Hiểm họa từ mã độc tấn công có chủ đích APT

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc chọn, sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong nhiều tuần, nhiều tháng hoặc nhiều năm cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng). Một khi vào được trong mạng, tin tặc cố giấu mình để không bị phát hiện trong khi sử dụng một số loại phần mềm độc hại (malware) để đánh cắp thông tin quan trọng và gửi đến nơi khác phân tích rồi bán lại trên thị trường chợ đen.

Các cuộc tấn công APT được tổ chức chặt chẽ, có nguồn lực tài chính và công nghệ dồi dào. Tuy có thể sử dụng các công cụ đột nhập thông thường, nhưng thường thì các cuộc tấn công APT sử dụng phần mềm tùy biến tinh vi khó bị hệ thống bảo mật phát hiện. Các kiểu tấn công APT bao gồm tấn công zero-day, lừa đảo (phishing), malware và tấn công web.

Mục đích của tấn công APT:

• Thu thập thông tin tình báo có tính chất thù địch.
• Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.
• Làm mất uy tín của cơ quan tổ chức.
• Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….

APT nguy hiểm nhưng không phải không có cách ngăn chặn phòng ngừa. Dưới đây là một số cách để phòng chống:

Đối với các máy tính cá nhân:

-  Cập nhật ngay các chương trình Antivius đang sử dụng. Đối với các máy tính không có phần mềm Antivirus cần tiến hành cài đặt và sử dụng ngay một phần mềm Antivirus có bản quyền (Kaspersky, BKAV…)

-  Cẩn trọng khi nhận được email có đính kèm và các đường link lạ được gửi trong email, trên các mạng xã hội, công cụ chat…

-  Cần thận trọng khi mở các file đính kèm ngay cả khi nhận được từ những địa chỉ quen thuộc. Sử dụng các công cụ kiểm tra phần mềm độc hại trực tuyến hoặc có bản quyền trên máy tính với các file này trước khi mở ra.

-  Không tắt tường lửa, hay các dịch vụ bảo mật hiện có trong hệ điều hành.

-  Máy tính nào có dấu hiệu bị nhiễm, cần cách ly ngay khỏi mạng nội bộ.

-  Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

Đối với cơ quan đơn vị:

- Tiến hành các biện pháp cập nhật sớm, phù hợp theo từng đặc thù cho các máy chủ windows.

- Cập nhật cơ sở dữ liệu cho các máy chủ Antivirus Endpoint đang sử dụng. Đối với hệ thống chưa sử dụng các công cụ này thì cần triển khai sử dụng các phần mềm Endpoint có bản quyền và cập nhật mới nhất ngay cho các máy trạm.

- Kiểm soát các điểm ra vào mạng, sử dụng tường lửa thế hệ mới, triển khai các hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hệ thống giám sát thông tin và sự cố bảo mật (SIEM), bổ sung hệ thống quản lý lỗ hổng, sử dụng phương thức xác thực và quản lý danh tính chắc chắn, cập nhật các bản vá bảo mật và thực hiện bảo vệ đầu cuối.

- Thực hiện biện pháp lưu trữ (backup) dữ liệu quan trọng ngay.

- Cảnh báo tới người dùng trong tổ chức và thực hiện các biện pháp như nêu trên đối với người dùng.

- Liên hệ ngay với các cơ quan chức năng cũng như các tổ chức, doanh nghiệp trong lĩnh vực an toàn thông tin để được hỗ trợ khi cần thiết.

Trên đây là một số biện pháp hạn chế sự lây lan của mã độc APT, các tổ chức và cá nhân cần nâng cao kiến thức và ý thức bảo vệ máy tính trước nguy cơ tấn công của mã độc.