SYMANTEC Tổng kết tình hình an ninh, bảo mật – Tháng 8, 2021

Lockbit, BlackMatter và một số những tiến bộ nổi trội trong việc chống lại các mối đe dọa an ninh mạng.

Hiệu suất bảo mật an ninh mạng tụt dốc. Báo cáo: “An ninh mạng liên bang: Thông tin dữ liệu của Hoa Kỳ vẫn đang đối mặt với nhiều rủi ro” từ Ủy ban An ninh Nội địa Thượng Viện (Senate Homeland Security Committee) đầu tháng này đã gióng lên hồi chuông cảnh tỉnh lên chính phủ Hoa Kỳ. Cụ thể báo cáo (xuất bản ngày 3 tháng 8 vừa qua) đã nêu ra một số các cơ quan liên bang quan trọng của Hoa Kỳ, bao gồm Chính Phủ, bộ Giáo dục, Nông nghiệp, Y Tế và Dịch vụ nhân sinh đang rất thiếu hụt các biện pháp bảo mật an ninh căn bản. Vì không thiết lập các chương trình bảo mật an ninh mạng hiệu quả cũng như không tuân thủ đầy đủ các tiêu chuẩn an ninh công nghệ thông tin (CNTT) của liên bang, dẫn đến việc thông tin nhạy cảm của người dân dễ có nguy cơ bị lộ/ vi phạm dữ liệu.

Trong số những phát hiện quan trọng trong báo cáo, có 7 cơ quan không tuân thủ  theo đạo luật Hiện đại hóa an ninh thông tin dữ liệu liên bang, được ký ban hành bởi cựu tổng thống Obama vào năm 2014. 7 cơ quan này đều đạt điểm trung bình C- vì không đạt được các tiêu chuẩn do liên bang bắt buộc thi hành. Bộ Ngoại Giao nằm trong số những cơ quan có nhiều vi phạm, đơn cử việc đơn vị này đã để hàng ngàn tài khoản của nhân viên đã nghỉ việc còn trong trạng thái hoạt động trên các mạng phân loại và chưa phân loại. Tương tự, các kiểm toán viên cũng có thể lọc ra hàng trăm tệp tin chứa thông tin nhận dạng cá nhân nhạy cảm của bộ Giáo Dục.

Chính phủ Hoa Kỳ đã nhận một hồi chuông cảnh tỉnh sau khi một báo cáo chính phủ do Ủy ban An ninh Nội địa Thượng viện đưa ra cho thấy rằng các cơ quan liên bang quan trọng vẫn đang thiếu hụt các biện pháp bảo mật an ninh cơ bản.

Cũng theo báo cáo, tổng cộng có 6 cơ quan không cài đặt các bản vá bảo mật cũng như không cài đặt các kiểm soát để khắc phục lổ hổng an ninh tiềm ẩn khác. Song song đó có một số cơ quan vẫn còn phụ thuộc vào những hệ thống và ứng dụng cũ kĩ, không còn được hỗ trợ cập nhật bảo mật bởi các nhà cung cấp. Báo cáo này của Thượng viện kết luận rằng chính phủ Hoa Kỳ cần cập nhật chương trình an ninh mạng tốt nhất hiện nay dành cho các cơ quan liên bang – EINSTEIN.

Theo Thượng nghị sĩ Đảng Cộng Hòa (OH) Rob Portman, một trong những chủ tich của ủy ban ban hành báo cáo, “Từ cuộc tấn công bằng mã độc tống tiền (ransomware) vào SolarWinds cho đến các cuộc tấn công với hình thức tương tự nhằm vào các cơ sở hạ tầng quan trọng khác gần đây, rõ ràng là các cuộc tấn công vào an ninh mạng sẽ còn tiếp diễn và việc các cơ quan liên bang gần như không có động thái gì để bảo vệ dữ liệu của mình là điều không thể chấp nhận được” Chắc chắn đây không phải là một bảng báo cáo ấn tượng cho chính phủ trong thời đại mà các rủi ro an ninh mạng đang ngày càng quá rõ ràng.

Mã độc tống tiền (ransomware) tiếp tục hoành hành với nhiều mối đe dọa mới. BlackMatter – một nhóm tin tặc mới nổi đang tự vẽ nên hướng đi bằng cách học hỏi từ những sai lầm trước đó của nhóm tin tặc khét tiếng như Revil và DarkSide. Trong một cuộc phỏng vấn với Recorded Future (công ty chuyên về phân tích và phổ biến thông tin tình báo về mối đe dọa an ninh mạng), BlackMatter cho biết nhóm tin tặc này thích nhắm đến mục tiêu là các công ty lớn với tài sản trên $100 triệu đô-la, nhưng cũng khẳng định sẽ chấm dứt việc moi tiền từ một số lĩnh vực như chăm sóc sức khỏe, chính phủ, cơ sở hạ tầng quan trọng và một số các lĩnh vực khác có liên quan.

Cũng trong cuộc phỏng vấn, nhóm tin tặc BlackMatter phủ nhận các cáo buộc trước đó cho rằng nhóm này đứng đằng sau nhóm tin tặc Darkside – đã lận mất tăn kể từ khi trở thành tâm điểm của các cuộc tấn công bằng mã độc tống tiền nổi tiếng như vụ tấn công vào công ty vận chuyển dầu mỏ Colonial Pipeline. Các chuyên gia nghiên cứu về mã độc tống tiền đã thử nghiên cứu mối liên hệ giữa hai nhóm này vì hai nhóm này được cho là đã sử dụng cùng một quy trình mã hóa. Nhóm tin tặc BlackMatter tuyên bố có tận dụng một số phần từ playbook của REvil, Darkside và Lockbit.

Nói về LockBit, các hoạt động tấn công bằng mã độc tống tiền này đang có xu hướng gia tăng – mã độc LockBit được cho là đang cố gắng lấp đầy khoảng trống do ransomeware Sodinokibi để lại. Một cuộc điều tra tiến hành bởi nhóm Symantec’s Threat Hunter Team (tạm dịch: nhóm Thợ săn Đe dọa của Symantec) đã tìm thấy ít nhất một nhánh từng thuộc Sodinoki hiện đang sử dụng Lockbit – các cuộc tấn công bắt đầu bằng một tệp có tên mimi.exe, đây là một trình cài đặt làm “rơi” một số công cụ phá mật khẩu. Nhóm Threat Hunter cũng đã tìm thấy phần mềm độc hại có tên Neshta trên một số máy chủ liên quan đến các cuộc tấn công LockBit. Hãy xem them các bài viết của Symantec Threat Hunter để biết them thông tin chi tiết về vấn đề này.

Ở một khía cạnh riêng biệt, các cuộc tấn công nhằm vào chuỗi cung ứng SolarWinds vẫn tiếp diễn vào tháng 1.

Cần giúp đỡ. Một dấu hiệu khác cho thấy nhóm tin tặc mã độc tống tiền LockBit đang chuẩn bị cho một cuộc tấn công sắp tới đó là: nhóm này đang cố gắng kết nạp các “tay trong” trong các tổ chức/ doanh nghiệp nhằm thâm nhập và mã hóa hệ thống mạng kết nối hàng tram triệu khách hàng đang thực hiện hàng loạt các giao dịch thành công. Vào tháng 6 sau khi nâng cấp thành LockBit 2.0 ransomware-as-a-service (cung cấp mã ransomware được tạo sẵn cho các băng nhóm ransomware khác), nhóm LockBit 2.0 mới này đang cố gắng cắt giảm tất cả những tay trung gian, thay vào đó sẽ trực tiếp chiêu mộ “tay trong” – những người nắm giữ chìa khóa hệ thống an ninh mạng của các tổ chức/ doanh nghiệp.

Ở một khía cạnh riêng biệt, các cuộc tấn công nhằm vào chuỗi cung ứng SolarWinds vẫn tiếp tục diễn ra vào tháng 1. Các tin tặc quốc tịch Nga đã lên tiếng chịu trách nhiệm về việc xoay trục và truy lùng Bộ Tư Pháp Hoa Kỳ. Theo một tuyên bố chính thức của chính phủ Hoa Kỳ, tài khoản email Microsoft Office 365 của nhân viên tại 27 văn phòng luật sư Hoa Kỳ đã bị thâm nhập trong khoảng thời gian từ ngày 7/5/2020 – 27/12/2020.

Giữa hàng loạt tin xấu, đã có một số tiến bộ nổi trội trong cuộc chiến chống lại các mối đe dọa an ninh mạng. Một trong những triển vọng nổi trội nhất là “Hợp tác Phòng thủ Không gian mạng” mới (JCDC), do Cơ quan An ninh Mạng và An ninh Cơ sở hạ tầng Hoa Kỳ (CISA) đứng ra thành lập với tư cách là quan hệ hợp tác công-tư nhằm phát triển và thực hiện các kế hoạch an ninh mạng tốt hơn. Broadcom Software cũng sẽ tham gia vào cuộc họp đầu tiên của JCDC vào thứ hai, ngày 23 tháng 8. Hợp tác mong muốn:

• Thiết kế và hiện thực các kế hoạch phòng thủ không gian mạng toàn diện trên quy mô quốc gia để giải quyết các rủi ro và tạo thuận lợi cho các phương án phối hợp.
• Chia sẻ các nhìn chi tiết để hình thành sự hiểu biết chung về những thách thức và cơ hội cho phòng thủ an ninh mạng
• Triển khai các hoạt động phối hợp phòng thủ trên không gian mạng nhằm ngăn chặn và giảm thiểu tác động của các hoạt động xâm nhập mạng
• Hỗ trợ các cuộc “tập trận” chung để cải thiện hoạt động phòng thủ không gian mạng.

Chính quyền tổng thống đương nhiệm Joel Biden cũng đã thực hiện các bước cần thiết dể cải thiện an ninh mạng cho các hệ thống kiểm soát cơ sở hạ tầng quan trọng vì những quan ngại ngày càng tăng sau cuộc tấn công vào hệ thống mạng của công ty vận hành đường ống dẫn nhiên liệu lớn nhất ở Mỹ Colonial Pipeline – đây cũng được xem là đòn bẩy cho một “cuộc chiến tranh nóng” thật sự. Lệnh hành pháp được ban bố kêu gọi các tổ chức/ doanh nghiệp tự nguyện thực hiện các biện pháp như mã hóa và xác thực hai yếu tố như một phần của động lực thúc đẩy các công ty phát triển mục tiêu về nâng cao hiệu suất an ninh mạng.

Cũng có luật đề xuất xem xét tấn công bằng mã độc tống tiền (ransomware) là một loại hình khủng bố. Đạo luật trừng phạt và ngăn chặn mã độc tống tiền, do Thượng nghị sĩ Macro Rubio (R-FL) và Dianne Feinstein (D-CA) đưa ra, sẽ trừng phạt các quốc gia hậu thuẫn cho các nhóm tin tặc. Dự luật cũng kêu gọi xây dựng các quy định cho các sàn giao dịch tiền điện tử.

Tin tức ngẫu nhiên. Đối với đọc giả quan tâm đến chương trình Bug Bounty (tạm dịch: Săn lỗi nhận tiền thưởng), Twitter đã cho ra mắt chương trình AI đầu tiên được tài trợ bởi nhóm đội ngũ Machine Learning, Ethics, Transparency and Accountability (META), thách thức người chơi tìm ra sự sai khác trong thuật toán cắt xén hình ảnh và người chiến thắng sẽ nhận giải thưởng là tiền mặt, với giải nhất là: $3,500 đô-la.

Biên dịch bởi Phương Nguyễn – Iworld.com.vn