Zero-day dưới dạng dịch vụ đang trở thành xu hướng mới của tội phạm mạng

Trên thực tế, với sự thành công của các các hoạt động ransomware dưới dạng dịch vụ (Ransomware-as-a-Service) trong thời gian vừa qua, tội phạm mạng cũng đã nhanh chóng mở rộng nhiều loại hình cũng như xu hướng mới và mô hình liên kết khai thác dưới dạng dịch vụ (Exploit-as-a-Service) có thể sẽ là hướng đi tiếp theo được tội phạm mạng triển khai mạnh mẽ thời gian tới.

Zero-day dưới dạng dịch vụ là gì?

Các lỗ hổng zero-day (lỗ hổng bảo mật của phần mềm hoặc phần cứng chưa được phát hiện) thường được sử dụng trong các hoạt động tấn công có nguồn lực tốt, được hậu thuẫn bởi các chính phủ. Tuy nhiên, nghiên cứu của các chuyên gia an ninh mạng của Digital Shadows mới đây cho biết họ đã phát hiện ra một loại hình hợp tác mới trong hệ sinh thái tội phạm mạng khi ngày càng có nhiều nhu cầu giao dịch và trao đổi trong các diễn đàn ngầm về zero-day.

Nghiên cứu cho biết, các lỗ hổng zero-day đã trở thành mặt hàng đắt nhất được quảng cáo trên các diễn đàn tội phạm mạng hoặc dark web (chợ đen dành cho tin tặc), với giá lên tới 10 triệu USD trong một số trường hợp, tùy thuộc vào bản chất của lỗ hổng và tiềm năng lợi nhuận của nó.

Sở dĩ các lỗ hổng và cách khai thác các lỗ hổng có thể đạt được mức giá cao trên các diễn đàn và web tối (dark web) vì việc tận dụng chúng có thể mang lại rất nhiều lợi nhuận cho tội phạm mạng. Điều đó đặc biệt đúng với các lỗ hổng zero-day mà các nhà nghiên cứu an ninh mạng chưa biết đến.

Theo Digital Shadows: "Thị trường này là một thị trường cực kỳ đắt đỏ và cạnh tranh. Nó thường là đặc quyền của các nhóm đe dọa do các nhà nước bảo trợ".

Thông thường, khi một nhà phát triển phần mềm phát hiện ra lỗ hổng zero-day và tạo ra một công cụ cho nó, sau đó sẽ bán đấu giá trên các diễn đàn tội phạm mạng với giá có thể lên tới vài triệu USD, nhưng không phải lúc nào cũng có người mua ngay. Đó là lý do mà mô hình khai thác lỗ hổng dưới dạng dịch vụ xuất hiện.

Trong trường hợp này, thay vì bán bản khai thác zero-day cho một đối tượng cụ thể hay một tổ chức nhất định, các nhà phát triển sẽ cho nhiều người thuê nhất có thể. 

Việc cho thuê zero-day có thể sẽ là một mô hình hấp dẫn vì cho phép các nhà phát triển đa dạng hóa nguồn thu trong khi chờ bán, đồng thời cũng là hình thức cho các bên thuê lại có cơ hội thử nghiệm, kiểm tra zero-day được đề xuất trước khi quyết định xem có nên mua để khai thác độc quyền hay không.

Trước đây, tin tặc thường ngần ngại mua các lỗ hổng zero-day một cách độc lập, vì chúng thường có giá khá cao so với các lỗ hổng bảo mật mạng khác được rao bán trên các diễn đàn dark web. Với hình thức mới này, tin tặc có thể thuê lại các lỗ hổng zero-day để thực hiện các cuộc tấn công mạng với chi phí phù hợp.

ZDaaS có thể làm gia tăng và đa dạng hóa các cuộc tấn công

Stefano De Blasi, nhà nghiên cứu về mối đe dọa của Digital Shadows, cho biết đây thực sự là vấn đề đáng lo ngại, vì nếu mô hình ZDaaS được sử dụng rộng rãi sẽ xuất hiện nhiều mối đe dọa có động cơ tài chính hơn với các công cụ nguy hiểm hơn.

Theo De Blasi, qua nghiên cứu về cộng đồng tội phạm mạng hoạt động xung quanh các lỗ hổng bảo mật, nhóm nghiên cứu đã khái quát được bức tranh về một môi trường bùng nổ, đa dạng và được tổ chức tốt của các mối đe dọa với các động cơ và khả năng khác nhau.

"Thị trường zero-day hấp dẫn do sự hiện diện của các tin tặc nổi tiếng, các nhà phát triển tinh vi và các nhà cung cấp có năng lực", De Blasi cho biết thêm.

Nếu mô hình ZDaaS thành công, nó có thể gây ra các vấn đề nghiêm trọng cho các nhóm bảo mật doanh nghiệp (DN) với nhiều mối đe dọa zero-day hơn. Tin tặc có thể tận dụng hiệu quả và nhanh chóng các lỗ hổng chưa được vá, vì trên thực tế rất nhiều lỗ hổng được vá khá chậm.

Chẳng hạn như, trong những tuần sau khi lỗ hổng Microsoft Exchange được tiết lộ vào đầu năm nay, tội phạm mạng đã vội vàng tận dụng chúng để thực hiện các cuộc tấn công trước khi các bản vá bảo mật được áp dụng rộng rãi.

Bán cho các nhóm hacker do các chính phủ hậu thuẫn vẫn là lựa chọn ưa thích của một số nhà phát triển zero-day hiện nay, nhưng sự quan tâm ngày càng tăng đối với ZDaaS trên các diễn đàn ngầm cho thấy một số nhóm tội phạm mạng đang cố gắng mở rộng tiếp cận một thị trường rộng rãi hơn.

"Sự trỗi dậy của mô hình kinh doanh khai thác dưới dạng dịch vụ khẳng định rằng môi trường tội phạm mạng đang phát triển không ngừng cả về mức độ tinh vi và chuyên nghiệp hóa. Một số nhóm tội phạm cao cấp hiện có thể cạnh tranh về mặt kỹ năng với những tổ chức được các chính phủ bảo trợ. Thậm chí, nhiều nhóm ransomware nổi tiếng đã tích lũy đủ nguồn lực tài chính để mua những zero-day được quảng cáo trên các diễn đàn bất hợp pháp và cạnh tranh với những người mua truyền thống giàu tiềm lực", De Blasi chia sẻ.

Thực tế này đang khiến cho việc quản lý bản vá hiệu quả trở thành một vấn đề thực sự đau đầu đối với các nhóm chuyên gia bảo mật, nhiều người trong số đó được De Blasi cho là "chưa chuẩn bị tốt" để chống lại "làn sóng thủy triều" của các lỗ hổng đang ngày càng phát triển mạnh mẽ.

Nâng cao các biện pháp ứng phó

Càng nhiều lỗ hổng bị khai thác, các tổ chức, DN càng cần đưa ra nhiều biện pháp ngăn chặn và phát hiện mối đe dọa.

Theo đó, các phương pháp an ninh mạng như áp dụng các bản cập nhật bảo mật quan trọng ngay khi chúng được phát hành có thể ngăn tội phạm mạng có thời gian dài để lợi dụng các lỗ hổng. Các DN, tổ chức cũng nên có kế hoạch về những giải pháp cần thực hiện nếu họ phát hiện ra mình đã bị xâm phạm.

Theo ông De Blasi, trong khi đánh giá, xếp hạng mức độ nghiêm trọng của lỗ hổng bảo mật, các tổ chức, DN cần xác định tầm quan trọng của các biện pháp ứng phó, các nhóm bảo mật cần có quyền truy cập vào thông tin tình báo phù hợp để ưu tiên các hành động đối phó hợp lý và lập kế hoạch cho chiến lược giảm thiểu mối đe dọa.

Các công cụ tình báo về mối đe dọa phải có chất lượng cao. Các công nghệ ngăn chặn mối đe dọa tiên tiến nên bao gồm các khả năng chính, như khả năng kiểm tra bộ xử lý trung tâm (CPU), mô phỏng và trích xuất mối đe dọa, phân tích DNA phần mềm độc hại, chống botnet… Do đó, DN, tổ chức nên chọn nhà cung cấp thông tin về mối đe dọa sử dụng các công nghệ hiện đại với cách tiếp cận hợp lý và có kinh nghiệm để có thể cung cấp dữ liệu hiệu quả và chính xác.

Đặc biệt, để đảm bảo có thể phản ứng tốt với các mối đe dọa zero-day, các DN, tổ chức hãy xem xét một nền tảng bảo mật thống nhất, cung cấp khả năng hiển thị và kiểm soát trên toàn bộ hệ sinh thái CNTT./.