Hacker đã thâm nhập bằng cách nào?

• Chủ động trước nguy cơ tấn công mạng
• "Con cáo xảo quyệt" tấn công ngân hàng, nhà máy điện

Máy tính, thiết bị di động của các nhân viên cơ quan chính phủ là mục tiêu cấp cao của tin tặc - Ảnh: ESET Blog

Báo cáo kèm phân tích về vụ tấn công được đăng tải trên blog ESET ngày 20-6, qua đó cho thấy những bước tin tặc thực hiện thâm nhập vào hệ thống website Bộ Tài nguyên - Môi trường (TN-MT), các hoạt động của mã độc khi đã ở trong hệ thống và cách tin tặc dựa vào đó đánh cắp dữ liệu.

Kẻ tấn công mở đầu bằng "spear-phishing", một hình thức lừa đảo qua email nhưng hướng tới những đối tượng có chủ đích thay vì “rải thảm” hàng loạt. Trong email, kẻ tấn công đính kèm một tập tin Word. Chúng biết rõ các nhân viên Bộ TN-MT sử dụng webmail để kiểm tra email, và theo đó, họ không thể xem trực tiếp file Word đính kèm mà phải tải về máy trước (download).

Khi mở tập tin Word đã tải về trong email giả mạo, một mã nhúng trong tập tin sẽ khai thác lỗi bảo mật để "thả" một tập tin mã độc tên "payload.exe" vào hệ thống. Đây là loại trojan có thể thực hiện các hoạt động tinh vi.

Đáng chú ý, mã độc có khả năng "qua mặt" được lớp bảo mật chống virus trên máy tính của nhân viên. Cụ thể, khi kích hoạt, nó tự động kiểm tra trên máy có cài phần mềm diệt virus BKAV (Bach Khoa Anti-Virus) hay không. Nếu có, nó triệt hạ "tường lửa" (firewall) của BKAV bằng thuật toán riêng. Theo đó cho thấy, mã độc này được thiết kế với mục đích nhắm tới máy tính các tổ chức cơ quan chính phủ, thường sử dụng phần mềm BKAV để ngăn chặn virus.

Thâm nhập và hạ lớp bảo vệ, mã độc bắt đầu mở cửa sau (backdoor), kết nối đến máy chủ ra lệnh từ xa (C&C). Đồng thời, mã độc "nhúng" bản thân nó vào tập tin "explorer.exe" (tập tin kích hoạt Windows Explorer thuần túy). Theo đó, nó mở cửa cho chủ nhân thâm nhập vào máy tính một cách "hợp pháp" mà không lo ngại bị nhận diện.

Tuy phân tích cặn kẽ hoạt động của mã độc, phía ESET cho biết "không thể cung cấp thêm thông tin về kẻ đứng sau chiến dịch tấn công này". ESET nhận định những dữ liệu liên quan về biển Đông có thể rất đáng giá trong giai đoạn hiện nay, như các bản đồ, tư liệu nghiên cứu, các báo cáo.. có liên quan.

Hiện chưa có thông báo chính thức về vụ việc từ phía Bộ TN-MT.

* Đáng chú ý: Mã độc đe dọa gần nửa số máy tính tại Việt Nam | Tải file lậu, lây nhiễm mã độc tăng gấp ba lần

Theo ESET, dữ liệu trong các máy tính cơ quan chính phủ luôn là mục tiêu của những tổ chức thù địch hay tội phạm mạng. Công ty khuyến cáo các hệ thống máy tính cần thực hiện những quy tắc sau:

• Cập nhật phiên bản phần mềm mới nhất trên máy tính, tránh bị khai thác lỗi bảo mật trong các phiên bản cũ.
• Huấn luyện nhân viên có nhận thức về tầm quan trọng của bảo mật thông tin. Nhân viên cần báo ngay cho đội ngũ CNTT khi nhận được email hay tập tin đáng nghi.
• Không mở các tập tin đính kèm trong email trước khi quét virus trước, không click vào liên kết gửi kèm trong email. Thậm chí khi email đến từ những địa chỉ quen biết, vì kẻ tấn công luôn có thể giả dạng địa chỉ email dễ dàng, hoặc địa chỉ đó đã bị chiếm giữ.
• Khi có email đáng nghi, cần gọi trực tiếp để hỏi thay vì chủ quan click vào trang web lạ hay tập tin đính kèm.
• Luôn cài đặt và chạy chương trình bảo mật liên tục trong máy tính. Cập nhật cơ sở dữ liệu mới nhất.