CÁC LOẠI TỘI PHẠM XÂM PHẠM AN NINH MẠNG

Một phần của tài liệu An ninh truyền thông (Trang 104 - 109)

4.1. TỘI PHÁT TÁN VIRUS, CHƢƠNG TRÌNH TIN HỌC CĨ TÍNH NĂNG GÂY HẠI NĂNG GÂY HẠI

Các loại chương trình tin học có tính năng gây hại (gọi tắt là virus) có chức năng lây lan (virus, worm), phá hủy, thay đổi, lấy trộm dữ liệu (malware, keylogger, sniffer), điều khiển bí mật, tấn cơng từ chối dịch vụ DDOS (trojan điều khiển từ xa), lập cửa hậu (backdoor)... Hành vi phát tán, lan truyền virus là thơng qua máy tính, mạng máy tính hoặc bằng các phương pháp như cài trực

tiếp từ USB, nhắn tin qua điện thoại di động..., để cài đặt virus vào máy tính nạn nhân và gây ra hậu quả nghiêm trọng như trộm cắp, phá hủy dữ liệu....

Quá trình biến đổi của các loại mã độc

Các phần mềm độc hại đặc biệt và các biến thể có mục tiêu tấn công cụ thể,

không phát tán rộng rãi, để tránh bị các phần mềm diệt virus phát hiện và diệt, ngày càng trở nên tinh vi và thay đổi liên tục, khiến cho các giải pháp phòng chống vi rút hoạt động không hiệu quả. Công nghệ tấn công mạng nguy hiểm nhất là sử dụng các loại phần mềm gián điệp của tin tặc và các cơ quan đặc biệt nước ngồi, trong đó có nhiều loại là phần mềm gián điệp công nghiệp, được thiết kế, lập trình rất tinh vi, hoạt động ở chế độ ẩn, có các chức năng như điều khiển từ xa, tự động cập nhật lệnh mới, ghi thơng tin gõ bàn phím, duyệt và

lấy cắp dữ liệu, chụp ảnh màn hình, mở micro nghe mơi trường, mã hóa dữ liệu

và gửi vào email được lưu trên một máy chủ trung gian để giấu nguồn gốc của hacker. Hầu hết các phần mềm diệt virus không phát hiện và diệt được các phần mềm gián điệp loại này.

Bốn thủ đoạn tấn cơng từ bên ngồi vào hệ thống mạng bằng mã độc:

1. Tấn công APT (Advanced Persistent Threat) bằng mã độc: là thủ đoạn

tấn cơng có chủ đích đến những người nắm giữ thơng tin nhạy cảm, bằng cách tìm hiểu thói quen của nạn nhân, để lừa gửi email gắn phần mềm gián điệp có điều khiển (kết nối nhận lệnh từ command and control server), cài vào hệ thống và lây lan trong hệ thống máy tính với mục đích kiểm sốt tồn bộ mạng máy tính và lấy cắp dữ liệu. Đây là kiểu tấn công nguy hiểm nhất và phổ biến nhất

với mục đích gián điệp, khủng bố, phá hoại, chiến tranh mạng, tội phạm công nghệ cao..., thường do một tổ chức đặc biệt ở nước ngoài thực hiện, vì vậy rất khó điều tra tìm nguồn gốc (phải do cơ quan thực thi pháp luật của nước có IP tấn cơng thực hiện). Phần lớn các cơ quan bị tấn công APT, cài phần mềm gián điệp, bị kiểm sốt tồn bộ máy tính trong một thời gian dài mà khơng biết.

Tấn công APT gồm 4 giai đoạn:

- Giai đoạn 1: Tìm kiếm thơng tin về đối tượng (sử dụng các công cụ như

Footprinting),

- Giai đoạn 2: Thiết kế và lập trình một trojan với các module có các chức

năng lập cửa hậu-backdoor, kết nối lên CC server để nhận lệnh, tải về và cài đặt các module (duyệt, chọn lọc, mã hóa, nén, gửi dữ liệu lấy cắp lên host trung gian, tự hủy module, chống AV, chống IDS, anti-sandboxing, anti-blacklisting, chống dịch ngược...);

- Giai đoạn 3: Thiết lập trung tâm điều khiển-CC server (thường đặt trên các server miễn phí ở nước thứ 3), để tải lên các lệnh điều khiển trojan;

- Giai đoạn 4: Thiết lập host nhận và lưu dữ liệu lấy cắp do trojan tải lên.

Hacker thường sử dụng Proxy kết nối lên CC server điều khiển trojan và lên Host tải dữ liệu lấy cắp về, để chống điều tra tìm nguồn gốc IP.

2. Cài mã độc vào ứng dụng di động của bên thứ 3 trên Appstore,

Playstore, nhắn tin bằng các ứng dụng miễn phí WhatsApp, Viber, Tango…, đính kèm file word, excel, PDF, đường link chứa mã độc, để lừa người dùng tải

về điện thoại di động (chủ yếu là điện thoại di động thông minh sử dụng hệ điều

hành Android), để lấy cắp dữ liệu trên điện thoại di động. Nếu điện thoại được kết nối với máy tính, mã độc sẽ lây lan vào máy tính.

Với sự phát triển của CNTT, xu hướng công nghệ hậu PC là smartphone dùng email, forum, mạng xã hội, lướt web, thương mại điện tử và người dùng ít quan tâm đến bảo mật. Đồng thời, cơng nghệ ứng dụng đồng bộ hóa dữ liệu giữa các thiết bị dùng chung tài khoản sẽ làm lây mã độc từ điện thoại di động sang máy tính. Số lượng Trojan smartphone đang gia tăng nhanh chóng và có xu hướng thiết kế, lập trình để tấn công mục tiêu cụ thể (năm 2012 tăng 40%) và

không phát tán rộng rãi, để tránh bị phát hiện và bị các phần mềm diệt virus vo

hiệu hóa. Các Trojan smartphone thường có chức năng:

ƒ Hoạt động ở chế độ ẩn,

ƒ Điều khiển từ xa, cập nhật, thay lệnh bằng GPRS, SMS,

ƒ Thu chặn SMS, lấy danh bạ điện thoại,

ƒ Thu chặn cuộc gọi trực tiếp, gọi bí mật, nghe mơi trường.

Hình : Mơ hình phát tán Trojan cho smartphone

Hình : Mã nguồn của Android đã bị cài thêm 3 dòng lệnh của trojan Trojan tự động chuyển tiếp SMS (redirect) SMS gửi cho C&C và xóa ngay SMS trong điện thoại để chủ ĐT khơng biết:

Hình : Giao diện hoạt động của một trojan smartphone

3. Tấn công thông qua BYOD tức tấn công (Insider threats) cài mã độc vào

hệ thống máy tính, khi kết nối với thiết bị di động của nhân viên mang theo như USB, điện thoại di động, máy tính bảng, sau đó lây lan rộng trong hệ thống máy

tính:

Hình : Nhân viên từ mạng LAN giao tiếp với mạng ngồi6

4. Phát tán mã độc có điều khiển từ xa diện rộng (kết nối với CC server)

qua: BOTNET, forum, Facebook, Twitter, YouTube, IRC, các website

cung cấp dịch vụ, phần mềm ứng dụng tiện ích (như giả mạo Unikey, Antivirus, Adobe Reader, Update PDF..., để lấy cắp dữ liệu, điều khiển từ xa.

6 Theo thống kê của TrendMicro

Hình : Mơ hình tấn cơng bằng trojan có điều khiển C&C server

Ví dụ Crytolocker tải về từ windows startup (mã hóa với victim-genkey +

private key RSA 2048 key từ server của hacker). Crytolocker thông báo mã hóa tồn bộ dữ liệu của máy tính. Để nhận được mã giải mã, hacker yêu cầu trả 100

USD.

Bên cạnh hacker nước ngoài, hacker Việt Nam cũng viết hoặc sử dụng

code của virus lấy từ internet, để tạo ra hàng ngàn biến thể virus mới, tấn cơng máy tính và mạng máy tính.

Vụ điển hình:

Một phần của tài liệu An ninh truyền thông (Trang 104 - 109)

Tải bản đầy đủ (PDF)

(134 trang)