Tấn công mạng quy mô quốc gia tăng gấp đôi, nguy cơ xảy ra “chiến tranh mạng cao cấp”
An toàn thông tin - Ngày đăng : 08:45, 14/04/2021
Nguy cơ xảy ra cuộc chiến trang mạng phức tạp nhất kể từ khi mạng Internet ra đời
Theo Mike McGuire, giảng viên cao cấp về tội phạm học của Đại học Surrey (Anh), các cuộc tấn công mạng do nhà nước hậu thuẫn đang trở nên phổ biến, đa dạng và công khai hơn bao giờ hết. Số lượng các vụ tấn công tầm cỡ quốc gia như thế này đã tăng gấp đôi từ năm 2017 - 2020, đẩy thế giới tiến gần hơn đến thời điểm của một cuộc chiến tranh mạng phức tạp hơn bất kỳ lúc nào kể từ khi mạng Internet ra đời.
Trong nghiên cứu mới được hãng HP tài trợ, McGuire đã phân tích hơn 200 sự cố an ninh mạng liên quan đến hoạt động quốc gia-nhà nước trong 11 năm qua, dựa trên bản thu thập những thông tin tình báo trực tiếp của những người cung cấp thông tin hoạt động trên web đen (dark web) và tham khảo ý kiến của một hội đồng của các chuyên gia trong lĩnh vực an ninh mạng, tình báo, chính phủ, thực thi pháp luật và học thuật. Báo cáo cho thấy một bức tranh căng thẳng leo thang, trong đó có các cấu trúc tấn công mạng phức tạp, liên quan chặt chẽ với nền kinh tế tội phạm mạng ngầm, cái gọi là "Web of Profit".
Một trong số những phát hiện đáng lưu tâm của nghiên cứu là sự căng thẳng đáng lo ngại đang leo thang trong quan hệ quốc tế năm 2020. Phần lớn những người tham gia nghiên cứu cho rằng đại dịch Covid-19 đã chứng tỏ một cơ hội đáng kể để các tổ chức tin tặc quốc gia khai thác. Ngoài ra, các quốc gia đang cố gắng thu thập dữ liệu sở hữu trí tuệ (IP) liên quan đến Covid-19, chẳng hạn như thông tin về vắc xin.
McGuire cho biết: “Khi chúng ta xem xét hoạt động của các quốc gia qua lăng kính của báo cáo này, không có gì ngạc nhiên khi thấy một sự căng thẳng như vậy đã leo thang trong năm qua”.
Các quốc gia đang dành thời gian và nguồn lực đáng kể để đạt những lợi thế chiến lược về mạng nhằm thúc đẩy lợi ích riêng, thúc đẩy khả năng thu thập thông tin tình báo và sức mạnh quân sự thông qua gián điệp, phá rối và trộm cắp. “Những nỗ lực thu thập dữ liệu IP về vaccine và các cuộc tấn công chống lại chuỗi cung ứng phần mềm cho thấy các quốc gia dành thời gian nhằm đạt được các mục tiêu chiến lược của họ”, McGuire nói.
Nghiên cứu cũng xác định các cuộc tấn công chuỗi cung ứng có sự gia tăng mạnh, mức tăng 78% vào năm 2019 - với gần 30 cuộc tấn công chuỗi cung ứng khác nhau diễn ra từ năm 2017 - 2020 có thể có mối liên hệ với các tác nhân quốc gia-nhà nước - sự cố SolarWinds có thể được coi là một ví dụ điển hình.
Ngoài ra, hơn 40% các sự cố được phân tích có một số yếu tố lai tạp, nghĩa là chúng vừa liên quan đến một cuộc tấn công vật lý vào tài sản, vừa liên quan đến cuộc tấn công kỹ thuật số - các cuộc tấn công vào cơ sở hạ tầng quan trọng của quốc gia (CNI) sẽ thuộc loại này.
Ian Pratt, người đứng đầu toàn cầu về bảo mật hệ thống cá nhân tại HP, cho biết: “Xung đột quy mô quốc gia thường được ẩn dấu - doanh nghiệp thường là nạn nhân phổ biến nhất trong các cuộc tấn công được phân tích.
“Cho dù doanh nghiệp là mục tiêu trực tiếp hay là bước đệm để tiếp cận các mục tiêu lớn hơn, các tổ chức thuộc mọi quy mô cần nhận thức rõ nguy cơ này. Khi phạm vi và mức độ tinh vi của các cuộc tấn công với sự chống lưng của cấp quốc gia-nhà nước tiếp tục gia tăng, điều quan trọng là các tổ chức phải đầu tư vào bảo mật để giúp họ vượt qua các mối đe dọa không ngừng phát triển này”.
Sự cần thiết của một “hiệp ước hòa bình mạng”
Nghiên cứu cho thấy rằng những chính phủ hoạt động “ác ý” trong không gian mạng ngày càng sử dụng các chiến thuật từng được bọn tội phạm có tổ chức thử nghiệm. Các tác nhân được chính phủ hậu thuẫn dường như cũng đang tích trữ các lỗ hổng zero-day và 10-15% doanh số của nhà cung cấp web đen (dark web) hiện dành cho những người mua ẩn danh hoặc các nhà môi giới cho các chính phủ.
Ở một khía cạnh khác, các công cụ mạng tấn công do các cơ quan chính phủ phát triển đang tiến vào thị trường chợ đen - nổi tiếng nhất là cách khai thác EternalBlue được sử dụng trong các cuộc tấn công WannaCry. Khoảng 1/5 các cuộc tấn công do chính phủ hậu thuẫn được phát hiện đều sử dụng vũ khí tùy chỉnh, chẳng hạn như phần mềm độc hại nhắm mục tiêu có thể được phát triển nội bộ, nhưng khoảng một nửa phần mềm độc hại đó liên quan đến các công cụ dễ mua, đơn giản được mua trên dark web.
McGuire nói: “Các nền kinh tế tội phạm mạng đang định hình đặc điểm của các cuộc xung đột giữa các quốc gia. Ngoài ra, còn có một “thế hệ vũ khí mạng thứ hai” đang được phát triển, nâng cao hơn nữa về sức mạnh tính toán, AI [trí tuệ nhân tạo] và tích hợp mạng / vật lý”.
“Các quốc gia cũng đang phát triển các chatbot được vũ khí hóa để đưa ra các thông điệp lừa đảo thuyết phục hơn, phản ứng với các sự kiện mới và gửi tin nhắn qua các trang mạng xã hội. Trong tương lai, chúng ta cũng có thể sẽ thấy deepfake được lợi dụng trên chiến trường kỹ thuật số, máy bay không người lái có khả năng làm gián đoạn liên lạc hoặc tham gia giám sát, các thiết bị điện toán lượng tử có khả năng phá vỡ hầu hết mọi hệ thống được mã hóa”.
Để xoa dịu căng thẳng và ngăn chặn các quốc gia bị lôi kéo vào các cuộc tấn công mạng thù địch ngày càng gia tăng, 70% hội đồng chuyên gia cho biết họ nghĩ cần có một số loại hiệp ước quốc tế. Đây không phải là một ý tưởng mới song ngày càng mạnh mẽ. 15% các chuyên gia an ninh mạng nghĩ rằng sẽ có một quy ước mạng như vậy được thống nhất vào thập kỷ này, 37% nói rằng nhiều khả năng hiệp ước quốc tế sẽ đến vào những năm 2030, và 30% nói rằng nó có thể sẽ không bao giờ xảy ra.
McGuire cho biết một hiệp ước hòa bình mạng sẽ phụ thuộc vào cả phạm vi và sự đồng thuận của các quốc gia. Ông nói: “Bất kỳ hiệp ước nào cũng cần nêu rõ các bên tham gia, phạm vi khu vực pháp lý liên quan và lĩnh vực hoạt động của hiệp ước đó”.
“Các quốc gia cũng phải đồng ý nguyên tắc hình thành bất kỳ hiệp ước mạng nào, chẳng hạn như giới hạn vũ khí. Nhưng những yếu tố này có thể khó xác định và đạt được - chỉ cần nhìn vào đề xuất gần đây về một hiệp ước tội phạm mạng được đưa lên Liên Hợp Quốc. Trong khi đề xuất được thông qua, 60 thành viên đã bỏ phiếu chống lại và 33 thành viên bỏ phiếu trắng. Thiếu sự đồng thuận quốc tế sẽ khiến không một hiệp ước mạng nào có thể thành công”.
Việt Nam vừa ngăn chặn một chiến dịch tấn công APT nguy hiểm nhắm vào các nước Trung Á, Đông Nam Á
Vào đầu tháng 4, trên không gian mạng xuất hiện nhiều thông tin về chiến dịch tấn công kéo dài nhiều tháng do nhóm APT Cycldek thực hiện để xâm nhập vào máy tính của các cơ quan chính phủ ở Việt Nam, các nước Trung Á và Thái Lan. Vào ngày 5/4/2021 Kaspersky đã đưa thông tin về chiến dịch tấn công này trên trang securelist.com.
Nhóm APT Cycldek còn có nhiều tên gọi khác là Goblin Panda, Cycldek, Hellsing, APT27, 1937CN, được phát hiện từ năm 2010. Nhóm này thường nhắm đến tấn công vào những mục tiêu thuộc lĩnh vực quốc phòng, năng lượng và chính phủ tại các nước Đông Nam Á như Lào, Philippines, Thái Lan, Việt Nam (mục tiêu chính là Lào và Việt Nam). Kể từ khi hoạt động đến nay, APT Cycldek đã thực hiện nhiều chiến dịch tấn công vào nhiều quốc gia trên thế giới và Việt Nam.
Ngoài những biện pháp xử lý của các doanh nghiệp ISP, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT, khuyến nghị các cơ quan, tổ chức, doanh nghiệp cần chủ động rà soát hệ thống thông tin của mình để phát hiện ngăn chặn và xử lý tận gốc.
Đặc biệt, khi phát hiện có dấu hiệu tấn công APT cần có đội ngũ chuyên gia có kinh nghiệm thực hiện điều tra, truy vết, loại bỏ các mã độc đã cài cắm sâu vào hệ thống.