Mã độc có xu hướng không dùng phần mềm trong máy tính để tấn công

Hội thảo về tài nguyên số trong khuôn khổ Internet Day.

Tại Hội thảo khoa học Tài nguyên số - Cơ hội và thách thức được tổ chức trong khuôn khổ Internet Day 2017 tại Hà Nội vào 22/11/2017, ông Nguyễn Minh Đức, CEO Công ty cổ phần CyRadar cho hay, xu hướng mã độc đang tấn công vào các hệ thống thông tin qua virus xâm nhập vào ổ cứng, thay vì dùng phần mềm để tấn công. Do đó các phần mềm diệt virus truyền thống sẽ khó tìm diệt virus theo cách thông thường.

Ông Đức cho hay, CyRada là công ty mới khởi nghiệp trong lĩnh vực an toàn thông tin, CyRada tập trung áp dụng công nghệ mới để giải các bài toán cũ. Và một trong những công nghệ mới đó là phân tích dữ liệu lớn. Big data được coi là tài nguyên số rất giá trị và được không ít diễn giả tại hội thảo ví như “dầu mỏ” hay “vàng đen”, tuy nhiên big data sẽ không là gì cả nếu không có sự phân tích. Chỉ có thể phân tích dữ liệu và sử dụng chúng một cách hiệu quả mới tạo thành sự khác biệt, nếu dữ liệu mà không được phân tích và sử dụng thì chỉ là một đống rác.

Các cuộc tấn công mạng trên thế giới đã xảy ra từ 30 năm nay và Việt Nam không nằm ngoài lề của các cuộc tấn công. Trên thực tế, nhưng cuộc tấn công với quy mô lớn như tấn công vào hệ thống của báo VietnamNet, Vietnamairlines, TIA, NIA, báo Dân Trí, kênh 14, hay VCCorp chỉ là các cuộc tấn công bề nổi, thực tế thì số lượng các cuộc tấn công mạng ở Việt Nam nhiều hơn rất nhiều.

Theo ông Nguyễn Minh Đức, thủ đoạn của hacker ngày càng tinh vi và luôn có sự thay đổi, do đó những giải pháp phòng chống xâm nhập truyền thống sẽ dễ bị qua mặt và hầu như rất ít tác dụng. Qua các cuộc phát hiện tấn công thì các chuyên gia bảo mật đã phân tích được một số thủ đoạn mới của hacker. Ví dụ, thời gian gần đây thủ đoạn tấn công bằng email diễn ra khá phổ biến, bọn chúng gửi email cho một vài nhân vật quan trọng trong cơ quan, nội dung giống như một email thông thường, khi email gửi đến việc con người có mở ra hay không phần mềm diệt virus sẽ không ngăn chặn được. Mà chỉ có cách ngăn chặn trước khi mail đến tay người nhận, nhưng hacker luôn thay đổi mã tấn công và mọi biện pháp ngăn chặn hầu như luôn thất bại vì hacker luôn vượt qua được.

Thông thường những email chứa virus khó phát hiện ra vì email không có file đính kèm mà nó có kèm một đường link, bằng cách này nó vượt qua được cơ chế kiểm duyệt mã độc ở “cửa ngõ” doanh nghiệp, khi người dùng bấm vào đường link để mở file khi đó file mã độc mới được mở ra. Sở dĩ file chứa mã độc này vượt qua cơ chế kiểm duyệt của các doanh nghiệp vì nó không phải file .doc, mà nó chỉ là một đoạn text. Khi người dùng bị lừa, mở email đó ra, virus xâm nhập vào máy tính nó sẽ kích hoạt lệnh thông qua một phần mềm của Microsoft và trở thành mã độc.

Ông Nguyễn Minh Đức phân tích về trường hợp VNA bị hacker tấn công vào hệ thống thông tin hồi tháng 7/2016.

Mã độc này các phần mềm diệt virus truyền thống không phát hiện được, bởi vì hacker tạo ra một file khi khởi động máy tính sẽ chạy dưới dạng một file ảnh, mã độc được thả vào máy tính nhưng không lưu ổ đĩa mà nằm ở trong RAM, do đó phần mềm diệt virus không tìm diệt được. Sau khi nằm ở trong ổ cứng máy tính nó ra lệnh cho mã độc lên một tên miền khác nữa, thậm chí lại chuyển lên một tên miền khác nữa. Các chuyên gia đã phát hiện hacker hoàn toàn dùng đám mây để tấn công, virus đã nằm trong RAM điều khiển và bọn chúng thích tấn công kiểu gì sẽ thả lệnh xuống.

Mã độc đang có xu hướng không dùng phần mềm trong máy tính tấn công (Fileless Malwware) và thực hiện các cuộc tấn công ngày càng tinh vi phức tạp khác nhau thông qua cloud. Thông qua những con virus nằm ẩn sâu trong ổ cứng của máy tính điều khiển. Đây là vấn đề rất đau đầu với các công ty làm phần mềm bảo vệ, vì khi bị tấn công người ta sẽ bối rối không hiểu bọn chúng tạo ra cách tấn công kiểu gì. Hacker luôn luôn đi trước các nhà viết phần mềm diệt virus. Bọn chúng chỉ sử dụng một mã độc một lần, khi tấn công tổ chức này bọn chúng dùng 1 loại virus, sau đó tấn công tổ chức khác bằng virus khác.

Ví dụ, Vietnamairlines bị tấn công vào tháng 7/2016, nhưng các chuyên gia sau đó phân tích mã độc đã nằm trong hệ thống của Vietnamairlines để ẩn mình từ năm 2014. Sau khi xâm nhập virus tìm cách nhảy từ máy này sang máy kia mà không ai biết, mặc dù có nhiều bất thường đã được phát hiện. Sau đó, hacker đã dùng trang web air.dcsvn.org để điều khiển và câu dữ liệu ra bên ngoài, đây là tên miền chưa bao giờ dùng để thực hiện cuộc tấn công.