Dưới đây là 5 sự kiện, sự cố an toàn thông tin mạng tiêu biểu trong tháng 5/2018 theo đánh giá, tổng hợp của Cộng đồng an ninh mạng Việt Nam – WhiteHat.vn:
Diễn tập an toàn thông tin mạng trực tuyến quy mô lớn nhất Việt Nam
Chương trình diễn tập an toàn thông tin mạng WhiteHat Drill 05 với chủ đề “Điều tra, xử lý và phòng chống mã độc đào tiền ảo qua lỗ hổng phần mềm” được tổ chức trong 2 ngày 9, 10/5/2018 theo phương thức trực tuyến trên hệ thống Wargame 2.0 của Cộng đồng An ninh mạng Việt Nam WhiteHat.vn.
Đây là chương trình diễn tập quy mô lớn nhất từ trước tới nay tại Việt Nam với sự tham gia của 150 đội đến từ các cơ quan quản lý nhà nước, ngân hàng, tập đoàn, doanh nghiệp… trên toàn quốc. Trong đó, theo thống kê của Ban tổ chức, có 72 đơn vị cơ quan nhà nước, 13 ngân hàng, 10 đơn vị giáo dục, 34 doanh nghiệp và 19 cá nhân.
Chương trình diễn tập WhiteHat Drill 05 là sự kiện do Cục An toàn thông tin – Bộ TT&TT và Bkav phối hợp tổ chức. |
Chương trình diễn tập WhiteHat Drill 05 là sự kiện do Cục An toàn thông tin – Bộ TT&TT và Bkav phối hợp tổ chức. Cục An toàn thông tin đã cùng Bkav xây dựng kịch bản diễn tập đồng thời tham gia điều phối chương trình diễn tập WhiteHat Drill lần này. Tham gia chương trình, 150 đội đã được trải nghiệm tình huống hệ thống bị cài mã độc đào tiền ảo qua lỗ hổng phần mềm; từ đó biết cách xử lý loại mã độc này, đồng thời thực hiện các biện pháp phòng chống để tránh bị tấn công trở lại.
Lỗ hổng trong 7-Zip cho phép thực thi mã tùy ý
Đầu tháng 5/2018, một lỗ hổng tồn tại trong 7-Zip (phần mềm giải nén file mã nguồn mở và miễn phí) cho phép thực thi mã tuỳ ý, ảnh hưởng đến các cơ quan chính phủ, doanh nghiệp và người dùng cá nhân. Tuỳ vào đặc quyền liên kết với người dùng, kẻ tấn công sau đó có thể cài đặt chương trình, xem, thay đổi hoặc xoá dữ liệu hay tạo các tài khoản mới với toàn quyền người dùng. Người dùng được cấu hình với ít quyền hơn trên hệ thống cũng sẽ ít bị ảnh hưởng hơn những người có quyền quản trị.
Các chuyên gia đã khuyến cáo người dùng cần cập nhật các bản vá 7-Zip trên các hệ thống dính lỗ hổng; chạy tất cả các phần mềm với quyền người dùng thông thường để giảm thiểu tác động của cuộc tấn công; đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ.
Các trang Drupal phát tán mã độc đào tiền ảo, công cụ RAT và lừa đảo scam
Theo WhiteHat.vn, cuối tháng 5/2018, các trang web Drupal một lần nữa bị hacker tấn công bằng 2 lỗ hổng nghiêm trọng Drupalgeddon2 và Drupalgeddon3 (xuất hiện và đã được vá cuối tháng 3 và 4) chủ yếu với mục đích đào tiền ảo. Theo phân tích của các chuyên gia, gần một nửa số trang Drupal bị tấn công đang chạy phiên bản CMS 7.5.x, khoảng 30% đang chạy phiên bản 7.3.x, được cập nhật lần cuối từ tháng 8/2015.
Liên quan đến các lỗ hổng trên hệ quản trị nội dung Drupal (Drupal CMS), Trung tâm Ứng cứu sự cố máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã liên tiếp có 3 công văn cảnh báo. VNCERT cho hay, qua công tác giám sát, Trung tâm đã phát hiện các phương thức mới thực hiện việc tấn công các lỗ hổng của Drupal thông qua việc sử dụng các mạng máy tính ma với lượng máy tính thành viên lớn. Đặc biệt, khi sử dụng các hệ thống botnet để tấn công thì phạm vi tấn công sẽ mở rộng rất nhanh, đặt các website trên nền tảng Drupal chưa được bảo mật trong tình trạng hết sức nguy hiểm. VNCERT cũng đã khuyến nghị các cơ quan, đơn vị tiến hành kiểm tra, rà soát và thực hiện các giải pháp xử lý, khắc phục đối với từng lỗ hổng.
Phát hiện botnet khổng lồ gồm 500.000 Router bị lây nhiễm
Theo bản tin tổng hợp của WhiteHat.vn, hơn 500.000 thiết bị định tuyến (Router) và lưu trữ (Storage) tại hơn 54 quốc gia bị nhiễm mã độc botnet VPNFilter, cho phép hacker thu thập thông tin tình báo, can thiệp vào quá trình liên lạc Internet, cũng như tiến hành các hoạt động tấn công mạng phá hoại.
Hơn nửa triệu thiết bị định tuyến và lưu trữ tại hàng chục quốc gia đã bị nhiễm một mã độc botnet phức tạp. |
Trong thông tin cảnh báo về mã độc mới VPNFilter vào ngày 29/5, Cục An toàn thông tin – Bộ TT&TT cho biết, trong hơn 500.000 thiết bị định tuyến và thiết bị lưu trữ ở nhiều quốc gia bị lây nhiễm mã độc này, có cả các thiết bị tại Việt Nam.
Cục An toàn thông tin cũng cho hay, VPNFilter là loại mã độc tinh vi, có nhiều giai đoạn tấn công, có thể đánh cắp thông tin đăng nhập website và theo dõi các hệ thống điều khiển công nghiệp SCADA, chẳng hạn như hệ thống lưới điện và cơ sở hạ tầng công nghiệp. Không giống như hầu hết các loại mã độc khác, khi đã lây nhiễm thành công VPNFilter sẽ tiến hành khởi động lại thiết bị, từ đó tạo được kết nối lâu dài và cài đặt mã độc phục vụ cho giai đoạn hai. Đặc trưng của mạng botnet sử dụng mã độc VPNFilter là thư mục có đường dẫn /var/run/vpnfilterw được tạo ra trong quá trình cài đặt.
Cục An toàn thông tin – Bộ TT&TT khuyến nghị các chuyên gia an toàn thông tin trong trường hợp nghi ngờ thiết bị đã bị lây nhiễm bởi mạng mã độc này, người dùng nên thực hiện cài đặt lại thiết bị về mặc định để xóa mã độc và cập nhật firmware càng sớm càng tốt.
Mã độc Nigelthorn lây nhiễm hơn 100.000 hệ thống trên toàn thế giới
Giữa tháng 5/2018, đã xuất hiện một dòng mã độc có tên Nigelthor, cho phép hacker lấy cắp thông tin đăng nhập, đào tiền ảo, gian lận quảng cáo (click fraud) và thực hiện các hành vi phá hoại. Mã độc lợi dụng tiện ích mở rộng Nigelify của Google Chrome, đến này đã lây nhiễm hơn 100.000 máy tính của người dùng tại 100 quốc gia trên toàn thế giới.
Theo phân tích, nạn nhân khi click vào đường link chứa mã độc mà hacker phát tán qua Facebook sẽ bị chuyển hướng đến trang YouTube giả mạo, yêu cầu họ cài đặt extension của Chrome để phát video. Một khi người dùng chấp nhận cài đặt, extension độc hại sẽ được thêm vào trình duyệt và biến thiết bị của họ thành một phần của botnet. Mã độc ảnh hưởng tới người dùng trình duyệt Chrome trên cả Windows và Linux.
Các chuyên gia khuyến cáo người dùng cập nhật mật khẩu tài khoản Facebook và chỉ tải xuống các ứng dụng từ các nguồn đáng tin cậy.