hân tích 4 chiến dịch tấn công APT điển hình ở Việt Nam
Chia sẻ tại sự kiện webinar tháng 9 do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) - Cục An toàn thông tin (ATTT) - Bộ TT&TT tổ chức với chủ đề "Phân tích chiến dịch tấn công APT điển hình nhắm vào các tổ chức trong nước", ông Trần Minh Quảng, Giám đốc Trung tâm phân tích và chia sẻ nguy cơ an ninh mạng của VCS cho biết, thời gian qua, Việt Nam là một trong số những quốc gia ghi nhận các cuộc tấn công có chủ đích (APT - Advanced Persistent Threat) nhiều nhất trên thế giới. Thông qua đó, các đơn vị an ninh mạng như VCS cũng đã phân tích được nhiều các kỹ thuật tấn công sử dụng kỹ thuật cao với kịch bản phức tạp, chuyên sâu. "Việc ngăn chặn các cuộc tấn công APT là yếu tố quan trọng để bảo đảm ATTT trong các tổ chức, công ty lớn ở Việt Nam", ông Quảng nhận định.
Theo ông Vũ Đức Hoàng, chuyên viên phân tích nguy cơ an ninh mạng, công ty VCS, VCS đã phân tích chiến dịch tấn công của 2 nhóm tấn công APT tích cực nhất tại Việt Nam trong thời gian qua là Goblin Panda (được biết với các tên gọi Hellsing, 1937CN, Cycldesk…) và Mustang Panda từ năm 2020 đến hiện tại. Trong đó, thời điểm dịch COVID-19 là khoảng thời gian được lợi dụng nhiều nhất.
Cụ thể, theo đại diện VCS, trong khoảng thời gian từ năm 2019 cho đến tháng 4/2020, nhóm APT Goblin Panda lợi dụng các chủ đề nhạy cảm để làm đòn bẩy thâm nhập sâu hơn vào hệ thống các tổ chức tại Việt Nam, tiêu biểu là chiến dịch lợi dụng dịch bệnh COVID-19 để phát tán mã độc từ đầu năm 2020. Mục tiêu của nhóm tấn công này là các cơ quan nhà nước, quốc phòng, năng lượng tại các quốc gia thuộc khu vực Đông Nam Á. Về quy trình tấn công, đầu tiên nhóm Goblin Panda sẽ sử dụng email lừa đào thông qua file .doc để dụ nạn nhân tải về, khai thác lỗ hổng của Microsoft Office và đưa mã độc vào máy. Sau đó, trên máy của nạn nhân, tin tặc ử dụng kỹ thuật DLL SideLoading (kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn) để vượt qua chương trình diệt virus và các công cụ bảo mật của Windows.
Cơ sở hạ tầng, mà nhóm Goblin Panda sử dụng trong chiến dịch phát tán mã độc lợi dụng dịch COVID-19 và các sự kiện liên quan, là các tên miền có yếu tố tiếng Việt và tên địa danh của Việt Nam.
Ngoài nhóm Goblin Panda, dịch COVID-19 cũng là sự kiện được nhóm Mustang Panda lợi dụng để làm đòn bẩy nhằm thâm nhập, phát tán mã độc vào hệ thống của các cơ quan và tổ chức trong nước. Kể từ khi xuất hiện năm 2017, Mustang Panda đã thực hiện nhiều chiến dịch tấn công vào các tổ chức, DN tại một số quốc gia như Mỹ, Đức, Mông Cổ… và các quốc gia khác trong khu vực Đông Nam Á. Khác với nhóm Goblin Panda, nhóm Mustang Panda sử dụng email lừa đảo để dụ nạn nhân tải về file nén .rar, trong đó có file tài liệu .lnk cho phép thực thi mã lệnh, từ đó tải về mã độc và khai thác thông qua kỹ thuật DLL SideLoading.
"Tên miền sử dụng trong chiến dịch cũng chỉ hoạt động trong tháng 3/2020, cho thấy việc thay đổi cơ sở hạ tầng rất nhanh chóng của nhóm tin tặc để tránh bị phát hiện", ông Hoàng cho biết thêm.
Không chỉ VCS, Kasersky cũng đã ghi nhận những cuộc tấn công của APT Cycldesk (tên khác của nhóm Goblin Panda) vào các cơ quan tại Việt Nam. Theo đó, nhóm tấn công Goblin Panda thực hiện 1 chiến dịch phát tán email lừa đảo trong khoảng thời gian từ tháng 6/2020 đến 1/2021. Thống kê của Kaspersky cho thấy, 80% trong số máy tính bị nhiễm mã độc có trụ sở tại Việt Nam và thuộc về chính phủ hoặc khu vực quân sự, hoặc có liên quan đến sức khỏe, ngoại giao, giáo dục hoặc ngành dọc chính trị.
Tương tự như các cuộc tấn công trước đó, nhóm này cũng đã sử dụng một kịch bản là sử dụng tài liệu chứa mã khai thác lỗ hổng của Microsoft Office (CVE-2018-0802), để cố gắng thâm nhập vào các hệ thống trọng yếu trong nước. Các tên miền sử dụng chính trong chiến dịch này bắt đầu từ 5/2020 đến tháng 7/2021 thì mới được ngăn chặn.
Chiến dịch tấn công APT cuối cùng mà VCS chia sẻ tại là nhóm Mustang Panda lợi dụng tình hình chính trị bất ổn trên thế giới để phát tán mã độc. Theo ghi nhận của VCS, trong khoảng thời gian từ cuối năm 2020 tới hiện tại (9/2022), công ty đã phát hiện ra rất nhiều mẫu mã độc có cách thức tấn công và hành vi tương tự nhau được phát tán bởi nhóm tấn công Mustang Panda trong rất nhiều chiến dịch khác nhau.
"Các chiến dịch tấn công có cả lợi dụng tính hình phức tạp trên thế giới để cố gắng thâm nhập vào hệ thống của nhiều nước trong đó có cả Việt Nam. VCS đã ghi nhận rất cơ quan tổ chức thuộc các nhóm ngành chính trị, an ninh quốc phòng, ngoại giao, cơ quan chính phủ bị nhiễm mã độc", ông Hoàng chia sẻ.
Cũng như các cuộc tấn công APT khác, nhóm tấn công Mustang Panda sử dụng kỹ thuật DLL Side loading để vượt qua các hệ thống phòng thủ. Nhóm tấn công đã lợi dùng rất nhiều file có chữ ký nhằm thực thi mã độc, trong đó có các file của các phần mềm như BitDefender, Adobe…
Cần liên tục cập nhật thông tin mã độc và nâng cao nhận thức của cán bộ nhân viên
Đánh giá về Mustang Panda và Goblin Panda, bên cạnh những điểm khác nhau về file đính kèm trong mail lừa đảo, cách đặt tên miền, mã độc tấn công sử dụng,… 2 nhóm tấn công APT này đều sử dụng chủ yếu cách thức tấn công bằng: Kỹ thuật đính kèm file chứa mã độc trong mail lừa đảo (Spearphishing Attachment); kỹ thuật Dll Side Loading với nhiều biến thể khác nhau để qua mặt các công cụ bảo mật trong máy nạn nhân.
Ngoài ra, cũng theo VCS, các biến thể của mã độc sử dụng trong các cuộc tấn công APT của 2 nhóm này được cập nhật liên tục theo từng mục tiêu và từng chiến dịch. Chưa kể đến, với kỹ thuật sử dụng lây lan qua USB, mã độc hoàn toàn có thể lây lan trong mạng nội bộ của cơ quan hay tổ chức giới hạn truy cập Internet. "VCS còn phát hiện ra số lượng cơ sở hạ tầng điều khiển rất lớn của 2 nhóm APT này khoảng 500 địa chỉ domain điều khiển", ông Hoàng kết luận.
Cuối cùng, đại diện VCS đã đưa ra một số khuyến nghị cho các cơ quan, tổ chức ở Việt Nam. Đầu tiên, do việc lây nhiễm chủ yếu thông qua các email lừa đảo, dụ nạn nhân tải các file đính kèm về máy tính. Do đó, các đơn vị cần sử dụng các giải pháp bảo mật email cũng như nâng cao nhận thức về ATTT cho cán bộ nhân viên về sử dụng email.
Tiếp theo, với mã độc sử dụng kỹ thuật Sll Side Loading để giả mạo các phần mềm chính hãng với các phiên bản mới liên tục được cập nhật, các tổ chức cần: liên tục cập nhật các thông tin về các mã độc mới, các file phần mềm bị lợi dụng và tiến hành rà soát mã độc nội bộ theo các thông tin mới nhất; liên tục cập nhất các giải pháp phòng thủ hiện có như phần mềm Anti-virus hay hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối (Endpoint Detection & Response – EDR) để có thể phát hiện các mẫu mã độc mới nhất. Đồng thời xem xét sử dụng giải pháp về thông tin mối đe dọa an ninh mạng (Threat Intelligence) để có thể nắm bắt được thông tin mới nhất về các chiến dịch, các cuộc tấn công APT.
Còn về việc mã độc có khả năng lây lan qua USB trong mạng nội bộ, theo đại diện VSC, giải pháp ngăn chặn chủ yếu thông qua nâng cao nhận thức của cán bộ nhân viên trong tổ chức, không chủ quan suy nghĩ rằng mạng nội bộ thì không thể bị lây nhiễm mã độc.
Theo ông Quảng, quan trọng nhất đối với việc phòng chống tấn công APT là phải cập nhật thông tin liên quan một cách nhanh chóng nhất. Nếu không có các hệ thống thông tin mối đe dọa an ninh mạng thì các cán bộ kỹ thuật cần chủ động theo dõi các bài nghiên cứu, báo cáo... trên các trang blog của những tổ chức bảo mật lớn ở Việt Nam và quốc tế cũng như các trang web, mạng xã hội để biết các công cụ, cách thức tấn công, các loại mã độc mới để tìm cách ngăn chặn./.
