NÂNG CAO NĂNG LỰC PHÒNG, CHỐNG PHẦN MỀM ĐỘC HẠI, CẢI THIỆN MỨC ĐỘ TIN CẬY CỦA QUỐC GIA TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ THEO HƯỚNG XÃ HỘI HOÁ

Khi những máy tính/thiết bị/ứng dụng này không được bảo đảm an toàn thông tin thì việc bị lây nhiễm mã độc, tham gia vào các mạng máy tính ma botnet và bị đối tượng tấn công kiểm soát là

TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ

THEO HƯỚNG XÃ HỘI HOÁ

Hà Nội - 2017

2

MỞ ĐẦU 3

CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN 5

1 Thông tin chung về Đề án 5

2 Các hoạt động chính của Đề án 5

3 Tính cấp thiết của đề án 6

4 Căn cứ pháp lý để xây dựng đề án 6

CHƯƠNG 2 THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI 9

1 Tổng quan về phần mềm độc hại 9

2 Thực trạng lây nhiễm phần mềm độc hại trên thế giới 13

3 Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam 16

4 Thực trạng hệ thống kỹ thuật và nền tảng hiện có 22

4.1 Bộ Thông tin và Truyền thông 22

4.2 Các bộ, ngành, địa phương 24

4.3 Các doanh nghiệp ISP, doanh nghiệp làm về an toàn thông tin 24

5 Kinh nghiệm quốc tế 25

5.1 Kinh nghiệm Nhật Bản 26

5.2 Kinh nghiệm của Hàn Quốc 28

5.3 Kinh nghiệm một số nước Châu Âu 31

CHƯƠNG 3 CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN 33

1 Tư tưởng chủ đạo 33

2 Phương pháp tiếp cận 33

3 Mô hình giải pháp 34

4 Tổ chức thực hiện và trách nhiệm các bên 37

4.1 Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương: 37

4.2 Bộ Thông tin và Truyền thông có trách nhiệm: 38

4.3 Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh 38

4.4 Các Đài phát thanh, truyền hình và các cơ quan thông tấn báo chí Trung ương và địa phương 39

4.5 Hiệp hội An toàn thông tin Việt Nam (VNISA) có trách nhiệm: 39

4.6 Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) 39

4.7 Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm dữ liệu (data center): 39

4.8 Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm: 40

CHƯƠNG 4 KIẾN NGHỊ, ĐỀ XUẤT 41

3

MỞ ĐẦU

Trong xu hướng cách mạng công nghiệp lần thứ tư (cuộc cách mạng gắn liền với

sự phát triển của không gian mạng, công nghệ sinh học, trí tuệ nhân tạo, nhà cửa, thiết bị

tự động và thông minh), có ngày càng nhiều máy tính, thiết bị, ứng dụng kết nối vào mạng Internet thì nguy cơ tấn công mạng ngày càng tăng Khi những máy tính/thiết bị/ứng dụng này không được bảo đảm an toàn thông tin thì việc bị lây nhiễm mã độc, tham gia vào các mạng máy tính ma (botnet) và bị đối tượng tấn công kiểm soát là hoàn toàn dễ dàng và ngày càng phổ biến Trên thế giới, có nhiều cuộc tấn công mạng quy

mô lớn nhằm vào những hệ thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia

mà nguồn gốc là mã độc, các mạng botnet do đối tượng tấn công kiểm soát như: tấn công vào nhà máy hạt nhân của Iran, tấn công vào hạ tầng tài chính của Mỹ, Anh, tấn công vào Spamhaus Những cuộc tấn công này không chỉ gây đình trệ hệ thống, tiết

lộ thông tin nhạy cảm, mà còn công khai nhiều tài liệu mật của các quốc gia gây tổn thất khó lường về chính trị, ngoại giao

Việt Nam cũng không đứng ngoài xu hướng trên, thậm chí các nguy cơ tấn công mạng vào Việt Nam cũng như tấn công mạng xuất phát từ Việt Nam còn cao hơn do tình trạng lây nhiễm phần mềm độc hại của Việt Nam đang ở mức báo động, nhưng chưa có biện pháp nào thực sự hiệu quả trong việc xử lý mã độc; mà có thể nói nguyên nhân sâu xa là do: việc sử dụng phần mềm, ứng dụng không bản quyền, phần mềm bẻ khoá; người dùng chưa có ý thức cao trong việc phòng, chống phần mềm độc hại; nhận thức, thói quen, cũng như kỹ năng sử dụng thiết bị và kỹ năng khi truy cập Internet; bên cạnh nữa chúng ta chưa làm chủ được nhiều thiết bị, công nghệ, giải pháp bảo đảm an toàn thông tin; vẫn sử dụng nhiều thiết bị có nguồn gốc xuất xứ không rõ ràng với giá rẻ chưa quan tâm đến an toàn thông tin, và lại chưa được các cơ quan chức năng nào của Việt Nam kiểm tra, kiểm định

Mỗi năm, có hàng nghìn trang/cổng thông tin điện tử, bị tấn công, chỉnh sửa, chèn thêm nội dung, cài cắm mã độc, trong đó có hàng trăm tên miền gov.vn của các cơ quan Nhà nước Riêng 6 tháng đầu năm 2017 có tới trên 6.000 trang/cổng thông tin điện

tử bị tấn công, trong đó có 3.647 trang/cổng lưu trữ và phát tán mã độc

Theo thống kê của Cục An toàn thông tin - Bộ Thông tin và Truyền thông trong 3 tháng có trên 9 triệu (9.223.364) lượt địa chỉ IP Việt Nam nằm trong các mạng botnet lớn trên thế giới Nằm sau mỗi địa chỉ IP này có thể là cả một hệ thống thông tin/hệ

4

thống mạng đơn vị/doanh nghiệp với vài chục đến hàng trăm máy tính, thiết bị mạng

mà một vài hoặc có thể nhiều thiết bị trong số đó bị nhiễm mã độc, bị đối tượng tấn công kiểm soát và tham gia vào các cuộc tấn công mạng trên thế giới

Theo thống kê của các tổ chức quốc tế uy tín (tổ chức cung cấp các sản phẩm, dịch

vụ phổ biến trên thế giới và Việt Nam: Microsoft, Kaspersky, Norton, Symantec ) Việt Nam luôn nằm trong nhóm những nước có tỉ lệ lây nhiễm phần mềm độc hại cao Mặc

dù các cơ quan, tổ chức ở Việt Nam đã và đang nỗ lực thực hiện nhiều giải pháp khác nhau trong việc xử lý mã độc, nhưng tình hình vẫn chưa được cải thiện Trong khi đó thực trạng lây nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động Đặc biệt, cơ quan chức năng ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ

Những thống kê trên của Bộ thông tin và Truyền thông, của các đơn vị, doanh nghiệp an toàn thông tin trong nước cũng như của các tổ chức nước ngoài có thể chỉ phản ánh một phần nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc hại trong không gian mạng Việt Nam, ngoài ra còn nhiều mạng botnet đang âm thầm hoạt động mà chưa được phát hiện Nếu chúng ta không hành động sớm, không có một giải pháp hữu hiệu nào thì những mạng botnet này có thể sẽ gây ảnh hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước

5

CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN

1 Thông tin chung về Đề án

Tên Đề án: Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức

độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hoá

Trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan, tổ chức Vì vậy trước mắt, để tăng cường bảo đảm an toàn thông tin, đề án đưa ra giải pháp nhằm phát động, tổ chức các chiến dịch xử lý, bóc gỡ phần mềm độc hại theo hướng xã hội hóa, với nòng cốt là sự tham gia của các ISP và các doanh nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam và nước ngoài

Đề án tận dụng cơ sở hạ tầng, trang thiết bị hiện có để thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ Đề án không làm phát sinh thêm dự án mới mà chủ yếu là tổ chức khai thác hiệu quả hạ tầng kỹ thuật đã được đầu tư của Cục An toàn thông tin, Trung tâm VNCERT, các ISPs; đồng thời, huy động sự tham gia của Hiệp hội

an toàn thông tin và các doanh nghiệp hoạt động trong lĩnh vực CNTT và an toàn thông tin

Đề án đưa ra giải pháp bổ sung chứ không phải thay thế cho các giải pháp

mà các cơ quan, tổ chức đã và đang triển khai Hình thức xã hội hóa sẽ không làm phát sinh hoặc tăng thêm gánh nặng chi phí cho ngân sách nhà nước

2 Các hoạt động chính của Đề án

Quy định trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan,

tổ chức, cá nhân

Gắn kết, và tăng cường hiệu quả hoạt động của các hệ thống kỹ thuật, các đề án

đã đầu tư cho các cơ quan đơn vị Thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc

gỡ dựa trên cơ sở hạ tầng trang thiết bị hiện có

Xây dựng và thực hiện các chương trình, chiến dịch xử lý, bóc gỡ mã độc, mạng máy tính ma theo hướng xã hội hóa, với sự tham gia của các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (ISPs) và các tổ chức, doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin và an toàn thông tin

Xây dựng, ban hành văn bản hướng dẫn kết nối, trao đổi, chia sẻ thông tin, dữ

Các cơ quan, tổ chức ở Việt Nam đã và đang thực hiện nhiều giải pháp khác nhau trong việc xử lý mã độc Tuy nhiên, hiệu quả đạt được chưa cao Thực trạng lây nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động Đặc biệt, cơ quan chức năng ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ

Trong khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù hợp thì đối tượng tấn công vẫn tiếp tục lợi dụng phần mềm độc hại, các mạng botnet và

mã độc APT để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng Điển hình là cuộc tấn công APT vào Vietnam Airlines và các Cảng hàng không vào tháng 7/2016, hay các cuộc tấn công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam thời gian vừa qua Đây chỉ là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy một phần hậu quả của nó

Đáng chú ý, những thống kê chúng ta có được có thể chỉ phản ánh một phần nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc hại trong không gian mạng Việt Nam, ngoài ra còn nhiều nguy cơ/cuộc tấn công mạng đang âm thầm hoạt động mà chưa được phát hiện Nếu chúng ta không hành động ngay, không có một giải pháp hữu hiệu nào thì những cuộc tấn công này sẽ gây ảnh hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước

4 Căn cứ pháp lý để xây dựng đề án

Trước tình hình an toàn thông tin mạng và tình trạng lây nhiễm phần mềm độc hại diễn biễn ngày càng phức tạp tại Việt Nam những năm gần đây, Lãnh đạo Đảng và Nhà nước đã có sự quan tâm sâu sắc và đã ban hành nhiều văn bản chỉ đạo của Đảng, văn bản quy phạm pháp luật, văn bản chỉ đạo điều hành của Chính phủ trong lĩnh vực

an toàn thông tin, trong đó có nhiều nội dung liên quan đến công tác phòng chống phần

7

mềm độc hại

Các Văn bản chỉ đạo của Đảng:

- Nghị quyết số 36-NQ/TW ngày 01/7/2014 của Bộ Chính trị về đẩy mạnh ứng dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế Trong đó, bảo đảm an toàn thông tin và phát triển công nghiệp công nghệ thông tin là những nội dung quan trọng của Nghị quyết và đã được Bộ Chính trị quán triệt các cấp, các ngành tập trung các nguồn lực để thúc đẩy phát triển;

- Chỉ thị 28-CT/TW ngày 16/9/2013 của Ban Bí thư Trung ương Đảng về tăng cường công tác bảo đảm an toàn thông tin mạng

Căn cứ thực tiễn và các Văn bản chỉ đạo của Đảng, Chính phủ đã đề xuất, xây dựng và trình Quốc hội ban hành Luật An toàn thông tin mạng Ngày 19/11/2015, Quốc hội đã thông qua Luật An toàn thông tin mạng (Luật số 86/2015/QH13) Trong Luật An toàn thông tin mạng đã có các Điều, Khoản nghiêm cấm hành vi phát tán phần mềm độc hại và các quy định phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại

Cụ thể, trong Luật An toàn thông tin mạng đã định nghĩa rõ Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong

hệ thống thông tin Theo đó, Luật An toàn thông tin mạng quy định hành vi phát tán phần mềm độc hại là một trong các hành vi bị nghiêm cấm Ngoài ra, Luật An toàn thông tin mạng cũng quy định cụ thể về việc phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại tại Điều 11 như sau:

- Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền;

- Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại;

- Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải

có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật;

- Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền;

8

- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công

an và bộ, ngành liên quan tổ chức phát hiện, phòng ngừa, ngăn chặn và xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia

Ngày 27/5/2016, Phó Thủ tướng Chính phủ Vũ Đức Đam đã ký Quyết định số 898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020 (Quyết định 898) Đối với tình hình lây nhiễm phần mềm

độc hại, Quyết định 898 nêu rõ mục tiêu của giai đoạn 2016 - 2020 “Nâng cao uy tín giao dịch điện tử của Việt Nam, đưa Việt Nam ra khỏi danh sách 20 quốc gia có tỷ lệ lây nhiễm phần mềm độc hại và phát tán thư rác cao nhất trên thế giới theo xếp hạng của các tổ chức quốc tế”

Cũng theo Quyết định 898 để bảo đảm an toàn thông tin mạng quy mô quốc gia

thì nhiệm vụ “Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hóa” là 1 trong 6

nhiệm vụ cần phải thực hiện trong giai đoạn 2016 – 2020

Để triển khai các nội dung của Quyết định 898, Thủ tướng Chính phủ đã giao các

bộ, ngành liên quan phối hợp tổ chức thực hiện, trong đó liên quan tới công tác phòng

chống phần mềm độc hại giao Bộ Thông tin và Truyền thông “chủ trì, phối hợp với các

bộ, ngành và các doanh nghiệp thành lập Tổ phản ứng nhanh phân tích, ứng phó với phần mềm độc hại”

9

CHƯƠNG 2 THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI

1 Tổng quan về phần mềm độc hại

a) Phần mềm độc hại là gì?

Theo Luật An toàn thông tin mạng Phần mềm độc hại là phần mềm có khả năng

gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin

Như vậy từ góc độ kỹ thuật có thể hình dung Phần mềm độc hại (sau đây gọi là

mã độc) là chương trình hoặc đoạn mã đưa vào máy tính, các thiết bị mạng hoặc bất kỳ thiết bị điện tử, phần mềm, ứng dụng trong hệ thống thông tin (có kết nối mạng hoặc không có kết nối mạng) nhằm thực hiện các hành vi trái phép (như ăn trộm dữ liệu, gửi thư rác, tham gia tấn công DDOS hay các bất kỳ cuộc tấn công mạng dưới điều khiển của đối tượng tấn công hoặc tiếp tục phát tán mã độc)

Mã độc bao gồm: vi-rút (vi-rút), sâu máy tính (worm), ngựa gỗ (trojan), mã độc (malware), gián điệp (Spyware), mạng máy tính ma (botnet), các mối nguy hại APT v.v… Trong đó:

Vi-rút là chương trình có thể tự sao chép bằng cách chèn các bản sao của chính

nó vào chương trình lưu trữ hoặc các tập tin dữ liệu Vi-rút thường được kích hoạt thông qua tương tác của người dùng như là mở một tập tin hoặc chạy một chương trình Vi-rút

có thể chia thành hai loại là: vi-rút biên dịch và vi-rút diễn dịch Vi-rút biên dịch (Compiled vi-rút) được kích hoạt bởi một hệ điều hành, còn Vi-rút diễn dịch (Interpreted vi-rút) được khởi động bởi một ứng dụng

Trojan là chương trình không có khả năng sao chép, xuất hiện dường như là vô

hại nhưng chúng được thiết kế để thực hiện những hành vi độc hại ẩn trên hệ thống thông tin Mã độc Trojan có khả năng thay thế tập tin hiện tại bằng các biến thể mã độc khác hoặc tiếp tục cài cắm thêm các biến thể khác lên hệ thống

Mạng máy tính ma hay còn gọi là botnet là tập hợp các máy tính, thiết bị nhiễm

mã độc và bị đối tượng tấn công điều khiển từ xa phục vụ cho mục đích độc hại như phát tán mã độc, gửi thư rác, tấn công DDoS, ăn trộm dữ liệu Những mạng botnet đầu tiên trên thế giới xuất hiện vào năm 1999 sử dụng kiến trúc, kênh truyền, kỹ thuật điều khiển đơn giản; tiếp sau đó xuất hiện ngay các mạng botnet với những kiến trúc phức tạp, có khả năng thực hiện những cuộc tấn công mạng với những mục tiêu khác nhau

10

dưới điều khiển của đối tượng tấn công như: mạng botnet chuyên gửi thư rác Rustock, mạng botnet chuyên ăn trộm thông tin tài khoản Zeus Mạng botnet chuyên gửi thư rác Rustock hoạt động mạnh năm 2006 tới 2011 đã lây nhiễm và tấn công vào 2,5 triệu máy tính Windows, mỗi máy bị nhiễm mã độc có thể gửi 25.000 thư rác trong một giờ Trong đó lượng lớn thư rác xuất phát từ McColo - doanh nghiệp cung cấp dịch vụ Internet của Mỹ, sau khi dừng hoạt động của ISP này thì số lượng thư rác trên toàn cầu giảm 75% vào cuối năm 2008, tuy nhiên sau đó lại tăng trở lại và Microsoft đã phải xây dựng chiến dịch B107 để bóc gỡ mạng botnet này) Mạng botnet Zeus được phát hiện vào năm 2009, ăn trộm thông tin của ít nhất 74.000 tài khoản FPT trên các trang web của các tổ chức Bank of America, NASA, Monster.com, Oracle, Play.com, Cisco, Amazon

Các mối nguy hại APT (Advanced Persistent Threat), về góc độ kỹ thuật không

phải là một loại mã độc cụ thể, nhưng nó là một hình thức tấn công mới mà trong đó sử dụng những loại mã độc hết sức tinh vi và khó phát hiện, mã độc này có khả năng cài cắm và ẩn sâu vào trong hệ thống thông tin của các tổ chức Những cuộc tấn công này thường nhằm vào các hệ thống thông tin quan trọng của các quốc gia, tổ chức kinh tế, chính trị lớn và là những cuộc tấn công có chủ đích, có tổ chức đứng sau tài trợ Ví dụ như cuộc tấn công vào nhà máy hạt nhân của Iran do mạng botnet Stuxnet thực hiện đã

bị phát hiện vào tháng 6 năm 2010 tuy nhiên theo các chuyên gia an ninh mạng Stuxnet bắt đầu tấn công vào từ năm 2007 và được phát triển từ 2005

Có nhiều thuật ngữ kỹ thuật khác nhau để mô tả, phân loại mã độc, nhưng trong những năm gần đây Botnet và APT là hai thuật ngữ gắn liền với các cuộc tấn công mạng lớn về quy mô và mức độc tinh vi Không có một cuộc tấn công mạng nào là không có sự tham gia của mã độc, hay nói cách khác mã độc chính là công cụ để đối tượng tấn công thực hiện những hành động độc hại trên Internet (từ việc kiểm soát hệ thống mục tiêu, ăn trộm dữ liệu, phát tán mã độc, tấn công từ chối dịch vụ… ) Đặc biệt khi xu hướng IoT phát triển, nhưng vấn đề bảo đảm an toàn thông tin trên các thiết bị IoT này lại chưa được quan tâm thì nguy cơ cài cắm mã độc vào các thiết bị để xây dựng lên những mạng botnet lớn càng phổ biến hơn Và các mạng botnet này trở thành một công cụ mang lại lợi nhuận khổng lồ cho các nhóm tội phạm, có thể được đối tượng tấn công sử dụng cho bất kỳ cuộc cuộc tấn công mạng nào Chính vì vậy sự gia tăng của các loại hình tội phạm mạng liên quan đến mạng botnet đang trở thành một vấn đề rất

11

nghiêm trọng với tất cả các quốc gia trên thế giới

b) Các nguồn lây nhiễm phần mềm độc hại

Việc mã độc, phần mềm độc hại lây nhiễm vào các máy tính, thiết bị, hệ thống thông tin có rất nhiều nguyên nhân, nguồn gốc, nhưng có thể kể đến những nguồn sau:

- Đầu tiên có thể kể đến là các trang web/máy chủ lưu trữ tập tin độc hại/mã khai thác trên toàn thế giới, các trang web này có thể do đối tượng tấn công chiếm quyền điều khiển hoặc cố tình dựng lên sau đó sử dụng để phát tán mã độc Để lây nhiễm mã độc vào máy tính người dùng, đầu tiên kẻ tấn công sẽ lừa người dùng truy cập vào một trang web trung gian có chức năng chuyển hướng người dùng tới một máy chủ lưu trữ

mã khai thác lỗ hổng/điểm yếu tự động thông qua lỗ hổng/điểm yếu trên ins/Extenstion của trình duyệt hay phần mềm bên thứ 3 Khi người dùng đã được chuyển hướng tới máy chủ lưu trữ mã khai thác, máy chủ này sẽ tự động tìm mã khai thác phù hợp với máy tính người dùng Khi đã khai thác thành công thì mã độc tự động cài cắm vào máy tính người dùng, và kẻ tấn công bắt đầu kiểm soát được máy tính người dùng Hình thức lây nhiễm mã độc vào máy tính người dùng thông qua mã khai thác khi người dùng truy cập trang web, ngày càng trở nên phổ biến và dễ thực hiện hơn Ngoài ra đối tượng tấn công có thể dựng lên các trang web cung cấp các bản vá, bẻ khoá cho phần mềm không bản quyền qua đó cài cắm mã độc vào máy tính người dùng theo con đường chính thống

Plug Hình thức phổ biến tiếp theo là thông qua thư điện tử Đối tượng tấn công có thể lây nhiễm mã độc vào máy tính người dùng không chỉ thông qua tập tin đính kèm

mà cả phần nội dung thư điện tử Với hình thức thông qua tập tin đính kèm thì đối tượng tấn công thường đính kèm mã độc trong các tập tin doc, pdf nhìn có vẻ là vô hại nhưng thực tế có mã độc trong đó Với hình thức lây nhiễm mã độc thông qua nội dung thư, đối tượng tấn công sẽ sử dụng mã HTML để nhúng tập lệnh/đoạn mã độc hại vào một phần trong nội dung thư; khi người dùng mở thư với chức năng hiển thị HTML thì tập lệnh/đoạn mã này sẽ được thực thi và mã độc được cài cắm vào máy tính người dùng; hay sử dụng các liên kết trong nội dung thư nhìn có vẻ vô hại nhưng thực tế lại chuyển hướng người dùng đến trang web chứa mã độc hoặc mã khai thác lỗ hổng

- Tiếp đến là hình thức lây nhiễm mã độc thông qua lỗ hổng phần mềm: khai thác lỗ hổng phần mềm là mục tiêu tấn công phổ biến trong các cuộc tấn công của đối tượng tấn công Lỗ hổng, lỗi phần mềm cho phép đối tượng tấn công truy cập từ xa vào

12

máy tính người dùng, qua đó cài cắm mã độc, lấy trộm dữ liệu

- Hình thức lây nhiễm qua phương tiện lưu trữ di động, các ổ đĩa USB cũng là hình thức phổ biến để cài cắm mã độc vào máy tính người dùng

- Ngoài ra đối tượng tấn công có thể viết ra những phần mềm, ứng dụng miễn phí Khi người dùng cài đặt phần mềm, ứng dụng này thì đồng thời cũng cài đặt mã độc vào máy tính của mình

Ở mỗi môi trường, khu vực khác nhau thì đối tượng tấn công có thể tận dụng các hình thức khác nhau Nhưng thông thường để đạt được mục tiêu lây nhiễm vào tối đa các máy tính, thiết bị, đối tượng tấn công sẽ kết hợp nhiều hình thức, tận dụng nhiều lỗ hổng đặc biệt là lỗ hổng trên các phần mềm, ứng dụng phổ biến như: trình duyệt web,

hệ điều hành Android, ứng dụng soạn thảo văn bản Đây là những ứng dụng có trên hầu hết các máy tính Theo thống kê của Kaspersky vào 3 tháng cuối năm 2016 có tới 44,8% mã khai thác trên trình duyệt, 19,3% mã khai thác Android; 15,9% mã khai thác Microsoft Office; 13,5% mã khai thác phần mềm Adobe Flash Player (phần mềm sử dụng trên hầu hết các trình duyệt)

Hình 1: Thống kê tỉ lệ mã khai thác sử dụng để lây nhiễm mã độc trên các ứng dụng (Nguồn:

13

Hiệp hội An toàn thông tin Việt Nam tỉ lệ này hiện đang chiếm hơn 90% người dùng) Việc sử dụng phần mềm, ứng dụng không có bản quyền sẽ hạn chế trong việc cập nhật, nâng cấp, vá lỗi dẫn tới tồn tại điểm yếu/lỗ hổng an toàn thông tin trên hệ thống, giúp cho kẻ tấn công có thể dễ dàng sử dụng mã độc để tấn công, lây nhiễm vào hệ thống Bên cạnh đó, một bộ phận không nhỏ người Việt Nam thường xuyên sử dụng các phần mềm bẻ khoá, bản thân các phần mềm bẻ khoá này đã được cài đặt sẵn mã độc Đây là vấn đề không dễ giải quyết trong thời gian ngắn

- Ý thức truy cập các trang web không an toàn; thư điện tử; lỗ hổng phần mềm, ứng dụng; ngoài ra là việc sử dụng thiết bị không có cơ chế bảo mật, cơ chế bảo mật kém hay sử dụng tài khoản quản trị, mật khẩu mặc định

2 Thực trạng lây nhiễm phần mềm độc hại trên thế giới

Theo thống kê của Liên minh Viễn thông Quốc tế (ITU), vào năm 2005, thế giới

có khoảng 2,2 tỷ thuê bao điện thoại di động thì đến năm 2015 con số này đã tăng lên trên 7 tỷ thuê bao, năm 2005 thế giới có 1 tỷ người đăng ký sử dụng internet thì đến năm

2015 là 3,2 tỷ người (chiếm gần 50% dân số thế giới) Mọi hoạt động kinh tế, chính trị,

xã hội, quốc phòng, an ninh ngày nay có những bước đột phá lớn nhờ áp dụng CNTT

và kết nối mạng

Theo xu hướng Internet kết nối vạn vật (IoT) ngày càng phổ biến trên thế giới đặc biệt tại các nước phát triển và đang phát triển thì số lượng các thiết bị, ứng dụng kết nối vào mạng Internet ngày càng nhiều Bên cạnh đó thì nguy cơ mất an toàn thông tin ngày càng cao Theo đánh giá của nhiều tổ chức an toàn thông tin (ATTT) uy tín, thế giới đang phải đối diện với hàng loạt nguy cơ tấn công mạng mới xuất hiện và ngày càng nguy hiểm Số lượng lỗ hổng bảo mật, mã độc, mạng máy tính ma (botnet) được phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hành những chiến dịch tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm hơn so với trước đây Thay vì thực hiện những cuộc tấn công nhanh, nhiều loại mã độc trong các cuộc tấn công APT có khả năng nằm vùng, ẩn sâu trong hệ thống mạng để thăm dò, theo dõi và chiếm quyền điều khiển trong thời gian dài, đến thời điểm nhất định mới tiến hành các cuộc tổng tấn công

Trên thế giới, đã diễn ra nhiều cuộc tấn công mạng quy mô lớn vào nhiều hệ thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia Những cuộc tấn công này không chỉ gây đình trệ hệ thống, tiết lộ thông tin nhạy cảm, mà còn công khai nhiều tài liệu mật của các quốc gia gây tổn thất khó lường về chính trị, ngoại giao Dưới đây là

14

một số cuộc tấn công điển hình trên thế giới do mã độc thực hiện

Tấn công vào nhà máy hạt nhân của Iran:

Cuộc tấn công mạng vào nhà máy hạt nhân tại cơ sở Natanz của Iran năm 2010 cùng với hoạt động của mạng botnet Stuxnet, trong đó Stuxnet lây nhiễm và tấn công vào trên 200.000 máy tính, 58% thuộc Iran, các nước khác như Indonesia, Ấn Độ, Azerbaijan, Mỹ, Pakistan cũng bị ảnh hưởng Mạng botnet Stuxnet nhằm vào các máy tính điều khiển công nghiệp được cho là phát triển từ năm 2005 và đến năm 2010 mới được phát hiện, nó đã tấn công và phá hủy 984 máy li tâm tại cơ sở Natanz

Tấn công vào Spamhaus:

Vụ tấn công từ chối dịch vụ (DDoS)

này nhắm mục tiêu vào hệ thống máy chủ tên

miền (DNS) của Tổ chức chống thư rác

Spamhaus bắt đầu từ ngày 19/3/2013 và diễn

ra liên tiếp trong cả tuần, đỉnh điểm của vụ

tấn công đã được ghi nhận lên đến 300 Gb/s

Đây là vụ tấn công được xem là lớn nhất

trong lịch sử Vụ tấn công nghiêm trọng này

là sự phản ứng của các nhóm tội phạm chuyên nghiệp trước các hành động mạnh tay của Spamhaus khi đưa các hệ thống máy chủ phát tán thư rác của chúng vào danh sách đen (blacklist) ở đây là danh sách IP của các hệ thống máy chủ hosting của tổ chức Cyberbunker bị đưa vào danh sách Hình thức tấn công này đã đưa ra một cảnh báo cho

Hình 2: Lưu lượng tấn công DDoS

Spamhaus

15

mạng Internet toàn cầu do việc thực hiện tấn công không quá phức tạp, không cần huy động quá nhiều bot để thực hiện tấn công kiểu này Với sự "mỏng manh" của hệ thống tên miền DNS như hiện nay, các nguy cơ xảy ra một cuộc tấn công với quy mô lớn hơn vào hạ tầng Internet của một quốc gia và làm ngừng hoạt động của nó là hoàn toàn hiện hữu Việc chống lại các tấn công kiểu này là vô cùng khó khăn cho các quốc gia có hạ tầng Internet yếu kém và thiếu sự hợp tác và hỗ trợ của các tổ chức quốc tế

Tấn công vào Công ty Sony

Cuộc tấn công mạng vào Công ty Sony Pictures Entertainment 24/11/2014 làm toàn bộ hệ thống máy tính của nhân viên phải ngừng hoạt động và tê liệt bởi nhóm đối tượng tấn công tự nhận là #GOP Đối tượng tấn công đã lấy được hơn 100TB dữ liệu khác nhau từ mật khẩu của nhân viên, thông tin chi tiết thẻ tín dụng tới lịch sử y tế và thông tin về tiền lương Đến ngày 7/12 mạng Sony Playstation Network và PlayStation Store tiếp tục bị một đợt tấn công khác dẫn đến không thể kết nối trong khoảng thời gian khá lâu Và đối tượng tấn công cũng đã phát tán một số email của lãnh đạo Sony Pictures cùng với nhiều bí mật của các ngôi sao lớn tại Hollywood Cuộc tấn công này

đã gây thiệt hại không nhỏ về tài chính cũng như uy tín của Sony

Chiến dịch tấn công APT

Chiến dịch tấn công APT có tên Lotus Blossom nhằm vào chính phủ và các tổ chức quân đội tại Đông Nam Á trong suốt 3 năm (từ 2012 đến 2015) sử dụng nhiều hình thức, kỹ thuật tấn công sau đó cài đặt Trojan trên các hệ thống mục tiêu Để điều khiển mạng botnet trong chiến dịch Lotus Blossom, đối tượng tấn công đã sử dụng 50 mẫu mã độc với 3 biến thể khác nhau, hạ tầng để điều khiển mạng botnet này gồm ít nhất 36 tên miền và 34 địa chỉ IP

Chiến dịch tấn công APT 28 được cho là hoạt động từ năm 2007, có sự liên hệ với Nga và có thể được Chính phủ Nga tài trợ APT 28 tập trung vào thông tin liên quan đến chính phủ, quân đội và các tổ chức an ninh Nhóm này đã phát động tấn công mạng vào chính phủ ở Georgia, Đông Âu, NATO và Tổ chức An ninh và Hợp tác Châu Âu

Chiến dịch tấn công APT 30 do một nhóm đối tượng tấn công có trình độ cao, chiến dịch tấn công này thực hiện tấn công mạng ít nhất từ năm 2005 nhưng đến tháng 4 năm 2015 mới có báo cáo về cuộc tấn công này Mục tiêu tấn công nhằm vào cơ quan,

tổ chức tại khu vực Đông Nam Á (trong đó có Việt Nam) và Ấn Độ, thu thập thông tin

về kinh tế, chính trị, quân sự và vấn đề tranh chấp lãnh thổ cho tới cuộc thảo luận liên

16

quan đến Đảng cộng Sản Trung Quốc Chiến dịch tấn công này đã sử dụng ít nhất 200 mẫu mã độc và hạ tầng, kiến trúc điều khiển tinh vi, với nhiều tên miền hoạt động trên 5 năm, nhiều mã độc có khả năng chuyển tiếp lưu lượng từ Internet tới mạng LAN vào có khả năng ẩn sâu trong hệ thống mục tiêu

Cuộc tấn công tống tiền của mã độc WanaCry

Gần đây nhất là cuộc tấn công mạng của mã độc mã hóa tư liệu (WannaCry, Petya) tấn công vào các máy tính, thiết bị trên nền Windows, đã gây ảnh hưởng tới nhiều quốc gia trên thế giới (theo các trang báo quốc tế uy tín cuộc tấn công của mã độc WannaCry đã ảnh hưởng tới ít nhất 100.000 tổ chức, trên 200.000 người tại150 quốc gia trên thế giới) Hậu quả của đợt tấn công này không chỉ là thiệt hại về kinh tế mà còn ảnh hưởng đến đời sống xã hội Tại Anh một nhà máy sản xuất xe hơi của Nissan đã phải ngừng sản xuất sau khi bị WanaCry tấn công Ngoài ra hàng trăm bệnh viện và phòng khám của Cơ quan Y tế Quốc gia Anh (NHS) cũng trở thành nạn nhân của mã độc tống tiền WanaCry , và các nơi này buộc phải chuyển tiếp bệnh nhân sang đơn vị khác để chữa trị

Theo thống kê của Kaspersky trong năm 2016 có 31,9% người dùng internet là mục tiêu của của các cuộc tấn công mã độc trên nền web; trên 700 triệu (758,044,650) cuộc tấn công mạng từ các nguồn tài nguyên trên nền web khắp thế giới; trên 261 triệu (261.774.932) URL độc hại trên Internet; trên 69 triệu (69,277,289) mẫu mã độc được phát hiện; trên 1 triệu (1,445,434) máy tính bị mã độc mã hóa tư liệu tấn công (trong khi

đó năm 2015 là 179,209) (Nguồn: https://kasperskycontenthub.com)

3 Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam

Với sự phát triển của Internet, Việt Nam đã đạt số lượng gần 4,8 triệu thuê bao truy nhập Internet băng rộng cố định; hơn 3,2 triệu hộ gia đình có kết nối Internet; 100% các Bộ ngành, tỉnh thành phố có cổng thông tin điện tử, cung cấp hơn 100.000 dịch vụ công trực tuyến phục vụ người dân và doanh nghiệp.Việt Nam đứng thứ 7 trong số 10 nước sử dụng Internet nhiều nhất tại châu Á (Châu Á là khu vực truy cập Internet nhiều nhất trên thế giới với tỷ lệ 44,8% người dùng trên toàn cầu) Khoảng 1/3 các doanh nghiệp Việt Nam sử dụng thương mại điện tử, trên 50% doanh nghiệp có website riêng, 82% doanh nghiệp có mạng nội bộ LAN và gần 100% doanh nghiệp sử dụng Internet

Có nhiều tổ chức quốc tế lớn về an toàn thông tin đưa ra các thống kê liên quan đến mã độc Các hãng khác nhau có thống kê khác nhau tuy nhiên, điểm chung Việt

1 Mongolia 6 Campuchia 11 Malaysia 16 Hàn Quốc

2 Việt Nam 7 Philippines 12 Đài Loan 17 Úc

3 Pakistan 8 Thái Lan 13 Trung Quốc 18 New Zealand

4 Indonesia 9 Ấn Độ 14 Singapore 19 Nhật Bản

5 Nepal & Bangladesh 10 Sri Lanka 15 Hồng Kông

Bảng 1: Thứ tự các nước trong khu vực đối mặt với rủi ro lây nhiễm mã độc ( nguồn

https://news.microsoft.com)

Theo đánh giá, thống kê của Kaspersky: Việt Nam đứng thứ 2 thế giới về tỉ lệ phát tán thư rác (năm 2016); đứng thứ 8 trên thế giới tỉ lệ máy tính người dùng đối mặt với rủi ro lây nhiễm mã độc cao (đây là thống trên các nước có tỉ lệ sử dụng phần mềm của Kaspersky >10.000người dùng - số liệu tháng 2 năm 2017);

Bảng 2: Thống kê của Kaspersky về tỷ lệ người dùng đối mặt với rủi ro lây nhiễm mã độc

Trong thống kê về tỉ lệ phát tán thư rác, Việt Nam đứng thứ 3 trên thế giới (chiếm tỉ lệ 6,13%) trong năm 2015; đứng thứ 2 trên thế giới (chiếm 10, 32 %) trong

18

năm 2016, Quý 1 năm 2017 đứng thứ 2 (7,86%), Quý 2 năm 2017 lên vị trí thứ nhất (với 12,37 %) Điều này cho thấy các mạng botnet phát tán thư rác tại Việt Nam đang hoạt động rất mạnh

Hình 3: Thống kê Kaspersky về nguồn phát tán thư rác trên thế giới

Trong năm 2015, theo số liệu thông kê của Bộ Thông tin và Truyền thông, các đơn vị chức năng đã ghi nhận hơn 1.451.997 lượt địa chỉ IP cả nước bị nhiễm mã độc và nằm trong các mạng Botnet (tăng 1,6 lần so với năm 2014) Năm 2015, Việt Nam nằm trong danh sách các nước có tỉ lệ lây nhiễm mã độc trên máy vi tính cao, ước tính khoảng 64,36% Tỉ lệ lây nhiễm này của Việt Nam cao gấp gần 4 lần tỉ lệ lây nhiễm trung bình trên thế giới

Theo báo cáo an toàn thông tin năm 2016

TT Tỉ lệ lây nhiễm phần mềm độc hại Năm 2016 Năm 2015 Năm 2014

4 Qua các các thiết bị đa phương tiện 71,85% 77% 77%

Bảng 3: Tỉ lệ lây nhiễm phần mềm độc hại tại Việt Nam qua các năm 2014-2016

Năm 2016, Việt Nam vẫn nằm trong danh sách các quốc gia trên thế giới có tỉ lệ lây nhiễm mã độc trên máy vi tính cao, ước tính khoảng 63,69%, giảm 0,67% so với

19

năm 2015 Tỉ lệ lây nhiễm này của Việt Nam cao gấp khoảng hơn 3 lần tỉ lệ lây nhiễm trung bình trên thế giới; Tỉ lệ lây nhiễm mã độc trên thiết bị di động của Việt Nam năm

2016 ước tính vào khoảng 21,61%, cũng là quốc gia nằm trong danh sách các quốc gia

có tỉ lệ lây nhiễm mã độc trên thiết bị di động cao trên thế giới; Tỉ lệ lây nhiễm mã độc qua mạng là 36,77%; Đối với nguy cơ lây nhiễm mã độc qua các thiết bị đa phương tiện kết nối với máy tính như: camera, thẻ nhớ, USB, ổ cứng di động, …Việt Nam vẫn nằm trong danh sách các nước có nguy cơ cao với tỉ lệ khoảng 71,85%

Trên đây là một số thống kê về tình hình lây nhiễm mã độc tài Việt Nam, trong khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù hợp thì đối tượng tấn công vẫn tiếp tục lợi dụng mã độc, các mạng botnet và mã độc APT để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng Điển hình là cuộc tấn công APT vào Vietnam Airlines và các Cảng hàng không vào tháng 7/2016, hay các cuộc tấn công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam thời gian vừa qua Đây chỉ

là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy một phần hậu quả của nó Và điều này cho thấy Việt Nam còn phải bỏ ra nhiều nỗ lực hơn nữa trong việc phát hiện, giảm thiểu và bóc gỡ mã độc

3.1 Một số mạng botnet đang hoạt động và cuộc tấn công mạng lớn tại Việt Nam

Một số mạng bonet đang hoạt động bao gồm: Mirai, Conficker, Sality, Ramnit, Dorkbot, Zeroaccess, Palevo, Cutwail, Avalanche , Kelihos, trong đó:

Mạng botnet Conficker

Mạng botnet Conficker còn được biết đến là Downup, Downadup và Kido, được biết đến lần đầu tiên vào 11/2008, đây là một sâu máy tính với mục tiêu là hệ điều hành Microsoft Windows, lây lan dựa trên một lỗ hổng/điểm yếu của hệ điều hành Windows

và sử dụng phương pháp tấn công từ điển vào tài khoản quản trị và chúng còn sử dụng nhiều công nghệ mã độc cao cấp để chống lại việc nhận diện Conficker ảnh hưởng đến hàng triệu máy tính bao gồm các chính phủ, doanh nghiệp và các máy tính gia đình ở trên 200 nước, đây là mạng sâu máy tính lớn nhất thế giới tính từ sau sự cố Welchia năm 2003

Việc ước lượng tổng số máy tính bị lây nhiễm gặp nhiều khó khăn do vi-rút thường xuyên thay đổi việc phát tán và liên tục cập nhập từ phiên bản này sang phiên bản khác Tháng 1/2009 theo ước lượng có khoảng từ 9 triệu đến 15 triệu máy tính bị lây nhiễm Microsoft báo cáo tổng số máy tính bị lây nhiễm được phát hiện bởi các

20

phần mềm chống mã độc duy trì sự ổn định vào khoảng 1,7 triệu từ giữa năm 2010 đến giữa năm 2011

Các sự cố liên quan đến Conficker:

Ngày 15/1/2009, Conficker đã gây ra sự cố tại căn cứ hải quân Pháp, khi đó mạng máy tính đã bị cách ly làm cho các máy bay không cất cánh được bởi vì không thể tải về các kế hoạch bay

Bộ Quốc phòng cũng báo cáo về các hệ thống quan trọng và máy tính cá nhân bị nhiễm loại sâu này, nhiều hệ thống của tàu chiến, tàu ngầm và bệnh viện của hải quân Hoàng gia đã bị lây nhiễm với ước tính khoảng 800 máy tính

Tháng 2/2009, lực lượng không quân của Đức cũng báo cáo về khoảng 100 máy tính đã bị lây nhiễm

Conficker là một dòng mã độc botnet có nhiều biến thể nhất và luôn cập nhật các phiên bản của mình để khai thác các điểm yếu mới nhất của hệ điều hành Windows, các công nghệ được áp dụng trên Conficker rất phức tạp nên cho đến hiện tại mạng botnet Conficker vẫn đang là một mối đe dọa hiện hữu trên mạng Internet cho dù 12/2/2009 Tập đoàn Microsoft đã khởi xướng chương trình hợp tác giữa nhiều quốc gia trong bóc

gỡ Conficker với sự tham gia của rất nhiều tổ chức gồm Microsoft, Afilias, ICANN, Neustar, Verisign, Symantec, F-Secure, tổ chức Shadowserver, Arbor Networks , cùng với sự hỗ trợ của các cơ quan điều tra Mặc dù mạng botnet Conficker phát hiện từ năm

2008, lợi dụng lỗ hổng cũ MS 08-067 từ năm 2008, đã có bản vá Tuy nhiên tại Việt Nam vẫn còn rất nhiều những máy tính chưa vá lỗ hổng này và đang tham gia vào hoạt động của mạng botnet này Theo thống kê của Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện trên 4 triệu (4.300.138) lượt địa chỉ IP nằm trong mạng botnet Conficker và có thể vẫn đang tham gia vào các cuộc tấn công mạng

Mạng botnet Sality

Mạng botnet Sality-P2P còn có tên gọi khác “W32.Sality” hay KuKu Mã độc Win32.Sality là tập hợp của nhiều loại vi-rút, trojan cùng hoạt động Loại mã độc này lần đầu tiên bị phát hiện tại thị trấn Salavat ở Nga ngày 4/06/2003 Vào thời điểm đó mã độc Sality được tìm thấy là một mã độc lây nhiễm vào hệ thống qua các đoạn mã chèn vào đầu tập tin host để giúp mở cửa hậu và trộm cắp thông tin bàn phím Mạng lưới Botnet Sality-P2P được đánh giá ở mức độ nguy hiểm cao đối với an toàn của hệ thống: W32.Sality lây nhiễm các tập tin thực thi bằng cách sao chép chính nó qua mạng ngang