Gabor Szappanos, nghiên cứu viên cao cấp của phòng thí nghiệm Sophos ở Hungary đã đánh giá mã độc và các chiến dịch tấn công APT của một số nhóm chuyên tấn công tinh vi vào từng phiên bản của Microsoft Office. Ông phát hiện rằng, không nhóm nào có khả năng chỉnh sửa cuộc tấn công đủ mức để lây nhiễm vào các phiên bản khác của bộ Office, mặc dù thậm chí về mặt lý thuyết, một số phiên bản Office có điểm yếu đối với cùng kiểu tấn công.
Trong báo cáo của Sophos, Szappanos mô tả cách khai thác điểm yếu phổ biến (CVE-2014-1761) nhằm vào chỉ một phiên bản của Microsoft Office cho dù thực tế có tới 18 biến thể khác nhau của bộ Office đã có điểm yếu bảo mật. Tấn công vào các phiên bản khác sẽ cần có điều chỉnh nhỏ trong mã độc tấn công gốc ban đầu nhưng Szappanos khám phá rằng, các nhóm tấn công này có hiểu biết rất hạn chế về mã nguồn của mã độc để có thể chỉnh sửa. Hình 1 là nghiên cứu trong quý IV/2014 của Sophos đối với các tấn công khai thác điểm yếu của Microsoft Office. Có thể nhận thấy, khai thác dựa trên văn bản đứng thứ 3 về mức độ phổ biến (4,6%)
Hình 1. Tỷ lệ khai thác các điểm yếu của Microsoft Office trong quý IV/2014
“Thật đáng ngạc nhiên là những cuộc tấn công APT mà chúng ta đã biết đều tỏ ra kém tinh vi hơn so với các cuộc tấn công của các nhóm tội phạm mạng thông thường khác” Szappanos nói.
Bản báo cáo đưa ra kết luận đáng chú ý: cho dù các nhóm tấn công APT được bao phủ bởi “ánh hào quang” về kỹ năng và mức độ phức tạp của kỹ thuật tấn công, thực tế thì họ chưa làm được như vậy. Các nhóm tấn công APT thiếu kỹ năng kiểm soát chất lượng mã độc. Nhiều cuộc tấn công chưa được kiểm thử kỹ càng và kẻ tấn công nhận ra mình đã thất bại khi những chức năng tấn công không thể hoạt động như mong muốn.
Những lập trình viên mã độc thông thường tỏ ra có nhiều kỹ năng khi chỉnh sửa mã nguồn. Đây chính là vấn đề đối với kẻ tấn công vì nói chung, APT được thiết kế để nhắm đến những mục tiêu cụ thể trong khi các mã độc thông thường chủ yếu để lây nhiễm cho số đông người dùng.
Rất may, Szappanos phát hiện thấy không có kẻ tấn công APT hay lập trình viên mã độc nào thể hiện là đủ kỹ năng để chỉnh sửa mã độc APT ban đầu tới mức đáng để đưa vào kết quả báo cáo phân tích này của Sophos.
Điểm kết luận cuối cùng rất quan trọng, báo cáo này cho thấy chỉ cần thực hiện quản lý điểm yếu bảo mật và phát triển các bản vá kịp thời là đủ để bảo vệ chống lại hầu hết các cuộc tấn công APT. Vì những kẻ tấn công APT thiếu khả năng chỉnh sửa mã độc tấn công nên chỉ cần đơn giản có ngay bản vá phần mềm chống lại tấn công ban đầu là đủ để bảo vệ hệ thống thông tin.
Hình 2. “Gia phả” dòng họ mã độc Cycoomer
Ngoài ra, Szappanos cảnh báo: “Cho dù thực tế hiện nay như vậy, chúng ta cũng không được phép đánh giá thấp tác giả viết các mã độc được đề cập đến trong báo cáo này. Họ phát triển các Trojan tinh vi (hình 2) và biết cách tung chúng thành công vào các tổ chức lớn. Thực tế tuy không hoàn toàn làm chủ được việc khai thác điểm yếu bảo mật, nhưng điều đó không có nghĩa là họ trở nên kém nguy hiểm hơn.”
(Theo CSOonline.com)