếp tục lợi dụng mã độc tống tiền để chiếm đoạt tiền bằng cách giả mạo một đơn vị thực thi pháp luật và yêu cầu ngƣời dùng phải trả một khoản tiền phạt.
Năm 2014, ghi nhận sự gia tăng đột biến của phần mềm tống tiền. Hacker đã cải tiến thuật tốn mã hóa file và phƣơng pháp lây nhiễm của chƣơng trình, đồng thời nhắm đến cả Windows lẫn Android. Bên cạnh phƣơng thức tấn công email, tội phạm cũng đã tiến hành những phƣơng thức tấn công mới trên các thiết bị di động cũng nhƣ các mạng xã hội nhằm hƣớng tới nhiều ngƣời dùng hơn và tốn ít cơng sức hơn. Thay vì giả dạng là đơn vị thực thi pháp luật đòi tiền phạt, phƣơng thức tấn công kiểu crypto-ransomeware nguy hiểm hơn, khi giữ lại các tập tin, hình ảnh và nội dung số khác để tống tiền.
Thống kê cho thấy, mã độc tống tiền đã tăng 113%, trong đó chú ý là tỷ lệ nạn nhân của mã độc tống tiền dạng crypto đã tăng lên gấp 45 lần so với năm 2013 và 70% các cuộc tấn công lừa đảo trên mạng xã hội đƣợc chia sẻ theo cách thủ công, khi tội phạm mạng lợi dụng sự tin tƣởng của ngƣời dùng về nội dung đƣợc chia sẻ từ bạn bè.
Một loạt các mã độc tống tiền xuất hiện bao gồm: Locky, DMA Locker, Surprise và biến thể Ranscam địi tiền chuộc nhƣng lại xóa ln cả dữ liệu.... Trong số các mã độc tống tiền tăng nhanh, đáng chú ý nhất là mã độc Crypto đã tăng từ 6,6% lên 31,6%.60
Tới năm 2015 và năm 2016, mã độc tống tiền Ransomware đã thực sự trở thành vấn nạn. Theo Kaspersky Lab, năm 2016, cứ 40 giây lại xuất hiện một cuộc tấn công vào doanh nghiệp và số lƣợng các cuộc tấn công đã tăng lên gấp 3 lần. Thời gian này cũng ghi nhận sự sự 60 Tổng hợp trên dữ liệu Global Intelligence Network của Symantec, 2016
phát triển của mã độc tống tiền dạng mã hóa. Số kiểu ransomware đã tăng lên 17,7% trong vòng hai năm và số biến thể encryptor tăng lên 5.5 lần, từ 131,111 biến thể (2014-2015) lên tới 718,536 biến thể (2015-2016). Biến thể blocker giảm 13% từ 1,836,673 xuống còn 1,597,395 biến thể. Tại thời điểm 2014-2015, mã độc CryptoWall chiếm khoảng 59% các vụ tấn công. Năm 2015-2016, TeslaCrypt đã thay thế với 49% các vụ tấn công61.
Qua xu hƣớng phát triển của mã độc tống tiền trong 5 năm trở lại đây, có thể thấy:
Thứ nhất là, Ransomware không ngừng gia tăng về các chủng loại và biến thể, càng ngày càng tinh vi.
Shade, 0.24 Aura, 1 .25 Fury, 1.44 CTB-Locker, 1.6 Cryakl, 5.66 Mor, 1.56 Shade, 2.91 CryptoWall, 5.21
Scatter, 8.66