Một số giải pháp ứng phó với các hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn tại việt nam

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** LÊ TIẾN DŨNG MỘT SỐ GIẢI PHÁP ỨNG PHÓ VỚI CÁC HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC TẤN CÔNG CÁC DOANH NGHIỆP LỚN TẠI

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

LÊ TIẾN DŨNG

MỘT SỐ GIẢI PHÁP ỨNG PHÓ VỚI CÁC HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC TẤN CÔNG CÁC DOANH NGHIỆP LỚN TẠI VIỆT NAM

LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2017

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

LÊ TIẾN DŨNG

MỘT SỐ GIẢI PHÁP ỨNG PHÓ VỚI CÁC HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC TẤN CÔNG CÁC DOANH NGHIỆP LỚN TẠI VIỆT NAM

Chuyên ngành: Quản trị An ninh phi truyền thống

Mã số: Chương trình thí điểm

LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

NGƯỜI HƯỚNG DẪN KHOA HỌC: ĐẠI TÁ, PGS.TS TRẦN VĂN HÕA

Hà Nội - 2017

CAM KẾT

Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính tác giả thu được chủ yếu trong thời gian học và nghiên cứu và chưa được công bố trong bất cứ một chương trình nghiên cứu nào của người khác

Những kết quản nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công

thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả

đồng ý và trích dẫn cụ thể

Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa Quản trị và Kinh doanh và pháp luật về những cam kết nói trên

Lê Tiến Dũng

LỜI CẢM ƠN

Thành công là kết quả của quá trình lao động và làm việc nghiêm túc Tự đáy lòng mình, em xin gửi lời cảm ơn sâu sắc nhất tới các Thầy Cô HSB đã dạy dỗ và dìu dắt cho

em đủ đầy kiến thức để có thể hoàn thành khóa luận tốt nghiệp này

Em xin cảm ơn tình yêu Chính tình yêu của các Thầy Cô đã là động lực cho em cố gắng để đi tới bước đường cuối cùng của khóa học với tâm thế đẹp nhất Em xin cảm ơn PGS.TS Hoàng Đình Phi, chính tình yêu của Thầy với công việc, nhiệt huyết của Thầy làm sao để kết quả học tập, làm sao để luận văn cuối khóa của chúng em tốt nhất đã là nhiệt huyết của em để sao luận văn của mình xứng đáng với những nhiệt huyết của Thầy nhất Em xin cảm ơn TS Nguyễn Văn Hưởng, chính tình yêu của Thầy với an ninh dân tộc, trăn trở của Thầy với an ninh quốc gia đã là trăn trở của em đi tới đề tài này Em xin chân thành cảm ơn hai Thầy đã đóng góp cho đề tài ở những bước đi đầu tiên

Em đặc biệt cảm ơn PGS.TS Trần Văn Hòa, thầy hướng dẫn khoa học cho đề tài với tất cả tấm lòng biết ơn và sự cảm động Chính tình yêu của Thầy với khoa học, với sự chân, thiện, mỹ của một đề tài nghiên cứu đã cho em hiểu rằng khoa học thực sự không có chỗ cho sự lười biếng, hời hợt và giả dối Phương pháp tư duy, phương pháp luận nghiên cứu, giá trị đóng góp của luận văn, tính logic của đề tài, sự hợp lý của bố cục, ngắn gọn của câu văn, trong sáng của từ ngữ , tất cả đều được Thầy dẫn giải và dạy dỗ Thiếu những đóng góp quý giá và ý nghĩa, thiếu tình yêu và sự dìu dắt của Thầy, luận văn của em

đã không có được kết quả này Tận đáy lòng mình, em xin cảm ơn và biết ơn Thầy!

Em xin cảm ơn tình bạn Các người bạn, là các chuyên gia đầu ngành an ninh mạng của BKAV, FPT, VnCert đã nhiệt tình giúp đỡ Những số liệu chân thực và những thực tiễn chuyên môn sâu sắc của các bạn đã giúp cho đề tài có được tính thực tiễn cao nhất

Đề tài đã được hoàn thành Mặc dù do năng lực của em còn nhiều hạn chế nên kết quả luận văn còn rất khiêm tốn, chưa thực sự xứng đáng với sự giúp đỡ và kỳ vọng của Thầy Cô cũng như các bạn bè Nhưng hơn tất cả, cho em xin được mang theo tất cả những giúp đỡ ấm áp này và xin được tri ân

Cuối cùng em kính chúc các Thầy Cô dồi dào sức khỏe và tiếp tục kết nối nhịp cầu tri thức thân thương Chúc các bạn tôi luôn hạnh phúc và thật thành công trong cuộc sống!

Em xin được cảm ơn!

Tác giả luận văn

MỤC LỤC

BẢNG CHỮ VIẾT TẮT i

DANH MỤC HÌNH VẼ ii

DANH MỤC BẢNG BIỂU iv

MỞ ĐẦU 1

CHƯƠNG 1: LÝ LUẬN CƠ BẢN VỀ GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC 10

1.1 Nhận thức chung về an ninh mạng 10

1.1.1 Khái niệm an ninh mạng 10

1.1.2 Khủng hoảng an ninh mạng 12

1.1.3 Nhận thức và hành động các quốc gia trên thế giới về những nguy cơ tấn công mạng 13

1.2 Lý luận chung về gián điệp mạng sử dụng mã độc 16

1.2.1 Lý luận về gián điệp mạng 16

1.2.2 Gián điệp mạng sử dụng mã độc 19

CHƯƠNG 2: THỰC TRẠNG HOẠT ĐỘNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC HIỆN NAY 37

2.1 Tình hình khủng hoảng an ninh mạng hiện nay 37

2.2 Một số cuộc khủng hoảng an ninh mạng tiêu biểu tại Việt Nam 47

2.2.1 Khủng hoảng VCCorp năm 2014 49

2.2.2 Khủng hoảng giả mạo email của Thủ tướng phát tán mã độc cho các doanh nghiệp năm 2015 58

2.2.3 Khủng hoảng tấn công mạng bằng mã độc vào 2 sân bay và lấy cắp dữ liệu Việt Nam Airlines năm 2016 64

CHƯƠNG 3: NGUYÊN NHÂN, XU HƯỚNG VÀ MỘT SỐ GIẢI PHÁP PHÒNG CHỐNG GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC TẤN CÔNG DOANH NGHIỆP LỚN VIỆT NAM 72

3.1 Một số nguyên nhân và bài học từ các cuộc khủng hoảng 72

3.1.1 Về cơ sở hạ tầng mạng 72

3.1.2 Về qui trình quản trị mạng 74

3.1.3 Về con người: quản trị mạng và người dùng 75

3.2 Đánh giá xu hướng phát triển hoạt động gián điệp mạng sử dụng mã độc 76

3.3 Một số giải pháp phòng chống gián điệp mạng sử dụng mã độc tấn công doanh nghiệp lớn Việt Nam 7979 3.3.1 Xây dựng cơ sở hạ tầng mạng 81

3.3.2 Xây dựng các qui trình quản trị mạng 89

3.3.3 Xây dựng chính sách nhân sự, nâng cao năng lực quản trị mạng và đào tạo người dùng 90

KẾT LUẬN 94 DANH MỤC TÀI LIỆU THAM KHẢO 95

BẢNG CHỮ VIẾT TẮT

Satoshi Nakamoto dưới dạng phần mềm mã nguồn mở từ năm 2009

DANH MỤC HÌNH VẼ

Hình 1.1: Quá trình khởi động Firmware khi bị nhiễm Virus boot 21

Hình 1.2: Hệ thống bị nhiễm Virus file 22

Hình 1.3: Lây nhiễm Virus đa hình, siêu đa hình 22

Hình 1.4: Mô tả Virus Macro 22

Hình 1.5: Một đoạn mã của Blaster Worm 23

Hình 1.6: Worm lây qua Email 23

Hình 1.7: Worm lây qua các dịch vụ chatting 24

Hình 1.8: Worm lây qua mạng xã hội 24

Hình 1.9: Worm auto run 25

Hình 1.10: Worm Fake Icon 25

Hình 1.11: Worm Fake USB Drive 26

Hình 1.12: Worm khai thác lỗ hổng phần mềm 27

Hình 1.13: Minh họa phát hiện Trojan 27

Hình 1.14: Backdoor cài vào file flashplayer lừa người dùng tải về máy tính 28

Hình 1.15: Mô hình tấn công DDOS-Bonet 28

Hình 1.16: Spyware tấn công các sân bay năm 2016 29

Hình 1.17: Hình ảnh Adware 29

Hình 1.18: Hình ảnh Fake AV 30

Hình 1.29: Màn hình tống tiến của mã độc WannaCry 30

Hình 1.20: Sơ đồ Rootkit 31

Hình 1.21: Mã Zeus update với thành phần được trang bị công nghệ Rootkit 31

Hình 1.22: Giao diện đòi tiền chuộc của mã độc mã hóa tống tiền WannaCrypto 33

Hình 1.23: Email giả mạo có đính kèm mã độc 35

Hình 2.1: Tỷ lệ người dùng bị tấn công theo nhóm mã độc tống tiền mã hóa 44

Hình 2.2: Thống kê kiểu người dùng bị tấn công ransomware 45

Hình 2.3: Thống kê mức thiệt hại do virus máy tính gây ra tại Việt Nam 47

Hình 2.4: Người dùng không thể truy cập báo Dân Trí tại địa chỉ dantri.com.vn 50

Hình 2.5: Nhiều game phải reset lại dữ liệu khiến người chơi bị mất level 51

Hình 2.6: Backdoor cài vào file flashplayer lừa người dùng tải về máy tính 51

Hình 2.7: Chi tiết hành vi các module 52

Hình 2.8: Chạy file install_flashplayer13x32_ltr5x64d_awc_aih.exe (bản chính) 53

Hình 2.9: Chi tiết hành vi các mã độc tấn công 57

Hình 2.10: Ảnh chụp màn hình 1 trong 2 email có chứa mã độc 59

Hình 2.11: Các thành phần của mã độc 60

Hình 2.12: Máy chủ điều khiển của hacker 61

Hình 2.13: Thông tin tên miền của máy chủ điều khiển của hacker 63

Hình 2.14: Thông tin tên miền của máy chủ điều khiển vụ virus “Biển đông” 64

Hình 2.15: Hình ảnh Website của Việt nam Airlines bị hack 65

Hình 2.16: Trojan diskperf.exe tấn công sân bay Nội bài 66

Hình 2.17: Trojan rundll.exe kết nối C&C server playball.ddns.info và nvedia.ddns.info 67 Hình 2.18: Trojan giả danh McAee.exe kết nối C&C server air.dcsvn.org 68

Hình 2.19: Thông tin tên miền dcsvn.org 70

Hình 2.20: Hệ thống vận hành cảng hàng không 71

Hình 3.1: Mô hình triển khai BKAV Network Inspector 84

Hình 3.2: Các tính năng của SIEM 84

Hình 3.3: Mô hình triển khai giải pháp NAC 87

Hình 3.4: Các tính năng của NAC 87

Hình 3.5: Các tính năng chống tấn công APT 88

Hình 3.6: Quy trình quản trị mạng 89

Hình 3.7: Quy trình đánh giá thực tế 90

Hình 3.8: Hệ thống quản lý thông tin ISO 27001 92

Hình 3.9: Đào tạo chuyên viên an ninh mạng 92

Hình 3.10: Đào tạo ứng phó sự cố 93

DANH MỤC BẢNG BIỂU

Bảng 2.1: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2013 37

Bảng 2.2: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2014 38

Bảng 2.3: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2015 39

Bảng 2.4: Các cuộc khủng hoảng an ninh mạng lớn trên thế giới năm 2016 41

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Từ xa xưa, con người đã sử dụng gián điệp trong các vấn đề về an ninh quốc phòng Lịch sử mối tình Mỵ Châu – Trọng Thủy như một cảnh tỉnh chúng ta phải luôn đề phòng với gián điệp của kẻ địch, họa đến là họa mất nước

Ngày nay, gián điệp không chỉ ứng dụng trong hoạt động quân sự, chính trị, mà còn xuất hiện trong hoạt động kinh tế, giáo dục và tất cả các lĩnh vực đời sống xã hội… Bước vào thời đại cách mạng công nghiệp 4.0, hoạt động gián điệp ngày càng phức tạp và không ngừng đổi mới Trong đó, hình thức gián điệp mạng là một hình thức gián điệp còn mới

mẻ, nhưng lại phát triển nhanh và có ảnh hưởng rất lớn Đặc biệt trong thời đại kết nối mạng toàn cầu IoT hiện nay, gián điệp mạng đang và sẽ là hình thức thu thập thông tin gián điệp vô cùng nguy hiểm

Trên thế giới, hoạt động gián điệp mạng cũng đã trở thành mối quan tâm hàng đầu của các quốc gia Nhân tố chủ chốt trong cạnh tranh toàn cầu nhờ vào sở hữu và chi phối được những tài sản hữu hình như dầu mỏ, khí đốt đang dần thay đổi Lợi thế cạnh tranh của một nước phụ thuộc rất lớn vào năng lực thu thập, phân tích và xử lý thông tin Mọi thông tin đều đã được số hóa và trở thành tài sản quan trọng nhất của các quốc gia Cơ quan đặc biệt của nước ngoài đều tìm mọi cách xâm nhập vào hệ thống máy tính, thiết bị di động để lấy cắp hoặc phá hoại dữ liệu của các nước khác Các phương thức, thủ đoạn tấn công xâm nhập, lấy cắp, phá hoại dữ liệu diễn ra ngày càng phức tạp, nguy hiểm, đặc biệt với các tổ chức, doanh nghiệp lớn, sở hữu thông tin quan trọng, gây ra tổn thất lớn Thách thức về hoạt động gián điệp mạng ngày càng trở nên gay gắt, buộc mọi quốc gia, tổ chức và người dân phải nhận thức đầy đủ, toàn diện về những nguy cơ này

Tại Việt Nam, đảm bảo an ninh mạng được thể hiện trong nhiều chủ trương, chính sách của Đảng và Nhà nước, đã được các tổ chức và doanh nghiệp quan tâm Tuy nhiên, cơ sở

hạ tầng mạng phần lớn chưa đáp ứng được yêu cầu, còn nhiều lỗ hổng bảo mật tạo điều kiện cho gián điệp mạng thâm nhập Đặc biệt, hầu hết lãnh đạo và những người sử dụng tại các doanh nghiệp lớn chưa nhận thức đúng và đủ về những nguy cơ của an ninh mạng nói chung và hoạt động gián điệp mạng nói riêng Nhiều doanh nghiệp, tổ chức lớn chưa có CIO, CSO để chỉ đạo định hướng công nghệ thông tin cho tổ chức, phòng chống gián điệp mạng…, chưa xây dựng được hệ thống mạng máy tính an toàn, bảo mật, chưa đào tạo tốt cho lực lượng quản trị mạng và người dùng để phòng chống tội phạm mạng xâm nhập, phá hoại Vì vậy, Việt Nam luôn nằm trong nhóm các nước dễ bị khống chế và tấn công mạng

Sau sự cố khủng hoảng an ninh mạng của VCCorp năm 2014 gây thiệt hại lớn, trong thời gian qua tiếp tục có hàng nghìn website doanh nghiệp Việt Nam bị tấn công mạng, mức độ thiệt hại ngày một lớn hơn Tuy nhiên đa phần các doanh nghiệp lớn vẫn không nâng cấp hệ thống mạng để đảm bảo an ninh, chưa nhận thức được tầm quan trọng của an ninh mạng Ngày 29/7/2016, hacker tấn công hệ thống mạng của hai sân bay Nội Bài, Tân Sơn Nhất, chiếm quyền điều khiển website của Việt Nam Airlines, lấy cắp thông tin của 400.000 tài khoản khách hàng thuộc chương trình Bông sen vàng và phát tán lên mạng Hậu quả là hàng loạt chuyến bay bị trì hoãn nhiều giờ, hành khách hoang mang, nhiều ngân hàng khóa thẻ tín dụng khách hàng liên quan… Vụ việc cho thấy, phải luôn nâng cấp hệ thống, kiểm tra lỗ hổng bảo mật, phòng chống mã độc, kiểm soát mọi hoạt động bất thường của hệ thống mạng để đối phó hiệu quả với hoạt động gián điệp mạng Vấn đề an ninh mạng không chỉ đơn thuần ảnh hưởng đến hạ tầng công nghệ thông tin mà còn ảnh hưởng tới mọi mặt hoạt động của tổ chức

Về mặt lý luận của quản trị an ninh mạng, cùng với sự phát triển của mạng Internet tại Việt Nam, việc nghiên cứu về phòng chống các hoạt động gián điệp mạng đã được một

số công ty an ninh mạng và tổ chức tiến hành Tuy nhiên, những công trình nghiên cứu này tập trung đề cập sâu về khía cạnh kỹ thuật của quản trị mạng Dưới góc độ của “An ninh doanh nghiệp và An ninh phi truyền thống”, chưa có công trình khoa học nào nghiên cứu một cách có hệ thống, toàn diện và đầy đủ về cơ sở lý luận hoạt động gián điệp mạng, về pháp luật, thực tiễn và giải pháp phòng chống hoạt động gián điệp mạng tại các doanh nghiệp lớn Việt Nam

Từ những vấn đề nêu trên và thực tiễn hiện nay cho thấy:

- Trên không gian mạng, bước vào kỷ nguyên của xu hướng vạn vật kết nối (IoT), thông tin là tài sản quan trọng nhất Các xung đột, mâu thuẫn sẽ phát sinh từ việc tranh chấp, chiếm đoạt, phá hoại thứ tài sản này Doanh nghiệp hay cá nhân hay quốc gia sở hữu đều phải chủ động bảo vệ nó

- Sự phát triển nhanh chóng của khoa học công nghệ cũng tạo điều kiện sinh ra những nguy cơ mới, phương thức hoạt động gián điệp mới Các nước lớn và các tổ chức lớn trên thế giới đều đã nhận thức và có những biện pháp đối phó với vấn đề này Nếu không chủ động sớm phát hiện và phòng ngừa những nguy cơ an ninh mạng từ hoạt động gián điệp mạng ở Việt Nam, thì trong tương lai gần hậu quả sẽ không thể lường hết được

- Hiện nay, Việt Nam còn chưa đầu tư đúng mức vào các công trình nghiên cứu và đánh giá về hoạt động gián điệp mạng dưới góc độ an ninh phi truyền thống, để từ đó có những nhìn nhận, đối sách và chiến lược đối phó phù hợp

- Nghiên cứu thực tiễn và bài học từ các cuộc khủng hoảng an ninh mạng lớn, tiêu biểu sẽ rút ra được lý luận và giải pháp đối phó với hoạt động gián điệp mạng cho các doanh nghiệp lớn, tổ chức Việt Nam trong tương lai

Có thể thấy, việc nghiên cứu một cách có hệ thống và cơ bản về lý luận và thực tiễn hoạt động gián điệp mạng ứng dụng các công nghệ mới tấn công doanh nghiệp lớn gây ra các vụ khủng hoảng an ninh mạng tiêu biểu dưới góc độ của an ninh phi truyền thống là rất cấp thiết Đó cũng là lý do tác giả quyết định lựa chọn đề tài: “Một số giải pháp ứng phó với các hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn tại Việt Nam” cho Luận văn thạc sỹ An ninh phi truyền thống của mình

2 Tổng quan tình hình nghiên cứu

2.1 Tình hình nghiên cứu trên thế giới

Cùng với sự phát triển của Internet, các giáo trình và tài liệu nghiên cứu chuyên khảo về an ninh thông tin, an ninh mạng rất nhiều, như là một chuyên ngành của công nghệ thông tin Thời gian gần đây, khi thiệt hại từ các vụ tấn công mạng gia tăng, nguy cơ của chiến tranh mạng ngày càng hiện hữu, có rất nhiều công trình nghiên cứu đã đề cập đến chủ đề này Các chính phủ đều coi trọng việc bảo vệ an ninh mạng và nghiên cứu chiến lược bảo vệ an ninh mạng quốc gia, tuy nhiên tài liệu công khai không nhiều Các công trình tác giả tìm hiểu tham khảo đề cập từng khía cạnh khác nhau về an ninh mạng, chiến tranh mạng, tuy nhiên ở đây chỉ xin nêu một số tài liệu chính được dùng tham khảo cho cơ

sở lý luận của luận văn:

- Tác phẩm Cyber War: The Next Threat to National Security and What to Do About It, nhà xuất bản Ecco; Reprint edition của tác giả Richard A Clarke và Robert K Knake, năm 2012 viết chi tiết về công nghệ, tin tặc cũng như các chiến lược an ninh trên không gian mạng Cuốn sách giải thích rõ ràng và thuyết phục chiến tranh mạng là gì, vũ khí mạng hoạt động thế nào, cách làm tổn thương một quốc gia cũng như các cá nhân trên môi trường internet của tội phạm mạng Đây là một trong những cuốn sách đầu tiên viết về cuộc chiến của tương lai - chiến tranh mạng và nêu rõ chúng ta đang ở trong tình trạng nguy hiểm như thế nào

- Cybersecurity and Cyberwar: What Everyone Needs to Know 1st Edition, nhà xuất bản Oxford University Press của tác giả P.W Singer và Allan Friedman, năm 2014 Đây cũng là một nghiên cứu rất hay về an ninh mạng và chiến tranh mạng Tác giả nghiên cứu thực tế diễn ra, phỏng vấn người trong cuộc, và có rất nhiều số liệu thống kê ấn tượng

để giúp làm sáng tỏ sự nguy hiểm, nguy hiểm thực sự của chiến tranh mạng

- Future Crimes: Inside the Digital Underground and the Battle for Our Connected World, nhà xuất bản Anchor, ấn phẩm New York Times and Wall Street Journal bestseller của tác giả Marc Goodman, năm 2016 Cuốn sách viết chi tiết cách phạm tội của tội phạm mạng, đi đến những lời khuyên cho từ các chính sách cao cấp, các tổ chức đến những người dùng cá nhân trong việc tự bảo vệ mình

- Nhiều tác phẩm nổi tiếng khác đề cập về mặt kỹ thuật an ninh mạng, an toàn thông tin như: Cuốn sách “Network sercurity essentials: application and standard” của tác giả William stallings, năm 2011; cuốn sách Principles of Computer Security CompTIA Security VincentNestle Second Edition của tác giả Gregory White Phd và Vm Arthur conklin Phd, năm 2011

- Về tính thực tiễn của đề tài, người viết có tham khảo các báo cáo tổng hợp, phân tích, thông tin tham khảo chuyên sâu về tình hình an ninh mạng và gián điệp mạng trên thế giới và tại Việt Nam của Chính phủ và Tổ chức tư vấn chính phủ các nước, của các tập đoàn an ninh mạng như BKAV, Kaspersky, Norton, McAfee…

2.2 Tình hình nghiên cứu ở Việt Nam

2.2.1 Về cơ sở lý luận

Phát triển CNTT, ứng dụng Internet để phát triển kinh tế, văn hóa, xã hội phải gắn liền với mục tiêu đảm bảo an toàn, an ninh mạng là một chủ trương lớn của Đảng, Nhà nước Từ khi chuẩn bị kết nối Internet vào hệ thống mạng của Việt Nam, Bộ Nội Vụ đã có quyết định số 848/1997/QĐ-BNV, ngày 23/10/1997 quy định về biện pháp và trang thiết bị kiểm tra, kiểm soát đảm bảo an ninh quốc gia trong hoạt động Internet Sau đó, Chính phủ

đã ban hành các quy định về quản lý, cung cấp dịch vụ Internet nhằm đảm bảo an toàn, an ninh thông tin trong tình hình mới Trên cơ sở đó, vấn đề an ninh mạng được quan tâm như

là một vấn đề an ninh doanh nghiệp, an ninh quốc gia Tuy nhiên, các công trình nghiên cứu cụ thể về vấn đề này trên góc nhìn của những nhà quản trị an ninh chưa có nhiều

- Tiêu biểu v ề lĩnh vực này có tác phẩm “Không gian mạng, tương lai và hành động” của Đại tướng, PGS.TS Trần Đại Quang do Nhà xuất bản Công an nhân dân xuất bản năm 2015 Quyển sách không chỉ trình bày những vấn đề chung liên quan đến vòng xoáy phát triển không gian mạng tại Việt Nam và thế giới; vấn đề bảo vệ chủ quyền và an ninh – lợi ích quốc gia trên không gian mạng; mà còn đề cập đến tương lai phát triển của miền lãnh thổ thứ 5 này Quyển sách phân tích các vấn đề trên không gian mạng, cũng như tác động của chúng đối với an ninh quốc gia Những lý luận này có thể sẽ trở thành định hướng quan trọng trong quá trình xây dựng năng lực làm chủ và bảo vệ toàn vẹn không gian mạng Đã đến lúc, không gian mạng được đặt đúng vị trí ưu tiên trong các chính sách

điều hành – quản lý của Chính phủ Lợi ích trên không gian mạng phải được xem là lợi ích quốc gia và được quan tâm đúng mực

- Năm 2011, Đại tá, PGS.TS Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao có tác phẩm “An toàn thông tin và công tác phòng chống tội phạm sử dụng công nghệ cao” do Nhà xuất bản Công an nhân dân xuất bản, đã

đề cập toàn diện về lý luận và thực tiễn về an toàn thông tin, các thủ đoạn tấn công mạng (trong đó có các thủ đoạn sử dụng phần mềm gián điệp của hacker và mã độc do Cơ quan đặc biệt của các chính phủ sử dụng), các biện pháp điều tra, xử lý và công tác phòng ngừa của các tổ chức, doanh nghiệp

- Năm 2012, Nhà xuất bản Công an nhân dân xuất bản 2 cuốn giáo trình đại học

“Phòng chống tội phạm sử dụng công nghệ cao” và “Phục hồi và phân tích dữ liệu điện tử” của Đại tá, PGS.TS Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm

sử dụng công nghệ cao chủ biên Năm 2015, Học viện An ninh nhân dân ban hành 2 cuốn giáo trình dành cho đào tạo chương trình cao học do Đại tá, PGS.TS Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao chủ biên là “Trinh sát tội phạm xâm phạm an ninh mạng” và “Điều tra tội phạm xâm phạm an ninh mạng”

Đây là 4 cuốn giáo trình đề cập tình hình, thủ đoạn tấn công mạng hiện nay, đặc biệt là vấn đề sử dụng mã độc để hoạt động gián điệp mạng trong khối doanh nghiệp cũng như cơ quan, tổ chức, là những công trình tham khảo lớn đối với đề tài

- Một công trình cũng có giá trị tham khảo lớn đối với đề tài nghiên cứu đó là cuốn sách “An ninh phi truyền thống: nguy cơ, thách thức, chủ trương và giải pháp đối phó ở Việt Nam”, nhà xuất bản Đại học quốc gia hà nội năm 2014 của Thượng tướng, TS Nguyễn Văn Hưởng Đây là cuốn sách chứa nhiều nội dung lý luận quan trọng và hiện đại

về an ninh phi truyền thống, các nguy cơ và giải pháp đối phó tại Việt Nam Trong đó có nổi bật vấn đề an ninh mạng và hoạt động gián điệp mạng

- Nhóm sách về an ninh mạng của các trường đại học có chuyên ngành công nghệ thông tin quản trị mạng

- Sách trắng thường niên về Công nghệ thông tin của Bộ thông tin và truyền thông

- Nhóm những công trình nghiên cứu về an ninh mạng, đánh giá kết quả và dự đoán

xu hướng từng năm của các tổ chức: Nhóm nghiên cứu BKAV, CMC, VNCERT, Cục an toàn thông tin Bộ thông tin truyền thông…

Ngoài ra, còn có nhiều công trình nghiên cứu đăng trên các tạp chí chuyên ngành

về Công nghệ thông tin và an ninh mạng đề cập về tình hình tấn công mạng hiện nay có sử dụng mã độc để lấy cắp thông tin

Như vậy, những công trình trên đã đóng góp nhiều quan điểm giá trị to lớn cho nghiên cứu hoạt động gián điệp mạng ở nhiều góc độ khác nhau Tuy nhiên, có lẽ còn chưa

có một công trình nào chuyên sâu về các vấn đề mang tính lý luận, thực tiễn và giải pháp

về các hoạt động gián điệp mạng sử dụng mã độc đối với các doanh nghiệp lớn ở Việt Nam hiện nay Những công trình này đã được tác giả nghiên cứu, phân tích để ứng dụng cho Đề tài Luận văn của mình

2.2.2 Về nghiên cứu đánh giá các cuộc khủng hoảng an ninh mạng

Các tạp chí chuyên ngành cũng đã đăng nhiều bài viết về các cuộc khủng hoảng an ninh mạng xảy ra trong những năm gần đây Sau các cuộc khủng hoảng an ninh mạng lớn, một số hội thảo và báo cáo của các tổ chức an ninh mạng trong nước cũng đi sâu phân tích vấn đề đã xảy ra, như một loạt các cuộc hội thảo diễn ra sau khủng hoảng Việt Nam Airlines Tuy nhiên, hướng tiếp cận của các tham luận thường thiên về yếu tố kỹ thuật, cảnh báo nguyên nhân, chưa nghiên cứu xâu chuỗi nhiều sự kiện gián điệp mạng xảy ra liên tiếp, để làm cơ sở đưa ra giải pháp, định hướng phòng chống các hoạt động gián điệp mạng tại các tổ chức, doanh nghiệp lớn Việt Nam trong giai đoạn tới

2.3 Một số nhận định về tình hình nghiên cứu

Nhìn chung, các bài viết và các cuốn sách nêu trên có mục đích và phạm vi nghiên cứu khác nhau, đã phân tích rất sâu dưới nhiều góc độ khác nhau về an ninh thông tin, an ninh mạng, chiến tranh mạng, gián điệp mạng…, song những thông tin tác giả được tiếp cận chưa có công trình nghiên cứu chuyên sâu về hoạt động gián điệp mạng tại các doanh nghiệp lớn Việt Nam, phân tích xâu chuỗi tính nghiêm trọng của xu hướng các cuộc khủng hoảng an ninh mạng trên thế giới, chi tiết các cuộc khủng hoảng an ninh mạng tại Việt Nam Qua khảo sát về tình hình nghiên cứu trong và ngoài nước, tác giả đánh giá như sau:

- Dưới góc độ kỹ thuật, công nghệ: các công trình khoa học nêu trên đã nghiên cứu

về lý luận an ninh mạng, các hình thức tấn công mạng, phương pháp phòng chống xâm phạm an ninh mạng, đưa ra các mô hình tấn công gián điệp mạng Đây là cơ sở quan trọng

để đưa ra lý luận và đánh giá các cuộc khủng hoảng an ninh mạng lớn tại Việt Nam, cũng như xu hướng phát triển của công nghệ mạng, phương thức tấn công của gián điệp mạng vào các công ty lớn trong tương lai

- Dưới góc độ quản lý an ninh: các công trình và bài viết đã nêu thực trạng và các vấn đề lý luận và thực tiễn về hoạt động gián điệp mạng tại các công ty, tổ chức lớn Tuy nhiên, theo người viết cần đi sâu hơn, làm rõ các khái niệm gián điệp mạng, xu hướng về

kỹ thuật, xã hội ảnh hưởng tới an toàn, ổn định và phát triển không gian mạng trước các nguy cơ hoạt động gián điệp mạng, thiệt hại của các cuộc khủng hoảng đối với các doanh

nghiệp dưới góc độ an ninh phi truyền thống Từ đó, đưa ra giải pháp, chính sách đối phó với những nguy cơ hoạt động gián điệp mạng tại công ty lớn Việt Nam hiện tại và trong tương lai

Như vậy, ở Việt Nam cho đến nay còn thiếu công trình nghiên cứu về “Một số giải pháp ứng phó với các hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn tại Việt Nam”

3 Mục đích và nhiệm vụ nghiên cứu

3.1 Mục đích nghiên cứu

Mục đích nghiên cứu của luận văn là làm rõ cơ sở lý luận, cơ sở thực tiễn và thực trạng của hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn Việt Nam, thông qua việc phân tích xu hướng phát triển của khủng hoảng an ninh mạng hiện nay và chi tiết một số cuộc khủng hoảng an ninh mạng lớn, tiêu biểu tại Việt Nam xảy ra trong 4 năm trở lại đây, từ đó đưa ra các xu hướng, bài học, quan điểm, yêu cầu và đề xuất giải pháp nhằm đối phó với hoạt động gián điệp mạng tại các doanh nghiệp lớn Việt Nam trong thời gian tới dưới góc độ của nhà quản trị an ninh phi truyền thống

3.2 Nhiệm vụ nghiên cứu

Để đạt mục đích nghiên cứu trên, luận văn có nhiệm vụ:

- Đưa ra hệ thống cơ sở lý luận cơ bản về an ninh mạng, hoạt động gián điệp mạng

sử dụng mã độc tấn công các doanh nghiệp Việt Nam, khủng hoảng an ninh mạng trên cơ

sở lý luận an ninh phi truyền thống

- Nghiên cứu thực tiễn bức tranh tổng quát khủng hoảng an ninh mạng trên thế giới và phân tích chi tiết một số cuộc khủng hoảng an ninh mạng lớn và tiêu biểu tại Việt Nam trong 4 năm trở lại đây; rút ra bài học về đảm bảo an toàn tài sản thông tin trước nguy cơ hoạt động gián điệp mạng tại các tổ chức với những đặc điểm và những tồn tại cần khắc phục

- Dự báo tình hình, đánh giá xu hướng của hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp trong thời gian tới và đề xuất các giải pháp đối phó hoạt động gián điệp mạng sử dụng mã độc tại các doanh nghiệp lớn Việt Nam hiện nay

4 Đối tượng và phạm vi nghiên cứu

4.1 Đối tượng nghiên cứu

Đối tượng nghiên cứu của Luận văn là những yếu tố bên trong cấu thành an ninh mạng, khủng hoảng an ninh mạng, hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn Việt Nam; các yếu tố bên trong lẫn bên ngoài tác động, gây ra các cuộc khủng hoảng an ninh mạng lớn và tiêu biểu tại Việt Nam trong 4 năm trở lại đây, cụ thể khủng hoảng VCCorp năm 2014, vụ giả mạo email của Thủ tướng phát tán mã độc tấn

công các doanh nghiệp năm 2015 và vụ tấn công bằng mã độc vào hệ thống mạng của 2 sân bay và lấy cắp dữ liệu của Việt Nam Airlines năm 2016

4.2 Phạm vi nghiên cứu

- Về thời gian: Tác giả tổng hợp các tài liệu về phương thức, thủ đoạn, công nghệ tấn công bằng mã độc, những thiệt hại, nguyên nhân và điều kiện phạm tội của một số cuộc khủng hoảng an ninh mạng lớn trên thế giới và phân tích chi tiết một số cuộc khủng hoảng

an ninh mạng tiêu biểu tại Việt Nam trong 4 năm trở lại đây (từ 1/1/2013 đến ngày 31/12/2016); kết hợp nghiên cứu các báo cáo, thống kê của các chuyên gia công nghệ, các

tổ chức an ninh mạng độc lập trên thế giới và trong nước, phân tích xu hướng phát triển kỹ thuật, công nghệ trong tương lai, từ đó rút ra xu hướng, khả năng hacker sử dụng công nghệ mới để tấn công mạng của doanh nghiệp Dưới góc nhìn quản trị an ninh phi truyền thống, tác giả nghiên cứu, đưa ra các quan điểm, kiến nghị và giải pháp ứng phó đối với hoạt động gián điệp mạng sử dụng mã độc và khủng hoảng an ninh mạng của doanh nghiệp lớn Việt Nam trong thời gian tới

- Về không gian: Hoạt động gián điệp mạng sử dụng mã độc ảnh hưởng đến tất cả các chủ thể tham gia không gian mạng như cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà nước, chính phủ… trên khắp thế giới Tuy nhiên, luận văn chỉ tập trung nghiên cứu bức tranh tổng quát khủng hoảng an ninh mạng trên thế giới và đi vào nghiên cứu, phân tích chi tiết các cuộc khủng hoảng an ninh mạng tiêu biểu của các công ty lớn tại Việt Nam

và giới hạn phạm vi không gian nghiên cứu của Đề tài vào hoạt động gián điệp mạng sử dụng mã độc tấn công các doanh nghiệp lớn Việt Nam

5 Phương pháp nghiên cứu

Để làm rõ các vấn đề nghiên cứu, luận văn vận dụng phương pháp luận của chủ nghĩa duy vật biện chứng, duy vật lịch sử của chủ nghĩa Mác – Lênin Đây là phương pháp luận khoa học được vận dụng nghiên cứu trong toàn bộ luận văn, để đánh giá khách quan khủng hoảng an ninh mạng do hoạt động gián điệp mạng sử dụng mã độc gây ra tại các doanh nghiệp Việt Nam

Tác giả cũng thống nhất sử dụng phương pháp tiếp cận khoa học liên ngành và khoa học về quản trị an ninh phi truyền thống để nghiên cứu luận văn (lấy yếu tố con người làm trung tâm) Các phương pháp nghiên cứu được sử dụng trong luận văn là phương pháp hệ thống, phương pháp phân tích và tổng hợp; thống kê dữ liệu cứng và dữ liệu mềm; so sánh; đánh giá định tính và đánh giá định lượng; nghiên cứu thực tiễn; nghiên cứu điển hình…

6 Dự kiến đóng góp của luận văn

Đây là một chủ đề lớn, hệ trọng mang tầm quốc gia và quốc tế, được coi là một trong những loại tội phạm xâm phạm an ninh phi truyền thống nguy hiểm nhất (hoạt động tấn công mạng luôn là tội phạm xuyên quốc gia, thường do nhóm đối tượng quốc tế tiến hành) Giới hạn ở một luận văn thạc sỹ, tác giả không có tham vọng và biết rằng luận văn chưa giải quyết được tất cả các vấn đề về hoạt động gián điệp mạng sử dụng mã độc đối với các tổ chức, doanh nghiệp Tuy nhiên, tác giả nỗ lực hết sức để có thể có những đóng góp mới về cách tiếp cận vấn đề, phương pháp phân tích và những quan điểm, định hướng đưa ra, làm cơ sở khoa học và cách nhìn nhận mới cho những nghiên cứu chuyên sâu hơn

về hoạt động gián điệp mạng trong tương lai

Những nội dung cơ bản của Luận văn gồm:

1 Làm rõ các khái niệm, đặc điểm của an ninh mạng, khủng hoảng an ninh mạng, hoạt động gián điệp mạng sử dụng mã độc

2 Tổng hợp và phân tích phương thức, thủ đoạn, công nghệ tấn công mạng doanh nghiệp bằng mã độc, đánh giá điều kiện, nguyên nhân khủng hoảng an ninh mạng về cơ sở

hạ tầng mạng, quy trình quản trị mạng và con người tham gia

3 Đưa ra dự báo về hoạt động gián điệp mạng sử dụng mã độc và một số giải pháp phòng chống hoạt động gián điệp mạng sử dụng mã độc tấn công các DNVN nói riêng và các tổ chức tại Việt Nam nói chung trong thời gian tới

4 Kết quả nghiên cứu đóng góp về lý luận cũng như thực tiễn vào việc đối phó hoạt động gián điệp mạng sử dụng mã độc tại các doanh nghiệp lớn Việt Nam hiện nay dưới góc độ quản trị an ninh phi truyền thống và làm tài liệu tham khảo cho sinh viên về an ninh phi truyền thống, cũng như một số chuyên ngành liên quan ở các trường đại học và làm tài liệu tham khảo cho công tác nghiên cứu và lập chính sách liên quan đến hoạt động gián điệp mạng tại Việt Nam Nếu điều kiện cho phép, tác giả sẽ tìm hiểu chuyên sâu để phát triển đề tài thành luận văn tiến sỹ

7 Bố cục của luận văn

Ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo và các phụ lục, nội dung luận văn được cấu trúc thành 03 chương:

Chương 1: Lý luận cơ bản về gián điệp mạng sử dụng mã độc

Chương 2: Thực trạng hoạt động gián điệp mạng sử dụng mã độc hiện nay

Chương 3: Nguyên nhân, xu hướng và một số giải pháp phòng chống gián điệp mạng sử dụng mã độc tấn công doanh nghiệp lớn Việt Nam

CHƯƠNG 1

LÝ LUẬN CƠ BẢN VỀ GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC

Chương 1 luận văn tập trung nghiên cứu làm rõ các khái niệm và nội hàm của an ninh mạng, khủng hoảng an ninh mạng, gián điệp mạng, gián điệp mạng sử dụng mã độc

và nhận thức cũng như hành động của các quốc gia trên thế giới về những nguy cơ tấn công mạng Đây là cơ sở lý luận quan trọng để chương 2 phân tích thực tiễn bức tranh khủng hoảng an ninh mạng diễn ra trên thế giới và tại Việt nam thời gian qua

1.1 Nhận thức chung về an ninh mạng

1.1.1 Khái niệm an ninh mạng

Các công trình nghiên cứu và các văn bản quy phạm pháp luật của Việt Nam chưa đưa ra định nghĩa cụ thể về an ninh mạng, mà chỉ có khái niệm an toàn thông tin mạng Tại Điều 3 Luật An toàn thông tin mạng năm 2015, Quốc hội khóa 13 giải thích từ ngữ an toàn

thông tin mạng và xâm phạm an toàn thông tin mạng Theo đó, an toàn thông tin mạng là

sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin 1 Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử

dụng, tiết lộ, gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin 2

Theo Đại tá, PGS TS Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao, tác giả Môn học Hệ Thống thông tin và An ninh thông tin trong chương trình MNS, có cùng quan điểm với Gasser, Morrie (1988) như sau:

An ninh mạng (Cybersecurity or IT security): là bảo vệ hệ thống thông tin (phần cứng, phần mềm, dữ liệu) trước các cuộc tấn công, cài mã độc để lấy cắp, phá hoại dữ liệu 3

Trên thế giới, khi tham chiếu một định nghĩa kỹ thuật hay sự hiểu biết về một chủ

đề liên quan đến An ninh thông tin, mọi người thường tìm đến thông tin từ các tổ chức như Viện tiêu chuẩn và Công nghệ quốc gia Hoa Kỳ (NIST-National Institute of Standards and Technology) hay Hiệp hội viễn thông quốc tế - Liên hiệp quốc (ITU-International Telecommunications Union)

Theo (UN) International Telecommunications Union (ITU): An ninh mạng là tập hợp các

công cụ, chính sách, khái niệm bảo mật, các biện pháp bảo vệ an ninh, các hướng dẫn, các cách tiếp cận quản trị rủi ro, các hành động, đào tạo, các cách làm tốt nhất, sự đảm bảo

1 Luật An toàn thông tin mạng năm 2015-Quốc hội khóa 13

2 Luật An toàn thông tin mạng năm 2015-Quốc hội khóa 13

3 Giáo trình Hệ thống thông tin và An ninh thông tin, khoa HSB Đại học Quốc gia Hà nội – Đại tá, PGS.TS Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao

và các công nghệ có thể được sử dụng để bảo vệ môi trường mạng, tài sản của người sử dụng và tổ chức Tài sản của người sử dụng và tổ chức bao gồm các thiết bị máy tính được kết nối, nhân sự, cơ sở hạ tầng, các ứng dụng, dịch vụ, hệ thống viễn thông và toàn bộ thông tin được truyền và/hoặc lưu trữ trong môi trường mạng An ninh mạng cố gắng đảm bảo việc đạt được và duy trì các đặc tính bảo mật cho tài sản của người dùng và tổ chức

để đối phó với các rủi ro bảo mật có liên quan trong môi trường không gian mạng Các mục tiêu an ninh chung bao gồm:

- Tính sẵn sàng,

- Tính toàn vẹn, có thể bao gồm tính xác thực và chống thoái thác,

- Tính bảo mật 4

Theo NIST (National Institute of Standards and Technology):

Định nghĩa cơ bản: Là hoạt động hoặc quy trình, khả năng hoặc năng lực, hoặc trạng thái mà nhờ đó hệ thống thông tin, truyền thông và các thông tin chứa trong hệ thống đó được bảo vệ khỏi bị hư hỏng, khỏi việc sử dụng, sửa đổi hoặc khai thác trái phép

Định nghĩa mở rộng: Là chiến lược, chính sách và các tiêu chuẩn liên quan đến an ninh và hoạt động trên không gian mạng, gồm toàn bộ các hành động làm giảm, làm giảm nhẹ khả năng xảy ra và làm giảm thiểu các nguy cơ; hoạt động hợp tác quốc tế, ứng phó

sự cố, chống đỡ, khắc phục, thay đổi chính sách và phục hồi hoạt động; gồm cả hoạt động của mạng máy tính, đảm bảo thông tin, thực thi pháp luật, ngoại giao, quân sự và các sứ mệnh tình báo có liên quan đến an ninh và ổn định của cơ sở hạ tầng thông tin và truyền thông toàn cầu 5

Có thể thấy, hiện nay còn nhiều định nghĩa khác nhau về an ninh mạng giữa các tổ chức trên thế giới Tuy nhiên, nội hàm chung của an ninh mạng là một quá trình liên tục, bao gồm những chính sách và hệ thống công nghệ, quản trị và người dùng, để đảm bảo tài sản thông tin trong môi trường kết nối mạng được bảo vệ an toàn trước mọi sự tấn công và rủi ro có thể xảy ra, gây tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống Phù hợp với mục đích của luận văn, tác giả chọn khái niệm của ITU sử dụng cho Luận văn

Với nội hàm an ninh phi truyền thống là an ninh của nhà nước, con người và doanh

nghiệp với cách tiếp cận lấy con người làm trung tâm, đảm bảo các mục tiêu chính là ổn

4 http://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx

5 CNSSI 4009, NIST SP 800-53 Rev 4, NIPP, DHS National Preparedness Goal; White House Cyberspace Policy Review, May 2009; http://niccs.us-cert.gov/glossary#cybersecurity

định và phát triển bền vững 6 cho chúng ta cái nhìn sâu sắc về bản chất an ninh phi truyền

thống của an ninh mạng Trong thời đại công nghệ kết nối vạn vật (IoT) và cuộc cách mạng công nghiệp 4.0 hiện nay, an ninh mạng là một trong những chủ đề an ninh phi truyền thống cấp bách nhất Nó đòi hỏi sự quan tâm và tập hợp toàn bộ sức mạnh và nguồn lực của cả cộng đồng để có những giải pháp tổng thể đảm bảo an ninh của toàn xã hội

1.1.2 Khủng hoảng an ninh mạng

Chúng ta đã có khái niệm an ninh mạng, để làm rõ khái niệm khủng hoảng an ninh mạng, trước hết, tác giả muốn làm rõ thêm về khái niệm khủng hoảng và quản trị khủng hoảng dưới góc nhìn quản trị an ninh phi truyền thống

Theo Harvard Business Review, khủng hoảng là một tình thế đã đạt tới giai đoạn

nguy hiểm, gay cấn, cần phải có sự can thiệp ấn tượng và bất thường để tránh hay để sửa chữa thiệt hại lớn 7

Theo PGS.TS Hoàng Đình Phi, khủng hoảng và rủi ro luôn đi cùng với nhau, rủi

ro ở mức độ cao thành các mối đe dọa và không quản trị tốt sẽ xảy ra khủng hoảng Trong

đó, cụ thể rủi ro đối với một cá nhân được hiểu là bất kỳ sự kiện, hành động, hay tác động nào có ảnh hưởng hay ngăn cản cá nhân đạt được các mong muốn hợp lệ Rủi ro đối với một tổ chức được hiểu là bất kỳ sự kiện hay hành động nào có tác động hoặc ngăn cản doanh nghiệp trong việc đạt được các mục tiêu đã đề ra trong một khoảng thời gian nhất định, đặc biệt là các mục tiêu an toàn, ổn định và phát triển bền vững doanh nghiệp 8

Những điểm yếu của doanh nghiệp, những nguy cơ đe dọa đem lại những rủi ro cho doanh nghiệp Điểm yếu càng nghiêm trọng thì rủi ro càng cao, doanh nghiệp không khắc phục điểm yếu hoặc khắc phục không tốt sẽ là dẫn tới khủng hoảng

Rủi ro là những nguy cơ mà chúng ta cần tiến hành các nghiệp vụ quản trị phòng ngừa, khủng hoảng đã xảy ra, tức là đã có tổn thất và công việc của doanh nghiệp là phải khắc phục Thực tế, có rất nhiều tình huống rủi ro và khủng hoảng khó dự báo trước, đặc biệt là ở môi trường mạng khi mà rất nhiều rủi ro khó phát hiện và rất khó lượng hóa Nó cho thấy vai trò của giám đốc công nghệ và hội đồng quản trị trong công ty phải đủ vững mạnh để có thể:

- Kiểm soát được rủi ro,

- Ngăn chặn các khủng hoảng nội bộ và

- Giảm thiểu được tác động của những cuộc khủng hoảng bất ngờ đến từ môi trường bên ngoài

Quản trị rủi ro và khủng hoảng là một trong những nội dung quan trọng nhất của an ninh doanh nghiệp Rủi ro có thể trở thành khủng hoảng khi doanh nghiệp không có đủ năng lực quản trị các chiến lược và kế hoạch, không có chính sách nhân sự rõ ràng và thiếu năng lực quản trị nguồn nhân lực và nhân tài, không có đủ năng lực quản trị công nghệ và sáng tạo9

Như vậy, qua các khái niệm khủng hoảng và quan điểm về rủi ro, khủng hoảng và

an ninh doanh nghiệp, dưới góc độ quản trị an ninh phi truyền thống, có thể hiểu khủng

hoảng an ninh mạng của doanh nghiệp là việc không quản trị tốt những mối đe dọa, rủi ro

an ninh mạng, dẫn đến một tình thế đã đạt tới giai đoạn nguy hiểm, gây thiệt hại và ảnh hưởng đến các mục tiêu an toàn, ổn định và phát triển bền vững của doanh nghiệp, cần phải có sự can thiệp để khắc phục hay để sửa chữa thiệt hại lớn xảy ra

Đây cũng chính là cơ sở lý luận cho việc tiếp cận nghiên cứu thực trạng khủng hoảng an ninh mạng trong chương 2 và đề ra các nhóm giải pháp hạn chế rủi ro an ninh mạng do gián điệp mạng sử dụng mã độc gây ra cho các doanh nghiệp lớn Việt Nam trong

chương 3 của đề tài

1.1.3 Nhận thức và hành động các quốc gia trên thế giới về những nguy cơ tấn công mạng

Internet đã khởi đầu cho một cuộc cách mạng mới - cách mạng công nghệ thông tin

và truyền thông10, thay đổi cơ bản mọi mặt đời sống nhân loại, phương thức kinh doanh, quản lý và an ninh quốc gia Internet xâm nhập vào mọi mọi lĩnh vực thương mại, chính trị, quân sự, nghiên cứu, giáo dục, văn hóa, xã hội Không gian mạng đã trở thành một bộ phận cấu thành không thể thiếu và đóng vai trò rất quan trọng trong việc xây dựng xã hội thông tin và kinh tế tri thức, đem lại lợi ích to lớn cho sự phát triển của xã hội loài người Không một doanh nghiệp, tổ chức hay cá nhân nào có thể phát triển ngoài không gian này Thế kỷ 21 bắt đầu với chạy đua vào cuộc cách mạng công nghiệp lần thứ tư - Công nghiệp 4.0, là sự hợp nhất về mặt công nghệ, xóa bỏ ranh giới giữa các lĩnh vực vật lý, kỹ thuật số

và sinh học, kết hợp giữa hệ thống ảo và thực thể Nền tảng của công nghiệp 4.0 là kinh tế tri thức, trí tuệ nhân tạo và sự kết nối mạng CNTT toàn cầu, kỷ nguyên của không gian kết nối vạn vật “Internet of Things - IoT”, đồng thời cũng làm xuất hiện nguy cơ đe doạ về an toàn thông tin cho các cá nhân, tổ chức và các quốc gia Hàng loạt những vụ tấn công

9 Giáo trình Quản trị rủi ro và an ninh doanh nghiệp, khoa HSB trường Đại học Quốc gia Hà Nội của tác giả PGS.TS Hoàng Đình Phi

10 Tiền thân từ giải pháp xây dựng “Mạng ngân hà” của Viện công nghệ Massachusett, Mỹ năm 1962 và sự ra đời của mạng ARPAnet năm 1969

mạng lớn đã liên tiếp diễn ra khắp thế giới, như: vụ tấn công của Mỹ và Israel dùng Stuxnet11 và Flame12 tấn công Iran; tin tặc Trung Quốc và Philippines tấn công nhau sau những căng thẳng trên Biển Đông; Nga tấn công hệ thống của Georgia, Ukraine, Triều Tiên tấn công hệ thống của Hàn Quốc… Gần đây là các cuộc tấn công bằng phần mềm gián điệp vào Bộ quốc phòng Mỹ, vào Quốc hội Đức, hay như vụ tấn công vào hệ thống email của Đảng dân chủ Mỹ, phá hoại bầu cử tổng thống Mỹ năm 2016… Do đó, các quốc gia và các nhà lãnh đạo trên thế giới đều nhận thức sâu sắc về mức độ nghiêm trọng của nguy cơ an ninh mạng và hoạt động gián điệp mạng

Nước Mỹ là cường quốc và luôn tìm cách chi phối không gian Internet, cũng nhận thức sâu sắc mối nguy hiểm của vấn đề an ninh mạng Tổng thống Barack Obama từng phát biểu: “Đe dọa về an ninh mạng trở thành một trong các thách thức về kinh tế và an ninh quốc gia nguy hiểm nhất đối với nước Mỹ” và “Internet hiện giờ trở thành vũ khí hủy diệt hàng loạt”13 Từ năm 2013, Mỹ đã xác định các mối đe dọa từ không gian mạng là “đe dọa chiến lược số một đối với nước Mỹ”, xếp trên cả đe dọa về khủng bố14 và cho rằng

“Internet có thể trở thành công cụ làm sụp đổ nền chính trị, kinh tế của một quốc gia” và

“chế tạo vũ khí mạng rẻ hơn nhiều so với vũ khí thông thường, nhưng khả năng tác chiến tương đương với vũ khí hạt nhân” Trong thông điệp liên bang năm 2015, tổng thống Obama đã đưa vấn đề an ninh mạng doanh nghiệp lên tầm quan tâm hàng đầu: “Vấn đề đe dọa an ninh bảo mật hiện nay lan truyền mạnh, gây xâm hại tới hệ thống mạng của doanh nghiệp, làm ảnh hưởng đến tình hình kinh doanh cũng như làm thất thoát tài chính lợi nhuận của các doanh nghiệp, đặc biệt là trong lĩnh vực kinh doanh mua sắm trực tuyến và tai hại nhất là trong lĩnh vực tài chính, ngân hàng Vì vậy, chúng ta cần phải hết sức tập trung vào, đó là một cảnh báo cấp thiết và rất nguy cấp”15 Mỹ đã liên tục điều chỉnh các chính sách về an ninh mạng để thích ứng với tình hình: xây dựng Bộ chỉ huy Không gian mạng Mỹ và Văn phòng an ninh mạng thuộc Nhà Trắng năm 2009; Chiến lược không gian mạng quốc tế năm 2011; Trung tâm an ninh mạng quốc gia tinh nhuệ năm 2012; Chiến lược hệ thống phòng thủ tin cậy năm 2012; Hội đồng an ninh mạng năm 2013; Sắc lệnh Cải thiện an ninh mạng cơ sở hạ tầng xung yếu năm 2013; Kế hoạch Hành động an ninh mạng Quốc gia (CNAP) năm 2015; Trung tâm tích hợp thông tin tình báo về các mối đe dọa không gian mạng năm 2015 Cùng với việc đầu tư các chương trình phát triển vũ khí

11 Stuxnet là một sâu máy tính độc hại, được xác định lần đầu tiên trong năm 2010 nhưng được cho là phát triển ít nhất là từ năm 2005, mục tiêu tấn công hệ thống máy tính công nghiệp và gây thiệt hại đáng kể cho chương trình hạt nhân của Iran

12 Flame là phần mềm độc hại được phát hiện vào năm 2012, với mục đích sử dụng tấn công gián điệp mạng nhắm mục tiêu vào các nước Trung Đông

13 BBC, 30/5/2009, “Mỹ thành lập Cục An ninh mạng Internet”

14 Bộ quốc phòng Mỹ (2015), “Chiến lược Không gian mạng”

15 CNBC, Tổng thống Barack Obama phát biểu tại Hội nghị bàn tròn ở văn phòng Washington vào ngày 16/9/2015

mạng, các chương trình do thám và thu thập thông tin tình báo quy mô toàn cầu…, Mỹ còn xây dựng học thuyết về chiến tranh mạng phục vụ kế hoạch tác chiến và hoạch định chiến lược đảm bảo duy trì ưu thế vượt trội của Mỹ trên chiến trường mạng Sau khi Edward Snowden công khai các tài liệu mật năm 2013, các cường quốc công nghệ như Ấn Độ, Nhật Bản và EU… đều tăng cường xây dựng lực lượng tác chiến mạng Tháng 1 năm

2017, Giám đốc Tình báo quốc gia Mỹ cho biết, hiện nay hơn 30 nước trên thế giới đang phát triển các năng lực tấn công mạng16

Chủ tịch Trung Quốc Tập Cận Bình cũng khẳng định quan điểm về vấn đề an ninh mạng: “Không có an ninh mạng đồng nghĩa với không có an ninh quốc gia; Internet và an ninh thông tin đã trở thành thách thức mới đối với Trung Quốc, vì cả hai đều gắn liền với

an ninh quốc gia và ổn định xã hội” và đề ra mục tiêu “biến Trung Quốc thành cường quốc trên Không gian mạng”17 Trong 4 lĩnh vực “an ninh trọng yếu” được xác định năm 2015,

an ninh mạng đứng ở vị trí thứ 3, chỉ sau an ninh trên biển và không gian vũ trụ18 Trung Quốc cũng tăng cường công tác bảo đảm an ninh thông tin cùng với việc thành lập các lực lượng chuyên trách như: Tiểu tổ chỉ đạo an ninh mạng và thông tin hóa Trung ương; Trung tâm chiến tranh mạng thuộc Bộ tổng tham mưu; Đội quân xanh không gian mạng19; Trung tâm nghiên cứu tình báo chiến lược không gian mạng; xây dựng các lực lượng bán quân

sự, cộng đồng tin tặc đông đảo với quan điểm coi chiến tranh thông tin là chiến tranh nhân dân; thông qua Luật an ninh mạng mới năm 2016; “Chiến lược an ninh không gian mạng quốc gia” năm 201620

Tổng thống Nga Vladimir Putin cũng gắn vấn đề an toàn thông tin mạng với các khái niệm về an ninh và lợi ích quốc gia, cho rằng “trong điều kiện hiện nay, sức sát thương của các cuộc tấn công thông tin có thể cao hơn bất kỳ loại vũ khí thông thường nào”21 Năm

2000, Nga đã ban hành học thuyết về an toàn thông tin mạng gồm 4 phần: phần đầu về nguồn gốc, các mối đe dọa an toàn thông tin; phần 2 về các phương pháp ứng phó và bảo vệ an toàn thông tin; phần 3 về vai trò, vị trí của nhà nước và phần 4 về thiết lập, tổ chức bảo vệ an toàn thông tin Nga thành lập một số đơn vị mới chống tội phạm mạng thuộc Bộ nội vụ năm 2012, đơn vị chống tội phạm mạng thuộc Bộ Quốc phòng năm 2014; Trung tâm điều phối quốc gia

về sự cố máy tính của Cơ quan an ninh LB Nga năm 2015; Trung tâm “Anti-hacker” phát hiện,

16 Vietnam+, 7/1/2017, Tình báo Mỹ cảnh báo hơn 30 nước phát triển năng lực tấn công mạng

17 Phát biểu của Chủ tịch Tập Cận Bình tại hội nghị thành lập Tiểu tổ Lãnh đạo An ninh mạng và Thông tin hóa Trung ương ở Bắc Kinh ngày 27/02/2014

18 Bộ quốc phòng Trung Quốc, 26/5/2015, Sách trắng Quốc phòng 2014

19 Thông tin này được Trung Quốc đưa ra 5/2011, sau khi có thông tin cho rằng nước này thành lập “đội quân hacker” (hacker army)

20 Tạp chí công sản, 6/4/2017, Chiến lược An ninh không gian mạng quốc gia Trung Quốc: Từ góc nhìn của giới chuyên gia

21 Phát biểu của Tổng thống V.Putin tại hội nghị Hội đồng An ninh Liên bang Nga năm 2013, khi ông tán thành việc thành lập lực lượng tác chiến mạng

cảnh báo và ngăn chặn các hoạt động phá hoại máy tính (KSPKA) thuộc tập đoàn ROSTEX năm 2016 với nhiệm vụ theo dõi và ngăn chặn các cuộc tấn công vào hệ thống máy tính của các tập đoàn sản xuất vũ khí quân sự…22

Từ đó cho thấy, các nước khác trên thế giới đều đã nhận thức an ninh mạng là một vấn đề tối quan trọng và việc tăng cường an ninh mạng đã trở thành xu thế của thế giới, được đặc biệt quan tâm và được cụ thể hóa thành các chiến lược an ninh mạng hoặc các đạo luật tương tự

Nghiên cứu các quan điểm và hành động của các quốc gia trên thế giới cho thấy rõ bức tranh an ninh mạng thế giới sẽ ngày một phức tạp Đây chính là một trong các nguyên nhân quan trọng của các cuộc khủng hoảng an ninh mạng đang diễn ra và là một trong các nhân tố quan trọng nhất quyết định xu hướng phát triển của hoạt động gián điệp mạng, những nội dung nghiên cứu các chương tiếp theo của luận văn Nhìn từ tổ chức cung cấp nguồn tài chính để nuôi dưỡng những hoạt động gián điệp mạng quy mô lớn không thể khác ngoài các chính phủ Do đó, có thể thấy các quan điểm và hành động này đóng vai trò quyết định đối với xu hướng tấn công gián điệp mạng có chủ đích và cũng là nền tảng gây

ra nguy cơ chiến tranh trên không gian mạng trong tương lai không xa

1.2 Lý luận chung về gián điệp mạng sử dụng mã độc

1.2.1 Lý luận về gián điệp mạng

Hoạt động gián điệp mạng là một trong những vấn đề quốc tế lớn hiện nay Các nhà khoa học đang còn có nhiều tranh cãi về một định nghĩa với đầy đủ những yếu tố nội hàm cấu thành khái niệm gián điệp mạng Tính chất của các hoạt động gián điệp mạng thường

là bí mật, nặc danh, che dấu nguồn gốc, đằng sau hậu trường Nhiều quốc gia và tổ chức quốc tế đã có những định nghĩa riêng, nhưng vẫn chưa thống nhất về nội hàm của khái niệm gián điệp mạng

Theo Michael N Schmitt, ấn bản Đại học Cambridge: Gián điệp mạng là "hành

động sử dụng khả năng trên không gian mạng để thực hiện những hành vi lén lút hoặc giả mạo nhằm thu thập (hoặc cố gắng thu thập) thông tin với ý định truyền đạt cho bên đối lập” 23

Theo trung tâm an ninh mạng của Australia:

Gián điệp mạng là một hoạt động tấn công để thu thập thông tin bí mật từ mạng máy tính của một người dùng nào đó để sử dụng cho các mục đích trao đổi tình báo

Gián điệp mạng có thể có tác động đáng kể đến an ninh quốc gia và sự thịnh vượng kinh tế của Australia Các bên thù địch được nhà nước nước ngoài bảo trợ luôn nhắm đến các mạng lưới của chính phủ Australia, ngành công nghiệp và các cá nhân nhằm đạt được các yêu cầu về thông tin kinh tế, chính sách đối ngoại, quốc phòng và an ninh để từ đó giành được lợi thế 24

Theo Techopedia: Gián điệp mạng là một hình thức tội phạm mạng, trong đó các

hacker nhắm mục tiêu là các mạng máy tính để có thể truy cập vào thông tin mật hoặc thông tin khác có thể đem lại lợi nhuận hoặc lợi thế cho họ Gián điệp mạng là một quá trình liên tục theo thời gian để lấy được thông tin bảo mật, có thể gây hậu quả từ các thảm họa kinh tế tới khủng bố

Các nguy hại tiềm ẩn của gián điệp mạng không chỉ là gây ra những vi phạm an ninh nhà nước mà còn cả những việc làm lộ thông tin bí mật của các công ty Điều này sẽ trở thành tai họa cho các công ty nếu kẻ tấn công sử dụng thông tin bị đánh cắp để sản xuất sản phẩm sao chép và giành được thị phần 25

Theo GS.TS Trần Đại Quang: Tình báo mạng là phương thức tình báo mang đầy đủ đặc

điểm của phương thức tình báo truyền thống kết hợp với đặc trưng riêng của công nghệ thông tin, truyền thông, không phụ thuộc vào không gian, địa giới, hành chính, lãnh thổ

Gián điệp mạng là phương thức hoạt động gián điệp mới mà cơ quan đặc biệt nước ngoài sử dụng, hội đủ các mặt hoạt động của phương thức gián điệp truyền thống 26

Theo Bộ luật Hình sự 2015 QH13, quy định Tội gián điệp là:

- Hoạt động tình báo, phá hoại hoặc gây cơ sở để hoạt động tình báo, phá hoại chống nước Cộng hoà xã hội chủ nghĩa Việt Nam;

- Gây cơ sở để hoạt động tình báo, phá hoại theo sự chỉ đạo của nước ngoài; hoạt động thám báo, chỉ điểm, chứa chấp, dẫn đường hoặc thực hiện hành vi khác giúp người nước ngoài hoạt động tình báo, phá hoại;

- Cung cấp hoặc thu thập nhằm cung cấp bí mật Nhà nước cho nước ngoài; thu thập, cung cấp tin tức, tài liệu khác nhằm mục đích để nước ngoài sử dụng chống nước Cộng hoà xã hội chủ nghĩa Việt Nam 27

Như vậy, gián điệp mạng là phương thức sử dụng mạng máy tính, thiết bị kỹ thuật

số và các phần mềm chuyên dụng, bí mật thu thập thông tin của các doanh nghiệp, tổ chức, cộng đồng và quốc gia trên không gian mạng Cơ quan đặc biệt nước ngoài thường sử dụng

24 The Australian Cyber Security Centre Threat Report 2015

các công cụ là các phần mềm chuyên dụng và các phương thức tấn công xâm nhập mạng máy tính, thiết bị kỹ thuật số, phát tán phần mềm gián điệp nhằm phá hoại hoặc thu thập

dữ liệu trái phép Hoạt động gián điệp mạng với thủ đọan tấn công xâm nhập và phát tán phần mềm gián điệp để lấy cắp, phá hoại dữ liệu là hình thái mới của hoạt động gián điệp công nghiệp như:

- Sử dụng lỗ hổng Zeroday28 để phát tán mã độc,

- Sử dụng phương pháp Social Engeneering lừa đảo “chuyên nghiệp” để cài mã độc,

- Sử dụng mã độc là phần mềm gián điệp công nghiệp (như vụ Hacking Team, vụ Stuxnet),

- Tấn công có chủ đích APT (Advanced Persistant Threat) “dai dẳng, thân thiện” nhằm vào những người có máy tính chứa dữ liệu quan trọng

So với các hình thức tấn công mạng khác thì tấn công sử dụng phần mềm gián điệp

có một số đặc điểm sau, chính vì những đặc điểm này mà gián điệp mạng ngày càng được tội phạm sử dụng nhiều:

- Âm thầm, dễ thực hiện: có thể thực hiện mà không để lại dấu vết hoặc rất khó phát hiện, không thể hiện ra bên ngoài, nạn nhân bị kiểm soát các thông tin quan trọng mà không hề hay biết

- Khó phát hiện: Việc phát hiện bị tấn công bởi phần mềm gián điệp rất khó phát hiện ra, thậm chí với cả các chuyên gia an ninh mạng, những kẻ tấn công sẽ vận dụng mọi biện pháp “che dấu vết” để tránh bị phát hiện khi thực hiện cuộc tấn công Việc chống lại các cuộc tấn công sử dụng phần mềm gián điệp sẽ diễn biến ngày càng phức tạp vì bản chất đây là cuộc chiến giữa con người với con người

- Ảnh hưởng lớn: với những mã độc gián điệp vô cùng nhỏ bé, nhưng có thể gây ra những tác hại khôn lường

Thực tế, hoạt động Gián điệp mạng đang đóng một vai trò ngày càng quan trọng trong chiến tranh hiện đại Như việc Mỹ và Israel sử dụng tấn công gián điệp mạng Iran Nga sử dụng chiến thuật này để tấn công mạng vào Ukraine trước khi sử dụng phương pháp chiến tranh truyền thống…

Ngoài ra, gián điệp mạng không chỉ xảy ra trong các lĩnh vực chính trị, nó còn là công cụ được sử dụng để ăn cắp dữ liệu kinh tế và tài chính Trung Quốc hiện là quốc gia được đánh giá sử dụng rất nhiều gián điệp mạng để khai thác trái phép các thông tin bí mật nhằm đem lại những lợi ích kinh tế Theo báo cáo của chính phủ Hoa Kỳ, năng lượng, tài

28 Lỗ hổng Zeroday là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc chưa được khắc phục Hiện có cả một thị trường chợ đen giao dịch, mua bán lỗ hổng Zero-day nhộn nhịp trên mạng Internet, trung bình tuổi thọ của một lỗ hổng zero-day là 348 ngày trước khi nó được phát hiện ra hoặc vá lại, nhiều lỗ hổng thậm chí còn sống "thọ" hơn thế

chính, công nghệ thông tin, và các ngành công nghiệp ô tô… của Mỹ đều đã bị gián điệp mạng Trung Quốc tấn công và theo dõi Các ngành công nghiệp thương mại có liên kết với công nghệ quân sự và các tạp chí lớn như The New York Times, The Wall Street Journal

và The Washington Post cũng đã là mục tiêu nhắm tới của gián điệp mạng Trung Quốc

1.2.2 Gián điệp mạng sử dụng mã độc

1.2.2.1 Mã độc, lỗ hổng bảo mật và nguyên lý hoạt động của mã độc

Theo Viện tiêu chuẩn - công nghệ quốc gia Hoa kỳ (NIST-National Institute of

Standart and Technology): Mã độc (Malware), là một chương trình được chèn vào một

chương trình khác với mục đích phá hủy dữ liệu, xâm nhập hoặc phá hoại, hoặc bằng các cách khác làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu, ứng dụng hoặc hệ điều hành của hệ thống Mã độc là mối đe dọa bên ngoài phổ biến nhất đối với máy chủ, gây ra thiệt hại trên diện rộng, làm gián đoạn hệ thống và đòi hỏi những nỗ lực phục hồi lớn trong hầu hết các tổ chức 29

Các loại mã độc có thể xâm nhập và thực hiện các hành vi bất hợp pháp như trên nhờ vào việc khai thác các điểm yếu trong phần mềm cài trong thiết bị kỹ thuật số, gọi là lỗ hổng bảo mật Lỗ hổng bảo mật do lỗi lập trình cho phép hacker truy nhập trái phép vào máy tính, thiết bị số, tồn tại trong các hệ điều hành, trong các phần mềm nhúng, các ứng dụng như Windows, UNIX, Adobe, hệ điều hành của các thiết bị mạng (router, modem), các thiết bị IoT… Sở dĩ hacker lợi dụng được lỗ hổng bảo mật để tấn công chủ yếu do một

số nguyên nhân như:

- Lỗ hổng bảo mật đã không được phát hiện kịp thời, gọi là lỗi Zeroday;

- Lỗ hổng bảo mật đã được phát hiện nhưng chưa có bản vá, do công ty phát hành phần mềm chậm làm bản vá và đưa lên mạng cho người dùng tải về vá lỗi;

- Lỗ hổng bảo mật đã có bản vá, nhưng người dùng chưa update, vì dùng bản mềm không có bản quyền, không theo dõi để update, thậm chí không bao giờ update…

Do vậy, kịp thời vá lỗ hổng bảo mật là điều kiện vô cùng quan trọng để tránh bị hacker tấn công cài mã độc Người quản trị mạng và người sử dụng máy tính phải có kiến thức về bảo vệ an toàn thông tin, sử dụng các phần mềm chuyên dụng như Acunetix, Nexus để quét và tìm lỗ hổng bảo mật, sớm phát hiện và vá lỗ hổng của hệ điều hành và phần mềm của bên thứ 3 cung cấp Phần lớn những trường hợp bị nhiễm mã độc là do người dùng không có đủ kiến thức về an ninh mạng, không cảnh giác trước những thủ đoạn tấn công APT, truy cập vào các domain không an toàn, kết nối với USB và các thiết bị di

29 NIST: Guide to Malware Incident Prevention and Handling-Special Publication 800-83”, 11/2005; http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf

động bị nhiễm mã độc… Điểm yếu ở hạ tầng mạng máy tính, quy trình quản trị hệ thống

và yếu tố con người là những nguyên nhân chính gây mất an toàn thông tin, an ninh mạng

Các dấu hiê ̣u nhâ ̣n biết máy tính bi ̣ nhiễm malware

 Máy chạy chậm bất thường,

 Các ứng dụng hoạt động không bình thường hoặc không thể hoạt động được,

 Duyệt web chậm,

 Các Popup, trang quảng cáo tự động nhảy ra,

 Máy tính tự khởi động lại,

 Xuất hiện các cảnh báo lạ như “Your computer is infected”, hoặc xuất hiện cửa sổ

“Virus Alert”…

 Xuất hiện các file lạ (ở USB hay các file exe nhưng lại giống thư mục file doc, excel, pdf…)

 Không thể sử dụng được máy in,

 Có âm thanh lạ tự động phát ra,

 Màn hình Desktop bị thay đổi,

 Kích thước một số file của hệ thống tăng,

 Xuất hiện các kết nối lạ ra ngoài Interrnet…

Phân loa ̣i malware

 Theo phương thức lây lan

o Virus (File, boot)

Virus Boot: những virus lây vào Boot Sector Các Virus Boot sẽ được thi hành mỗi khi

máy bị nhiễm khởi động, trước cả thời điểm hệ điều hành được nạp lên

Vì virus boot được nạp lên RAM ngay khi khởi động máy, nên sẽ gặp các trường hợp sau:

 Các phần mềm Antivirus không thể diệt được Virus trên Firmware Điều này rất quan trọng đối với máy tính cũng như các thiết bị IoT;

 Dùng các phần mềm khôi phục Boot Sector nhưng khởi động lại vẫn thấy Boot Sector bị lây

Muốn diệt virus boot, nên boot máy tính từ các nguồn sạch khác như ổ CD, USB Sau

đó khôi phục boot sector rồi boot lại bằng ổ cứng và dùng các phần mềm diệt virus quét lại toàn bộ máy tính

Virus File: là virus lây vào những file chương trình, phổ biến nhất là trên hệ điều hành

Windows như các file có đuôi mở rộng com, exe, dll, pif, sys

 Virus File không tồn tại ở một file độc lập mà gắn vào chương trình khác trên máy,

 Cài lại win cũng không gỡ được hoàn toàn Virus File

31 Trung tâm phân tích kỹ thuật tập đoàn BKAV

Hình 1.2: Hệ thống bị nhiễm Virus file32

Virus đa hình, siêu đa hình: Là loại virus tự biến đổi “hình” sau mỗi lần lây để tránh

bị phát hiện và khó gỡ bỏ

Hình 1.3: Lây nhiễm Virus đa hình, siêu đa hình33

Virus Macro: là loại virus sử dụng ngôn ngữ macro để lây vào những file tài liệu như

các file trong bộ MS Office (word, excel, powerpoint), file cad của AutoCAD

 Khi mở file tài liệu lên, macro mới bắt đầu lây vào file tài liệu đó;

 Virus Macro có thể làm toàn bộ các file tài liệu bị lỗi, kích thước tăng liên tục,

ăn cắp các file này bằng cách gửi mail ra ngoài

2 Worm

Worm – sâu Internet: Worm là chương trình có khả năng lây lan bằng cách tự sao

chép chính nó (khác với virus là gắn vào đối tượng khác) Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là có tốc độ lây lan đáng sợ

32 Trung tâm phân tích kỹ thuật tập đoàn BKAV

33 Trung tâm phân tích kỹ thuật tập đoàn BKAV

34 Trung tâm phân tích kỹ thuật tập đoàn BKAV

Các hình thức lây lan phổ biến của worm

 Worm lây qua email,

 Worm lây lan lổ hổng phần mềm (Windows, MS office, Adobe…),

 Worm lây qua chat, mạng xã hội,

 Worm lây qua mạng LAN,

 Worm lây qua USB

- Worm lây qua Email

Email phát tán worm thường fake địa chỉ người gửi và địa chỉ trả lời thành các địa chỉ đáng tin cậy Tiêu đề và nội dung của email giả mạo đó rất kích thích người đọc và khuyến

35 Trung tâm phân tích kỹ thuật tập đoàn BKAV

36 Trung tâm phân tích kỹ thuật tập đoàn BKAV

khích người đọc mở file đính kèm lên File đính kèm thường là file Word, Pdf, Excel… bị khai thác lỗ hổng bảo mật cài mã độc, để khi người dùng kích vào mở file, thì mã độc sẽ chạy trên máy

- Worm lây qua các dịch vụ chatting

Loại worm này sẽ gửi một đoạn chat hấp dẫn và đính kèm 1 đường link, một file ảnh, file doc, clip… để lừa người dùng kích vào link hoặc file này, worm sẽ tự động được tải về máy và thực thi Khi máy tính bị nhiễm loại worm này, chúng sẽ tiếp tục phát gửi link độc đến tất cả các tài khoản có trong friend list của email trong máy tính

- Worm lây qua mạng xã hội

- Worm lây lan qua USB, ổ cứng di động: tự đô ̣ng cha ̣y khi cắm USB (Autorun.inf),

giả mạo icon (giả mạo thư mục, file ảnh, file văn bản), giả mạo shortcut ổ USB

37 Trung tâm phân tích kỹ thuật tập đoàn BKAV

38 Trung tâm phân tích kỹ thuật tập đoàn BKAV

- Worm AutoRun

Khi ta cắm USB vào máy và mở ổ USB đó lên, thì worm ngay lập tức được chạy, dù ta chưa mở bất kỳ một file nào trong ổ USB Loại worm này chỉ lây được trên các hệ điều hành từ Windows XP trở xuống Trên Windows XP, nếu mở USB bằng cây thư mục bên trái của Explorer, thì sẽ không kích hoạt tính năng autorun này

- Worm Fake Icon

Là file thực thi nhưng được giả mạo bằng icon của file word, excel, pdf… Chúng thường ẩn thư mục, file văn bản ở USB đi, rồi tạo ra 1 file thực thi có tên với icon giống với file bị ẩn đó làm người dùng nhầm tưởng đó là thư mục, văn bản thật Khi mở file giả mạo đó, worm sẽ mở lại file gốc, nên người dùng không biết máy mình đã bị nhiễm worm

- Worm Fake USB Drive

39 Trung tâm phân tích kỹ thuật tập đoàn BKAV

40 Trung tâm phân tích kỹ thuật tập đoàn BKAV

Hình 1.11: Worm Fake USB Drive41

Khi mở USB bị nhiễm Worm, người dùng thấy một ổ USB nữa và phải mở tiếp ổ này mới thấy được dữ liệu Thực chất, ổ USB thứ hai chính là một shortcut trỏ đến file worm

- Worm khai thác lỗ hổng phần mềm

Các phần mềm trên máy tính nhiều khi mắc những lỗi lập trình nghiêm trọng dẫn đến các mã độc có thể khai thác và cài malware lên máy Các lỗi thường gặp là của các phần mềm Windows, MS office, Adobe Flash, Java, Adobe… Nếu không cập nhật các bản

vá lỗi của các phần mềm, thì nguy cơ bị nhiễm các dòng malware này là cực kỳ lớn kể cả khi máy có cài Antivirus

41 Trung tâm phân tích kỹ thuật tập đoàn BKAV

Hình 1.12: Worm khai thác lỗ hổng phần mềm42

3 Trojan – Phần mềm gián điệp

Trojan là thường phần mềm gián điệp cao cấp, có điều khiển bằng C&C server, dùng để tấn công có chủ đích APT hoặc phát tán diện rộng Hacker thường cài Trojan vào Website, các phần mềm ứng dụng như Antivirus, Unikey, Adobe Flash Player…, để lừa người dùng tải về, làm lây lan trên diện rộng Thủ đoạn tấn công APT nhằm cài Trojan vào máy tính của một người có nhiều dữ liệu quan trọng để lấy cắp dữ liệu

Backdoor: Mở cổng kết nối trên máy nạn nhân để tin tă ̣c truy nhâ ̣p và điều khiển từ xa

42 Trung tâm phân tích kỹ thuật tập đoàn BKAV

43 Internet

Hình 1.14: Backdoor cài vào file flashplayer lừa người dùng tải về máy tính44

4 Mã độc tấn công DDOS-Botnet

Tấn công từ chối dịch vụ (DDOS-Botnet) là cách tấn công làm tắc nghẽn đường truyền, làm cho người sử dụng không thể truy cập, hoặc chậm, hoặc chập chờn khi kết nối đến vào trang web bị tấn công

Hacker cài mã độc vào phần mềm ứng dụng để người dùng tải về trên diện rộng hoặc dùng thủ đoạn gửi số lượng lớn email Phishing lừa đảo và vì vậy nhiều người bị nhiễm, tạo nên mạng máy tính ma – Botnet gồm hàng trăm nghìn đến hàng triệu máy tính

Mã độc trong những máy tính ma này liên tục kết nối lên C&C server để nhận lệnh tấn công lặp đi lặp lại vào một địa chỉ trang web đã định trước làm tắc nghẽn đường truyền Mỗi website có một dung lượng nhất định, băng thông (bandwidth) và tải (load: số lượng truy cập được xử lý đồng thời) nhất định, tùy thuộc vào gói dịch vụ và lưu lượng chịu tải của server Số lượng truy cập vào website càng nhiều, thì tải của server càng tăng và băng thông càng cạn, do vậy Server không thể cung cấp được các dịch vụ cho các yêu cầu của người dùng thông thường Lợi dụng điểm yếu này của hệ thống mạng, hacker sử dụng phương pháp tấn công từ chối dịch vụ (Denial of Service- DoS) hoặc dạng cải tiến là tấn công từ chối dịch vụ phân tán (Distributed Denial of Service-DDoS) theo mô hình sau:

5 Spyware

Spyware: là loại phần mềm chuyên thu thập dữ liệu từ các máy chủ, máy tính cá nhân, thiết bị số mà không có sự nhận biết hay cho phép của chủ máy Dữ liệu có thể là thông tin

về tài khoản, mật khẩu, thông tin cá nhân, doanh nghiệp, các tài liệu mật của chính phủ hay

bí mật công nghệ của các hãng sản xuất lớn…

46 Trung tâm phân tích kỹ thuật tập đoàn BKAV

47 Trung tâm phân tích kỹ thuật tập đoàn BKAV

Hình 1.18: Hình ảnh Fake AV48

8 Ransomeware

Khi máy tính bị nhiễm Ransomeware – mã độc tống tiền, mã độc sẽ tự động mã hoá các file ứng dụng quan trọng trên máy để người dùng không thể sử dụng được Kèm theo đó, là một thông báo rất chi tiết về cách liên hệ với đơn vị tấn công để trả tiền (thường qua Bitcoin) mua lại cách giải mã các file dữ liệu hoặc ứng dụng này

48 Trung tâm phân tích kỹ thuật tập đoàn BKAV

49 Trung tâm phân tích kỹ thuật tập đoàn BKAV