Là người trực tiếp chỉ huy, điều phối các đơn vị liên quan tham gia ứng cứu sự cố cho VNDirect, PVOil và hàng loạt các doanh nghiệp bị tấn công gần đây, ông Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia (Bộ Công an) đã chia sẻ tại buổi Tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền” do Hiệp hội An ninh mạng Quốc gia phối hợp với CLB ICT Việt Nam tổ chức chiều ngày 5/4 về sự gia tăng của loại hình tội phạm mạng này trong thời gian gần đây tại Việt Nam.
“Chúng tôi đã tham gia khá nhiều hệ thống ứng phó an ninh mạng toàn quốc. Tình hình an ninh mạng của Việt Nam ngày càng phức tạp. Tần suất tấn công ngày càng dồn dập, thiệt hại ngày càng lớn. Cách đây 2-3 năm, tin tặc lấy đi 4-50 tỷ là rất lớn nhưng năm nay có những vụ lên tới 200 tỷ, nuốt trôi doanh thu của tổ chức lớn”, ông Thủy nói.
Cũng theo ông Thủy, tháng 11/2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12/2023, một đơn vị trong ngành tài chính ngân hàng, tin tặc đã nằm vùng rất lâu và thông thạo quy trình, gây thiệt hại gần 200 tỷ đồng. Tháng 3/2024, một đơn vị trung gian thanh toán, VNDirect, PVOIl, hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware.
Trung tá Lê Xuân Thủy, Giám đốc Trung tâm an ninh mạng quốc gia - Bộ Công an
Tần suất ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu. Việt Nam đang tích cực chuyển đổi số, nhưng chưa quan tâm đúng mức đến an ninh mạng. Do đó, khi chuyển đổi số nở rộ, làm nhanh không cân bằng với an ninh mạng thì sẽ càng rủi ro vì tập trung rủi ro vào một số hệ thống, gây trở ngại lớn cho quá trình chuyển đổi số quốc gia.
Theo thống kê, tính riêng 3 tháng đầu năm 2024, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam được ghi nhận lên tới 2.323 vụ. Tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam, gây ra những ảnh hưởng nhất định.
Hiện nay tồn tại một thị trường chuyên rao bán, cung cấp mã độc và lỗ hổng bảo mật, do đó, những đối tượng thực thi chiến dịch tấn công không cần phải quá giỏi vẫn có thể có được quyền sử dụng, truy cập mã độc để phục vụ mục đích bất chính.
Đồng tình với Lê Xuân Thủy, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia cũng khẳng định sự tồn tại của thị trường "chợ đen", nơi có những nhóm tấn công, xâm nhập hệ thống rồi bán lại quyền khai thác cho nhóm khác.
“Các cuộc tấn công hiện nay có mức độ chuyên nghiệp cao, hacker đòi khoản tiền lớn bởi họ đã phải đầu tư tiền để mua các lỗ hổng. Có những nhóm khoa học nghiên cứu và phát hiện ra lỗ hổng, họ có thể báo lại cho nhà sản xuất, thu về tiền thưởng 100.000 – 200.000. Nhưng nếu lỗ hổng có giá trị, họ còn lựa chọn thứ hai là bán cho một đối tác khác trả giá cao hơn, 2-3 triệu USD chẳng hạn.
Khi đã đầu tư khoản tiền lớn để mua lỗ hổng, hacker sẽ phải thu về nhiều hơn, trả tiền cho các hệ thống để duy trì hoạt động của nhóm hacker, đâu đó số tiền thu về phải lãi gấp 2-3 lần so với tiền bỏ ra. Nó đã trở thành công nghiệp hoá, trên chợ đen có bán sẵn các lỗ hổng, quyền truy nhập”, ông Vũ Ngọc Sơn nói.
Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia
Các loại mã độc, công cụ khai thác thay đổi hàng ngày. Khi một nhóm hacker thực hiện một vụ tấn công, họ đã xác định sẽ không dùng lại được cách thức tấn công đó nữa bởi đã công khai cho tất cả mọi người đều biết, ví dụ như tôi vào bằng con đường nào, khai thác phần mềm nào, sử dụng công nghệ gì, kỹ thuật mã hóa ra sao? Rất có thể các hệ thống giám sát an ninh mạng sẽ cập nhật các mẫu nhận diện của các hình thức tấn công. Do vậy hacker chấp nhận đầu tư hình thức mới, kiểu gì các cuộc tấn công mới cũng sẽ có cái mới, khác các cuộc cũ, không cái nào giống cái nào.
"Điều này đã trở thành một nền công nghiệp bán lỗ hổng bảo mật, bán quyền truy cập hệ thống", ông Vũ Ngọc Sơn nói và cho biết những công cụ khai thác, mã độc được thay đổi hằng ngày bởi khi một nhóm hacker tấn công thì cũng xác định luôn không thể thực hiện lại quy trình đó, do vậy họ chấp nhận đầu tư lại từ đầu với hình thức phát triển mới.
Trả lời cho câu hỏi này, ông Vũ Ngọc Sơn nhận định: “Nếu có chiến dịch tấn công vào Việt Nam thì nó phải bắt đầu cách đây tầm 6 tháng đến 1 năm. Có thể có 1 nhóm nào đó gom hết quyền truy nhập vào các hệ thống của Việt Nam rồi tấn công cùng một lúc. Hoàn toàn có khả năng xảy ra chứ không phải không”.
Cũng theo ông Vũ Ngọc Sơn, các vụ việc vừa rồi đều là tấn công nằm vùng, sau đó mã hoá dữ liệu. Nếu đánh giá các vụ việc này, chúng ta phải lùi thời gian lại 1 năm trước mới xem được có chiến dịch tấn công như thế nhắm vào Việt Nam không.
Chúng ta phải luôn trong tâm thế các cuộc tấn công có thể đến bất cứ lúc nào. Thời điểm nằm vùng cách đây 1 năm tức là rất nhiều chuyện có thể xảy ra. Thậm chí, sau khi tấn công, có nhóm bán lại quyền kiểm soát cho nhóm khác. Việc khai thác chưa chắc đã từ nhóm tấn công đầu tiên. Chúng ta cần có thêm thời gian để đánh giá, tuy nhiên việc tấn công ở Việt Nam đang có thực trạng như vậy.
Còn theo ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn không gian mạng quốc gia – NCSC, Cục An toàn thông tin (Bộ TT&TT), nếu nói là chiến dịch thì không hẳn, nhưng nó như một làn sóng tấn công đổ từ nơi này sang nơi khác. Với hệ thống của nhiều tổ chức, doanh nghiệp Việt Nam chưa được đảm bảo an toàn thông tin một cách đầy đủ, những kẻ tấn công có thể thấy đây là những mục tiêu dễ dàng hơn so với các đơn vị ở những nước phát triển hơn chúng ta. Ví dụ, để tấn công các đơn vị ở Singapore tương đối khó. Theo tôi đây là một trong những lý do khiến cho các cuộc tấn công mạng vào các hệ thống của doanh nghiệp, tổ chức Việt Nam xảy ra dồn dập thời gian qua.
Tần suất tấn công ransomware ngày càng dồn dập
Ông Thủy cho biết, Nghị định 53 xác lập lực lượng chuyên trách của Bộ Công an chịu trách nhiệm bảo vệ hệ thống thông tin quan trọng an ninh quốc gia. Các hệ thống này nếu không bảo vệ tốt, hậu quả không chỉ gây nên ở cơ quan chủ quản mà cả cộng đồng. Ví dụ, lưới điện quốc gia bị sập, việc mất điện không chỉ ảnh hưởng đến EVN, hoặc máy bay bị tấn công không chỉ ảnh hưởng đến Vietnam Airlines, hay hệ thống chính quyền bộ ngành bị hack sẽ làm lộ bí mật nhà nước.“Chúng tôi đã tham gia khá nhiều hệ thống ứng phó an ninh mạng toàn quốc. Tình hình an ninh mạng của Việt Nam ngày càng phức tạp. Tần suất tấn công ngày càng dồn dập, thiệt hại ngày càng lớn. Cách đây 2-3 năm, tin tặc lấy đi 4-50 tỷ là rất lớn nhưng năm nay có những vụ lên tới 200 tỷ, nuốt trôi doanh thu của tổ chức lớn”, ông Thủy nói.
Cũng theo ông Thủy, tháng 11/2023, một đơn vị trong lĩnh vực năng lượng đã bị tấn công và mã hóa toàn bộ khoảng 1.000 máy chủ; tháng 12/2023, một đơn vị trong ngành tài chính ngân hàng, tin tặc đã nằm vùng rất lâu và thông thạo quy trình, gây thiệt hại gần 200 tỷ đồng. Tháng 3/2024, một đơn vị trung gian thanh toán, VNDirect, PVOIl, hai nhà cung cấp dịch vụ viễn thông bị tấn công ransomware.
Tần suất ngày càng dồn dập và nhằm vào các đơn vị có hệ thống trọng yếu. Việt Nam đang tích cực chuyển đổi số, nhưng chưa quan tâm đúng mức đến an ninh mạng. Do đó, khi chuyển đổi số nở rộ, làm nhanh không cân bằng với an ninh mạng thì sẽ càng rủi ro vì tập trung rủi ro vào một số hệ thống, gây trở ngại lớn cho quá trình chuyển đổi số quốc gia.
Chợ đen rao bán mã độc tống tiền cực sôi động
Trung tá Lê Xuân Thủy cũng cho biết, hiện nay buôn bán lỗ hổng bảo mật đã như một "nền công nghiệp" và rất sôi động. “Tấn công bằng mã độc vào các hệ thống công nghệ thông tin của tổ chức, doanh nghiệp từ lâu là hoạt động sinh lợi bất chính của các nhóm tin tặc. Nhưng không phải nhóm hacker nào cũng tự mình thực thi chiến dịch tấn công, thay vào đó chúng bán lỗ hổng bảo mật cho bên khác để thu về những khoản tiền khổng lồ”, ông Thủy nói.Theo thống kê, tính riêng 3 tháng đầu năm 2024, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam được ghi nhận lên tới 2.323 vụ. Tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam, gây ra những ảnh hưởng nhất định.
Hiện nay tồn tại một thị trường chuyên rao bán, cung cấp mã độc và lỗ hổng bảo mật, do đó, những đối tượng thực thi chiến dịch tấn công không cần phải quá giỏi vẫn có thể có được quyền sử dụng, truy cập mã độc để phục vụ mục đích bất chính.
Đồng tình với Lê Xuân Thủy, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty cổ phần Công nghệ an ninh mạng Quốc gia – NCS, Trưởng ban Nghiên cứu công nghệ Hiệp hội An ninh mạng Quốc gia cũng khẳng định sự tồn tại của thị trường "chợ đen", nơi có những nhóm tấn công, xâm nhập hệ thống rồi bán lại quyền khai thác cho nhóm khác.
“Các cuộc tấn công hiện nay có mức độ chuyên nghiệp cao, hacker đòi khoản tiền lớn bởi họ đã phải đầu tư tiền để mua các lỗ hổng. Có những nhóm khoa học nghiên cứu và phát hiện ra lỗ hổng, họ có thể báo lại cho nhà sản xuất, thu về tiền thưởng 100.000 – 200.000. Nhưng nếu lỗ hổng có giá trị, họ còn lựa chọn thứ hai là bán cho một đối tác khác trả giá cao hơn, 2-3 triệu USD chẳng hạn.
Khi đã đầu tư khoản tiền lớn để mua lỗ hổng, hacker sẽ phải thu về nhiều hơn, trả tiền cho các hệ thống để duy trì hoạt động của nhóm hacker, đâu đó số tiền thu về phải lãi gấp 2-3 lần so với tiền bỏ ra. Nó đã trở thành công nghiệp hoá, trên chợ đen có bán sẵn các lỗ hổng, quyền truy nhập”, ông Vũ Ngọc Sơn nói.
Các loại mã độc, công cụ khai thác thay đổi hàng ngày. Khi một nhóm hacker thực hiện một vụ tấn công, họ đã xác định sẽ không dùng lại được cách thức tấn công đó nữa bởi đã công khai cho tất cả mọi người đều biết, ví dụ như tôi vào bằng con đường nào, khai thác phần mềm nào, sử dụng công nghệ gì, kỹ thuật mã hóa ra sao? Rất có thể các hệ thống giám sát an ninh mạng sẽ cập nhật các mẫu nhận diện của các hình thức tấn công. Do vậy hacker chấp nhận đầu tư hình thức mới, kiểu gì các cuộc tấn công mới cũng sẽ có cái mới, khác các cuộc cũ, không cái nào giống cái nào.
"Điều này đã trở thành một nền công nghiệp bán lỗ hổng bảo mật, bán quyền truy cập hệ thống", ông Vũ Ngọc Sơn nói và cho biết những công cụ khai thác, mã độc được thay đổi hằng ngày bởi khi một nhóm hacker tấn công thì cũng xác định luôn không thể thực hiện lại quy trình đó, do vậy họ chấp nhận đầu tư lại từ đầu với hình thức phát triển mới.
Liệu có một “chiến dịch” nào đang nhằm vào Việt Nam để tấn công hay không?
Do liên tục dồn dập xảy ra các cuộc tấn công ransomware chỉ trong một thời gian ngắn, nhiều người thắc mắc liệu đây có phải là một chiến dịch tấn công mạng nhằm vào Việt Nam?Trả lời cho câu hỏi này, ông Vũ Ngọc Sơn nhận định: “Nếu có chiến dịch tấn công vào Việt Nam thì nó phải bắt đầu cách đây tầm 6 tháng đến 1 năm. Có thể có 1 nhóm nào đó gom hết quyền truy nhập vào các hệ thống của Việt Nam rồi tấn công cùng một lúc. Hoàn toàn có khả năng xảy ra chứ không phải không”.
Cũng theo ông Vũ Ngọc Sơn, các vụ việc vừa rồi đều là tấn công nằm vùng, sau đó mã hoá dữ liệu. Nếu đánh giá các vụ việc này, chúng ta phải lùi thời gian lại 1 năm trước mới xem được có chiến dịch tấn công như thế nhắm vào Việt Nam không.
Chúng ta phải luôn trong tâm thế các cuộc tấn công có thể đến bất cứ lúc nào. Thời điểm nằm vùng cách đây 1 năm tức là rất nhiều chuyện có thể xảy ra. Thậm chí, sau khi tấn công, có nhóm bán lại quyền kiểm soát cho nhóm khác. Việc khai thác chưa chắc đã từ nhóm tấn công đầu tiên. Chúng ta cần có thêm thời gian để đánh giá, tuy nhiên việc tấn công ở Việt Nam đang có thực trạng như vậy.
Còn theo ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn không gian mạng quốc gia – NCSC, Cục An toàn thông tin (Bộ TT&TT), nếu nói là chiến dịch thì không hẳn, nhưng nó như một làn sóng tấn công đổ từ nơi này sang nơi khác. Với hệ thống của nhiều tổ chức, doanh nghiệp Việt Nam chưa được đảm bảo an toàn thông tin một cách đầy đủ, những kẻ tấn công có thể thấy đây là những mục tiêu dễ dàng hơn so với các đơn vị ở những nước phát triển hơn chúng ta. Ví dụ, để tấn công các đơn vị ở Singapore tương đối khó. Theo tôi đây là một trong những lý do khiến cho các cuộc tấn công mạng vào các hệ thống của doanh nghiệp, tổ chức Việt Nam xảy ra dồn dập thời gian qua.
