Một cơ quan tình báo nước ngoài (giấu danh tính) đã bị phía Trung Quốc cáo buộc triển khai chiến dịch tấn công mạng quy mô lớn nhằm vào một trường đại học tại Trung Quốc, sử dụng hàng chục công cụ chuyên dụng và hàng nghìn chuỗi tấn công để xâm nhập hệ thống, đánh cắp dữ liệu kỹ thuật quan trọng. Thông tin được đề cập trong tập mới của bộ phim tài liệu tuyên truyền về bảo mật và phòng chống gián điệp mạng do truyền thông nhà nước Trung Quốc phát sóng.
Hơn 1.100 chuỗi tấn công và 41 công cụ mạng chuyên dụng
Theo nội dung được công bố, sự việc bắt đầu từ tháng 4/2022 khi một trường đại học phát hiện một chương trình độc hại đang tìm cách chiếm quyền truy cập hệ thống thư điện tử nội bộ. Sau khi tiếp nhận thông tin, các đơn vị kỹ thuật được cho là đã tiến hành điều tra và kết luận nguồn gốc cuộc tấn công xuất phát từ một cơ quan tình báo nước ngoài.
Mục tiêu của chiến dịch được cho là nhằm thu thập các dữ liệu kỹ thuật quan trọng như:
- Cấu hình thiết bị mạng lõi
- Dữ liệu quản trị hệ thống
- Thông tin vận hành và bảo trì hạ tầng CNTT
- Các dữ liệu kỹ thuật phục vụ nghiên cứu và quản lý mạng
Báo cáo cho biết nhóm tấn công đã sử dụng tới 41 công cụ mạng khác nhau, trong đó riêng một dòng mã độc cửa hậu (backdoor) đã có tới 14 biến thể khác nhau. Tổng số chuỗi tấn công được ghi nhận vượt quá 1.100.
Tấn công âm thầm, bám trụ dài hạn trong hệ thống
Theo các thông tin được công bố, tin tặc được cho là đã sử dụng nhiều công cụ chuyên biệt để thực hiện các cuộc tấn công trung gian (Man-in-the-Middle), chiếm quyền điều khiển máy chủ và theo dõi lưu lượng mạng.
Một trong những phần mềm gián điệp được nhắc tới có khả năng hoạt động lâu dài trên các thiết bị biên như:
Một trong những phần mềm gián điệp được nhắc tới có khả năng hoạt động lâu dài trên các thiết bị biên như:
- Router
- Firewall
- Gateway mạng
Từ đó cho phép kẻ tấn công:
- Theo dõi lưu lượng dữ liệu
- Ghi lại các phiên làm việc trên mạng
- Chuyển hướng kết nối
- Chỉnh sửa hoặc can thiệp dữ liệu truyền tải
Đây là những kỹ thuật thường được sử dụng trong các chiến dịch gián điệp mạng nhằm duy trì khả năng truy cập bí mật trong thời gian dài mà không bị phát hiện.
Email lừa đảo tiếp tục là "cửa ngõ" phổ biến
Một chi tiết đáng chú ý là cuộc tấn công được cho là bắt đầu từ các email lừa đảo được ngụy trang dưới dạng thông báo học thuật quen thuộc. Các email này mang chủ đề như:
- Mời tham gia phản biện nghiên cứu
- Thông báo bảo vệ luận văn
- Thư mời hội thảo
- Thông tin học bổng hoặc chương trình nghiên cứu ở nước ngoài
Khi người dùng nhấp vào liên kết hoặc mở tệp đính kèm, mã độc sẽ được kích hoạt để đánh cắp tài khoản email, từ đó mở rộng quyền truy cập sang các hệ thống khác trong mạng nội bộ.
Theo các chuyên gia an ninh mạng, hình thức tấn công này vẫn là một trong những phương thức hiệu quả nhất hiện nay bởi nó khai thác trực tiếp yếu tố con người thay vì tìm kiếm lỗ hổng kỹ thuật phức tạp.
Theo các chuyên gia an ninh mạng, hình thức tấn công này vẫn là một trong những phương thức hiệu quả nhất hiện nay bởi nó khai thác trực tiếp yếu tố con người thay vì tìm kiếm lỗ hổng kỹ thuật phức tạp.
USB lạ, điện thoại nhiễm mã độc và phần mềm không rõ nguồn gốc
Bên cạnh email lừa đảo, tài liệu cũng nhấn mạnh nhiều tình huống tưởng chừng vô hại nhưng có thể trở thành điểm khởi đầu của một vụ xâm nhập mạng. Một số kịch bản được đề cập gồm:
- Cắm USB không rõ nguồn gốc vào máy tính cơ quan.
- Kết nối điện thoại đã nhiễm mã độc với máy tính làm việc.
- Cài đặt phần mềm tải từ Internet trên các hệ thống quan trọng.
- Mở các liên kết hoặc tệp tin không xác định nguồn gốc.
Trong nhiều trường hợp, chỉ một thao tác bất cẩn cũng đủ để mở đường cho mã độc xâm nhập sâu vào hệ thống.
Con người vẫn là mắt xích quan trọng nhất
Mặc dù các công cụ tấn công mạng ngày càng tinh vi và được hỗ trợ bởi công nghệ hiện đại, giới chuyên gia cho rằng yếu tố con người vẫn là tuyến phòng thủ đầu tiên và quan trọng nhất.
Việc duy trì thói quen an toàn như không mở email đáng ngờ, không tải phần mềm từ nguồn không tin cậy và kiểm tra kỹ các thiết bị lưu trữ trước khi sử dụng có thể ngăn chặn phần lớn các cuộc tấn công mạng ngay từ đầu.
Sự việc được nêu trong tài liệu tiếp tục cho thấy các tổ chức giáo dục, viện nghiên cứu và cơ quan sở hữu dữ liệu quan trọng đang ngày càng trở thành mục tiêu hấp dẫn của các chiến dịch gián điệp mạng. Trong bối cảnh đó, nhận thức bảo mật của người dùng đóng vai trò không kém gì các giải pháp công nghệ trong việc bảo vệ hệ thống trước các mối đe dọa trên không gian mạng.
Việc duy trì thói quen an toàn như không mở email đáng ngờ, không tải phần mềm từ nguồn không tin cậy và kiểm tra kỹ các thiết bị lưu trữ trước khi sử dụng có thể ngăn chặn phần lớn các cuộc tấn công mạng ngay từ đầu.
Sự việc được nêu trong tài liệu tiếp tục cho thấy các tổ chức giáo dục, viện nghiên cứu và cơ quan sở hữu dữ liệu quan trọng đang ngày càng trở thành mục tiêu hấp dẫn của các chiến dịch gián điệp mạng. Trong bối cảnh đó, nhận thức bảo mật của người dùng đóng vai trò không kém gì các giải pháp công nghệ trong việc bảo vệ hệ thống trước các mối đe dọa trên không gian mạng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
