Giám sát, ngăn chặn khẩn cấp hệ thống máy chủ điều khiển mã độc tấn công có chủ đích

Danh sách địa chỉ IP máy chủ điều khiển mã độc tấn công có chủ đích APT. Nguồn: VNCERT

Tại công văn số 298/VNCERT-ĐPƯC do VNCERT ban hành ngày 7/9 về việc giám sát, ngăn chặn khẩn cấp hệ thống máy chủ điều khiển mã độc tấn công có chủ đích APT, VNCERT yêu cầu các đơn vị chuyên trách về CNTT, an toàn thông tin (ATTT) của Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành; các đơn vị thuộc Bộ TT&TT; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam; và các Tổng công ty, Tập đoàn kinh tế; Tổ chức tài chính và ngân hàng; các doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông vận tải phải thực hiện khẩn cấp một số nội dung công việc để ngăn chặn sự phát tán, lây lan của mã độc loại tấn công có chủ đích APT.

Theo hướng dẫn của VNCERT, các thông tin về domain và IP máy chủ liên quan đến mã độc APT gồm có: 17 địa chỉ IP máy chủ điều khiển mã độc; 71 tên miền máy chủ độc hại và 20 mã băm (HashMD5).

VNCERT đề nghị các cơ quan, đơn vị, doanh nghiệp nếu phát hiện mã độc, cần nhanh chóng cô lập vùng/máy và tiến hành điều tra, xử lý (cài đặt lại hệ điều hành nếu không gỡ bỏ được triệt để).

Bên cạnh đó, VNCERT cũng yêu cầu các đơn vị cập nhật các bản vá cho hệ điều hành và phần mềm, nhất là Microsoft Office - nếu sử dụng; đặc biệt, cần cập nhật các lỗ hổng có CVE:CVE-2012-0158, CVE-2017-0199, MS17-010.

Các cơ quan, đơn vị, doanh nghiệp được đề nghị sau khi thực hiện các công việc, báo cáo tình hình lây nhiễm và kết quả xử lý (nếu có) về Cơ quan điều phối ứng cứu sự cố quốc gia - Trung tâm VNCERT trước ngày 30/9/2017.

Ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT cho biết, thực hiện công tác theo dõi các sự cố trên không gian mạng Việt Nam, Trung tâm đã phát hiện ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã độc tấn công có chủ đích (APT). Mã độc loại này rất tinh vi, chúng có khả năng phát hiện các môi trường phân tích mã độc nhằm tránh bị phát hiện, đánh cắp dữ liệu, xâm nhập trái phép, phá hủy hệ thống thông tin thông qua các máy chủ điều khiển mã độc (C&C Server) đặt bên ngoài lãnh thổ Việt Nam.

Nguy cơ từ các cuộc tấn công có chủ đích APT là một trong những chủ điểm nóng nhất của năm 2016. Vụ việc hệ thống Vietnam Airlines bị tấn công ngày 29/7 năm ngoái được các chuyên gia nhận định là hồi chuông cảnh báo mạnh mẽ về nguy cơ các cuộc tấn công có chủ đích APT tại Việt Nam sẽ còn tiếp tục trong thời gian tới. Với thực trạng nhiều cơ quan, doanh nghiệp đã bị nhiễm mã độc gián điệp nằm vùng, năm 2017 được các chuyên gia dự báo sẽ tiếp tục chứng kiến nhiều cuộc tấn công có chủ đích APT với quy mô từ nhỏ tới lớn.

Theo các chuyên gia, kịch bản tấn công APT thường được hacker sử dụng là gửi email đính kèm file văn bản chứa mã độc. Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc.

Theo thống kê năm ngoái của Công ty Bkav, có tới hơn 50% người dùng cho biết vẫn giữ thói quen mở ngay các file được đính kèm trong email, không giảm so với năm 2015.

Để phòng ngừa nguy cơ tấn công APT, chuyên gia khuyến cáo người sử dụng nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.