Lỗ hổng trong hệ thống quản lý - điều hành

• 6 bài học kinh nghiệm chống tấn công APT
• Việt Nam trước hiểm họa tấn công APT
• VNCERT công bố 4 mã độc cần ngăn chặn khẩn cấp sau vụ Vietnam Airlines bị hack
• Bùng nổ ransomware - mã độc tống tiền
• VNCERT: Cách kiểm tra và xóa tập tin chứa 4 mã độc

Như PC World Vietnam và các báo, trang tin đã đưa , vào chiều 29/7/2016, cảng hàng không Tân Sơn Nhất và Nội Bài bị hacker tấn công, và trang chủ của Vietnam Airlines (VNA) tại địa chỉ https://www.vietnamairlines.com cũng bị thay đổi giao diện (deface).

Ngoài ra, hacker cũng đã tung lên mạng khoảng 90MB dữ liệu, trong đó có danh sách hơn 400.000 tài khoản của các hội viên chương trình Bông sen vàng của VNA với đầy đủ thông tin liên quan.

Đến hơn 17 giờ chiều cùng ngày, trang web của VNA được khắc phục đã có thể truy cập lại bình thường.

Sáng 1/8, trong thông báo đăng trên trang chủ www.vietnamairlines.com, đại diện VNA khẳng định hãng đã phối hợp với các chuyên gia công nghệ thông tin của Cục An ninh Mạng (Bộ Công an), Cục an toàn thông tin và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT - Bộ TTTT), Viettel, FPT và các đối tác khác để giành lại quyền kiểm soát, khôi phục các chương trình bị tấn công, cũng như kiểm tra, rà soát các chương trình khác.

Cũng theo VNA, sự cố hôm 29/7 hoàn toàn không ảnh hưởng đến an toàn khai thác bay và hoạt động sản xuất kinh doanh chung của đơn vị.

“Đến 6 giờ ngày 1/8, các hệ thống CNTT chính của Vietnam Airlines đã hoàn tất quá trình kiểm tra và trở lại hoạt động bình thường”, thông báo của VNA ghi rõ.

Trong vụ việc này, cần nhìn nhận vai trò của các chuyên gia an ninh mạng cùng với đội ứng cứu khẩn cấp của VNISA trong việc tham gia xử lý khắc phục sự cố.

Bị cài mã độc từ… 2 năm trước

Cũng trong chiều ngày 1/8, Hiệp hội An toàn thông tin Việt Nam – VNISA phát đi thông cáo xác nhận cuộc tấn công vào hệ thống VNA là dạng t ấn công APT , có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29/7/2016.

Các chuyên gia bảo mật khẳng định có dấu hiệu cho thấy hệ thống tại VNA đã bị tin tặc xâm nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hôm 29/7 là hoàn toàn mới, được thiết kế riêng và đã vượt qua các công cụ giám sát an ninh thông thường.

Theo nguồn thạo tin của PC World Vietnam, vào khoảng 14 giờ ngày 29/7 đã có một máy tính tại cảnh hàng không TSN bị ảnh hưởng bởi sự cố mà theo mô tả là “khi logon thì thấy màn hình hiển thị nội dung nhạy cảm”, rồi sau đó từ 16 giờ là hàng loạt phương tiện đồng loạt bùng phát nội dung kích động.

Ngay sau khi nhận được yêu cầu trợ giúp từ VNA, các chuyên gia bảo mật từ một số đơn vị trong nước đã có mặt triển khai ngay việc xử lý sự cố.

Qua tìm hiểu và phân tích dữ liệu, các chuyên gia bảo mật đã tìm thấy và lấy được mẫu malware , đồng thời cũng phát hiện ra backdoor trên hệ thống. Mặc dù dấu vết để lại hiện trường cho thấy cuộc tấn công xuất phát từ Trung Quốc, nhưng điều này vẫn chưa đủ cơ sở khoa học để kết luận thủ phạm cũng như phương thức gây ra vụ tấn công nhằm vào VNA.

Một chuyên gia bảo mật chia sẻ với PC World Vietnam rằng hệ thống bảo vệ yếu nên đã bị hacker xuyên thủng để cài đặt malware. Ngoài ra cũng không thấy sự hiện diện bộ phận an ninh mạng ở đây.

Qua sự việc diễn ra có thể thấy rằng nếu thực sự hacker đã “cài cắm” trong hệ thống máy tính của VNA từ khoảng 2 năm nay mà bộ phận an ninh mạng tại đơn vị không biết thì đây là một lỗ hổng lớn.

Theo những người có trách nhiệm trong vụ này, hiện tại các nhóm chuyên môn vẫn tiếp nghiên cứu và phân tích dữ liệu nhằm xác định nguyên nhân sự cố, và hơn hết là tìm ra thủ phạm đứng sau vụ tấn công. Mọi vấn đề đều đang trong quá trình xử lý, những thông tin chưa được xác minh rõ ràng đều có thể ảnh hưởng đến quá trình điều tra.

Tuy nhiên, theo đánh giá của các chuyên gia thì vụ hack VNA, mặc dù là vấn đề trầm trọng, không bao giờ mong muốn xảy ra, nhưng nó mang lại bài học lớn về công tác phòng chống và xử lý tấn công mạng, và hơn hết là một “đòn cảnh cáo” vào chính các tổ chức đang vận hành hệ thống CNTT nhưng thiếu ý thức và sự quan tâm đúng mức về an ninh mạng và bảo mật thông tin.

Nhằm cung cấp thông tin chính xác về vụ việc cũng như các khuyến cáo cần thiết, VNISA đã phát thông cáo báo chí vào ngày 1/8/2016.

Diễn tập chống tấn công APT tại TP.HCM. Theo các chuyên gia, những cuộc diễn tập chống tấn công mạng phải được tổ chức thường xuyên.

Trao đổi với PC World VN, các chuyên gia bảo mật của VNISA đã đặt ra những vấn đề nóng mà bất cứ tổ chức nào cũng cần phải xem xét một cách nghiêm túc.

Điểm yếu của hệ thống phòng thủ

Một hệ thống CNTT có thể bị tấn công bằng 2 cách chính: trực tiếp qua mạng và sử dụng biện pháp phi kỹ thuật (lừa đảo). Tấn công qua mạng đòi hỏi hacker phải tìm và khai thác lỗ hổng; còn với phi kỹ thuật, hacker tìm cách lừa người sử dụng qua email, web, mạng xã hội...

Tấn công phi kỹ thuật đang rất phổ biến và nguy hiểm, khó tránh. Trao tặng một USB, thuê/hối lộ nhân viên bất mãn để thả mã độc vào máy tính qua USB, hoặc dụ người dùng mở tập tin đính kèm email, sửa điện thoại và cài mã độc để sau đó lây lan vào mạng... đều là những cách thức không đòi hỏi kỹ thuật nhưng khả năng thành công lớn.

Rủi ro lớn nhất của một hệ thống là người quản lý không nhận ra được những vấn đề này.

Ngoài ra, một trong những điểm yếu nữa của hệ thống là sao lưu (backup) dữ liệu không đúng quy trình, khiến hệ thống không thể phục hồi ngay sau khi dữ liệu bị vô hiệu (bị mã hóa) như trong trường hợp này.

Ứng cứu kịp thời

Sự ứng cứu để bảo vệ hiện trường, tiến hành điều tra, phục hồi hệ thống là cần thiết và rất quan trọng. Nếu không kịp thời can thiệp, tấn công có thể lan rộng hơn. Bài học rút ra là cần có một đội ngũ ứng cứu với kiến thức luôn được cập nhật, kỹ năng luôn được kiểm tra và rèn luyện.

Trong trường hợp hack tại Nội Bài, nhiều đơn vị tham gia ứng cứu tích cực nhưng thiếu chỉ huy thống nhất ngay từ đầu. Không cứu được dữ liệu là thiệt hại lớn.

Giải pháp ngăn chặn tiếp theo

Các hệ thống mạng phục vụ hạ tầng như cấp điện, cấp nước, thải nước, viễn thông,chính phủ điện tử ... có thể là những mục tiêu tiếp theo mà hacker nhắm tới.

Giải pháp cần thì nhiều, nhưng từ sự cố này cho thấy khả năng phát hiện bị xâm nhập cùng thiết kế phân tách tốt để giảm thiểu thiệt hại là 2 vấn đề cần ưu tiên nhất.

Nâng cao nhận thức là việc thường xuyên, nhưng phải có phương án triển khai kỹ thuật, đặc biệt là bảo vệ dữ liệu và xây dựng kịch bản phản ứng khi xảy ra sự cố.

Ai có thể đứng sau vụ tấn công 

Thông tin thể hiện như phát thanh trên loa, nội dung, hình ảnh trên màn hình, cùng các dấu vết để lại như mã độc, cửa hậu… đều chỉ về các địa chỉ tại Trung Quốc là những gì ghi nhận được... Tuy nhiên, thật ngây thơ và thiếu khoa học nếu kết luận đứng sau cuộc tấn công là hacker Trung quốc mà chỉ dựa vào những biểu hiện bề ngoài đó.

Đánh giá chung sau sự cố của VNA

Khi tìm ra được cách thức hacker đã xâm nhập hệ thống và tấn công thì sẽ có được đánh giá và rút ra bài học chính xác hơn. Tuy nhiên, dựa vào thực tế những gì xảy ra có thể thấy:

• Việc đồng loạt bị tấn công cả trên ba hệ thống website, hệ thống phục vụ khách hàng và quản lý màn hình và phát thanh chứng tỏ thiết kế hệ thống thiếu chuẩn mực, không tách biệt và/hoặc các hệ thống xây dựng giống nhau, dẫn đến hacker dễ dàng tấn công ở diện rộng, làm ảnh hưởng các hệ thống chức năng khác (như check-in, thông báo, website).
• Quản lý tài khoản quản trị kém dẫn tới hệ thống DNS (domain name system - hệ thống quản lý tên miền) bị tấn công, gây ảnh hưởng tới website. Đây là một xâm nhập sâu và nguy hiểm cần được rà soát kỹ lại. Nếu hacker xây dựng trang web giả giống hệt như trang web thật thì thiệt hại sẽ còn nhiều hơn.
• Khả năng phát hiện “kẻ giấu mặt” cần phải xem xét lại và tăng cường. Nếu đã khẳng định mã độc đã xâm nhập từ 2014 mà không bị phát hiện thì khả năng chống lại tấn công APT có vấn đề nghiêm trọng. Cũng như khi phát hiện có dấu hiệu tấn công trước đó 2 ngày và đã gửi mẫu mã độc cho Kaspersky nhưng vẫn không có sự rà soát lại, phòng bị là chủ quan.
• Công tác xử lý và khắc phục sự cố nhìn chung là tốt, khôi phục hệ thống check-in trong 2 - 3 ngày dù phải thực hiện thủ công. Tuy nhiên, việc phục hồi chỉ được coi là hoàn tất khi xác định được lỗ hổng hệ thống và phương thức tấn công và từ đó đảm bảo hệ thống không bị lỗi tương tự trong tương lai.