NCSC cảnh báo "Chiến dịch tấn công mạng APT"

08/04/2021

Xử lý Chiến dịch tấn công mạng APT nguy hiểm vào các nước Trung Á, Đông Nam Á, trong đó có Việt Nam

Đầu năm 2021, bên cạnh việc khai thác các điểm yếu, lỗ hổng mới phát sinh trên hệ thống thông tin của các cơ quan, tổ chức thì các chiến dịch tấn công mạng có chủ đích (APT) cũng được các hacker âm thầm triển khai qua nhiều hình thức khác nhau. Các nhóm tấn công APT thường được hậu thuẫn với nguồn lực rất lớn để thực hiện các chiến dịch tấn công vào các mục tiêu chính trị, kinh tế.

Đầu tháng 4, trên không gian mạng xuất hiện nhiều thông tin về chiến dịch tấn công kéo dài nhiều tháng do nhóm APT Cycldek thực hiện để xâm nhập vào máy tính của các cơ quan chính phủ ở Việt Nam, các nước Trung Á và Thái Lan. Vào ngày 05/4/2021 Kaspersky đã đưa thông tin về chiến dịch tấn công này trên trang https://securelist.com/.

Đây là một trong những nhóm tấn công APT trong danh sách các nhóm APT mà Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin thường xuyên giám sát nhằm phát hiện sớm các nguy cơ để thực hiện các biện pháp kỹ thuật ngăn chặn và xử lý các chiến dịch tấn công APT vào các cơ quan tổ chức tại Việt Nam trên diện rộng.

Trên cơ sở các thông tin thường xuyên theo dõi, giám sát, hợp tác chia sẻ thông tin, NCSC đã ghi nhận chiến dịch tấn công mạng gần đây nhất có liên quan đến nhóm APT Goblin Panda (còn gọi là, Cycldek, Hellsing, APT27, 1937CN) trong tháng 3/2021. Ngay sau khi thu thập thông tin, đánh giá tình hình, Cục An toàn thông tin đã phối hợp cùng với các doanh nghiệp ISP để ngăn chặn, xử lý từ cuối tháng 3/2021.

Việc xử lý từ phía các doanh nghiệp cung cấp dịch vụ Internet (ISP) đã giảm thiểu tác động của chiến dịch tấn công đến hệ thống thông tin của các cơ quan, tổ chức tại Việt Nam, tuy nhiên Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) khuyến nghị các đơn vị cần phải chủ động rà soát ngay trong nội tại hệ thống thông tin của mình để phát hiện ngăn chặn và xử lý tận gốc. Đặc biệt, khi phát hiện có dấu hiệu tấn công APT cần có đội ngũ chuyên gia có kinh nghiệm thực hiện điều tra, truy vết, loại bỏ các mã độc đã cài cắm sâu vào hệ thống.

Giải thích: APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để âm thầm xâm nhập vào hệ thống mục tiêu trong thời gian dài. Hậu quả của các cuộc tấn công APT là vô cùng nặng nề: Hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng quốc gia bị nhâm nhập, kiểm soát, đánh cắp dữ liệu của cơ quan tổ chức, tài sản trí tuệ bị đánh cắp (bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng bị phá hủy (cơ sở dữ liệu, máy chủ quản trị…) dữ liệu,...

Một số thông tin về nhóm APT Goblin Panda:

Tên gọi: Goblin Panda, Cycldek, Hellsing, APT27, 1937CN

Thời gian hoạt động: Được phát hiện từ năm 2010.

Mục tiêu tấn công: Tấn công vào các lĩnh vực quốc phòng, năng lượng và chính phủ. nhằm mục tiêu các nước Đông Nam Á như Lào, Philippines, Thailand, Vietnam (mục tiêu chính là Lào và Việt Nam). Kể từ khi hoạt động đến nay, APT Goblin Panda đã thực hiện nhiều chiến dịch tấn công vào nhiều quốc gia trên thế giới và Việt Nam.

Thông tin IOC

Máy chủ điều khiển