I.L.E.N rss feed Trang chủ Linux Bài 2: Các mục tiêu và phương thức tấn công
Bài 2: Các mục tiêu và phương thức tấn công
Thứ sáu, 18 Tháng 1 2013 10:19

Theo McAfee số lượng các cuộc tấn công bằng phần mềm độc hại để thâm nhập hoặc gây hại cho một hệ thống máy tính tăng 500% trong năm 2008 - tương đương với tổng cộng của 5 năm trước đó cộng lại. Trong đó 80% các cuộc tấn công bằng phần mềm độc hại có động lực là tài chính với hành vi ăn cắp thông tin, dữ liệu cá nhân. 20% các cuộc tấn công còn lại có các mục tiêu liên quan đến tôn giáo, gián điệp, khủng bố, hoặc chính trị.

1. Về chính trị
a. Xung đột giữa các quốc gia
Israel – Syria
Mossad được cho là đã sử dụng một Trojan để thâm nhập vào máy tính xách tay của một quan chức Syria trong khi ông này nghỉ tại một khách sạn ở Luân Đôn. Mở màn cho một cuộc không kích triệt hạ nhà máy hạt nhân đang được xây dựng vào tháng 09/2007.

Israel – Palestine
Những người hoạt động tích cực trên mạng của Israel mời những người lướt web thân Israel cài đặt một công cụ tạo ra những botnet khổng lồ tấn công từ chối dịch vụ DDoS vào các website của Hamas. Như một phần trong câu chuyện về xung đột giữa Israel và Palestine.

Nga – Estonia,Georgia
Năm 2007, xảy ra xung đột Nga - Estonia, Georgia. Internet ở các nước gần như bị tê liệt khi bị các tin tặc có nguồn gốc từ Nga sử dụng botnet tấn công DDos.

Mỹ, liên quân – Iraq
Năm 2003, Lầu 5 góc và các cơ quan tình báo Mỹ đã lên kế hoạch cho một cuộc tấn công không gian mạng để đóng băng hàng tỷ USD trong các tài khoản ngân hàng của Saddam Hussein và hệ thống tài chính chính phủ trước khi Mỹ xâm lược Iraq.

Mỹ, Hàn Quốc - Triều Tiên
Năm 2009 nhiều đợt tấn công DDOs vào các webiste của chính phủ Mỹ và Hàn Quốc. Nhiều cáo buộc đều quy kết cho Triều Tiên. Sau có nguồn tấn công được chứng minh là phát động từ Anh.

Mỹ, Israel - Iran
Khi các tranh cãi về chương trình hạt nhân của Iran chưa kết thúc người ta bắt đầu lên kế hoạch sử dụng sâu máy tính(malware) tấn công vào chương trình điều khiển lò phản ứng hạt nhân bằng cách khai thác lỗ hổng hệ điều hành Windows của chương trình này. Đây được xem là vũ khí tin học các quốc gia dùng chống lại một quốc gia khác.

Kế hoạch sử dụng sâu Stuxnet tấn công chương trình hạt nhân của Iran


Tranh chấp dầu khí ở Venezuela năm 2002
Năm 2002, Hugo Chávez Tổng thống Venezuela cho quốc hữu hóa tập đoàn dầu khi quốc gia PDVSA(Petróleos de Venezuela, S.A.). Đã vấp phải sự phản đối của các quản lý tập đoàn, kèm theo là các hành động phản ứng cứng rắn như chiếm quyền kiểm soát phần mềm điều hành tập đoàn. Đây là phần mềm do công ty Mỹ(SAIC) một công ty có mối quan hệ mật thiết với Bộ Quốc Phòng và Cơ quan tình báo trung ưng Mỹ(CIA) cung cấp. Các nhân viên SAIC đã được lệnh thay đổi tất cả mật khẩu và điều khiển hệ thống máy tính từ xa. Vì đây là phần mềm sở hữu độc quyền nên không ai ngoài nhân viên SAIC biết chúng chứa gì và hoạt động như thế nào. Trong khi những người này lại ở Mỹ và luật pháp Venezuela thì không thể với tới họ.

b. Trung quốc và các quốc gia khác
Trong tài liệu: “Tracking GhostNet: Investigating a Cyber Espionage Network (Theo dõi Mạng Ma: Nghiên cứu một mạng gián điệp không gian ảo), được Trung tâm nghiên cứu Quốc tế Munk Đại học Toronto, Canada xuất bản ngày 29/03/2009 thì trong số 1,295 máy tính bị lây nhiễm có cả máy chủ, nạn nhân của 103 quốc gia trên thế giới, với số lượng máy bị lây nhiễm nhiều nhất là tại Đài Loan, rồi tới Mỹ, Việt Nam và Ấn Độ. Việt Nam đứng thứ 3 thế giới về số lượng các máy tính bị lây nhiễm – 130 chiếc, chiếm tới hơn 10% số máy bị lây nhiễm trong nghiên cứu này, trong đó có 30 máy của Bộ Công thương và 74 máy của PetroVietnam, còn lại là của các cơ quan, tổ chức khác. Các nhà nghiên cứu nói rằng hệ thống này đang được kiểm soát từ các máy tính chủ yếu là đặt tại Trung Quốc, nhưng họ không chắc rằng chính phủ Trung Quốc có liên quan.

Các khu vự bị nhiễm GhostNet


c. Tấn công vào hầu như tất cả các hệ thống mạng của các lực lượng vũ trang, như mạng dành riêng cho 2 cuộc chiến của Mỹ tại Afghanistan và Iraq, CIAMI6NATO,Hải quân Ấn ĐộCảnh sát Anh.

d. Các tổ chức được cho là có độ an ninh cao nhất cũng bị tấn công bao gồm:
Liên hiệp quốc
Một nhóm tin tặc đã công bố danh sách hơn 1000 email của các nhân viên Liên Hiệp Quốc. Người ta cho rằng nhóm tin tặc này đã xâm nhập vào hệ thống máy chủ . Trong khi mật khẩu các tài khoản không được mã hóa, không đủ độ khó cần thiết hay thậm chí một số tài khoản không có mật khẩu.

Quỹ tiền tệ Quốc tế IMF
New York Times và Bloomberg nói rằng IMF đã là nạn nhân của một cuộc tấn công không gian mạng “lớn và nghiêm trọng”. Những kẻ tấn công có khả năng đã cài cắm phần mềm gián điệp lên một máy tính bên trong IMF làm bàn đạp cho chúng truy cập tới mạng của IMF. Bloomberg còn cho biết IMF đã bị đánh mất một “số lượng lớn” các dữ liệu bao gồm các thư điện tử và một số tài liệu có độ nhạy cảm cao như tình hình tài chính của một số quốc gia hay các thương thảo có liên quan.

Thượng việnBộ Tư phápPhòng Thương mại, Ủy ban Thương mại Liên bang Mỹ FTC và các vệ tinh quan sát của Mỹ.

Công cụ dùng tấn công vào Bộ Tư pháp Mỹ
Công cụ dùng tấn công vào Bộ Tư pháp Mỹ


Thủ tướng Úc
Các máy tính nghị trường của ít nhất 10 bộ trưởng Liên bang, bao gồm cả Thủ tướng, Bộ trưởng Ngoại giao và Bộ trưởng Quốc phòng bị nghi là đã bị thâm nhập trong một lỗ hổng an ninh quốc gia. Bốn nguồn tin riêng rẽ của chính phủ đã khẳng định họ nghi ngờ các cơ quan tình báo Trung Quốc đứng sau vụ này.

Cơ quan chứng thực Israel
Tháng 07/2011, Cơ quan Chứng thực (CA) StartSSL của Israel đã bị treo tạm thời tất cả các dịch vụ cấp chứng thực, khi kẻ tấn công đã dự định vượt qua các hệ thống an ninh của cơ quan này và thâm nhập trái phép vào các máy chủ.

Chính phủ Canada
Các nguồn nói rằng các tin tặc sử dụng các máy chủ tại Trung Quốc đã giành được sự kiểm soát một số các máy tính của chính phủ Canada của các quan chức hàng đầu của liên bang. Sau đó, mạo danh các lãnh đạo liên bang gửi các thư điện tử tới các nhân viên kỹ thuật của các bộ, đề xuất họ cung cấp các mật khẩu chủ chốt để trao cho họ sự truy cập tới các mạng của chính phủ.

Cơ quan Vũ trụ Nhật Bản
Cơ quan Khai thác Vũ trụ Nhật Bản (JAXA) đã khẳng định rằng các dữ liệu nhạy cảm đã bị đánh cắp từ một máy tính của nhân viên. Cơ quan này cho biết virus lây nhiễm qua thiết bị đầu cuối trên máy tính của nhân viên ngày 06/01/2012. Hiện nay, vẫn chưa tìm ra nguồn gốc cũng như bản chất của loại virus này.

d. Năm 2009 có dự đoán thời gian để chuyển từ gián điệp thông tin sang phá hoại từ 3-8 năm, nhưng trên thực tế đã diễn ra nhanh hơn thế. Ngày 13/07/2010, sâu Windows Stuxnet đã được phát hiện, dựa vào 4 lỗi ngày số 0 trong Windows và các lỗi trong hệ thống kiểm soát giám sát, thu thập dữ liệu SCADA của Siemens. Nó làm hỏng hàng ngàn máy li tâm uranium trong các cơ sở hạt nhân của Iran, làm chậm chương trình hạt nhân của nước này tới 2 năm.

Chương trình bị lỗi khi bị StuxNet tấn công


e. Phá hoại hạ tầng cơ sở:
+ Các hệ thống mạng tại Mỹ: lưới điện[1,2], giao thông, ngân hàngphát thanh truyền hìnhđường sắtcấp thoát nước tại Illinois và Texas, hệ thống cung cấp dầu khí,công nghiệp hóa chất. Thâm nhập các thiết bị kiểm soát công nghiệp tại Mỹ tăng đột ngột, từ 9 vụ năm 2009 lên 198 vụ năm 2011 với 17 vụ nghiêm trọng.

Số lượng các đợt tấn công vào ngành công nghiệp hóa chất ở các quốc gia
Số lượng các đợt tấn công vào ngành công nghiệp hóa chất ở các quốc gia


+ Các nước khác: lưới điện ở ÚcY tế ở Anh

+ Sau 2 năm kể từ khi phát hiện ra Stuxnet, những lỗ hổng trong các phần mềm SCADA, PLC chưa sửa được tìm thấy gấp 11 lần(98) so với năm 2010(9).

f. Stuxnet – Duqu – Flame – Gauss: thuộc nhóm vũ khí không thể kiểm soát, các phần mềm diệt virus không tìm ra được chúng.

g. WikiLeaks nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc phòng và Bộ Ngoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới.

2. Về kinh tế: gián điệp thu thập thông tin, ăn cắp thông tin sở hữa trí tuệ, tài khoản ngân hàng,...

a. Các tập đoàn lớn: SonyHondaLockheed MartinCitibankSK Communications - Hàn Quốc, Mitsubishi Heavy Industries - nhà thầu của Bộ Quốc phòng Nhật Bản, vụ Aurora cuối năm 2009 tấn công vào Google và các hãng lớn khác của Mỹ, các hãng dầu khí lớn như Aramoco, Chevron...

b. Tháng 08/2012, Kaspersky Lab đã phát hiện một virus mới do nhà nước bảo trợ tên là Gauss, có liên quan tới Stuxnet-Duqu-Flame, chuyên theo dõi các giao dịch, dò tìm và ăn cắp các ủy quyền đăng nhập và thông tin - dữ liệu ngân hàng trực tuyến. Xuất hiện trong hàng loạt tại các ngân hàng Li băng, Israel và các vùng lãnh thổ của Palestine.

Kiến trúc virus Gauss
Kiến trúc virus Gauss


c. Khu vực ngân hàng - thẻ tín dụng: Global Payments cho biết có khoảng 1.5 triệu thẻ tín dụng bị thu thập thông tin sau khi hệ thống bị đột nhập. Số tiền bị ăn cắp trong các ngân hàng Mỹ tăng từ 40 triệu USD vào 09/2009 lên 100 triệu USD vào 10/2009. Trong đó ngân hàng Citibank bị thiệt hại hàng chục triệu USD. Tháng 10/2011 thị trường chứng khoán NASDAQ bị hacker đột nhập do thám các thông tin mật.

d. Các cơ quan chứng thực số CA(Certificate Authority): Hàng loạt các công ty chứng thực số bị xâm nhập và đánh cắp mã chứng thực như CodomoDiginotar,GlobalSignStartSSL. Từ đó các giao dịch do các CA này cung cấp không còn an toàn. Diginotar đã phải tuyên bố phá sản sau bị hacker xâm nhập đánh cắp và làm giả mã chứng thực.

e. Các công ty tư vấn an ninh: Tháng 01/2012 Symantec bị hacker đột nhập đánh cắp mã nguồn sản phẩm Norton Antivirus và PCAnyWhere. Điều này chứng tỏ lỗ hổng an ninh không chỉ xuất hiện ở các cơ quan không chuyên mà nó còn xuất hiện ở các công ty tư vấn an ninh mạng nổi tiếng như Symantec.

f. Các phần mềm gián điệp được cài đặt lén lút vào máy tính người dùng. Sau đó, mọi thông tin về quá trình sử dụng, các website đã ghé thăm, nội dung trao đổi(chat),... thậm chí các hình ảnh, video sex có trong máy người dùng đều được thu thập và bí mật gửi đi. Những thông tin này sau đó chủ yếu trở thành các công cụ dùng tống tiền nạn nhân.

3. Các vụ liên quan đến Việt Nam.
a. Tháng 02/2012, BKAV bị tấn công. Từ 11/2010 - 11/2011 Vietnamnet liên tục bị tấn công nhưng cho đến nay vẫn chưa tìm ra thủ phạm.

b. Cuộc chiến giữa tin tặc VN và tin tặc TQ
Tháng 06/2011 hàng trăm website của cả 2 bên đã bị tấn công, bôi xấu(deface) trong đó có nhiều website của chính phủ. Chừng nào còn xung đột Biển Đông thì cuộc chiến vẫn còn tiếp diễn.

c. GhostNet(mạng ma) đứng thứ 2/103 nước trên thế giới, chỉ sau Đài Loan, trên cả Mỹ và Ấn Độ, với 130/1295 máy tính chạy Windows bị lây nhiễm.

d. Việt Nam đứng số 1 thế giới với 13% máy tính bị nhiễm Conficker - một loại sâu máy tính còn được biết dưới tên gọi Kido có nhiều biến thể(Conficker A,B,C). TheoOpenDNS Botnet Windows nhiễm Conficker của các ISP Việt nam cỡ lớn nhất thế giới với hơn 5% không gian địa chỉ IP bị lây nhiễm và vẫn đang tự lây nhiễm. Trongtop 500 ISP bị lây nhiễm nhiễm nhiều nhất thì vị trí các ISP Việt Nam lần lượt là VNN(2), Viettel(18), FPT(20),...

e. Theo báo cáo của Kaspersky Lab 09/2012, người dùng Việt Nam đứng thứ 5 thế giới về nhận thư rác.

Danh sách các quốc gia bị nhiều thư rác nhất thế giới


f. Việt Nam có tên 5 trong số 10 BotNet lớn nhất thế giới(2009)

Thống kê BotNet lớn nhất thế giới 2009


g. Việt Nam cũng thuộc nhóm các nước có sử dụng bộ công cụ Zeus để tạo BotNet làm công cụ cho những đợt tấn công quy mô lớn sau này

Công cụ phạm tội của tội phạm tin học


h. Nhấp chuột giả mạo(fraud's click) đứng đầu thế giới

i. Trên thị trường tội phạm mạng thế giới giá botnet của Việt Nam 5 USD/1000 máy(mua vào) và 25 USD/1000 máy(bán ra).

4. Công cụ được sử dụng để tấn công.
4.1 Phần cứng
a. Chip máy tính
Cấy phần mềm độc hại hoặc phần mềm gián điệp vào Bios ở tất cả các phiên bản Windows từ WinXP tới Win7. Khi máy tính khởi động, các phần mềm này sẽ khởi động trước chiếm quyền kiểm soát toàn bộ máy tính và thực hiện các hành vi gián điệp như thu thập dữ liệu, nghe lén, theo dõi bàn phím,...

b. Thiết bị Viễn Thông
Mặc dù chưa có bằng chứng rõ ràng nhưng chính phủ các nước AnhMỹẤn Độ và nhiều quốc gia khác nghi ngờ HuweiZTE làm gián điệp cho Trung Quốc khi hãng truyền thông này liên tục thắng thầu cung cấp thiết bị trong các dự án quan trọng của chính phù các nước.

c. Các hệ thống nhúng: máy photocopy đa chức năng của Canon, Ricod, Xeroxmáy in HP cũng có thể trở thành cầu nối tấn công vào mạng bằng cách cài mã độc vào driver hay firmware của các thiết bị này.

d. Thiết bị di động
Báo cáo về những mối đe dọa hiện hành đối với những người sử dụng Internet và các máy tính cá nhân của công ty phần mềm G-Data cho biết số lượng các điện thoại thông minh và máy tính bảng nhiễm phần mềm độc hại di động đã tăng 273% trong nửa đầu năm 2011 so với cùng kỳ năm 2010.

e. Thẻ và đầu đọc thẻ thông minh
Theo hãng an ninh Mỹ Alienault, một biến thể trojan đã tồn tại từ tháng 03/2011 đang ăn cắp các số mã cá nhân(PINs) từ các thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ và họ nghi ngờ rằng những cuộc tấn công này có nguồn gốc từ Trung Quốc.

4.2. Phần mềm
Theo báo cáo của hãng an ninh Đức G-Data từ năm 2010 đến nữa đầu 2012, số lượng phần mềm độc hại gia tăng hơn 1 triệu loại mới sau mỗi 6 tháng, chiếm 99.4% - 99.8% thuộc về Windows.

Thống kê phần mềm độc hại của hãng an ninh G-Data Đức


Tin tặc lợi dụng các lỗ hổng của Windows và khai thác lỗ hổng của các ứng dụng trên nền tảng hệ điều hành này để tấn công các hệ thống mạng trên khắp thế giới.

Tạo ra các botnet từ vài trăm cho tới hàng chục triệu máy tính máy tính bị lây nhiễm để chuẩn bị cho các cuộc tấn công quy mô lớn.

5. Tần suất và phạm vi tấn công
5.1. Tần suất khổng lồ
a. Mạng quân đội Mỹ bị quét hàng ngàn lần mỗi ngày.
b. Tháng 03/2009, có 128 "hành động thâm nhập không gian mạng" trong 1 phút vào các hệ thống mạng của nước Mỹ.
c. Năm 2010 mỗi giây có 2 phần mềm độc hại mới được sinh ra, trong khi nhanh nhất phải cần tới 3 giờ đồng hồ để có được một bản vá.

Thời gian trung bình đưa ra một bản vá lỗi theo báo cáo của TrendMacro
Báo của TrendMacro tại Hội thảo và triển lãm về An ninh Bảo mật tại Hà Nội, ngày 05-06/04/2011


5.2. Phạm vi rộng khắp
a. Vụ GhostNet tấn công vào 103 quốc gia, 1295 máy tính bị lây nhiễm.
b. Các quốc gia mạnh về CNTT cũng bị tấn công: Mỹ, Anh, Pháp, Đức, Hàn Quốc...
c. Khắp các lĩnh vực như vũ trụ, hàng không, quân sự, tài chính, ngoại giao, ...

5.3. Nhiều loại sâu, virus, phần mềm độc hại tham gia các botnet. Có loại chuyên ăn cắp tiền (Zeus, Clampi), có loại tinh vi phức tạp (Conficker), có loại đã tồn tại từ nhiều năm trước nay hoạt động trở lại dù có hàng chục bản vá lỗi của Windows.

Thống kê về trojan Enfal ở Việt nam và Thế giới
Việt Nam đứng số 1 thế giới với 394/874 (45%) hệ thống bị lây nhiễm Enfal

5.4. Các cuộc tấn công không gian mạng có khả năng nhằm vào các cơ sở hạ tầng sống còn - từ chỉ 9 vụ trong năm 2009 lên 198 vụ trong năm 2011.

5.5. Thiệt hại lớn
a. Stuxnet đẩy lùi chương trình hạt nhân của Iran 2 năm mà không tốn viên đạn nào.
b. Mỹ bị tin tặc lấy đi hàng terabyte dữ liệu từ hệ thống mạng của các Bộ Quốc phòng, Ngoại giao, Thương mại, Năng lượng và Cơ quan Hàng không Vũ trụ NASA.
c. Riêng Mỹ, trong 2008-2009 thiệt hại do tội phạm không gian mạng là 8 tỷ USD.
d. Conficker - ước tính 9.1 tỷ USD chỉ trong nửa năm(6/2009).

Qua các số liệu thống kê cho thấy nguy cơ và thiệt hại từ mất an toàn thông tin là vô cùng lớn. Nó ảnh hưởng nghiêm trọng đến không chỉ một cơ quan hay tổ chức mà cả một chính phủ, một quốc gia, kể cả những quốc gia đứng đầu về an ninh - an toàn thông tin. Nguy cơ mất an toàn thông tin đến từ nhiều nguồn, tồn tại dưới nhiều hình thức và có quy mô, mục tiêu khác nhau. Nhưng hầu hết chúng đều có ít nhất một điểm chung là dựa trên nền tảng Windows để tấn công và khai thác.

(loạt bài giới thiệu hệ điều hành mã nguồn mở)

Tài liệu tham khảo:
“Quản lý và bảo mật thông tin doanh nghiệp” TS. Lê Trung Nghĩa, 29/11/2012 [xem tài liệu đính kèm]

Kỳ tới: Tạo sao Windows là một khâu yếu trong an ninh.