Cộng đồng An ninh mạng Việt Nam cho biết, mới đây đã ghi nhận các hình thức tấn công có chủ đích (APT) nhắm vào một số cơ quan nhà nước (CQNN) ở Đà Nẵng. Mã độc được phát hiện sau khi các nhà nghiên cứu về bảo mật tiến hành nghiên cứu điều tra về dạng tấn công APT SideWinder. Tìm kiếm các khai thác thực tế liên quan đến việc phát tán các tài liệu có lỗ hổng RTF CVE 2017-11882.
Lỗ hổng CVE 2017-1182 nằm trong EQNEDT32.EXE, một thành phần của MS Office chịu trách nhiệm chèn và chỉnh sửa các công thức toán học (đối tượng OLE) trong tài liệu. Tuy nhiên do hoạt động của bộ nhớ không đúng, các thành phần này không xử lý đúng đối tượng trong bộ nhớ, và dẫn đến lỗi, cho phép kẻ tấn công thực thi mã độc ngay trên máy nạn nhân mà nạn nhân không hề hay biết, ngay khi nạn nhân mở tài liệu độc hại.
Các nhà nghiên cứu đã tìm thấy 1 file word giả mạo tài liệu của UBND quận Hải Châu - TP Đà Nẵng . Tài liệu này chứa các bản tóm tắt liên quan đến dự án của quận Hải Châu.
File văn bản có chứa mã độc được nhóm hacker sử dụng trong cuộc tấn công này
|
Nhóm Hacker đứng phía sau cuộc tấn công này là nhóm 1937cn đến từ Trung Quốc, nhóm này cũng chính là tác giả của cuộc tấn công có chủ đích với quy mô lớn vào các sân bay ở Viêt Nam vào năm 2016.
Hình thức tấn công sử dụng các file văn bản là một trong những hình thức tấn công APT phổ biển. Hacker có thể sử dụng các kỹ thuật khác nhau để lừa nạn nhân tiếp cận với file word chứa mã độc và tiến hành mở nó ra. Khi đó nạn nhân sẽ vô tình đưa mã độc vào máy mình mà không biết. Trong trường hợp này Hacker đã tấn công sử dụng lỗ hổng CVE 2017-11882 lỗ hổng RTF trong các phần mềm Office .
Nhằm đánh cắp thông tin nhạy cảm của cơ quan nhà nước
Về sự cố này, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng cho biết, với hình thức tấn công có chủ đích này, tin tặc sẽ bỏ thời gian để tìm hiểu kỹ về đối tượng mình muốn tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt các hệ thống bảo vệ nhằm chiếm quyền điều khiển máy tính của người dùng và thông qua đó tấn công các hệ thống máy tính nội bộ chứa thông tin quan trọng khác. Mục đích chính của tin tặc là đánh cắp các thông tin nhạy cảm của cơ quan nhà nước.
“Với việc hacker sử dụng các kỹ thuật cao để tấn công, các hệ thống bảo vệ của một số cơ quan nhà nước tại địa phương sẽ khó phát hiện kịp thời và đồng thời giúp hacker duy trì quyền kiểm soát hệ thống thông tin lâu dài”, đại diện VNCERT nhận định.
Theo thông tin ghi nhận của VNCERT, tính đến giữa tháng 5/2018, đã có 4.035 vụ tấn công mạng vào Việt Nam, với 2.661 sự cố tấn công thay đổi giao diện (deface), 766 sự cố tấn công mã độc (malware) và 608 sự cố lừa đảo (phishing). Hàng ngày có khoảng gần 100.000 địa chỉ mạng của Việt Nam bị truy vấn hoặc kết nối đến mạng máy tính ma (Botnet).