ANM 5/5: Nhiều tin tặc từng tấn công cơ quan Chính phủ Việt Nam “tái xuất”
Trong 2 ngày 4 và 5/5, tin tặc Moroccan Revolution lại tiếp tục tấn công vào các trang Việt Nam có tên miền .vn. Trước đó, nhóm tin tặc này từng tấn công Sở Nội vụ và Sở Y tế tỉnh Quảng Nam. Vừa qua, website gtvttw4.edu.vn của trường Cao đẳng Giao thông Vận tải Trung ương IV cũng trở thành mục tiêu tấn công của tội phạm mạng.
Bên cạnh Moroccan Revolution, an ninh mạng cũng phát hiện sự trở lại của các tin tặc từng tấn công các trang web Việt Nam. Điển hình như “Ayyıldız TiM”, từng xâm nhập website các cơ quan thuộc UBND tỉnh Hòa Bình, vừa qua đã tiếp tục tấn công hàng loạt các tên miền .vn.
Trên thế giới, ngày hôm qua 4/5, một cuộc tấn công mạng đã khiến hàng loạt cơ quan Chính phủ Bỉ tê liệt. Theo đó, Belnet, nhà cung cấp mạng internet cho các tổ chức giáo dục, trung tâm nghiên cứu, viện khoa học và các dịch vụ chính phủ tại Bỉ, đã hứng chịu một vụ tấn công từ chối dịch vụ (DDoS) lớn, dẫn đến sự gián đoạn hoạt động của nhiều trang web chính phủ cũng như các hệ thống mạng nội bộ. Sự cố được cho là ảnh hưởng đến hoạt động của hơn 200 tổ chức chính phủ Bỉ. Belnet xác nhận đã bị tấn công DDoS và cho biết đã thực hiện thành công một số hoạt động giảm thiểu và ảnh hưởng của vụ tấn công đang giảm dần. Các cơ quan chức năng của Bỉ đang điều tra vụ việc nhưng chưa quy kết vụ tấn công này cho bất cứ đối tượng nào.
Cùng ngày, các nhà nghiên cứu tại công ty an ninh mạng Mỹ Mandiant cho biết đã phát hiện một chiến dịch lừa đảo nhắm mục tiêu vào ít nhất 50 tổ chức thuộc nhiều ngành công nghiệp khác nhau trên khắp thế giới trong 2 đợt, 11-18/11/2020 và 02/12/2020, do nhóm UNC2529 tiến hành. Kẻ tấn công sử dụng kỹ thuật Phising (dùng email lừa đảo) để triển khai 3 mã độc mới gồm “DOUBLEDRAG”, “DOUBLEDROP”, và backdoor “DOUBLEBACK”.
Mandiant cho biết chiến dịch sử dụng thủ đoạn tinh vi khiến việc phát hiện trở nên khó khăn, do chỉ có công cụ tải (downloader) tồn tại trong hệ thống tập tin, các thành phần còn lại được tuần tự hóa trong cơ sở dữ liệu registry. 74% nạn nhân của chiến dịch này là các tổ chức tại Mỹ, 13% tại Châu Âu, Trung Đông và Châu Phi, và 13% tại Châu Á và Australia. Các nhà nghiên cứu chưa xác định được mục đích của kẻ tấn công nhưng các ngành công nghiệp và khu vực địa lý bị nhắm mục tiêu nhất quán với hoạt động của các nhóm có động cơ tài chính.
Cùng thời điểm này, Twitter đã tiến hành hạn chế tài khoản của nhóm Intrusion Truth – chuyên công bố những thông tin liên quan đến các tin tặc bị nghi ngờ là được chính phủ Trung Quốc bảo trợ. Tài khoản Twitter của nhóm này mới đây cho biết, vào ngày 5/5, họ sẽ công bố thông tin mới về các tin tặc tại Thành Đô (Tây Nam Trung Quốc). Tuy nhiên, theo thông báo của Twitter, nguyên nhân hạn chế tạm thời là do “một số hoạt động bất thường” của tài khoản trên. Phát ngôn viên của Twitter cho biết đây là một biện pháp chống spam vì tài khoản của Intrusion Truth đã không hoạt động trong vài tháng và đột ngột trở lại với lượng tweet tăng đột biến. Vào thời điểm hiện tại, Twitter đã bỏ hạn chế đối với tài khoản này.
Trong một diễn biến khác liên quan đến lỗ hổng bảo mật, hãng Dell ngày 4/5 đã phát hành bản vá cho 5 lỗ hổng nghiêm trọng trong trình điều khiển cập nhật firmware, ảnh hưởng đến hàng trăm triệu sản phẩm của hãng từ năm 2009. Các lỗ hổng này, được phát hiện bởi hãng bảo mật SentinelLabs và được theo dõi chung với số hiệu CVE-2021-21551, có thể bị khai thác bởi kẻ tấn công cục bộ đã được xác thực để leo thang đặc quyền, từ chối dịch vụ (DoS) hoặc tiết lộ thông tin. Dell cho biết, nguyên nhân của các lỗ hổng này là do gián đoạn bộ nhớ (memory corruption), thiếu xác thực đầu vào và các vấn đề logic mã. Nếu bị khai thác để leo thang đặc quyền, kẻ tấn công có bất cứ loại quyền truy cập nào vào thiết bị mục tiêu đều có thể thực thi mã tùy ý với các quyền chế độ kernel. Các lỗ hổng này chỉ có thể bị khai thác trên các hệ thống Windows, tuy nhiên, cả Dell và SentinelLabs cho biết, chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác.
Trước đó, ngày 3/5, Apple cũng phát hành các bản cập nhật bảo mật cho iOS, macOS và watchOS để xử lý ba lỗ hổng 0-day và các bản vá mở rộng cho lỗ hổng thứ tư có thể đang bị khai thác trên thực tế. Tất cả các lỗ hổng đều liên quan đến WebKit, công cụ trình duyệt hỗ trợ Safari và các trình duyệt web của bên thứ ba khác trong hệ điều hành iOS, cho phép tin tặc thực thi mã trên các thiết bị mục tiêu. Người dùng các thiết bị của Apple được khuyến cáo cập nhật lên phiên bản mới nhất để giảm thiểu rủi ro liên quan đến các lỗ hổng trên.
Trần Anh