AN TOÀN THÔNG TIN Thực trạng – Giải pháp

Mỹ: Trong năm 2014, Mỹ đã cảnh báo các cuộc tấn công của một băng nhóm tin tặc cài virus vào hàng trăm ngàn máy tính trên khắp thế giới nhằm lấy cắp thông tin ngân hàng.. Phần mềm này l

2

Nội dung

 Giải pháp bảo đảm an toàn thông tin

 Tình hình quốc tế và trong nước

 Một số khuyến nghị

Video-Clip: Tấn công mạng đang là nguy cơ hiện hữu

Xã hội, Giải trí Giáo dục Công nghiệp Trao đổi thông tin

Data Center

5

Tình hình an toàn thông tin

trên thế giới

Cảnh sát đã cố gắng bảo vệ an toàn cho các cơ quan quan trọng sau khi nhóm này

tuyên bố tấn công vào các cơ quan nhà nước trong ngày 29/8

Báo cáo của BMI Research đã xác định các hoạt động giao dịch mua bán qua mạng bị rủi ro nghiêm trọng

7

Nhật Bản:

Ngày 12/8/2015, Yahoo Japan đã tuyên bố sử dụng chứng chỉ SSL cho các search

engine để bảo vệ tính riêng tư do quá nhiều vi phạm xảy ra Địa chỉ URL được đổi từ HTTP sang HTTPS

Tương tự là các trang chủ của cơ quan chính phủ Mỹ

Tháng 10/2014, 5500 bệnh nhân của bệnh viện Seton McCarthy cũng đã bị mất dữ liệu

8

Mỹ:

Tháng 2/2015: Tập đoàn eBay đã bị đánh cắp

dữ liệu gây ảnh hưởng đến 145 triệu thành

viên Hệ thống bảo mật của eBay đã bị xâm

nhập nghiêm trọng

Mỹ:

Trong năm 2014, Mỹ đã cảnh báo các cuộc tấn công của một băng nhóm tin tặc cài

virus vào hàng trăm ngàn máy tính trên khắp thế giới nhằm lấy cắp thông tin ngân hàng Trên 100 triệu USD của người dùng và các doanh nghiệp đã bị đánh cắp

Phía Mỹ nghi ngờ tin tặc Nga là thủ phạm

Mỹ:

Trong năm 2014, Một phần mềm khóa tài khoản đòi tiền

chuộc đã bùng phát Tin tặc yêu cầu mỗi nạn nhân phải

trả vài trăm USD để chuộc lại dữ liệu

Chủ mưu là Evgeniy Bogachev (30t) – một tin tặc Nga

điều hành một nhóm ở Nga, Ukrâin và UK

Nhóm này đã phát triển GameOver Zeus – một dạng

Botnet thu trọm tài khoản, mật khẩu và kết hợp với phần

9

UK:

Cục cảnh sát Durham trót mở một email có gắn mã độc dẫn tới bị nhiễm mã độc

Ransomeware Khi bị nhiễm hiển thị dòng chữ “Dead in Water”

Đây là một loại Cryptoware (mã độc) lan truyền vượt qua mặt mọi phần mềm Antivius hiện có, đòi tiền chuộc từ 5000 đến 10000 USD của nạn nhân để mở khóa các tệp dữ liệu

Mã độc này lây lan rất nhanh, chỉ sau vài giờ có thể lan khắp Server và mạng nội bộ

Mỹ:

AskMen.com – một trang Web phổ biến tại Mỹ với hàng triệu người truy nhập mỗi tháng

đã bị chuyển hướng tới các tên miền khác có chứa mã độc Caphaw

Đây là dạng thức chung tin tặc sử dụng để xâm nhập vào các Web có mức độ truy

nhập cao Phạm vị tàn phá lớn vì ảnh hưởng đến số động người truy cập mạng

Phần mềm này làm chuyển hướng tới các trang tin chứa mã độc, trong đó có các công

cụ tấn công tự động tìm kiếm điểm yếu trong hệ thống phần mềm

Tin tặc chèn thêm mã JavaSript vào các thành phần khác nhau của trang khởi động

AskMen.com, sau đó chuyển hướng người dùng tới các tên miền chứa mã khai thác

T1/2014

Kaspersky Lab said it had detected a computer server in January being used to

co-ordinate an attack that appeared to have snatched more than 500,000 euros ($700,000;

£400,000) over the course of a single week

most of the victims were based in Italy and Turkey

a Trojan program was used to intercept financial data and allow fraudulent transactions

to be made as soon as each victim logged into their online bank account

Zeus is the name given to a type of Trojan malware first detected in 2007, which allows data to be stolen from computers running the Windows operating system

Kkasspersky said that according to the computer logs it had obtained, the sums stolen from each account appeared to range from 1,700 euros to 39,000 euros

T7/2014:

Attackers injected malicious code into Dailymotion.com, a popular video sharing

website, and redirected visitors to Web-based exploits that installed malware

The iframe redirected browsers to a different website hosting an installation of the Sweet Orange Exploit Kit, an attack tool that uses exploits for Java, Internet Explorer and Flash Player

The flaws that Sweet Orange attempted to exploit are: CVE-2013-2551, patched by

Microsoft in Internet Explorer in May 2013; CVE-2013-2460, patched by Oracle in Java

in June 2013; and CVE-2014-0515, patched by Adobe in Flash Player in April

"If the kit successfully exploited any of these vulnerabilities, then Trojan.Adclicker was downloaded onto the victim's computer

This malware forces the compromised computer to artificially generate traffic to click Web advertisements in order to generate revenue for the attackers

pay-per-The video-sharing website ranks 90 on the list of top 100 most popular websites by

traffic according to Amazon-owned Internet statistics firm Alexa Symantec's data

indicates that the majority of Dailymotion visitors affected by this attack were from the U.S over 50 percent and Europe

a malicious ad displayed on the site attempted to trick users into installing a fake

antivirus program

Personal information from more than 1,000 Penn State alumni may have been

compromised because of a security breach involving a university computer

The infected computer contained 1,176 social security numbers which came from a list

of college of medicine alumni

The Indian Computer Emergency Response Team (CERT-In) has issued a warning of the new malware which has been identified as BrutPoS

BrutPOS malware identifies the system that has weak username/passwords and tries to exploit them These username-passwords combinations are typically default like

adminadmin or admin-password

variant of a computer malware, known as

“police ransomware”, which involves the misuse of the Malta Police Force logo

Computer systems infected with the virus display a warning message claiming that the user’s computer had been “suspended on the grounds of unauthorised cyber activity” and that a fine has to be paid for the computer to be unblocked

The user will notice that the computer has seized up or that his documents are no longer accessible In almost all cases, paying the ransom does not restore the computer to its original state

“Such computer messages claiming to be from the Malta Police Force are fraudulent Users targeted by police ransomware should not pay any money

Software created by the controversial U.K

based Gamma Group International was used to spy on computers that appear to

be located in the United States, the U.K., Germany, Russia, Iran and Bahrain,

according to a leaked trove of documents

attacking embassies of former soviet states with a malware tool that has infiltrated

networks across more than 15 countries

Hacked embassies of unnamed former soviet states include those located in: France; Belgium; Ukraine; China; Jordan; Greece; Kazakhstan; Armenia; Poland, and Germany attackers sent previously known but capable malware to staff at the embassies to

establish a foothold for reconnaissance in a bid to locate valuable human targets

Infection began like many targeted campaigns through infection of various websites likely to be visited by embassy staff a tactic known as watering hole attacks Malware was only foisted on users visiting from specific internet protocol addresses

At least 84 websites have been turned into watering holes

The national cyber security specialist agency revealed that sophisticated malware

(malicious software), disguised as a news article reporting that the missing Boeing 777 had been found, was e-mailed to the officials on March 9, a day after the Malaysia

Airlines plane vanished during its flight from Kuala Lumpur to Beijing

Attached to the e-mail was an executable file that was made to look like a PDF

document, which released the malware when a user clicked on it

About 30 PCs were infected by the malware, CyberSecurity Malaysia said It discovered that the malware was sending the information to an IP address in China and asked the Internet service provider in that region to block it

antivirus programs couldn’t detect

Flight MH370 with 239 on board went missing on March 8 about 45 minutes after off

take-UPS says 51 retail stores breached by malware

information includes card numbers, postal and email addresses from about 100,000 transactions between Jan 20 and Aug 11

The malware is not identified by current anti-virus software

UPS hired a security firm that found the virus in systems at stores in 24 states, about 1 percent of the company's 4,470 franchised locations

Hackers breach HealthCare.gov server, upload malware

hackers broke into a computer server supporting the HealthCare.gov website through which consumers enroll in

Obamacare health insurance, a government cybersecurity team discovered last week, apparently uploading malicious files

The malware uploaded to the server was designed to launch a distributed denial of

service attack against other websites, try to crash servers

The breach in the DIY chain's point-of-payment systems, which came to light on 2

September, has reportedly compromised 56 million credit and debit cards, in what is

claimed to be the largest ever credit card disclosure

Hackers involved in Home Depot attack have reportedly used earlier unseen malicious software programme called 'Mozart

Hãng hàng không LOT bị hoãn vì tấn

công mạng

Khoảng 1400 hành khách đã buộc phải hạ cánh tại

sân bay Warsaw, Ba Lan ngày 21/6 vừa qua sau khi có báo cáo về việc hacker tấn công vào hệ thống máy tính được sử dụng để đưa ra kế hoạch bay cho các máy bay này Cuộc tấn công được cho rằng bắt đầu vào buổi

chiều chủ nhật và được khắc phục 5 giờ sau đó Cuộc tấn công đã làm cho hơn 10 chuyết bay của hãng hàng không LOT của Ba Lan bị trì hoãn

hacker đã thực hiện tấn công

DDoS vào hệ thống máy tính này

Điểm yếu an toàn thông tin trên thiết

bị y tế

Gần đây, một điểm yếu nghiêm trọng trong nhiều thiết bị

kẻ tấn công có thể thay đổi liều lượng thuốc truyền cho bệnh

nhân từ xa mà không cần có mặt tại địa điểm đặt thiết bị

Điểm yếu xuất hiện trong thành phần liên lạc của thiết bị tương tác với firmware để thực hiện nâng cấp và cập nhật từ nhà sản xuất, tuy nhiên tác vụ này cũng có thể bị tác động bởi kẻ tấn công

Ngoài ra, thành phần liên lạc này được kết nối với mạng của bệnh viện và có thể truy cập bởi bất cứ ai trong bệnh viện

Ước tính có khoảng 400.000 thiết bị đang được sử dụng tại các bệnh viện trên thế giới

có thể bị khai thác bởi điểm yếu này

Hệ thống máy tính tại nhiều nước bị

tấn công trong tháng 6

hệ thống máy tính của Quốc hội Đức đã gánh chịu tấn công mạng trong đầu tháng 6 và

có nhiều dữ liệu đã bị lộ lột

hacker đã kiểm soát được máy chủ nội bộ trong Quốc hội Đức và tiến hành các

cuộc tấn công bằng mã độc Trojan Dấu hiệu của cuộc tấn công lần đầu tiên được phát hiện trong tháng 5 khi hai máy tính bị lây nhiễm mã độc đã cố gắng kết nối đến

một máy chủ tại Đông Âu Sau đó, nhiều máy tính khác cũng đã được phát hiện bị lây nhiễm mã độc tương tự

Ngoài việc sử dụng mã độc, một số cuộc tấn công lừa đảo thông qua email phishing

website của hàng chục cơ quan chính phủ Canada bao gồm ngoại giao, pháp luật đã tạm ngừng hoạt động bởi cuộc tấn công

Tại Hoa Kỳ, website của quân đội Hoa Kỳ (army.mil) đã phải ngưng hoạt động để đảm bảo cho các thông tin nhạy cảm không bị lộ lọt sau khi một thành phần của

trang web này đã bị tấn công thành công

Nhóm tin tặc Syrian Electronic Army đã nhận trách nhiệm cho việc tấn công này

Vương quốc Anh

chi phí mất mát trung bình do mất an toàn thông tin tăng, gấp đôi từ 60.000 Bảng Anh lên tới 1.46 triệu Bảng Anh vào cuối 2014

Theo khảo sát, 90% các tập đoàn lớn phải gánh chịu mất mát an toàn thông tin trong khi con số này là 75% và 30% với các doanh nghiệp vừa và nhỏ

2 năm 2015 và kết thúc giữa tháng 3 năm 2015

Tại thời điểm bắt đầu, mã độc chủ yếu phát tán tại Ấn Độ, Hoa Kỳ và Israeal

Grabit được phát triển với nhiều kích thước, hành vi

và các thuật toán mã hoá khác nhau

Dấu hiệu của phần mềm HawkEye trong mã độc Grabit

HawkEye chứa sẵn rất nhiều các công cụ như điều khiển từ xa, keylogger và

nhiều công cụ điều khiển từ xa khác như Cyborg Logger, Cybergate, DarkComet,

… và hỗ trợ các phương thức truyền tải như FTP, SMTP và thông qua web

Lotus Blossom là chiến dịch tấn công APT nhắm vào các chính phủ và tổ chức

quân đội tại Đông Nam Á trong vòng 3 năm qua

Lotus Blossom hoạt động dựa trên các tấn công lừa đảo người dùng Kẻ tấn công

thường gửi đến đối tượng đã nhắm sẵn các tệp tin văn phòng có chứa mã độc nguy hiểm Các tệp tin này được chọn lọc kỹ càng để phù hợp với ngành nghề và công việc của mục tiêu sắp tấn công

Các tệp tin chứa mã độc sử dụng điểm yếu an toàn thông tin CVE-2012-0158 trên các ứng dụng của Microsoft Office để cài đặt Trojan trên máy của nạn nhân

Ngoài các tệp tin văn phòng, kẻ tấn công còn sử dụng ảnh của người nổi tiếng trên

Internet để thu hút sự chú

của nạn nhân Trojan được sử dụng là loại trojan đã được tinh chỉnh có tên Elise có khả năng cài đặt thêm các công cụ để phục vụ cho các tác vụ được ra lệnh

24

Tình hình an toàn thông tin

trong nước

A group of professional hackers was behind the biggest-ever cyber attack in

Vietnam last month, which shut down many websites run by the Vietnam

Communications Corporation (VCCorp) in 10/2014

On October 13, a number of websites run by VCCorp - a Hanoi tech firm that owns and hosts online games, e-commerce services and many news websites in Vietnam - were shut down VCCorp's representatives initially said the outage was just a data center glitch

Two days later, the websites came back online But the following day, they went down again

On the afternoon of October 18, VCCorp’s news websites and some of its e-commerce sites came back online But a number of small projects and social networking sites

A number of websites based in Vietnam were hacked and defaced this week, with the hackers apparently just warning the site owners of their poor security Thang 3/2015

The hackers left a note introducing themselves as the Die Group on the front page of the websites

"Fix Your Security NOW! We Will Come Back Soon ,"

Most of the affected websites are of small companies, and none of them are that of

government agencies

Internet users warned of new strain of ransomware that strikes thousands in

Vietnam (Thang 1/2015)

More than 1,300 users, including banks, have

had their files seized by a malware and been

demanded to pay ransom to get them back

ransomware, CTB Locker, has been

spreading strongly in Vietnam, and the

30 percent of bank websites in Vietnam vulnerable to attacks

Nearly a third of all banks’ websites in Vietnam have security holes that can put them and their clients in high risks

Bkav found that more than 40 Facebook pages were created every day during the first six months of the year to scam users out of money or to steal their passwords to spread spam

The common trick of these pages is to post links that advertise big promotions that

people are tempted to click on

Once they do, they will be signed out and the screen will show a fake Facebook page asking them to sign back in That’s when their account and password information could

be stolen

Some pages instruct them to deposit a sum of money to win a big prize, only to steal that money

Tấn công thay đổi giao diện website (Deface) 357 trường hợp

18 website của các Bộ, ngành, Cơ quan nhà nước

Tấn công chèn mã giả mạo (Phishing) 183 trường hợp

01 đơn vị thuộc Cơ quan nhà nước

Tấn công chèn mã độc (Malware)

173 liên kết website đang hoạt động tại Việt Nam bị chèn mã độc

Các mã độc được chèn vào chủ yếu là các iframe ẩn (nhằm tăng lượt xem trang), hay các đoạn mã tự động LIKE Fanpage Facebook

713 websites in Vietnam

were targeted by cyber

criminals between August

1 and August 7

Hoạt động mạng Botnet tại Việt Nam

cả nước có 41044 địa chỉ IP thuộc sự quản lý của Việt Nam nhiễm mã độc tham gia mạng Botnet

Các mã độc nằm trong mạng Botnet ghi nhận chủ yếu là Downadup và Sality

Một số mạng máy tính ma (botnet) lớn được ghi nhận hoạt động tại Việt Nam trong tháng 6