Phát hiện chiến dịch APT nhắm vào máy tính không kết nối Internet tại Việt Nam

Theo Bkav, các máy tính bị nhắm tới trong chiến dịch lần này chủ yếu là máy văn thư, kế toán thuộc các cơ quan, tổ chức nhà nước. Đây là những máy tính chứa dữ liệu quan trọng, khi bị đánh cắp sẽ gây hậu quả lớn.

Máy tính không kết nối Internet cũng có thể bị tấn công

Các cơ quan, tổ chức thường đặt máy tính chứa dữ liệu quan trọng trong hệ thống mạng nội bộ và ngắt kết nối với Internet để đảm bảo an toàn khỏi những mối nguy hại từ tấn công mạng. Tuy nhiên, theo các chuyên gia, biện pháp này là chưa đủ.

Trao đổi với VietNamNet, chuyên gia bảo mật Ngô Minh Hiếu cho hay, việc nhiều người nghĩ rằng chỉ khi máy tính có kết nối Internet thì mới bị tấn công và đánh cắp dữ liệu là hoàn toàn sai lầm.

Thực tế, hacker hoàn toàn có thể tấn công máy tính không kết nối Internet, lợi dụng nguyên lý mọi thiết bị điện tử đều phát ra sóng điện tử để ăn trộm thông tin. Một số chiến dịch tấn công bằng mã độc phát tán qua USB, CD... bằng hình thức quà tặng, khuyến mãi nhằm mục đích đánh cắp thông tin, dữ liệu.

Trong thông tin chia sẻ ngày 21/2, ông Nguyễn Tiến Đạt, Tổng Giám đốc phụ trách mảng Chống mã độc của Bkav cho biết, từ khoảng trước Tết Nguyên đán 2023, hệ thống giám sát và cảnh báo mã độc của Bkav đã ghi nhận sự gia tăng mạnh số lượng mẫu mã độc nhắm vào máy tính không có kết nối Internet.

Các máy bị nhắm tới trong chiến dịch tấn công mới chủ yếu là máy văn thư, kế toán thuộc cơ quan tổ chức nhà nước chứa rất nhiều dữ liệu quan trọng, khi bị đánh cắp sẽ mang đến hậu quả lớn. Dữ liệu bị đánh cắp bao gồm các file .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf.

Hiện tại, số lượng mã độc nhắm vào các máy tính không kết nối Internet đã có dấu hiệu giảm dần, nhưng chưa hoàn toàn biến mất. Đây không phải lần đầu tiên mã độc này xuất hiện tại Việt Nam, nó thuộc dòng mã độc PlugX từng được sử dụng trong nhiều chiến dịch khác trên toàn cầu.

Tại Việt Nam, hệ thống của Bkav ghi nhận mẫu mã độc này xuất hiện lần đầu tiên vào cuối tháng 1/2020. Nhận định đây là mã độc có độ nguy hiểm rất cao, Giám đốc phụ trách mảng Chống mã độc của Bkav cho biết: "Phương thức đánh cắp dữ liệu của loại mã độc này rất tinh vi và khó phát hiện với người dùng bình thường. Cùng với đó, phương thức phát tán mã độc trong hệ thống nội bộ qua cách lây lan vào USB khiến cho mã độc lây lan nhanh và đánh cắp nhiều dữ liệu trong các cơ quan, tổ chức".

Các chuyên gia Bkav chỉ ra rằng, khi được thực thi trên máy không có kết nối Internet, mã độc thực hiện việc đánh cắp bằng cách sao chép tất cả dữ liệu vào một thư mục giả mạo thùng rác của hệ thống trong USB.

Để lây lan sang máy khác, mã độc tạo một shortcut giả mạo kèm mã thực thi để đánh lừa người dùng nhấn vào. Khi người dùng cắm USB vào máy không có Internet và nhấn vào shortcut, mã độc sẽ được thực thi và đánh cắp tất cả dữ liệu, giấu vào USB.

Khi được thực thi trên máy có kết nối Internet, mã độc sẽ gửi toàn bộ dữ liệu đánh cắp được về Server. Ngoài ra mã độc cũng có chức năng nhận lệnh và thực thi các lệnh nhận được từ Server và đánh cắp thông tin khác liên quan tới máy của nạn nhân như tên máy, cấu hình máy…

“Bên cạnh mục đích chính là đánh cắp dữ liệu, mã độc này còn có thêm các hành vi kết nối, nhận lệnh và thực thi từ phía C&C Server, trong trường hợp máy nhiễm mã độc có kết nối Internet, mã độc sẽ tạo backdoor để hacker có thể chiếm quyền điều khiển từ xa và thâm nhập vào hệ thống”, ông Nguyễn Tiến Đạt thông tin thêm.

Làm gì để phòng tránh bị tấn công?

Để tránh bị tấn công đánh cắp dữ liệu bởi mã độc nhắm vào máy tính không kết nối Internet, các chuyên gia khuyến nghị người dùng nâng cao cảnh giác khi sử dụng các thiết bị ngoại vi để sao chép dữ liệu giữa các máy tính, có thể đưa ra chính sách không sử dụng USB nếu cần thiết.

Luôn bật chế độ hiện file ẩn và kiểm tra shortcut trong USB trước khi nhấn vào, phương pháp giả mạo shortcut trong USB này cũng được rất nhiều dòng mã độc khác sử dụng. Đồng thời, sử dụng các giải pháp, phần mềm an ninh mạng để bảo vệ máy tính và hệ thống máy tính khỏi những mối nguy hại mà người dùng khó phát hiện.

Chuyên gia bảo mật Ngô Minh Hiếu cũng nhấn mạnh rằng các cơ quan, tổ chức cần trang bị hệ thống phòng thủ tốt; huấn luyện nhận thức an toàn thông tin cho cán bộ, nhân viên...

Các đơn vị phải cập nhật phần mềm hệ thống, luôn có phần mềm diệt virut và tuyệt đối không cắm hay sử dụng bất kỳ thiết bị bên ngoài như USB, CD... vào hệ thống mạng không có Internet.