WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Những cuộc tấn công mạng lớn nhất năm 2020
Đại dịch COVID-19 đang làm thay đổi thế giới, nhiều người chuyển sang làm việc, mua sắm, học tập từ xa. Điều này cho phép tội phạm mạng tiếp cận nhiều nạn nhân tiềm năng hơn bao giờ hết.
Nếu photobomb là kẻ chuyên phá bĩnh trong các bức ảnh thì khái niệm Zoombomb xuất hiện khi tin tặc truy cập vào một cuộc họp riêng tư hoặc lớp học trực tuyến trên ứng dụng Zoom, phát ngôn tục tĩu, kỳ thị chủng tộc hoặc đưa vào những hình ảnh khiêu dâm. Các nhóm tin tặc được chính phủ hậu thuẫn tiến hành các cuộc tấn công chống lại các tổ chức tham gia phòng chống đại dịch, bao gồm Tổ chức Y tế Thế giới và Trung tâm Kiểm soát và Phòng ngừa Dịch bệnh Mỹ, trong đó một số cuộc tấn công nhằm chính trị hóa đại dịch.
Ngay cả các cuộc tấn công mạng bình thường như lừa đảo qua email, tấn công phi kỹ thuật và lừa đảo chuyển khoản nhầm cũng mang xu hướng “đen tối” hơn khi tình hình kinh tế ngày càng ảm đạm do đại dịch gây ra.
Mark Adams, chuyên gia phân tích an ninh mạng cho biết: “Lợi dụng tâm lý sợ hãi của mọi người, tin tặc đưa ra các đề nghị cung cấp thiết bị y tế như nhiệt kế và khẩu trang với giá rẻ, các khoản vay lãi suất thấp và giả mạo email chính phủ. Những email dạng như bạn đang nợ X số tiền thuế và bạn sẽ bị bắt nếu không trả lời email này ngay hôm nay!"
Dưới đây là phân tích một số cuộc tấn công mạng lớn nhất năm 2020.
Cuộc tấn công số 1: Lừa đảo đơn xin trợ cấp thất nghiệp gia tăng trong đại dịch
Số người nộp đơn xin trợ cấp thất nghiệp tăng cao kỷ lục với gần 23 triệu đơn vào tháng 5/2020, ngay sau khi phần lớn các bang của Mỹ áp dụng lệnh phong tỏa để ngăn chặn sự lây lan của virus COVID-19. Hai tháng sau, FBI thông báo sự gia tăng đột biến các vụ lừa đảo hưởng trợ cấp thất nghiệp khi tin tặc đánh cắp thông tin nhận dạng cá nhân của người nộp thuế và mạo danh nạn nhân để nộp đơn xin trợ cấp.
"Lừa đảo thuế có xu hướng gia tăng trong mùa kê khai thuế hoặc vào thời điểm khủng hoảng, kẻ xấu lợi dụng đại dịch để đánh cắp tiền cũng như thông tin từ những người nộp thuế", Ủy viên Sở thuế vụ Chuck Rettig cho biết.
Tội phạm có thể đánh cắp thông tin người nộp thuế bằng nhiều cách như mua dữ liệu cá nhân bị đánh cắp trên dark web, gửi email lừa đảo, mạo danh cơ quan thuế vụ hoặc đại diện ngân hàng gọi điện thoại lừa đảo nạn nhân, truy cập dữ liệu bị rò rỉ từ các vụ xâm nhập dữ liệu hoặc xâm nhập máy tính trước đó.
Hàng năm, Sở Thuế vụ đều công bố một danh sách có tên Dirty Dozen liệt kê tất cả các hình thức lừa đảo, bao gồm liên quan đến lừa đảo thuế để khuyến cáo người nộp thuế nâng cao cảnh giác. Vào tháng 1, một công dân Mỹ bị phạt tù vì đã sử dụng thông tin bị rò rỉ từ một vụ xâm nhập dữ liệu bảng lương công ty để gian lận kê khai thuế trị giá 12 triệu USD.
Adams cho biết vì lý do an ninh quốc gia, các cơ quan chính phủ thường ít xử lý các vụ vi phạm dữ liệu hơn các công ty tư nhân.
Cuộc tấn công số 2: T-Mobile liên tiếp bị tấn công, làm lộ dữ liệu khách hàng
Tháng 12/2020, T-Mobile – một trong bốn nhà mạng lớn nhất của Mỹ thông báo đã bị tấn công. Đây là lần thứ tư trong ba năm qua công ty này bị tin tặc nhắm đến.
Theo Adams, các công ty bị tấn công liên tiếp do cơ sở hạ tầng an ninh mạng yếu kém thường chủ động từ bỏ các biện pháp bảo vệ bổ sung vì việc đóng các khoản tiền phạt do Ủy ban Thương mại Liên bang đưa ra còn ít tốn kém hơn. Không rõ T-Mobile có nằm trong số này hay không.
“Một số công ty, bao gồm cả ngân hàng, thường cân nhắc giữa chi phí và lợi ích. Trong một số trường hợp, chấp nhận bị tấn công sẽ tiết kiệm được chi phí hơn”, chuyên gia này cho biết.
Cuộc tấn công đầu tiên vào T-Mobile trong năm 2020 được xác nhận vào tháng 3, khi tội phạm mạng chiếm được quyền truy cập vào các tài khoản email của nhân viên và đánh cắp dữ liệu của nhân viên T-Mobile cũng như một số khách hàng của hãng. "Số an sinh xã hội, thông tin tài khoản và số nhận dạng chính phủ cấp" của một số người dùng bị đánh cắp, trong khi một số khác chỉ bị chiếm thông tin tài khoản.
Cuộc tấn công thứ hai theo công bố của Ủy ban Truyền thông Liên bang Mỹ là "thông tin mạng độc quyền của khách hàng" như số điện thoại, số đường dây liên kết với tài khoản và thông tin về các cuộc gọi được thực hiện. T-Mobile rất cẩn trọng khi đề cập phạm vi ảnh hưởng của vụ việc là 0,2% của 100 triệu khách hàng, tương đương với khoảng 200.000 người. Đánh cắp siêu dữ liệu khách hàng (thông tin về lịch sử giao dịch của khách hàng) không giúp tin tặc lấy cắp danh tính người dùng hoặc chiếm đoạt tiền từ tài khoản ngân hàng của họ nhưng tin tặc có thể sử dụng thông tin này cho một kế hoạch khác.
Ví dụ, tin tặc có thể thực hiện các cuộc tấn công phishing kết hợp lừa đảo qua điện thoại. Kỹ thuật tấn công phi kỹ thuật sẽ được khai thác để ép nạn nhân tiết lộ thông tin cá nhân của họ. Những chiêu trò này trở nên thuyết phục hơn khi tin tặc có thông tin chi tiết về nạn nhân như lịch sử giao dịch, từ đó khiến cuộc gọi lừa đảo rất giống cuộc gọi từ một đại diện trung tâm hỗ trợ hợp pháp.
Cuộc tấn công thứ 3: Tin tặc can thiệp vào các biện pháp phòng chống đại dịch COVID-19
Tháng 4/2020, tin tặc nhắm mục tiêu vào các quan chức cấp cao trong công tác phòng chống đại dịch trên toàn cầu. Tổ chức Y tế Thế giới WHO không bị tấn công nhưng mật khẩu của nhân viên đã bị rò rỉ qua các trang web khác. Nhiều cuộc tấn công qua email lừa nhân viên của WHO truy cập vào một liên kết độc hại trong email để tải phần mềm độc hại xuống thiết bị của họ.
Theo Bloomberg, người dùng của diễn đàn internet 4chan đã công bố hơn 2.000 mật khẩu được tuyên bố có liên kết với các tài khoản email của WHO. Thông tin chi tiết lan truyền đến Twitter và các trang mạng xã hội khác, nơi các nhóm chính trị cực hữu tuyên bố WHO đã bị tấn công nhằm làm suy yếu tính xác thực của các hướng dẫn y tế công cộng.
Chuyên gia Adams nhận định: “Chắc chắn có yếu tố chính trị trong nhiều cuộc tấn công mạng và đôi khi tấn công diễn ra để một bên đạt được lợi thế chính trị hoặc gửi thông điệp tới kẻ thù. Hoặc có thể chỉ là đặt kẻ thù vào thế phòng thủ để xem họ sẽ phản ứng như thế nào".
Ví dụ, một số tin tặc đã mạo danh WHO để gửi email lừa đảo kêu gọi mọi người quyên góp cho quỹ phản ứng COVID-19 giả mạo thay vì Quỹ Đoàn kết Đối phó Dịch COVID-19 thật.
Cuộc tấn công thứ 4: Vụ tấn công vào FireEye hé lộ hàng loạt cơ quan chính phủ Mỹ bị xâm nhập
Khi công ty an ninh mạng FireEye có trụ sở tại California phát hiện hơn 300 sản phẩm an ninh mạng độc quyền của hãng bị đánh cắp, hãng phát hiện ra một vụ xâm nhập lớn đã âm thầm diễn ra trong khoảng 9 tháng mà không hề bị phát hiện.
Khoảng hơn 250 cơ quan trực thuộc chính phủ Mỹ, bao gồm Bộ Tài chính, Bộ Năng lượng và thậm chí là Lầu Năm Góc bị ảnh hưởng bởi vụ việc.
Nhưng vụ xâm nhập không bắt nguồn từ FireEye mà từ công ty SolarWinds, chuyên cung cấp các phần mềm quản lý CNTT, bị tấn công. Một số khách hàng lớn của hãng bị xâm nhập, bao gồm các tập đoàn thuộc Fortune 500 như Microsoft, Intel, Deloitte và Cisco. Tin tặc đã thực hiện tấn công "chuỗi cung ứng" bằng cách xâm nhập vào hệ thống phòng thủ an ninh mạng của một công ty khiến tất cả khách hàng của công ty đó chịu ảnh hưởng bởi hiệu ứng domino.
Theo Reuters đưa tin vào tháng 12/2020, tin tặc cũng theo dõi các email nội bộ của Bộ Ngân khố và Bộ Thương mại Mỹ. Các quan chức chính phủ và các chuyên gia an ninh mạng Mỹ nhận định Cơ quan Tình báo Nước ngoài của Nga SVR đứng sau các vụ tấn công. Các nhà điều tra vẫn đang xâu chuỗi các chi tiết của vụ xâm nhập để xác định động cơ của tin tặc.
Có 2 nguyên nhân khiến các công ty phần mềm là mục tiêu hàng đầu của các cuộc tấn công mạng. Đầu tiên, các công ty này chịu áp lực rất lớn trong việc phát hành các bản cập nhật mới trước các đối thủ cạnh tranh. Điều này có thể đồng nghĩa với việc cắt giảm các biện pháp bảo vệ an ninh mạng.
Theo Adams, “Đây là điều đã cản trở ngành công nghiệp phần mềm nói chung trong 20 đến 30 năm qua. Nếu chậm trễ phát hành sản phẩm tiếp theo hoặc các bản cập nhật sẽ ảnh hưởng đến doanh thu”.
Thứ hai, tấn công một công ty phần mềm giúp tin tặc mở rộng phạm vi tấn công tới nhiều nạn nhân hơn là nhắm mục tiêu vào một công ty hoặc một tổ chức chính phủ. Khi một công ty phần mềm bị tấn công và hoạt động xâm nhập không bị phát hiện, tin tặc chỉ cần lây nhiễm bản cập nhật phần mềm hoặc bản vá mới để xâm nhập vào khách hàng của công ty. Khi công ty vô tình phát hành phần mềm bị nhiễm mã độc, tất cả khách hàng sẽ cài đặt phần mềm độc hại đó vào chính hệ thống của mình.
Ngay cả các cuộc tấn công mạng bình thường như lừa đảo qua email, tấn công phi kỹ thuật và lừa đảo chuyển khoản nhầm cũng mang xu hướng “đen tối” hơn khi tình hình kinh tế ngày càng ảm đạm do đại dịch gây ra.
Mark Adams, chuyên gia phân tích an ninh mạng cho biết: “Lợi dụng tâm lý sợ hãi của mọi người, tin tặc đưa ra các đề nghị cung cấp thiết bị y tế như nhiệt kế và khẩu trang với giá rẻ, các khoản vay lãi suất thấp và giả mạo email chính phủ. Những email dạng như bạn đang nợ X số tiền thuế và bạn sẽ bị bắt nếu không trả lời email này ngay hôm nay!"
Dưới đây là phân tích một số cuộc tấn công mạng lớn nhất năm 2020.
Cuộc tấn công số 1: Lừa đảo đơn xin trợ cấp thất nghiệp gia tăng trong đại dịch
Số người nộp đơn xin trợ cấp thất nghiệp tăng cao kỷ lục với gần 23 triệu đơn vào tháng 5/2020, ngay sau khi phần lớn các bang của Mỹ áp dụng lệnh phong tỏa để ngăn chặn sự lây lan của virus COVID-19. Hai tháng sau, FBI thông báo sự gia tăng đột biến các vụ lừa đảo hưởng trợ cấp thất nghiệp khi tin tặc đánh cắp thông tin nhận dạng cá nhân của người nộp thuế và mạo danh nạn nhân để nộp đơn xin trợ cấp.
"Lừa đảo thuế có xu hướng gia tăng trong mùa kê khai thuế hoặc vào thời điểm khủng hoảng, kẻ xấu lợi dụng đại dịch để đánh cắp tiền cũng như thông tin từ những người nộp thuế", Ủy viên Sở thuế vụ Chuck Rettig cho biết.
Tội phạm có thể đánh cắp thông tin người nộp thuế bằng nhiều cách như mua dữ liệu cá nhân bị đánh cắp trên dark web, gửi email lừa đảo, mạo danh cơ quan thuế vụ hoặc đại diện ngân hàng gọi điện thoại lừa đảo nạn nhân, truy cập dữ liệu bị rò rỉ từ các vụ xâm nhập dữ liệu hoặc xâm nhập máy tính trước đó.
Hàng năm, Sở Thuế vụ đều công bố một danh sách có tên Dirty Dozen liệt kê tất cả các hình thức lừa đảo, bao gồm liên quan đến lừa đảo thuế để khuyến cáo người nộp thuế nâng cao cảnh giác. Vào tháng 1, một công dân Mỹ bị phạt tù vì đã sử dụng thông tin bị rò rỉ từ một vụ xâm nhập dữ liệu bảng lương công ty để gian lận kê khai thuế trị giá 12 triệu USD.
Adams cho biết vì lý do an ninh quốc gia, các cơ quan chính phủ thường ít xử lý các vụ vi phạm dữ liệu hơn các công ty tư nhân.
Cuộc tấn công số 2: T-Mobile liên tiếp bị tấn công, làm lộ dữ liệu khách hàng
Tháng 12/2020, T-Mobile – một trong bốn nhà mạng lớn nhất của Mỹ thông báo đã bị tấn công. Đây là lần thứ tư trong ba năm qua công ty này bị tin tặc nhắm đến.
Theo Adams, các công ty bị tấn công liên tiếp do cơ sở hạ tầng an ninh mạng yếu kém thường chủ động từ bỏ các biện pháp bảo vệ bổ sung vì việc đóng các khoản tiền phạt do Ủy ban Thương mại Liên bang đưa ra còn ít tốn kém hơn. Không rõ T-Mobile có nằm trong số này hay không.
“Một số công ty, bao gồm cả ngân hàng, thường cân nhắc giữa chi phí và lợi ích. Trong một số trường hợp, chấp nhận bị tấn công sẽ tiết kiệm được chi phí hơn”, chuyên gia này cho biết.
Cuộc tấn công đầu tiên vào T-Mobile trong năm 2020 được xác nhận vào tháng 3, khi tội phạm mạng chiếm được quyền truy cập vào các tài khoản email của nhân viên và đánh cắp dữ liệu của nhân viên T-Mobile cũng như một số khách hàng của hãng. "Số an sinh xã hội, thông tin tài khoản và số nhận dạng chính phủ cấp" của một số người dùng bị đánh cắp, trong khi một số khác chỉ bị chiếm thông tin tài khoản.
Cuộc tấn công thứ hai theo công bố của Ủy ban Truyền thông Liên bang Mỹ là "thông tin mạng độc quyền của khách hàng" như số điện thoại, số đường dây liên kết với tài khoản và thông tin về các cuộc gọi được thực hiện. T-Mobile rất cẩn trọng khi đề cập phạm vi ảnh hưởng của vụ việc là 0,2% của 100 triệu khách hàng, tương đương với khoảng 200.000 người. Đánh cắp siêu dữ liệu khách hàng (thông tin về lịch sử giao dịch của khách hàng) không giúp tin tặc lấy cắp danh tính người dùng hoặc chiếm đoạt tiền từ tài khoản ngân hàng của họ nhưng tin tặc có thể sử dụng thông tin này cho một kế hoạch khác.
Ví dụ, tin tặc có thể thực hiện các cuộc tấn công phishing kết hợp lừa đảo qua điện thoại. Kỹ thuật tấn công phi kỹ thuật sẽ được khai thác để ép nạn nhân tiết lộ thông tin cá nhân của họ. Những chiêu trò này trở nên thuyết phục hơn khi tin tặc có thông tin chi tiết về nạn nhân như lịch sử giao dịch, từ đó khiến cuộc gọi lừa đảo rất giống cuộc gọi từ một đại diện trung tâm hỗ trợ hợp pháp.
Cuộc tấn công thứ 3: Tin tặc can thiệp vào các biện pháp phòng chống đại dịch COVID-19
Tháng 4/2020, tin tặc nhắm mục tiêu vào các quan chức cấp cao trong công tác phòng chống đại dịch trên toàn cầu. Tổ chức Y tế Thế giới WHO không bị tấn công nhưng mật khẩu của nhân viên đã bị rò rỉ qua các trang web khác. Nhiều cuộc tấn công qua email lừa nhân viên của WHO truy cập vào một liên kết độc hại trong email để tải phần mềm độc hại xuống thiết bị của họ.
Theo Bloomberg, người dùng của diễn đàn internet 4chan đã công bố hơn 2.000 mật khẩu được tuyên bố có liên kết với các tài khoản email của WHO. Thông tin chi tiết lan truyền đến Twitter và các trang mạng xã hội khác, nơi các nhóm chính trị cực hữu tuyên bố WHO đã bị tấn công nhằm làm suy yếu tính xác thực của các hướng dẫn y tế công cộng.
Chuyên gia Adams nhận định: “Chắc chắn có yếu tố chính trị trong nhiều cuộc tấn công mạng và đôi khi tấn công diễn ra để một bên đạt được lợi thế chính trị hoặc gửi thông điệp tới kẻ thù. Hoặc có thể chỉ là đặt kẻ thù vào thế phòng thủ để xem họ sẽ phản ứng như thế nào".
Ví dụ, một số tin tặc đã mạo danh WHO để gửi email lừa đảo kêu gọi mọi người quyên góp cho quỹ phản ứng COVID-19 giả mạo thay vì Quỹ Đoàn kết Đối phó Dịch COVID-19 thật.
Cuộc tấn công thứ 4: Vụ tấn công vào FireEye hé lộ hàng loạt cơ quan chính phủ Mỹ bị xâm nhập
Khi công ty an ninh mạng FireEye có trụ sở tại California phát hiện hơn 300 sản phẩm an ninh mạng độc quyền của hãng bị đánh cắp, hãng phát hiện ra một vụ xâm nhập lớn đã âm thầm diễn ra trong khoảng 9 tháng mà không hề bị phát hiện.
Khoảng hơn 250 cơ quan trực thuộc chính phủ Mỹ, bao gồm Bộ Tài chính, Bộ Năng lượng và thậm chí là Lầu Năm Góc bị ảnh hưởng bởi vụ việc.
Nhưng vụ xâm nhập không bắt nguồn từ FireEye mà từ công ty SolarWinds, chuyên cung cấp các phần mềm quản lý CNTT, bị tấn công. Một số khách hàng lớn của hãng bị xâm nhập, bao gồm các tập đoàn thuộc Fortune 500 như Microsoft, Intel, Deloitte và Cisco. Tin tặc đã thực hiện tấn công "chuỗi cung ứng" bằng cách xâm nhập vào hệ thống phòng thủ an ninh mạng của một công ty khiến tất cả khách hàng của công ty đó chịu ảnh hưởng bởi hiệu ứng domino.
Theo Reuters đưa tin vào tháng 12/2020, tin tặc cũng theo dõi các email nội bộ của Bộ Ngân khố và Bộ Thương mại Mỹ. Các quan chức chính phủ và các chuyên gia an ninh mạng Mỹ nhận định Cơ quan Tình báo Nước ngoài của Nga SVR đứng sau các vụ tấn công. Các nhà điều tra vẫn đang xâu chuỗi các chi tiết của vụ xâm nhập để xác định động cơ của tin tặc.
Có 2 nguyên nhân khiến các công ty phần mềm là mục tiêu hàng đầu của các cuộc tấn công mạng. Đầu tiên, các công ty này chịu áp lực rất lớn trong việc phát hành các bản cập nhật mới trước các đối thủ cạnh tranh. Điều này có thể đồng nghĩa với việc cắt giảm các biện pháp bảo vệ an ninh mạng.
Theo Adams, “Đây là điều đã cản trở ngành công nghiệp phần mềm nói chung trong 20 đến 30 năm qua. Nếu chậm trễ phát hành sản phẩm tiếp theo hoặc các bản cập nhật sẽ ảnh hưởng đến doanh thu”.
Thứ hai, tấn công một công ty phần mềm giúp tin tặc mở rộng phạm vi tấn công tới nhiều nạn nhân hơn là nhắm mục tiêu vào một công ty hoặc một tổ chức chính phủ. Khi một công ty phần mềm bị tấn công và hoạt động xâm nhập không bị phát hiện, tin tặc chỉ cần lây nhiễm bản cập nhật phần mềm hoặc bản vá mới để xâm nhập vào khách hàng của công ty. Khi công ty vô tình phát hành phần mềm bị nhiễm mã độc, tất cả khách hàng sẽ cài đặt phần mềm độc hại đó vào chính hệ thống của mình.
Theo The Hacker News