Bóng ma trên mây vụ tấn công bí hiểm của Trung quốc
Kéo dài tới hơn 10 năm, những “bóng ma” tấn công vào các đám mây dữ liệu của Mỹ khiến nhà điều tra hoang mang. Chẳng ai khẳng định được các cuộc tấn công đã kết thúc.
Vụ tấn công được ví von như lấy cắp chìa khóa tổng của một tòa nhà.
Nhóm hacker, sau này được xác định là APT10, tấn công hàng loạt nhà cung cấp dịch vụ đám mây. Thời điểm ngay sau vụ tấn công, danh sách nạn nhân chỉ là 14 công ty không được nêu tên.
Sau sự việc, nhiều nhà cung cấp dịch vụ đám mây đã cố gắng che giấu những thông tin từ vụ tấn công. Quy mô thật sự chỉ được tiết lộ sau khi Wall Street Journal điều tra, và cho thấy danh sách nạn nhân lên đến hàng chục công ty, và bao gồm nhiều cái tên đình dám như IBM, CGI Group (nhà cung cấp đám mây lớn nhất Canada) hay Tieto Ojy, doanh nghiệp lớn của Phần Lan.
Hàng nghìn nạn nhân
Theo Wall Street Journal, vụ tấn công của APT10 và những đợt đáp trả sau đó của các công ty bảo mật phương Tây là một trong những vụ tấn công có quy mô lớn nhất. Hàng trăm công ty đã bị tấn công thông qua nhà cung cấp dịch vụ đám mây, trong đó có nhiều công ty lớn như Philips, American Airlines, Deutsche Bank hay GlaxoSmithKline.
Hewlett Packard Enterprise (HPE), một trong những nhà cung cấp dịch vụ đám mây bị tấn công, thậm chí còn bị hacker xâm nhập và tái xâm nhập nhiều lần mà không biết, và vẫn tuyên bố rằng đã loại bỏ hết các nguy cơ. Giám đốc FBI Christopher Wray thì ví vụ tấn công như lấy chìa khóa tổng của một tòa nhà.
Giám đốc FBI Christopher Wray công bố 2 hacker Trung Quốc bị buộc tội trong vụ APT10
Đến nay, vẫn không ai kết luận được rằng nhóm hacker đã hoàn toàn bị loại bỏ khỏi những mạng lưới hay vẫn đang âm thầm lấy cắp dữ liệu. Theo công ty bảo mật SecurityScoreCard, tới giữa tháng 11 vẫn còn hàng nghìn địa chỉ IP liên kết với các mạng lưới của APT10.
Chính phủ Mỹ cho biết APT10 đã lấy cắp được hơn 100.000 dữ liệu cá nhân từ Hải quân Mỹ.
Vụ tấn công này đã cho thấy lỗ hổng của nền kinh tế, khi rất nhiều công ty lưu trữ dữ liệu nhạy cảm của họ trên các máy chủ đám mây, thuộc về số ít nhà cung cấp lớn. Các nhà cung cấp luôn nói về khả năng bảo mật của họ, nhưng sự thật thì không được như vậy.
Tấn công như những bóng ma
Vụ tấn công được đặt tên Cloud Hopper, và đó là một hành động khá lạ của nhóm hacker cao cấp APT10 xuất xứ từ Trung Quốc. Các nhà nghiên cứu bảo mật đã theo dõi APT10 cả thập kỷ, khi họ tấn công vào các tổ chức chính phủ, công ty kỹ thuật và hàng không. Những nhà điều tra của Mỹ cho rằng có vài thành viên người của Bộ An ninh Quốc gia Trung Quốc, nhưng phần lớn thành viên vẫn nằm trong bóng tối.
Những mục tiêu đầu tiên, như công ty khai khoáng Rin Tinto, bị tấn công thông qua nhà cung cấp đám mây CGI năm 2013. Chẳng ai biết hacker đã lấy đi những thông tin gì, nhưng một số nhà điều tra cho rằng thông tin về các địa điểm khai khoáng tiếp theo đã bị lợi dụng để buôn bất động sản.
Video đang HOT
Những ông lớn công nghệ như IBM hay HP cũng không tránh khỏi vụ tấn công này.
“Những đợt tấn công của họ nhìn không khác gì lượt truy cập thông thường. Đó là vấn đề rất nghiêm trọng”, Orin Paliwoda, đặc vụ FBI điều tra vụ Cloud Hopper cho biết.
Trong một đợt kiểm tra an ninh mạng đầu năm 2016, Kris McConkey, chuyên gia an ninh mạng của PricewaterhouseCoopers nhận thấy những dấu hiệu của một đợt tấn công tổng lực. Ban đầu, ông cho rằng đây chỉ là vụ tấn công đơn lẻ, nhưng rồi nhận ra vấn đề nghiêm trọng hơn nhiều khi rất nhiều công ty khác cũng bị tấn công theo cách tương tự.
“Khi bạn nhận thấy có nhiều trường hợp tấn công giống y như nhau, bạn bắt đầu nhận ra tính nghiêm trọng của vấn đề”, McConkey cho biết.
Các hacker hoạt động theo từng nhóm. Nhóm “Thứ ba” sẽ tìm cách trộm mọi tài khoản và mật khẩu có thể, sau đó một nhóm khác sẽ sử dụng những tài khoản này để trộm thông tin vài ngày sau.
Cách thức hoạt động bất thường còn thể hiện khi nhóm hacker sử dụng hạ tầng của nạn nhân này để lưu trữ thông tin đã lấy được từ nạn nhân khác. Sau vài tháng thoắt ẩn thoắt hiện, McConkey mới thực sự nắm bắt được hành vi của những “bóng ma” này.
Một trong những mục tiêu lớn nhất của nhóm hacker là HP Enterprise (HPE), nhà cung cấp dịch vụ đám mây cho hàng nghìn công ty. Philips, một khách hàng của HPE, lưu trữ tới hàng chục nghìn terabyte dữ liệu trên hệ thống của HPE, bao gồm rất nhiều tài liệu lâm sàng và dữ liệu sức khỏe của người dùng.
“Họ vẫn đang hành động, nhưng chúng ta không hề nhận ra”, chuyên gia bảo mật Kris McConkey của PricewaterhouseCoopers chia sẻ.
APT10 đã tấn công HPE từ năm 2014, xâm nhập vào mạng lưới của chính đội ngũ an ninh mạng công ty này. Khi HPE tiến hành loại trừ các thiết bị đã bị cài mã độc, nhóm hacker nắm bắt toàn bộ quá trình, và rồi lại xâm nhập một lần nữa.
Đáp trả
Đợt phản công đầu tiên diễn ra vào đầu năm 2017. Hàng chục thành viên là nhóm nghiên cứu bảo mật của các công ty bị ảnh hưởng đã kết hợp với nhau để bẫy nhóm hacker.
Đầu tiên, các lịch công tác giả được thiết lập để nhóm hacker nghĩ rằng những chuyên gia bảo mật đang không ở gần hệ thống. Đây là cách nhóm chuyên gia khiến cho hacker mất cảnh giác. Ngay sau đó, họ cắt ngang đợt tấn công của hacker để nhanh chóng xác định được các tài khoản đã bị tấn công và những server đã bị nhiễm mã độc.
APT10 tất nhiên không chịu thua cuộc. Họ quay trở lại với những mục tiêu mới như các công ty tài chính và lần này nhắm tới cả IBM, một trong những nhà cung cấp dịch vụ lớn nhất thế giới.
Hacker thậm chí thâm nhập vào mạng lưới của đội ngũ an ninh mạng của HP, nên dễ dàng xâm nhập trở lại sau nỗ lực “quét lỗ hổng” của công ty này.
Theo nhiều quan chức chính phủ Mỹ, những đợt tấn công mới của APT10 vào năm 2017-2018 đã khiến giới quan sát lo ngại. Tháng 10/2018, cơ quan an ninh mạng và nền tảng (CISA) thuộc Bộ An ninh Nội địa Mỹ đã phải phát đi cảnh báo, cho biết hàng loạt cơ sở hạ tầng quan trọng đã bị tấn công.
Sau nhiều tháng điều tra, vào tháng 12/2018 Mỹ chỉ công bố được hai cá nhân liên quan đến vụ tấn công, thay vì nhiều tổ chức liên quan trực tiếp tới Trung Quốc như hi vọng ban đầu. Theo Wall Street Journal, nhiều chuyên gia nhận định chỉ 2 hacker thì không thể tạo ra những đợt tấn công với quy mô lớn như vụ Cloud Hopper.
Zhu Hua và Zhang Shilong, hai cá nhân bị Mỹ nêu tên, nhiều khả năng đang ở Trung Quốc. Hai hacker này có thể lĩnh án tù tới 27 năm vì các cáo buộc âm mưu, lừa đảo và đánh cắp danh tính, tuy nhiên Mỹ không có thỏa thuận dẫn độ với Trung Quốc.
Phó tổng chưởng lý Rod Rosenstein cho biết các bị cáo làm việc cho Công ty Phát triển Khoa học và Công nghệ Huaying Haitai ở Thiên Tân, Trung Quốc và thay mặt cho văn phòng MSS Thiên Tân.
Khác với những vụ tấn công thông thường, mục tiêu của nhóm hacker trong vụ Cloud Hopper khi trộm các thông tin không phải để bán. Đến nay, những vụ điều tra vẫn không thể khẳng định dữ liệu bị trộm đã bị sử dụng như thế nào.
“Tôi sẽ không ngạc nhiên nếu như có hàng chục công ty chẳng biết họ đã bị APT10 tấn công, hay vẫn đang bị xâm nhập”, Luke Dembosky, chuyên gia an ninh nội địa Mỹ chia sẻ.
“Câu hỏi vẫn còn nguyên: họ đã làm gì. Nhóm hacker này chưa hề biến mất. Họ vẫn đang hành động, nhưng chúng ta không hề nhận ra”, ông McConkey nhận xét.
Theo Zing
Trang tin, cổng thông tin điện tử VN thường xuyên bị tấn công mạng
Tình hình an toàn thông tin mạng tại Việt Nam năm 2019 diễn biến rất phức tạp. Dữ liệu giám sát của Trung tâm Ứng cứu khẩn cấp không gian mạng đã ghi nhận nhiều sự kiện an toàn mạng kể từ đầu năm đến nay.
Hacker thường nhắm vào các trang, cổng thông tin điện tử
Sáng 24/12, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) (Cục An toàn thông tin - Bộ Thông tin và Truyền thông) đã triển khai Chương trình diễn tập khu vực phía Bắc với chủ đề "Diễn tập phòng chống tấn công vào cổng/trang thông tin điện tử".
Hoạt động diễn tập này có sự tham dự của tất cả các bộ, cơ quan trung ương, các tỉnh, thành phố từ Quảng bình trở ra và các tổ chức, doanh nghiệp thành viên mạng lưới ứng cứu sự cố khu vực phía bắc. Đến ngày 26/12/2019, Chương trình diễn tập sẽ diễn ra tại các tỉnh thành khu vực phía Nam.
Ông Nguyễn Trọng Đường - Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT) chia sẻ về tình hình an ninh mạng Việt Nam năm 2019.
Theo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam, trong năm 2019, tình hình an toàn thông tin mạng diễn biến rất phức tạp. Dữ liệu của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam cũng cho thấy, các cổng/trang thông tin điện tử luôn là nơi hứng chịu nhiều cuộc tấn công nhất của các hacker. Do đó, việc bảo vệ an toàn các cổng, trang thông tin điện tử là vô cùng quan trọng.
Cuộc diễn tập được Bộ TT&TT tổ chức nhằm nâng cao năng lực cho Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Thông qua các hoạt động diễn tập, cán bộ ATTT tại các đơn vị thành viên Mạng lưới sẽ được huấn luyện và nâng cao kỹ năng phát hiện - ứng cứu sự cố.
Diễn tập là cách đảm bảo sẵn sàng cho nguy cơ an ninh mạng
Những chuyên gia tham gia buổi diễn tập sẽ được chia thành các đội. Mỗi đội sẽ được cấp quyền quản lý một hệ thống máy chủ riêng được cài đặt mô phỏng một cổng thông tin điện tử và đang chạy thực trên cloud. Các đội có tài khoản quản trị vào hệ thống máy chủ của mình với địa chỉ được Ban tổ chức cấp cho từng đội.
Chương trình diễn tập khu vực phía Bắc với chủ đề "Diễn tập phòng chống tấn công vào cổng/trang thông tin điện tử".
Các cuộc tấn công mạng hoàn toàn như sự cố tấn công thật vào hệ thống máy chủ của từng đội theo các phương thức khác nhau. Các đội phải đăng nhập vào hệ thống máy chủ, quản trị, bảo vệ hệ thống của mình, kiểm tra, phát hiện sự cố, lấy các bằng chứng (evidences) để phân tích, điều tra, xác định xem hệ thống của mình đang bị sự cố tấn công gì.
Bên cạnh đó, nhiệm vụ của các đội tham gia còn là tìm kiếm con đường mà hacker xâm nhập vào hệ thống. Ngoài ra, họ phải tìm hiểu xem hacker đã đánh cắp, chỉnh sửa những gì, từ đó có phương án ứng phó, xử lý. Với cách làm mới này, các đội được diễn tập đúng như thực tế sự cố xảy ra trên hệ thống thực.
Chia sẻ tại buổi diễn tập, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho rằng, tình hình an ninh mạng tại Việt Nam sẽ ngày càng nghiêm trọng hơn trong thời gian tới, khi mà dữ liệu, tài sản số của ngày càng nhiều. Tình hình trên đòi hỏi chúng ta phải có nhận thức cao hơn trong việc phòng, chống tấn công mạng, cũng như có khả năng cao hơn trong việc sẵn sàng ứng cứu khi xảy ra các sự cố.
Thứ trưởng Nguyễn Thành Hưng cho rằng, trong công tác đảm bảo an toàn thông tin, cần phải thực hiện việc "phòng bệnh hơn chữa bệnh".
Theo Thứ trưởng Nguyễn Thành Hưng, nhận thức, hành động liên quan đến công tác đảm bảo an toàn thông tin của các bộ, ngành, địa phương đã ngày càng tăng lên, song do điều kiện chủ quan và khách quan nên mối quan tâm thực sự vẫn chưa đồng đều giữa các đơn vị, có nơi làm tốt nhưng cũng có nơi còn làm chưa tốt.
Thứ trưởng Nguyễn Thành Hưng cho rằng, trong công tác đảm bảo an toàn thông tin, cần phải thực hiện việc "phòng bệnh hơn chữa bệnh". Do vậy, thông qua cuộc diễn tập lần này, Bộ TT&TT mong muốn các thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia có thể trao đổi với các chuyên gia, nhà quản lý và thực hành việc diễn tập phòng chống tấn công mạng vào các cổng/ trang thông tin điện tử.
Điều này sẽ góp phần cho việc đảm bảo an toàn thông tin cho các cổng/trang thông tin điện tử của các bộ, ngành, địa phương và hỗ trợ tốt hơn cho chủ trương xây dựng Chính phủ điện tử, cung cấp các dịch vụ công trực tuyến cho người dân, doanh nghiệp.
Theo ICTNews
Microsoft khuyên người dùng khi bị tấn công đòi tiền chuộc: Đừng dại đưa tiền cho hacker! Các cuộc tấn công đòi tiền chuộc (ransomware) đang dần trở nên phổ biến hơn bao giờ hết. Nhưng điều đáng tiếc là ngày càng có nhiều nạn nhân đồng ý trả tiền cho hacker để lấy lại quyền truy cập tài liệu hoặc máy tính. Một cuộc tấn công đòi tiền chuộc thường bắt đầu khi hacker tấn công máy tính của...