Trung tâm Giám sát An toàn không mạng Quốc gia (NCSC), trực thuộc Cục An toàn Thông tin và Truyền thông vừa tiếp tục đưa ra cảnh báo về 4 lỗ hổng bảo mật mới đối với các cơ quan, tổ chức, doanh nghiệp trên cả nước. Điều này rất quan trọng đối với máy chủ Microsoft Exchange. Các lỗ hổng bảo mật mới được báo cáo có trong Microsoft Exchange đã được đánh giá là lỗ hổng nghiêm trọng, bao gồm: “CVE-2021-28480”, “CVE-2021-28481”, “CVE-2021-28482” và “CVE-2021-28483”. Các cơ quan an ninh mạng đang ra sức ngăn chặn các cuộc thâm nhập của chiến dịch tấn công APT.
Thông tin chi tiết về 4 lỗ hổng bảo mật
Cả 4 lỗ hổng bảo mật kể trên đều cho phép đối tượng tấn công chèn và thực thi lệnh độc hại. Cài cắm mã độc và chiếm điều khiển hệ thống. Trong đó, có 2 lỗ hổng “CVE-2021-28480”, “CVE-2021-28481”. Đối tượng tấn công có thể khai thác thành công mà không cần xác thực. Các lỗ hổng này ảnh hưởng tới nhiều phiên bản Microsoft Exchange. Từ Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, đến Microsoft Exchange Server 2019. Hiện hãng Microsoft đã có bản vá để khắc phục 4 lỗ hổng bảo mật mới. Đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia cho biết.
Mặc dù chưa có mã khai thác công khai trên Internet. Tuy nhiên có thể nhiều nhóm tấn công APT đã khai thác lỗ hổng này. Vì thế, Trung tâm Giám sát an toàn không gian mạng quốc gia khuyến nghị quản trị viên tại các cơ quan, tổ chức. Cần kiểm tra và cập nhật bản vá ngay khi có thể theo hướng dẫn của Microsoft. Thư điện tử là hệ thống quan trọng đối với hoạt động của cơ quan tổ chức. Đồng thời chứa nhiều dữ liệu nhạy cảm. Cũng vì thế các nhóm tấn công mạng thường tập trung khai thác các lỗ hổng của hệ thống này. Để đánh cắp thông tin, dữ liệu.
Hành động của các nhóm tấn công APT
Ngay sau khi thu thập thông tin, đánh giá tình hình. Cục An toàn thông tin đã phối hợp với các doanh nghiệp ISP để ngăn chặn, xử lý chiến dịch tấn công APT nguy hiểm. Chúng nhắm vào các nước Trung Á, Đông Nam Á. Trong đó có Việt Nam. Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT. Đầu năm 2021, bên cạnh việc khai thác các điểm yếu, lỗ hổng mới phát sinh trên hệ thống thông tin của các cơ quan, tổ chức. Các chiến dịch tấn công mạng có chủ đích (APT) cũng được các hacker âm thầm triển khai qua nhiều hình thức khác nhau.
Các nhóm tấn công APT thường được hậu thuẫn với nguồn lực rất lớn. Để thực hiện các chiến dịch tấn công vào các mục tiêu chính trị, kinh tế. Vào đầu tháng 4 này, trên không gian mạng xuất hiện nhiều thông tin về chiến dịch tấn công kéo dài nhiều tháng. Do nhóm APT Cycldek thực hiện. Để xâm nhập vào máy tính của các cơ quan chính phủ ở Việt Nam, các nước Trung Á và Thái Lan. Vào ngày 5/4/2021 Kaspersky đã đưa thông tin về chiến dịch tấn công này trên trang securelist.com.
Nhóm APT Cycldek
Nhóm APT Cycldek – còn có nhiều tên gọi khác. Như là Goblin Panda, Cycldek, Hellsing, APT27, 1937CN. Được phát hiện từ năm 2010. Nhóm này thường nhắm đến tấn công vào những mục tiêu thuộc lĩnh vực quốc phòng, năng lượng và chính phủ. Tại các nước Đông Nam Á. Như Lào, Philippines, Thailand, Việt Nam(mục tiêu chính là Lào và Việt Nam). Kể từ khi hoạt động đến nay, APT Cycldek đã thực hiện nhiều chiến dịch tấn công vào nhiều quốc gia trên thế giới và Việt Nam. Đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia cũng cho biết.
Nhóm Cycldek là một trong những nhóm tấn công APT có trong danh sách Trung tâm thường xuyên giám sát. Để phát hiện sớm các nguy cơ. Thực hiện các biện pháp kỹ thuật ngăn chặn và xử lý các chiến dịch tấn công APT vào các cơ quan tổ chức tại Việt Nam trên diện rộng. Trên cơ sở các thông tin thường xuyên theo dõi, giám sát, hợp tác chia sẻ thông tin, trong tháng 3/2021, Trung tâm Trung tâm Giám sát an toàn không gian mạng quốc gia đã ghi nhận chiến dịch tấn công mạng gần đây nhất có liên quan đến nhóm APT Cycldek. “Ngay sau khi thu thập thông tin, đánh giá tình hình. Chúng tôi đã phối hợp cùng với các doanh nghiệp cung cấp dịch vụ Internet – ISP. Để ngăn chặn, xử lý từ cuối tháng 3/2021”, đại diện NCSC cho hay.
Việc xử lý từ phía các doanh nghiệp ISP
Việc xử lý từ phía các doanh nghiệp ISP đã giảm thiểu tác động của chiến dịch tấn công đến hệ thống thông tin của các cơ quan, tổ chức tại Việt Nam. Dù vậy, Trung tâm Giám sát an toàn không gian mạng quốc gia khuyến nghị các cơ quan, tổ chức ,doanh nghiệp vẫn cần chủ động rà soát ngay trong nội tại hệ thống thông tin của mình. Để phát hiện ngăn chặn và xử lý tận gốc. Đặc biệt, khi phát hiện có dấu hiệu tấn công APT. Cần có đội ngũ chuyên gia có kinh nghiệm thực hiện điều tra, truy vết. Loại bỏ các mã độc đã cài cắm sâu vào hệ thống.
Theo đánh giá của các chuyên gia. Tấn công APT tại Việt Nam đang ngày càng gia tăng cả về số lượng và mức độ tinh vi. Những năm trở lại đây, các cơ quan, doanh nghiệp hoạt động trong lĩnh vực an toàn, an ninh mạng tại Việt Nam đã phát hiện được nhiều chiến dịch tấn công mạnh mẽ. Nhắm vào các ngân hàng, tổ chức tài chính cũng như nhiều cơ quan khối Chính phủ.
Nguồn: Vietnamnet.vn
