Theo các báo cáo mới đây của Fire Eye thì các cuộc tấn công thành công thường khai thác lỗ hổng zero-day và thường xuyên thay đổi các lĩnh vực tấn công và mã nhị phân để tránh bị phát hiện.
Theo một báo cáotừphòng thí nghiệmphần mềm độc hạiFireEyeIntelligencepháthànhngày 31 tháng 8 thì khoảng 80% doanhnghiệp đã bị tấn công vớihơn100ca nhiễm mớimỗi tuầntrong nửa đầunăm 2011. Nếucon số đókhông đủ cao thì báo cáo cũng chỉ ra đến 98,5% doanhnghiệpcó ít nhất 10ca nhiễmmột tuần.
Tác giả phần mềm độc hạicó xu hướngsửdụngchiến thuật “zero-day" năng động đểkhai thác lỗ hổngmà không aihaybiếtvà không phần mềmbảo vệ nào có thể chống lại. Mặc dù vậy, 94% mã nhị phânđộc hạiđang được"biến thể" hoặc sửa đổitrong vòng 24giờphát hành đểkhôngbịpháthiệnbởi các công cụbảomật. Những kẻ tấn côngcũng thường thay đổicác khu vực lưu trữphầnmềmđộchạitrong vòng vài giờ.Những kẻ phạm tội đang có xu hương dichuyểnnguồnphân phối của họrất nhanh chóng,"giống như một kẻ buôn ma túydi chuyểnđến mộtgóc phốkhác nhausau mỗi lầngiaodịch."
Các nhà nghiên cứu cũng phát hiện ra rằng những tên tội phạm này đang liên tục điều chỉnh, mã hóa, đóng gói lại và gây nhiễu các mã độc hại và bộ công cụ. Mặc dù có hàng ngàn hệ phần mềm độc hại đang được lưu hành nhưng các nhà nghiên cứu ước tính rằng những phần mềm rơi vào "top 50" đã tạo ra 80% các ca nhiễm độc thành công. Các cuộc tấn công đến từ khắp nơi trên thế giới và sử dụng các chiến thuật kỹ thuật xã hội được thiết kế để lừa ngay cả những người sử dụng "trình độ cao", các nhà nghiên cứu cho biết."Sở thú bùng nổcủacác file thực thiphần mềm độc hạicó thểđược quy chomộtsốlượngnhỏbộ công cụ cơ sở mã độc hại," – FireEye cho biết.
Phát hiện đáng lo ngạinhất trong tấtcảcác cuộc tấn côngtinh vi vàsốlượngcác mối đe dọađã được chứng minh thực tếrằnggần như tất cả, hoặc 99% của các mạng lướidoanh nghiệp hiện đang có lỗ hổng an ninh. FireEyecho biết mặc dùcácdoanhnghiệp đã chi tổng cộng tới20tỷ đôchobảo mật mỗi tuần.Trong thực tế,cácnhà nghiên cứuFireEyetínhtoánrằng các doanh nghiệptrung bìnhđãnhìnthấy450mối nguy hiểm lây nhiễm mỗi tuần.
Các nhà nghiên cứu cũng cho hay, các ca lây nhiễm đã vượt qua"cửa ngõ phòng thủtiêu chuẩn” chẳng hạn nhưtường lửa, vàthế hệ tiếp theo của tường lửa, IPS, phần mềm chống virus, email và các cổngbảo mật Web.
Công nghệ FireEyeđược triển khai như"lá chắn cuối cùng củamạng lướiphòng thủ", đằng sau tường lửa, hệ thống phòng chống xâm nhập, chống virus và các cổnganninhtruyền thống khác nhằm phát hiệnphần mềm độc hạitiên tiến, cáccuộctấncôngzero-dayvà các mối đe dọaliên tụctiến triển. MalwareFireEyeIntelligenceLab đã xemxéthàng trămhàng ngàntrườnghợpnhiễm độc được thu thậptừ các hệ thốngtriển khaitrong nửa đầunăm 2011để tạo ra cácbáocáo này.
"Các tội phạm tin học đã gần như đạthiệu quả 100% trong việcphá vỡcácphòng thủan ninhtruyền thống trongmọi tổ chức,ngành công nghiệp vớihiểu biết vềbảomậtan ninhlạc hậu", các nhà nghiên cứutrongphòngthínghiệmđã viết.
Các loại phầnmềmđộchạiphát triển nhanh nhấtlà thông qua việc giả mạochương trình chống virus, Trojandownloadervà thực thithông tinăn cắp. Chức năng chính củaTrojandownloaderlà để tảicácphần khác củaphầnmềmđộchạivàohệ thống bị xâm nhậpvàthườnglàmột trong nhữngphầnđầu tiên củaphầnmềmđộchạilây nhiễm sang cácmáytínhở nơi đầu tiên. Doanhnghiệpnên xem xétcácchương trìnhchống virus giả mạonhưphần mềm độc hại"cửa ngõ" vì khi cài đặt, chúng có thể khiến các phần mềm độc hạinghiêm trọng dễ dàng hơn trong việcăn cắp thông tinđểxâm nhập vàomạng, FireEye cho biết.
Theo Fire zEye thì những phần mềm độc hại ăn cắp dữ liệunhưZeus(Zbot), Papras(Snifula), Zegost, Multibanker, Coreflood, và Licatlà những phần mềm ăn cắpthôngtinhàngđầutrong quý IInăm 2011.
Cao Thắng