BỘ THÔNG TIN VÀ TRUYỀN THÔNG

-----------------------------------------------

AN TOÀN THÔNG TIN

Thực trạng – Giải pháp

PGS. TSKH. Hoàng Đăng Hải
9 - 2015

1


Nội dung
 Tình hình quốc tế và trong nước
 Giải pháp bảo đảm an toàn thông tin
 Một số khuyến nghị

2


Video-Clip: Tấn công mạng
đang là nguy cơ hiện hữu


Không gian mạng quốc gia
Điện lực
năng lượng

Dầu khí

Cơ quan nhà nước
Data Center

Tài chính, Ngân
hàng, Kinh doanh

Giao
thông –
vận tải

Viễn thông

Công nghiệp

Trao đổi thông tin

Xã hội, Giải trí

Giáo dục

Y tế

4


Tình hình an toàn thông tin
trên thế giới

5



Malaysia:
Một nhóm tin tặc Anonymous Malaysia đã phát động một cuộc chiến “all-out Internet
war” chống chính phủ nhằm vào hệ thống thông tin của 10 cơ quan nhà nước quan
trọng của Malaysia.
Cảnh sát đã cố gắng bảo vệ an toàn cho các cơ quan quan trọng sau khi nhóm này
tuyên bố tấn công vào các cơ quan nhà nước trong ngày 29/8.
Singapore:
4003 địa chỉ Email có phần mở rộng “.sg” đã được tạo giả mạo để lừa đảo và phát tán
thư rác.
Các máy chủ Internet của Singapore đã bị tràn ngập mã độc chứa nội dung lừa đảo.
Singapore đã trở thành nạn nhân của tấn công lừa đảo do khiếm khuyết trong hạ tầng
Internet.
Báo cáo của BMI Research đã xác định các hoạt động giao dịch mua bán qua mạng bị
rủi ro nghiêm trọng.

Đài Loan:
Một nhóm tin tặc đã tấn công vào trang Web của chính phủ và Đảng. Hiệp hội tin tặc
Anonymous Asia đã tấn công nhằm hỗ trợ cho phong trào sinh viên phản kháng kế
hoạch thay đổi chương trình học của Bộ Giáo dục.

6


Nhật Bản:
Ngày 12/8/2015, Yahoo Japan đã tuyên bố sử dụng chứng chỉ SSL cho các search
engine để bảo vệ tính riêng tư do quá nhiều vi phạm xảy ra. Địa chỉ URL được đổi từ
HTTP sang HTTPS.
Tương tự là các trang chủ của cơ quan chính phủ Mỹ.


Trung Quốc:
Bộ Công an tuyên bố đã bắt giữ 15000 người vì tội phạm “gây tổn hại cho Internet” khi
một loạt sự cố làm sập mạng chính phủ.
Mỹ:
Chính quyền Obama đang xem xét việc cáo buộc Trung quốc về việc gây ra các cuộc
tấn công mạng nhằm vào các mục tiêu thương mại của Mỹ.
Tin tặc Trung quốc đã được cho là xâm nhập vào hệ thống thông tin của Chính phủ Mỹ
trong một số năm qua.

Mỹ:
Tháng 2/2015: Theo báo cáo của DHS, một thiết bị y tế dạng máy tính của bệnh viên
Seton Northwest đã bị đánh cắp làm 180 thông tin cá nhân bị mất. Hai tháng sau đó,
các dữ liệu này đã bị bán trên mạng.
Tháng 10/2014, 5500 bệnh nhân của bệnh viện Seton McCarthy cũng đã bị mất dữ liệu.

7


Mỹ:
Tháng 2/2015: Tập đoàn eBay đã bị đánh cắp
dữ liệu gây ảnh hưởng đến 145 triệu thành
viên. Hệ thống bảo mật của eBay đã bị xâm
nhập nghiêm trọng.
Mỹ:
Trong năm 2014, Mỹ đã cảnh báo các cuộc tấn công của một băng nhóm tin tặc cài
virus vào hàng trăm ngàn máy tính trên khắp thế giới nhằm lấy cắp thông tin ngân hàng.
Trên 100 triệu USD của người dùng và các doanh nghiệp đã bị đánh cắp.
Phía Mỹ nghi ngờ tin tặc Nga là thủ phạm.
Mỹ:

Trong năm 2014, Một phần mềm khóa tài khoản đòi tiền
chuộc đã bùng phát. Tin tặc yêu cầu mỗi nạn nhân phải
trả vài trăm USD để chuộc lại dữ liệu.
Chủ mưu là Evgeniy Bogachev (30t) – một tin tặc Nga
điều hành một nhóm ở Nga, Ukrâin và UK.
Nhóm này đã phát triển GameOver Zeus – một dạng
Botnet thu trọm tài khoản, mật khẩu và kết hợp với phần
mềm CryptoLocker là một dạng mã độc tống tiền.
Mỹ đã phát hiện được hai vụ chuyển khoản là 198.000
USD và 175.000 USD.
Ngân hàng Floria đã mất tới 7 triệu USD.
8


UK:
Cục cảnh sát Durham trót mở một email có gắn mã độc dẫn tới bị nhiễm mã độc
Ransomeware. Khi bị nhiễm hiển thị dòng chữ “Dead in Water”.
Đây là một loại Cryptoware (mã độc) lan truyền vượt qua mặt mọi phần mềm Antivius
hiện có, đòi tiền chuộc từ 5000 đến 10000 USD của nạn nhân để mở khóa các tệp dữ
liệu.
Mã độc này lây lan rất nhanh, chỉ sau vài giờ có thể lan khắp Server và mạng nội bộ.
Mỹ:
AskMen.com – một trang Web phổ biến tại Mỹ với hàng triệu người truy nhập mỗi tháng
đã bị chuyển hướng tới các tên miền khác có chứa mã độc Caphaw.
Đây là dạng thức chung tin tặc sử dụng để xâm nhập vào các Web có mức độ truy
nhập cao. Phạm vị tàn phá lớn vì ảnh hưởng đến số động người truy cập mạng.
Phần mềm này làm chuyển hướng tới các trang tin chứa mã độc, trong đó có các công
cụ tấn công tự động tìm kiếm điểm yếu trong hệ thống phần mềm.
Tin tặc chèn thêm mã JavaSript vào các thành phần khác nhau của trang khởi động
AskMen.com, sau đó chuyển hướng người dùng tới các tên miền chứa mã khai thác.


9


T1/2014
Kaspersky Lab said it had detected a computer server in January being used to coordinate an attack that appeared to have snatched more than 500,000 euros ($700,000;
£400,000) over the course of a single week
most of the victims were based in Italy and Turkey
a Trojan program was used to intercept financial data and allow fraudulent transactions
to be made as soon as each victim logged into their online bank account
Zeus is the name given to a type of Trojan malware first detected in 2007, which allows
data to be stolen from computers running the Windows operating system

Kkasspersky said that according to the computer logs it had obtained, the sums stolen
from each account appeared to range from 1,700 euros to 39,000 euros


T7/2014:
Attackers injected malicious code into Dailymotion.com, a popular video sharing
website, and redirected visitors to Web-based exploits that installed malware

The iframe redirected browsers to a different website hosting an installation of the Sweet
Orange Exploit Kit, an attack tool that uses exploits for Java, Internet Explorer and Flash
Player
The flaws that Sweet Orange attempted to exploit are: CVE-2013-2551, patched by
Microsoft in Internet Explorer in May 2013; CVE-2013-2460, patched by Oracle in Java
in June 2013; and CVE-2014-0515, patched by Adobe in Flash Player in April.

"If the kit successfully exploited any of these vulnerabilities, then Trojan.Adclicker was
downloaded onto the victim's computer

This malware forces the compromised computer to artificially generate traffic to pay-perclick Web advertisements in order to generate revenue for the attackers
The video-sharing website ranks 90 on the list of top 100 most popular websites by
traffic according to Amazon-owned Internet statistics firm Alexa. Symantec's data
indicates that the majority of Dailymotion visitors affected by this attack were from the
U.S. -- over 50 percent -- and Europe
a malicious ad displayed on the site attempted to trick users into installing a fake
antivirus program.


Personal information from more than 1,000 Penn State alumni may have been
compromised because of a security breach involving a university computer
The infected computer contained 1,176 social security numbers which came from a list
of college of medicine alumni
The Indian Computer Emergency
Response Team (CERT-In) has issued a
warning of the new malware which has
been identified as BrutPoS

BrutPOS malware identifies the system that has weak username/passwords and tries to
exploit them. These username-passwords combinations are typically default like
adminadmin or admin-password


variant of a computer malware, known as
“police ransomware”, which involves the
misuse of the Malta Police Force logo.

Computer systems infected with the virus display a warning message claiming that the
user’s computer had been “suspended on the grounds of unauthorised cyber activity”
and that a fine has to be paid for the computer to be unblocked


The user will notice that the computer has seized up or that his documents are no longer
accessible. In almost all cases, paying the ransom does not restore the computer to its
original state
“Such computer messages claiming to be from the Malta Police Force are fraudulent.
Users targeted by police ransomware should not pay any money


Software created by the controversial U.K.
based Gamma Group International was
used to spy on computers that appear to
be located in the United States, the U.K.,
Germany, Russia, Iran and Bahrain,
according to a leaked trove of documents

attacking embassies of former soviet states with a malware tool that has infiltrated
networks across more than 15 countries.
Hacked embassies of unnamed former soviet states include those located in: France;
Belgium; Ukraine; China; Jordan; Greece; Kazakhstan; Armenia; Poland, and Germany
attackers sent previously known but capable malware to staff at the embassies to
establish a foothold for reconnaissance in a bid to locate valuable human targets

Infection began like many targeted campaigns through infection of various websites
likely to be visited by embassy staff -- a tactic known as watering hole attacks. Malware
was only foisted on users visiting from specific internet protocol addresses
At least 84 websites have been turned into watering holes



The national cyber security specialist agency revealed that sophisticated malware

(malicious software), disguised as a news article reporting that the missing Boeing 777
had been found, was e-mailed to the officials on March 9, a day after the Malaysia
Airlines plane vanished during its flight from Kuala Lumpur to Beijing.

Attached to the e-mail was an executable file that was made to look like a PDF
document, which released the malware when a user clicked on it.
About 30 PCs were infected by the malware, CyberSecurity Malaysia said. It discovered
that the malware was sending the information to an IP address in China and asked the
Internet service provider in that region to block it
antivirus programs couldn’t detect

Flight MH370 with 239 on board went missing on March 8 about 45 minutes after takeoff


UPS says 51 retail stores breached by
malware
information includes card numbers, postal and email addresses from
about 100,000 transactions between Jan. 20 and Aug. 11
The malware is not identified by current anti-virus software.

UPS hired a security firm that found the virus in systems at stores in 24 states, about 1
percent of the company's 4,470 franchised locations


Hackers breach HealthCare.gov server, upload malware

hackers broke into a computer server
supporting the HealthCare.gov website
through which consumers enroll in
Obamacare health insurance, a

government cybersecurity team discovered
last week, apparently uploading malicious
files
The malware uploaded to the server was designed to launch a distributed denial of
service attack against other websites, try to crash servers.
Hackers involved in Home Depot attack have reportedly used earlier unseen malicious
software programme called 'Mozart
The breach in the DIY chain's point-of-payment systems, which came to light on 2
September, has reportedly compromised 56 million credit and debit cards, in what is
claimed to be the largest ever credit card disclosure


Hãng hàng không LOT bị hoãn vì tấn
công mạng

Khoảng 1400 hành khách đã buộc phải hạ cánh tại
sân bay Warsaw, Ba Lan ngày 21/6 vừa qua sau khi có
báo cáo về việc hacker tấn công vào hệ thống máy tính
được sử dụng để đưa ra kế hoạch bay cho các máy bay
này. Cuộc tấn công được cho rằng bắt đầu vào buổi
chiều chủ nhật và được khắc phục 5 giờ sau đó. Cuộc
tấn công đã làm cho hơn 10 chuyết bay của hãng hàng
không LOT của Ba Lan bị trì hoãn
hacker đã thực hiện tấn công
DDoS vào hệ thống máy tính này.


Điểm yếu an toàn thông tin trên thiết
bị y tế


Gần đây, một điểm yếu nghiêm trọng trong nhiều thiết bị.
kẻ tấn công có thể thay đổi liều lượng thuốc truyền cho bệnh
nhân từ xa mà không cần có mặt tại địa điểm đặt thiết bị

Điểm yếu xuất hiện trong thành phần liên lạc của thiết bị tương tác với firmware để thực
hiện nâng cấp và cập nhật từ nhà sản xuất, tuy nhiên tác vụ này cũng có thể bị tác động
bởi kẻ tấn công.
Ngoài ra, thành phần liên lạc này được kết nối với mạng của bệnh viện và có thể truy
cập bởi bất cứ ai trong bệnh viện.

Ước tính có khoảng 400.000 thiết bị đang được sử dụng tại các bệnh viện trên thế giới
có thể bị khai thác bởi điểm yếu này


Hệ thống máy tính tại nhiều nước bị
tấn công trong tháng 6
hệ thống máy tính của Quốc hội Đức đã gánh chịu tấn công mạng trong đầu tháng 6 và
có nhiều dữ liệu đã bị lộ lột

hacker đã kiểm soát được máy chủ nội bộ trong Quốc hội Đức và tiến hành các
cuộc tấn công bằng mã độc Trojan. Dấu hiệu của cuộc tấn công lần đầu tiên được phát
hiện trong tháng 5 khi hai máy tính bị lây nhiễm mã độc đã cố gắng kết nối đến
một máy chủ tại Đông Âu. Sau đó, nhiều máy tính khác cũng đã được phát hiện bị lây
nhiễm mã độc tương tự.
Ngoài việc sử dụng mã độc, một số cuộc tấn công lừa đảo thông qua email phishing

website của hàng chục cơ quan chính phủ Canada bao gồm ngoại giao, pháp luật đã
tạm ngừng hoạt động bởi cuộc tấn công
Tại Hoa Kỳ, website của quân đội Hoa Kỳ (army.mil) đã phải ngưng hoạt động để đảm
bảo cho các thông tin nhạy cảm không bị lộ lọt sau khi một thành phần của

trang web này đã bị tấn công thành công.
Nhóm tin tặc Syrian Electronic Army đã nhận trách nhiệm cho việc tấn công này


Vương quốc Anh
chi phí mất mát trung bình do mất an toàn thông tin tăng, gấp đôi từ 60.000 Bảng Anh
lên tới 1.46 triệu Bảng Anh vào cuối 2014.

Theo khảo sát, 90% các tập đoàn lớn phải gánh chịu mất mát an toàn thông tin trong khi
con số này là 75% và 30% với các doanh nghiệp vừa và nhỏ

Mã độc Grabit
Kaspersky đã công bố kết quả phân tích và điều tra ban đầu về một loại mã độc mới
mang tên Grabit với nhiều đặc tính và hoạt động khác lạ
Từng mẫu mã độc thu được đều có kích thước khác nhau và có các hoạt động không
giống nhau. Theo các báo cáo phân tích, chiến dịch của mã độc Grabit bắt đầu từ tháng
2 năm 2015 và kết thúc giữa tháng 3 năm 2015.
Tại thời điểm bắt đầu, mã độc chủ yếu phát tán tại Ấn Độ, Hoa Kỳ và Israeal.


Grabit được phát triển với nhiều kích thước, hành vi
và các thuật toán mã hoá khác nhau
Dấu hiệu của phần mềm HawkEye trong mã độc Grabit
HawkEye chứa sẵn rất nhiều các công cụ như điều khiển từ xa, keylogger và
nhiều công cụ điều khiển từ xa khác như Cyborg Logger, Cybergate, DarkComet,
… và hỗ trợ các phương thức truyền tải như FTP, SMTP và thông qua web.
Lotus Blossom là chiến dịch tấn công APT nhắm vào các chính phủ và tổ chức
quân đội tại Đông Nam Á trong vòng 3 năm qua
Lotus Blossom hoạt động dựa trên các tấn công lừa đảo người dùng. Kẻ tấn công
thường gửi đến đối tượng đã nhắm sẵn các tệp tin văn phòng có chứa mã độc nguy

hiểm. Các tệp tin này được chọn lọc kỹ càng để phù hợp với ngành nghề và công việc
của mục tiêu sắp tấn công.
Các tệp tin chứa mã độc sử dụng điểm yếu an toàn thông tin CVE-2012-0158 trên các
ứng dụng của Microsoft Office để cài đặt Trojan trên máy của nạn nhân.
Ngoài các tệp tin văn phòng, kẻ tấn công còn sử dụng ảnh của người nổi tiếng trên
Internet để thu hút sự chú .
của nạn nhân. Trojan được sử dụng là loại trojan đã được tinh chỉnh có tên Elise có khả
năng cài đặt thêm các công cụ để phục vụ cho các tác vụ được ra lệnh


Tình hình an toàn thông tin
trong nước

24


A group of professional hackers was behind the biggest-ever cyber attack in
Vietnam last month, which shut down many websites run by the Vietnam
Communications Corporation (VCCorp)
in 10/2014
On October 13, a number of websites run by VCCorp - a Hanoi tech firm that owns and
hosts online games, e-commerce services and many news websites in Vietnam - were
shut down. VCCorp's representatives initially said the outage was just a data center
glitch
Two days later, the websites came back online. But the following day, they went down
again
On the afternoon of October 18, VCCorp’s news websites and some of its e-commerce
sites came back online. But a number of small projects and social networking sites
stayed down
Wednesday (November 5) that VCCorp announced that all its websites had fully

recovered
The firm estimated the damages to the company were between VND20 and VND30
billion. (roughly US$94,000-$140,000)
hackers may have surveilled the company for around six months before launching the
professional malware attack on its data center