Website dịch vụ công: đích ngắm mới của hacker

Các nhà nghiên cứu tại Group-IB - những người chuyên tập trung vào việc ngăn chặn các cuộc tấn công mạng, đã phát hiện ra rằng: có hơn 40.000 nạn nhân của các cuộc tấn công lừa đảo để lấy cắp thông tin đăng nhập vào các tài khoản trực tuyến ở các dịch vụ công của các chính phủ trong năm qua. Cũng theo các nhà nghiên cứu này, các thông tin đăng nhập kia có thể đã được chúng bán trên các diễn đàn hacker ngầm, theo trang Bleeping Computer.

Tin tặc đang ngày càng tấn công mạng nhiều hơn vào các trang dịch vụ công của chính phủ các nước.

Cụ thể, trong số hơn 40.000 nạn nhân đó, có hơn một nửa đến từ Ý (tương ứng với khoảng 52%), tiếp theo là Ả Rập Saudi (với 22%) và Bồ Đào Nha (với 5%). Ngoài ra, nhiều người dùng cổng thông tin chính phủ ở các quốc gia khác cũng bị ảnh hưởng.

Đáng chú ý là, trong số các nạn nhân bị hack, có cả các nhân viên chính phủ và nhân viên quân đội có tài khoản trên các trang web chính phủ của các nước, như Pháp (gouv.fr), Thụy Sĩ (admin.ch), Hungary (gov.hu), Croatia (gov.hr), Ba Lan (gov.pl), Romania (gov.ro), và Bulgaria (government.bg).

Ngoài ra, thông tin đăng nhập vào các dịch vụ công đặc biệt, như Lực lượng Quốc phòng Israel (idf.il), Bộ Tài chính Georgia (mof.ge), Tổng cục Di trú Na Uy (udi.no), Bộ Ngoại giao Romania và Ý, hay trang web của Bộ Quốc phòng Ý (difesa.it), cũng bị các hacker xâm phạm.

Theo Group-IB, các tin tặc đã lấy được thông tin đăng nhập/mật khẩu của các nạn nhân này thông qua các email độc hại, được chúng gửi qua các "phần mềm gián điệp” nổi tiếng như Pony Formgrabber, Qbot (Qakbot),... và người dùng đã mắc bẫy.

Thủ đoạn chủ yếu của hacker là ngụy trang phần mềm độc hại dưới dạng tập tin đính kèm vào email gửi cho các nạn nhân. Khi nạn nhân mở tập tin đính kèm, phần mềm độc hại sẽ được chạy và bắt đầu tìm kiếm nhiều thông tin nhạy cảm trên hệ thống.

Trong một báo cáo của Group-IB, đã được chia sẻ với BleepingComputer, hãng bảo mật này nói rằng, dữ liệu đăng nhập trên các trang web của chính phủ ít phổ biến hơn so với các dữ liệu có trên các diễn đàn tin tặc ngầm, vì thế chúng không có giá trị tài chính ngay lập tức.

Tuy nhiên, đối với những kẻ tấn công chuyên nghiệp, những thông tin đăng nhập này vẫn là "một tài sản có giá trị", có thể cho phép chúng tiếp cận vào những thông tin khác sau khi được phân loại. Không chỉ vậy, nó (các thông tin bị hack) cũng có thể cho phép chúng xâm nhập vào các trang web của chính phủ cho các mục đích gián điệp.

"Ngay cả một tài khoản của nhân viên chính phủ bị xâm phạm cũng có thể dẫn đến việc đánh cắp bí mật thương mại hoặc nhà nước", các nhà nghiên cứu nói.

Ngay sau khi có thông tin, các nhóm ứng phó khẩn cấp máy tính (CERT) của các quốc gia bị ảnh hưởng như đã nói ở trên đã được thông báo về mối đe dọa này, để họ có những hành động kịp thời, nhằm giảm thiểu rủi ro trong hoạt động của quốc gia.