Nhìn lại nỗ lực phòng chống tấn công mạng có chủ đích (APT) của Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam VNCERT từ đầu năm đến nay, có thể kể đến việc mở Khóa đào tạo Phần tích mã độc đầu tiên khai giảng vào sáng 29/5/2017.

Khóa đào tạo đã tạo điều kiện cho hơn 30 cán bộ kỹ thuật thuộc 8 cơ quan, doanh nghiệp là thành viên Mạng lưới Ứng cứu sự cố an toàn thông tin mạng quốc gia hoặc là đối tác của VNCERT được tham gia đào tạo, nâng cao trình độ, kỹ năng đọc mã độc chuyên sâu để có khả năng chủ động ứng phó với các cuộc tấn công sử dụng mã độc có chủ đích.

Trong thời gian tới từ nay đến cuối năm 2017 sang năm 2018, VNCERT khẳng định sẽ còn tổ chức thêm các Khóa đào tạo từ cơ bản đến cấp độ nâng cao và cấp độ thực hành dành cho các cán bộ kỹ thuật an toàn mạng, đặc biệt là các cán bộ kỹ thuật thuộc các cơ quan, tổ chức là thành viên Mạng lưới Ứng cứu sự cố an toàn thông tin mạng quốc gia.

z1-vncert-phong-chong-tan-cong-co-chu-dich-apt.jpg

Theo ghi nhận của Trung tâm VNCERT, Việt Nam đã có khoảng hơn 13.000 trang web bị hack trong năm 2016. Trong nửa đầu năm 2017 có khoảng hơn 5.345 trang web bị hack. Tình hình an toàn mạng trong khu vực và thế giới trở nên bất an hơn trong những cuộc tấn công quy mô như của mã độc WannaCry, bùng phát mạnh mẽ và lây nhiễm hơn 300.000 máy tính sử dụng hệ điều hành Windows tại hơn 100 quốc gia.

Những hoạt động đào tạo như vậy chắc chắn sẽ có tính thực tiễn cao khi mới đây VNCERT đã phải có Công văn số 298/VNCERT-ĐPƯC về việc giám sát, ngăn chặn khẩn cấp hệ thống máy chủ điều khiển mã độc tấn công có chủ đích APT gửi tới các đơn vị chuyên trách về CNTT, an toàn thông tin của Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, an toàn thông tin các bộ, ngành.

Trong Công văn 298 của VNCERT nêu rõ, VNCERT phát hiện ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng ở Việt Nam thông qua việc phát tán và điều khiển mã độc tấn công có chủ đích APT. Mã độc loại này rất tinh vi, chúng có khả năng phát hiện các môi trường nhận diện mã độc nhằm tránh bị phát hiện, đánh cắp dữ liệu, xâm nhập trái phép, phá hủy hệ thống thông tin thông qua các máy chủ điều khiển mã độc (C&C Server) đặt bên ngoài lãnh thổ Việt Nam.

Từ đó VNCERT yêu cầu các đơn vị khẩn cấp thực hiện giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT theo danh sách trong phụ lục kèm theo. Nếu phát hiện mã độc, các đơn vị cần nhanh chóng cô lập vùng và tiến hành điều tra, xử lý (cài đặt lại hệ điều hành nếu không gỡ bỏ được triệt để).

Ngoài ra, VNCERT yêu cầu các đơn vị cập nhật các bản vá cho hệ điều hành và phần mềm nhất là Microsoft Office, và đặc biệt cập nhật các lỗ hổng như CVE-2012-0158, CVE-2017-0199 và MS17-010.

Theo các chuyên gia, kịch bản tấn công APT thường được hacker sử dụng là gửi email đính kèm file văn bản chứa mã độc. Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc. Theo thống kê năm ngoái của Công ty Bkav, có tới hơn 50% người dùng cho biết vẫn giữ thói quen mở ngay các file được đính kèm trong email, không giảm so với năm 2015.

Để phòng ngừa nguy cơ tấn công APT, chuyên gia khuyến cáo người sử dụng nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.