Tải bản đầy đủ (.docx) (28 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

Tìm hiểu và trình bày về các mối đe dọa hiện nay

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (161.57 KB, 28 trang )

MỤC LỤC

MỞ ĐẦU
Hiện tại, mất an toàn thông tin đang là mối nguy, đe dọa tới các tổ chức, cá nhân, cộng
đồng và nền kinh tế. Các vụ tấn công mạng liên tiếp xảy ra trong thời gian gần đây, báo
động về sự nghiêm trọng của vấn đề này. Ví dụ điển hình như ngày 29/7, website của
Vietnam Airlines đã bị deface (tấn công thay đổi nội dung) với hình ảnh nhóm hacker
1937cn đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng đã bị rò rỉ lên
mạng. Chưa dừng lại, hệ thống âm thanh và thông báo tại cảng hàng không Tân Sơn Nhất
và Nội Bài cũng đã bị can thiệp, sửa đổi hiển thị hình ảnh và âm thanh xuyên tạc về vấn
đề Biển Đông. Sau khi phối hợp cùng đối tác tổ chức rà soát, kiểm tra và đánh giá hệ
thống, Vietnam Airlines cho biết thông tin thanh toán của khách hàng cung cấp trong quá
trình mua vé trực tuyến trên website Vietnam Airlines vẫn được đảm bảo an toàn. Vì vậy
nhóm 05 lựa chọn đề tài: “Tìm hiểu và trình bày về các mối đe dọa hiện nay”.
CHƯƠNG 1: TỔNG QUAN LÝ THUYẾT
1.1. Các khái niệm đe dọa an toàn thông tin
- Khái niệm đe dọa (threat): Theo nghĩa rộng
+ Là các nguồn nguy hiểm
+ Bất kì lực lượng đối lập
+ Điều kiện, nguồn hoặc tình huống
=> có khả năng ảnh hướng tới thực hiện/phá vỡ KH hoặc làm giảm khả năng thực hiện
nhiệm vụ, KH.

1


- Đe dọa an toàn (security threats): Trong an toàn máy tính, đe dọa là một mối nguy hiểm
có thể bị khai thác từ một lỗ hổng để xâm phạm HT thông tin và gây ra các thiệt hại, mất
an toàn.
- Nguồn đe dọa:
+ Khi có một hoàn cảnh, một khả năng, một hành động hay một sự kiện mà có thể có


điều kiện vi phạm để gây hại (khả năng xảy ra)
+ Có thể do chủ ý của con người (phát tán virus máy tính) hoặc sự cố bất khả kháng
(động đất, sóng thần…)
1.2. Phân loại đe dọa an toàn thông tin
- Microsoft đã phân loại đe dọa an toàn máy tính thành 6 loại, viết tắt là STRIDE, cụ thể
là:
• Information disclosure (tiết lộ thông tin): là tiết lộ thông tin
• Denial of service attack (Tấn công từ chối phục vụ):
• Elevation of privilege (Nâng quyền): là hành động khai thác lỗ hổng do lỗi thiết kế hệ
thống hoặc phần mềm để truy cập tới các tài nguyên không được phép.
- Các đe dọa thụ động và đe dọa chủ động:
+ Đe dọa thụ động: Trong các cuộc tấn công thụ động, kẻ tấn công chỉ đơn giản là phân
tích và lắng nghe lưu lượng mạng với mục tiêu để nắm bắt thông tin nhạy cảm của mục
tiêu. Các loại tấn công này làm tổn hại đến tính bảo mật của lưu lượng truy cập của người
dùng.
Trong cuộc tấn công thụ động, kẻ tấn công có được quyền truy cập trái phép vào lưu
lượng mạng mà không sửa đổi lưu lượng truy cập . Các cuộc tấn công thụ động rất khó
phát hiện vì các cuộc tấn công như vậy không làm hại đến lưu lượng người dùng hoặc các
hoạt động mạng bình thường. Trong các cuộc tấn công thụ động, kẻ tấn công đo độ dài,
thời gian và tần suất truyền dẫn không dây để có được một số thông tin có giá trị[1].
2


+ Đe dọa chủ động: Một cuộc tấn công chủ động là một mạng lưới khai thác trong đó một
hacker cố gắng thay đổi dữ liệu trên mục tiêu hoặc dữ liệu đang được truyền đến mục
tiêu[1].
- Các đe dọa truyền thống và đe dọa vật lí:
+ Communication and Network:



Eavesdropping



Wiretapping



Interuction

+ Physical:


Hardware :

Accidental damage
Deliberate damage


Software

+ Data corruption
+ File deletion
+ Document alteration

- Các đe dọa theo mức độ phức tạp sử lý
- Các đe dọa bên trong và bên ngoài
1.3. Một số mối đe dọa an toàn thông tin trong thương mại điện tử
- Các đe dọa vật lý:
Các đe dọa vật lý hoặc sự cố (accidental): là các mối đe dọa xảy ra đối với hạ tầng CNTT

và TMĐT như hỏa hoạn, lũ lụt, thiên tai, động đất, sóng thần… gây hậu quả không chỉ
đối với an toàn thông tin mà còn gây hủy hoại tài sản, công trình, tính mạng con người…

3


• Ví dụ: cơn bão Morakot 2008 và các trận động đất lớn xảy ra tại khu vực Thái Bình
Dương làm đứt cáp biển quốc tế SMW3, APCN, APCN-2, FEA, China US, EAC, C2C,
gây mất liên lạc hầu hết các kênh kết nối trực tiếp từ Việt Nam đi Đài Loan, Nhật Bản,
Hàn Quốc và một phần liên lạc hướng đi Mỹ. VNPT bị mất gần 6.200 Mbps dung lượng
truyền dẫn quốc tế sử dụng cho dịch vụ viễn thông quốc tế như điện thoại, kênh thuê
riêng, Frame Relay, VPN và Internet.
- Các đe dọa đối với máy chủ:
Máy chủ là liên kết thứ ba trong bộ ba máy khách –Internet –máy chủ, bao gồm đường
dẫn giữa một người sử dụng và một máy chủ thương mại. Máy chủ có những điểm yếu dễ
bị tấn công và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá hủy,
hoặc thu được các thông tin một cách trái phép.
• Ví dụ: vụ một hacker (X_Spider) đã tấn công vào máy chủ web của
techcombank.com.vn và để lại thông báo cần phải sửa lỗi và không gây thiệt hại gì cho
website này. X_Spider cho biết website phuthai... đã gặp lỗ hổng bảo mật, qua đó anh ta
có thể upload đoạn mã tấn công (shell) lên đó và dùng mã này vào được cơ sở dữ liệu của
techcombank.com.vn. Vì các website đặt cùng server có chung thông số nên việc truy cập
"liên thông" (local attack) là có thể thực hiện được[2].
- Các đe dọa đối với máy khách:
Các chương trình gây hại được phát tán thông qua các trang web, có thể phát hiện ra số
thẻ tín dụng, tên người dùng và mật khẩu. Những thông tin này thường được lưu giữ
trong các tệp đặc biệt –gọi là cookie. Các cookie được sử dụng để nhớ các thông tin yêu
cầu của khách hàng, hoặc tên người dùng và mật khẩu. Nhiều nội dung động gây hại có
thể lan truyền thông qua các cookie, chúng có thể phát hiện được nội dung của các tệp
phía máy khách, hoặc thậm chí có thể hủy bỏ các tệp được lưu giữ trong các máy khách.

• Ví dụ, một virus máy tính đã phát hiện được danh sách các địa chỉ thư tín điện tử của
người sử dụng và gửi danh sách này cho những người khác trên Internet
- Đe dọa đối với kênh truyền thông:
Internet đóng vai trò kênh truyền thông. Các thông tin trên Internet được gửi đi theo các
tuyến ngẫu nhiên, từ nút nguồn (node)tới nút đích. Các thông tin này đi qua một số máy
4


tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theo
những tuyến khác nhau. Hiện rất khó đảm bảo tất cả các thông tin gửi đi trên Internet đều
an toàn. Một số kẻ trộm trên mạng có thể đọc các thông tin, sửa đổi, hoặc thậm chí có thể
loại bỏ các thông tin ra khỏi Internet. Do vậy, các thông tin được gửi đi trên mạng thường
bị xâm phạm đến tính bí mật, tính riêng tư và tính toàn vẹn.
- Đe dọa đối với cơ sở dữ liệu:
Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và nhận các thông tin về sản phẩm
từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về s/phẩm, các CSDL có thể
chứa các thông tin có giá trị khác. Hầu hết các hệ thống CSDL có quy mô lớn và hiện đại
sử dụng cơ chế xác thực (tên người dùng + mật khẩu). Khi được xác thực, người sử dụng
có thể xem các phần đã chọn trong CSDL. Y/c về tính bí mật đối với CSDL được đề cập
thông qua cơ chế phân quyền được thiết lập trong CSDL.
Tuy nhiên, một số CSDL lưu giữ mật khẩu & tên người dùng không an toàn, hoặc dựa
vào máy chủ Web để có an toàn. Khi máy chủ Web bị vi phạm, CSDL bị sử dụng bất hợp
pháp, làm lộ bí mật thông tin cá nhân. Các Trojan horse nằm ẩn trong hệ thống CSDL
cũng có thể làm lộ các thông tin bằng việc chuyển các thông tin nhạy cảm sang khu vuc it
được bảo vệ của CSDL, do đó bất kì ai cũng có thể xem xét các thông tin này. Khi các
thông tin bị làm lộ, các user, kẻ cả đối tượng xấu đều có thể truy nhập.
1.4. Mô hình đánh giá ATTT DREAD
Mô hình DREAD của Microsoft: DREAD là một phần của một hệ thống phân loại các
mối đe dọa bảo mật máy tính được sử dụng tại Microsoft để phân tích đánh giá các đe
dọa và các rủi ro.

- Damage potential (thiệt hại tiềm ẩn) tổn thất ở mức độ nào nếu một lỗ hổng bị khai
thác?
- Reproducibility (Lặp lại): Mức độ lặp lại tấn công dễ dàng hay không?
- Exploitability (khai thác lỗ hổng): Khả năng khai thác lỗ hổng để bắt đầu một tấn công?
- users (người bị ảnh hưởng): ai bị ảnh hưởng và những người nào bị ảnh hưởng?
- Discoverability (khả năng phát hiện): mức độ phát hiện/tìm ra lỗ hổng dễ hay khó?
CHƯƠNG 2: TRÌNH BÀY MỘT SỐ MỐI ĐE DỌA CHO ĐẾN NAY
5


2.1. Cơn bão số 10 năm 2017 (đe dọa vật lý)
Hàng triệu thuê bao Internet cả nước đang mất kết nối do ảnh hưởng từ cơn bão số 10.
- Diễn biến:
+ Bão số 10 sẽ đổ bộ vào miền trung từ Thanh Hóa đến Quảng Bình từ chiều tối 15/09 và
rạng sáng 16/09/2017.
+ Bão số 10 khi vào đất liền gió cấp 14 giật cấp 15, lần đầu tiên, mức cảnh báo cấp độ 4
được đưa ra. Bão được đánh giá là mạnh nhất trong 3 năm gần nhất (2007-2010).
- Hậu quả sau cơn bão:
+ 15/9/2017 , người dùng Internet do nhà mạng FPT Telecom cung cấp tại khu vực miền
Bắc và miền Trung đồng loạt rơi vào tình trạng mất kết nối. Sự cố kéo dài đã gây ảnh
hưởng không nhỏ đến người dùng của nhà mạng này. Người dùng chỉ có thể sử dụng kết
nối dữ liệu 3G/4G từ thiết bị di động.
+ Đại diện FPT Telecom lên tiếng xác nhận sự cố mất kết nối đường truyền Internet do
đơn vị này cung cấp. Cụ thể, cơn bão số 10 (bão Doksuri) tràn qua khu vực miền Trung
đã làm tuyến trục Bắc - Nam của FPT Telecom bị ảnh hưởng, gây ra tình trạng mất tín
hiệu đường truyền.
+ Cũng do ảnh hưởng của cơn bão số 10, mạng truyền hình và Internet của SCTV ở Hà
Nội và một số khu vực miền Bắc đã bị mất tín hiệu vào tối 15/9/2017 do đường trục Bắc
Nam bị đứt.
+ Ngoài ảnh hưởng đến việc cung cấp dịch vụ của hai doanh nghiệp trên, bão số 10 đã

gây thiệt hại khá nặng cho các đơn vị trong ngành thông tin-truyền thông của miền Trung.
Ngày 15/9/2017, mạng viễn thông trên địa bàn Quảng Bình đã bị hỏng một số trạm cục
bộ do bị ngập nước và một số trạm không hoạt động được do mất điện. Sóng di động
cũng đã bị mất trên diện rộng ở 4 địa bàn Quảng Trạch, Bố Trạch, thị xã Ba Đồn và Đồng
Hới. Mạng cáp viễn thông cũng bị chia cắt do bị gãy đổ cột.
+ Còn tại Quảng Trị, ảnh hưởng của bão đã làm đứt 5 tuyến cáp của VNPT, 5 tuyến cáp
của Viettel và hai đơn vị này đều phải đưa vào hoạt động những tuyến dự phòng.

6


+ Tại Hà Tĩnh, cột truyền hình, cột sóng Viettel tại thị xã Kỳ Anh đã bị đổ gãy. Tháp Đài
phát thanh truyền hình thị xã Kỳ Anh kiêm chức năng phát sóng viễn thông cũng bị gãy
đổ vào trưa 15-9. Toàn bộ khu vực Kỳ Anh bị tê liệt viễn thông…
+ Theo thống kê của Sở TT & TT tỉnh Hà Tĩnh về tình hình thiệt hại do bão số 10 gây ra
cho mạng lưới: “2 cột ăng ten truyền hình thị xã Kỳ Anh và Hương Khê bị gãy, 15 cột
ăng ten BTS các nhà mạng bị đổ; trên 1.850 cột treo cáp bị đổ, gãy; 1.025 tuyến cáp bị
đứt, gãy; 189 nhà, trạm, bưu cục, điểm BĐ-VHX hư hỏng nặng; 100% các trạm BTS tại
Kỳ Anh, Cẩm Xuyên, Hương Khê và các vùng bị mất điện phải sử dụng máy nổ từ
15/9/2017, rất nhiều thiết bị đầu cuối thuê bao trong dân hư hỏng ... ước tính thiệt hại ban
đầu trên 57,349 tỷ đồng.”
+ Ngoài ảnh hưởng bởi bão số 10, đường truyền Internet Việt Nam cũng đã gặp sự cố do
các tuyến cáp quang biển chính đồng loạt gặp sự cố từ đầu tháng 9/2017. Điều này khiến
tốc độ và lưu lượng Internet Việt Nam đi quốc tế suy giảm đáng kể.
=> Điều này cho thấy các hiện tượng của tự nhiên như bão, lũ lụt, sạt lở… là 1 mối đe
dọa lớn đối với nghành TT & TT gây dán đoạn và mất an toàn về thông tin, ảnh hưởng,
thiệt hại lớn về kinh tế đối với nhà nước cũng như các doanh nghiệp hoạt động trong
nghành.
2.2. Vụ tin tặc tấn công các sân bay tại Việt Nam 2016 (đe dọa đối với máy chủ)
- Diễn biến:

+ 27-7-2016 hàng không Việt Nam đã nhận diện được dấu hiệu bị tấn công mạng, thể
hiện ở một số hệ thống hoạt động chập chờn, không ổn định…[3]
+ Vào lúc 13 giờ 46 phút ngày 29 tháng 7 tại Cảng hàng không quốc tế Tân Sơn Nhất và
16 giờ 7 phút tại cảng hàng không quốc tế Nội Bài, Các hệ thống máy tính làm thủ tục
hàng không của Hãng Hàng không VietJet Air, Vietnam Airlines (bao gồm VASCO) tại
nhà ga quốc nội của sân bay Tân Sơn Nhất, hệ thống thiết bị thông tin chuyên ngành hàng
không (màn hình thông tin chuyến bay, màn hình máy tính phục vụ check-in tại quầy thủ
tục của Vietnam Airlines, hệ thống phát thanh) tại Nhà ga hành khách T1 của sân bay Nội
Bài bị tấn công xâm nhập mạng phải dừng hoạt động.Trên màn hình thông báo chuyến
7


bay tại Tân Sơn Nhất và Nội Bài xuất hiện hình ảnh và chữ Trung Quốc với nội dung xúc
phạm Việt Nam và Philippines, xuyên tạc về biển Đông[3]
+ Trang web chính thức của Vietnam Airlines tại địa chỉ www.vietnamairlines.com đã bị
hacker chiếm quyền kiểm soát và chuyển sang trạng mạng xấu ở nước ngoài. trang web
này xuất hiện hình ảnh và nội dung câu chữ xúc phạm Việt Nam và Philippines, xuyên
tạc các nội dung về biển Đông[3]
+ Đến 17h ngày 29-07-2016 toàn bộ sự cố đã được khắc phục
- Hậu quả:
+ Hệ thống thông tin dữ liệu chuyến bay của các hãng hàng không bị xáo trộn đồng loạt,
thông tin hành khách bị lộ. Nhân viên phải làm thủ tục, xử lý danh sách khách hàng bằng
tay.
+ Dữ liệu chi tiết của hơn 410.000 thành viên chương trình Bông sen vàng của Vietnam
Airlines đều bị công khai.Danh sách này không chỉ có những khách hàng người Việt Nam
mà còn có cả khách hàng nước ngoài đến từ nhiều quốc gia như Nga, Đức, Canada, Nhật
Bản, Hàn Quốc... phần lớn khách hàng trong số này là các lãnh đạo, quản lý cơ quan Nhà
nước, ngân hàng, doanh nghiệp lớn trong nhiều lĩnh vực... Những thông tin trong file dữ
liệu bao gồm họ tên, ngày sinh, địa chỉ thường trú, đơn vị làm việc, số điện thoại, quốc
tịch, ngày tham gia chương trình, điểm tích lũy, mật khẩu tài khoản GLP…[4]

- Phản ứng:
+ Sau khi xảy ra sự cố, các đơn vị phục vụ mặt đất đã triển khai kế hoạch ứng phó,
chuyển sang làm thủ tục thủ công cho hành khách. Họ thực hiện các biện pháp khắc phục
sự cố đang làm gián đoạn hoạt động của các chuyến bay. Cuộc tấn công của tin tặc đã ảnh
hưởng nghiêm trọng đến quy trình phục vụ hành khách của ngành hàng không Việt
Nam[3]
+ Theo lãnh đạo Trung tâm Ứng cứu khẩn cấp máy tính Viêt Nam (Bộ Thông tin và
Truyền thông) thì đơn vị này thực hiện chức trách nhiệm vụ chủ trì, phối hợp với Cục an
8


toàn thông tin, Cục An ninh kinh tế tổng hợp (A85), Cục An ninh mạng (A68), Cục cảnh
sát phòng chống tội phạm công nghệ cáo thuộc Bộ Công an, Tập đoàn Viettel, VNPT,
FPT, Vietnamairline, ACV và các đơn vị liên quan để xử lý vụ tin tặc tấn công sân bay
này. Vietnam Airlines và chương trình Lotusmiles (Bông sen vàng) có đề nghị các hội
viên thay đổi ngay mật khẩu của tài khoản sau khi hệ thống được khắc phục. Hãng hàng
không cũng khuyến nghị hành khách nên ra sân bay sớm hơn thường lệ để làm thủ tục lên
máy bay[3]
+ Ngân hàng Nhà nước Việt Nam gửi đi văn bản ngày 30-07-2016 đến các tổ chức tín
dụng, các tổ chức trung gian thanh toán về việc cảnh báo tình hình tội phạm tấn công các
hệ thống CNTT quan trọng của Việt Nam. Ngân hàng Nhà nước đề nghị các tổ chức tín
dụng và các tổ chức trung gian thanh toán thực hiện ngay việc rà soát, kiểm tra tình hình
an toàn an ninh hệ thống CNTT của đơn vị mình, đặc biệt là các hệ thống cung cấp dịch
vụ cho khách hàng trên mạng Internet như hệ thống website, Internet Banking[3]
+ Bộ trưởng Thông tin và Truyền thông Trương Minh Tuấn đề nghị giới công nghệ Việt
Nam cũng như các bên liên quan tuân thủ pháp luật, tránh hành vi khiêu khích, thách thức
không cần thiết đối với các nhóm hacker nước ngoài.
- Nguyên nhân:
+ Có rất nhiều phỏng đoán về nguyên nhân xảy ra vụ tấn công này nhưng có 1 nguyên
nhân thuyết phục nhất đó chính là nguyên nhân chính trị bởi các lí do:



Sau khi thua cuộc trước Philippines trong cuộc chiến pháp lý tại Tòa án Trọng tài
thường trực ở The Hague trong vụ án Philippines kiện Trung Quốc về đường lưỡi
bò vào ngày 12 tháng 7 năm 2016, các chiến binh mạng Trung Quốc trút giận bằng
các vụ tin tặc. Chỉ trong vài giờ sau Phán quyết PCA, ít nhất 68 website của chính



phủ Philippines bị tấn công từ chối dịch vụ (DDoS)[8]
trên các màn hình thông báo chuyến bay tại Tân Sơn Nhất và Nội Bài và trang
web bị tấn công của hãng hàng không việt nam VNA đều xuất hiện hình ảnh và
chữ Trung Quốc với nội dung xúc phạm Việt Nam và Philippines, xuyên tạc về
9


biển Đông Và đều có hình ảnh của nhóm hacker 1937CN nhóm hacker hàng đầu
Trung Quốc.
- Cách thức tấn công:
+ Nhiều chuyên gia an ninh trong nước nhận định vụ việc tấn công ngày 29-07-2016
được các hacker sử dụng phương pháp cài spyware vào máy của quản trị viên hệ
thống[4].
+ Một kịch bản tấn công đơn giản thường được những kẻ đứng đằng sau mạng lưới ngầm
này sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản với
nội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thì
đúng là có nội dung có thật nhưng đồng thời lại bị nhiễm virus do trong file có chứa sẵn
phần mềm gián điệp[4]
+ Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy
tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update,
Adobe Flash, Bộ gõ Unikey, Từ điển…[4]

+ Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển chúng nên rất khó phát hiện.
Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời
thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại
khác[4]
+ Thông qua các máy tính đã bị mã độc kiểm soát, hacker có thể cấu hình thay đổi tên
miền của website để trỏ về trang web giả mạo, cấu hình thay đổi thông tin hiển thị trên
màn hình và nội dung trên hệ thống loa phát thanh thông báo
- Đánh giá:
Đây là vụ việc tấn công mạng lớn nhất từng được công bố từ trước đến nay của ngành
hàng không VIỆT NAM, qua đây ta thấy được rằng việc đảm bảo an toàn máy chủ cần
phải được quan tâm đặc biệt thông qua các biện pháp an toàn như kiểm tra kĩ lưỡng các
file, ứng dụng được tải, cài cắm trên máy chủ
10


2.3. Vụ tấn công của WannaCry (đe dọa đối với máy khách)
WannaCry (tạm dịch là "Muốn khóc") còn được gọi là WannaDecryptor 2.0, là một phần
mềm độc hại mã độc tống tiền tự lan truyền trên các máy tính sử dụng Microsoft
Windows[3]. Là tên của 1 loại virus máy tính, một dạng chương trình chứa mã độc tống
tiền (ransomware) mà khi máy tính bị nhiễm virus này nó sẽ mã hoá toàn bộ các tệp dữ
liệu (file trong máy tính) như văn bản, âm thanh, hình ảnh, và nhiều loại file tài liệu khác
thông dụng… sau đó hiện lên thông báo đòi tiền chuộc.
- Nguyên nhân nhiễm virus WannaCry:
+ Máy tính của bạn bị nhiễm virus WannaCry là do truy cập vào các trang web, các link
không an toàn như web đen, website giả mạo, đồi trụy, quảng cáo, clickbait có nguồn gốc
không rõ ràng, sử dụng phần mềm crack…
+ Bạn vô tình hoặc cố ý click vào 1 đường link không rõ nguồn gốc, hoặc mở 1 email lạ.
+ Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry.
+ Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếng
Anh gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật và lây

nhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động ở trên, miễn
là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính đã nhiễm virus này.
- Diễn Biến:
Vào tháng 5 năm 2017, một cuộc tấn công không gian mạng quy mô lớn sử dụng nó được
đưa ra, tính tới ngày 15 tháng 5 (3 ngày sau khi nó được biết đến) gây lây nhiễm trên
230.000 máy tính ở 150 quốc gia, yêu cầu thanh toán tiền chuộc từ 300 tới 600 Euro bằng
bitcoin với 20 ngôn ngữ (bao gồm tiếng Thái và tiếng Trung Quốc). Hiện thời người ta
biết tới 5 tài khoản bitcoin của họ, đến nay chỉ có không hơn 130 người chịu trả tiền, thu
nhập tối đa chỉ khoảng 30.000 Euro[3].
Cuộc tấn công này đã ảnh hưởng đến Telefónica và một số công ty lớn khác ở Tây Ban
Nha, cũng như các bộ phận của Dịch vụ Y tế Quốc gia (NHS) của Anh, FedEx và
11


Deutsche Banh. Các mục tiêu khác ở ít nhất 99 quốc gia cũng được báo cáo là đã bị tấn
công vào cùng một thời điểm. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp Nga
và công ty viễn thông của Nga MegaFon, được báo cáo là bị dính mã độc này[3].
- Cách thức tấn công:
Sau khi xâm nhập vào các máy tính, mã độc tống tiền mã hóa ổ đĩa cứng của máy tính,
sau đó cố gắng khai thác lỗ hổng SMB để lây lan sang các máy tính ngẫu nhiên trên
Internet, và các máy tính trên cùng mạng LAN. Do được mã hóa theo thuật toán RSA
2048-bit rất phức tạp, tính đến thời điểm hiện tại, gần như không có một cách nào để giải
mã các file đã bị WannaCry mã hóa. Cách duy nhất để người dùng lấy lại dữ liệu là trả
tiền cho hacker từ 300 tới 600 Euro bằng bitcoin, tuy nhiên biện pháp này vẫn không đảm
bảo do hacker hoàn toàn có thể "trở mặt"[3].
Khi lây nhiễm vào một máy tính mới, WannaCry sẽ liên lạc với một địa chỉ web từ xa và
chỉ bắt đầu mã hóa các tập tin nếu nó nhận ra địa chỉ web đó không thể truy cập được.
Nhưng nếu nó có thể kết nối được, WannaCry sẽ tự xóa bản thân – một chức năng có thể
đã được cài đặt bởi người tạo ra nó như một "công tắc an toàn" trong trường hợp phần
mềm trở nên không kiểm soát được.

Khi được cài đặt vào máy tính, WannaCry sẽ tìm kiếm các tập tin (thông thường là các
tập tin văn bản) trong ổ cứng và mã hóa chúng, sau đó để lại cho chủ sở hữu một thông
báo yêu cầu trả tiền chuộc nếu muốn giải mã dữ liệu. Mã độc WannaCry khai thác lỗ
hổng của hệ điều hành Windows mà Cơ quan An ninh Quốc gia Mỹ (NSA) đã nắm giữ.
Tội phạm mạng đã sử dụng chính những công cụ của NSA để phát tán và lây lan mã
độc[5].
Khi bị nhiễm mã độc WannaCry, người dùng sẽ khó phát hiện, cho đến khi nhận được
thông báo cho biết máy tính đã bị khóa và các tập tin đã bị mã hóa. Để khôi phục dữ liệu,
người dùng cần phải trả một khoản tiền ảo Bitcoin trị giá khoảng 300 USD cho kẻ tấn
công. Sau 3 ngày chưa thanh toán, mức tiền chuộc sẽ tăng lên gấp đôi và sau thời hạn 7
ngày, dữ liệu của người dùng sẽ bị mất. Màn hình của máy tính bị nhiễm WannaCry sẽ
12


hiển thị đầy đủ thông tin để người dùng thanh toán, chạy đồng hồ đếm ngược thời gian và
được thể hiện bằng 28 ngôn ngữ khác nhau[5].
- Hậu quả:
Cuộc tấn công mã độc tống tiền ảnh hưởng đến nhiều bệnh viện NHS ở Anh]. Vào ngày
12 tháng 5, một số dịch vụ NHS đã phải từ chối những trường hợp khẩn cấp không trầm
trọng lắm, và một số xe cứu thương phải đi nơi khác. Vào năm 2016, hàng ngàn máy tính
trong 42 ủy thác NHS riêng biệt ở Anh được báo cáo vẫn đang chạy Windows XP. Nissan
Motor Manufacturing UK, Tyne and Wear, một trong những nhà máy sản xuất ô tô hiệu
quả nhất của Châu Âu đã ngừng sản xuất sau khi ransomware này nhiễm vào một số hệ
thống của họ. Renault cũng ngừng sản xuất tại một số địa điểm trong một nỗ lực để ngăn
chặn sự lây lan của ransomware. Hơn 1.000 máy tính tại Bộ Nội vụ Nga, Bộ Khẩn cấp
Nga và công ty viễn thông của Nga MegaFon, cũng bị nhiễm[3].
Theo thống kê của BBC, số máy tính bị ảnh hưởng bởi mã độc tống tiền (ransomware) đã
lên đến 300.000 máy, tại 150 quốc gia. Con số trên được dự báo vẫn đang và sẽ tiếp tục
tăng.
Theo dự đoán, tin tặc có thể bỏ túi hơn 1 tỷ USD từ nạn nhân trên khắp thế giới trước khi

thời hạn đòi tiền chuộc kết thúc.
Những cái tên nổi tiếng chịu tác động từ cuộc tấn công này bao gồm gã khổng lồ vận tải
FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga.
Châu Á cũng ghi nhận nhiều trường hợp lây nhiễm ransomware, trong đó đánhg chú ý là
việc sinh viên các trường đại học không thể truy cập vào bài tiểu luận và giấy tờ quan
trọng khác phục cho kỳ thi tốt nghiệp.
Trên bình diện quốc tế, hơn 45.000 cuộc tấn công được ghi nhận tại 99 quốc gia. Theo
công ty an ninh mạng Kaspersky Lab, Nga là nước chịu ảnh hưởng nặng nề nhất, tiếp đến
là Ukraina, Ấn Độ và Đài Loan.

13


Ít nhất 45 bệnh viện ở Anh và các cơ sở y tế khác phải chịu tổn thất lớn, cản trở hoạt động
thăm khám, chữa trị cho bệnh nhân. Thậm chí, nhiều trường hợp đã phải chuyển tới khu
vực khác. Thủ tướng Theresa May lên tiếng khẳng định, chưa tìm thấy bất kỳ dấu hiệu
nào chứng tỏ dữ liệu của bệnh nhân bị đánh cắp.
Đến thứ Bảy (13/5/2017), giới chức Anh cho biết có 48 trên tổng số 248 cơ sở y tế công
(chiếm gần 20%) bị tấn công. Trong đó, 42 trung tâm, bệnh viện đã khắc phục sự cố để
trở lại hoạt động bình thường. Trong tương lai, những loại mã độc như vậy có thể giết
chết con người.
Một số trường hợp khác cũng ghi nhận tình trạng lây nhiễm, nhưng không làm gián đoạn
hoạt động như Công ty vận tải Đức Deutsche Bahn, Hãng viễn thông Tây Ban Nha
Telefónica và Nhà sản xuất ôtô Pháp Renaut.
Bộ Nội vụ Nga xác nhận 1.000 máy tính của họ bị tấn công.
Công ty bảo mật trực tuyến Trung Quốc Qihoo 360 đưa ra cảnh báo về phần mềm tống
tiền, đồng thời cho hay, nhiều máy tính nước này đã nhiễm ransomware, trong đó có
những hệ thống đang sử dụng tiền ảo Bitcoin.
2.4. Mã độc đào tiền ảo lây lan qua Facebook Messenger (đe dọa đối với kênh truyền
thông)

Mã độc đào tiền ảo lây lan qua Facebook Messenger( FacexWorm)
FacexWorm không phải là hình thức tấn công mới. Nó đã được phát hiện vào tháng 8
năm 2017, mặc dù các nguyên tắc hoạt động và mục tiêu tấn công của nó vẫn chưa rõ
ràng vào thời điểm đó. Tuy nhiên, ngày 8 tháng 4 vừa qua, Trend Micro nhận thấy có sự
tăng đột biến các hoạt động của FacexWorm ở Đức, Tunisia, Nhật Bản, Đài Loan, Hàn
Quốc và Tây Ban Nha.
Các nhà nghiên cứu bảo mật từ hãng Trend Micro vừa phát đi cảnh báo về một loại mã
độc mới đang phát tán qua Facebook Messenger nhắm đến đối tượng là những người có
tham gia chơi tiền ảo nhằm đánh cắp tài khoản của họ.
14


- Khái niện FacexWorm:
FacexWorm là một bản sao của tiện ích mở rộng thông thường trên Chrome, nhưng được
gắn đoạn mã ngắn của chính nó. FacexWorm sẽ tải xuống mã JavaScript bổ sung từ máy
chủ C&C khi trình duyệt được mở. Mỗi lần nạn nhân mở một trang web mới,
FacexWorm sẽ truy vấn máy chủ C&C của nó để tìm và truy xuất một mã JavaScript
khác (được lưu trữ trên kho dữ liệu Github), sau đó thực thi các hành động trên trang web
đó[6].
- Cách thức tấn công:
Mã độc này núp bóng dưới dạng một tiện ích mở rộng của trình duyệt Chrome.
FacexWorm hoạt động bằng cách gửi liên kết qua Facebook Messenger tới bạn bè của tài
khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến phiên bản giả mạo của các
trang web phát trực tuyến video phổ biến như YouTube.
Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển
hướng nạn nhân đến trang YouTube giả mạo. Tiếp đó, người dùng được khuyến khích tải
xuống tiện ích mở rộng kiểu như một chương trình giải mã để Chrome tiếp tục phát
video.
Nếu người dùng làm theo, FacexWorm sẽ được cài đặt vào máy và nó sẽ tự động tải
xuống thêm nhiều thành phần khác từ máy chủ điều khiển từ xa để thực hiện các yêu cầu

của kẻ tấn công.
- Cơ chế Persistence:
FacexWorm thực hiện một cơ chế để ngăn chặn nạn nhân loại bỏ phần mở rộng độc hại
này khỏi trình duyệt. Nếu FacexWorm phát hiện thấy người dùng đang mở trang tiện ích
của Chrome thông qua đường dẫn “chrome: // extensions /”, nó sẽ ngay lập tức đóng tab
đã mở. Hành vi này ngăn chặn người dùng truy cập vào địa chỉ trang quản lý của
Chrome, hình thức này cũng được sử dụng bởi các tiện ích mở rộng khác như botnet
DroidClub(mặc dù DroidClub không đóng tab mà thay thế bằng trang quản lý giả).
15


- Hình thức tấn công cụ thể:
Dưới đây là những hành động gây nguy hiểm của FacexWorm[7]:


Ăn cắp thông tin đăng nhập tài khoản của người dùng trên Google, MyMonero và

Coinhive: Khi FacexWorm phát hiện trang đăng nhập của web đang mở, nó sẽ chèn vào
hàm để gửi thông tin đăng nhập tới máy chủ C&C sau khi người dùng điền biểu mẫu và
nhấp nút đăng nhập.


Lừa đảo tiền điện tử: Khi FacexWorm phát hiện người dùng đang truy cập vào bất

kỳ nền tảng giao dịch tiền điện tử nào mà tin tặc nhắm vào hoặc trong từ khóa xuất hiện
các từ như “blockchain”, “eth-” hoặc “ethereum” trong URL, nó sẽ chuyển hướng nạn
nhân đến trang web lừa đảo. Tại đây, tin tặc sẽ lừa người dùng gửi 0,5 – 10 ether (ETH)
đến địa chỉ ví điện tử của kẻ tấn công nhằm mục đích xác minh và hữa sẽ gửi lại 5 – 100
ETH. Người dùng có thể bỏ qua điều này bằng cách đóng tab và mở lại trang đó để khôi
phục quyền truy cập bình thường và trang web gốc. Điều này là do tiện ích mở rộng độc

hại thiết lập dấu thời gian trong cookie ngăn việc chuyển hướng đến trang lừa đảo trong
vòng một giờ. Tuy nhiên, chuyển hướng sẽ tiếp tục nếu trang web nằm trong danh sách
quan tâm của FacexWorm được truy cập lại. May mắn thay, Trend Micro vẫn chưa tìm
thấy bất kỳ ai đã gửi ETH đến địa chỉ của kẻ tấn công.


Sử dụng thiết bị để đào tiền ảo: FacexWorm cũng đưa một trình khai thác (miner)

JavaScript vào các trang web được mở bởi nạn nhân. Trình khai thác tiền ảo là một tập
lệnh Coinhive được kết nối với kẻ tấn công. Sau khi tập lệnh được cài đặt, trình khai thác
được thiết lập sẽ sử dụng 20% công suất CPU của hệ thống trong mỗi luồng và mở 4
luồng để khai thác tiền ảo trên trang web.


Tấn công các giao dịch liên quan đến tiền điện tử Hijack: Khi nạn nhân mở trang

giao dịch trên một trang web có liên quan đến tiền điện tử, FacexWorm định vị địa chỉ
truy cập web và thay thế nó bằng trang khác được chỉ định bởi kẻ tấn công.
FacexWormthực hiện điều này trên các nền tảng giao dịch Poloniex, HitBTC, Bitfinex,
Ethfinex, Binance và ví Blockchain.info. Các đồng tiền ảo bị nhắm mục tiêu bao gồm
16


Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), ETH,
Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) và Monero
(XMR).


Kiếm tiền từ các chương trình giới thiệu liên quan đến tiền điện tử: Nếu nạn nhân


truy cập một trang web nằm trong danh sách nhắm tới, FacexWorm sẽ chuyển hướng
trang đó đến trang liên kết với nội dung giới thiệu được kẻ tấn công tạo sẵn. Kẻ tấn công
sẽ gửi một khuyến khích nhằm lừa nạn nhân đăng ký một tài khoản. Các trang web nằm
trong danh sách mục tiêu bao gồm Binance, DigitalOcean, FreeBitco.in, FreeDoge.co.in
và HashFlare.
- Hậu quả:
Theo thống kê các giao dịch bằng hình thức tấn công tiền điện tử khi kiểm tra các địa chỉ
giả mạo (cho đến ngày 19 tháng 4), Trend Micro thấy rằng chỉ có một giao dịch Bitcoin
trị giá 2,49 USD bị tấn công. Và không thể thống kê số tiền tin tặc kiếm được từ việc khai
thác tiền ảo thông qua trang web người dùng truy cập.
Tại Việt Nam:
Theo Cục An toàn thông tin, ngày 19/12/2017 nhiều người dùng sử dụng ứng dụng
Facebook Messenger tại Việt Nam đã trở thành nạn nhân của một loại mã độc được cho
là sử dụng để đào tiền ảo. Mã độc này lây lan bằng cách gửi đi một tập tin tên là
video_xxx.zip (trong đó xxx là các số ngẫu nhiên)[8].
Đây là một tập tin nén trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập
tin thực thi của hệ điều hành Windows. Tuy nhiên người dùng thông thường lại nhầm
tưởng là tập tin Video (mp4) nên dễ dàng tin tưởng mở tập tin.
Cục An toàn thông tin cho biết, loại mã độc này khi lây nhiễm vào máy tính người dùng
sẽ thực hiện những hoạt động sau: Mã độc tự động tải và cài đặt một số tập tin độc hại:
7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid (với các mẫu mã độc
khác nhau, tên miền này có thể thay đổi).
17


Mã độc sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng
(extension) độc hại và tự động cài đặt tiện ích mở rộng này này vào trình duyệt Chrome.
Đồng thời, mã độc này không cho người dùng truy cập vào phần quản lý tiện ích mở rộng
của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử
dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo.

Theo các chuyên gia an toàn thông tin, những người dùng trình duyệt Chrome là đối
tượng chính của mẫu mã độc này. Không loại trừ khả năng trong thời gian tới sẽ xuất
hiện các mẫu mã độc nhằm vào các trình duyệt khác. Thông qua các biện pháp kỹ thuật
xác định được tác giả của mẫu mã độc này có thể đang sử dụng địa chỉ email có tên miền
là kadirgun.com.
- Phương pháp ngăn ngừa giảm thiểu thiệt hại:
Mặc dù kẻ tấn công sẽ cố gắng tải các tiện ích mở rộng FacexWorm mới lên Google
Chrome, Trend Micro nhận thấy rằng chúng vẫn sẽ bị xóa khỏi cửa hàng. Trend Micro
thấy rằng Facebook Messenger có thể phát hiện các liên kết độc hại, sử dụng kỹ thuật
“phi công nghệ” và ngăn chặn hành vi lan truyền của tài khoản bị ảnh hưởng. Với các kỹ
thuật lây lan của FacexWorm, những hành động này sẽ giúp giảm thiêu tác động của nó.
Người dùng cũng nên tạo thói quen sử dụng các biện pháp bảo vệ để tránh bị tin tặc tấn
công.
Trend Micro đã gửi các phát hiện mới nhất này cho Facebook, mạng xã hội lớn nhất thế
giới và đang có mối quan hệ đối tác với chúng tôi. Facebook đã chia sẻ những nỗ lực để
chống lại các mối đe dọa như FacexWorm: “Chúng tôi duy trì một số hệ thống tự động để
giúp ngăn chặn các liên kết và tệp độc hại xuất hiện trên Facebook và trong Messenger.
Nếu chúng tôi nghi ngờ máy tính của bạn bị nhiễm phần mềm độc hại, chúng tôi sẽ cung
cấp cho bạn dịch vụ quét virus miễn phí từ các đối tác tin cậy của chúng tôi như Trend
Micro. Chúng tôi chia sẻ các mẹo về cách giữ an toàn và liên kết với các máy quét này
trên facebook.com/help.”

18


Chrome Web Store đã xóa nhiều tiện ích mở rộng độc hại trước khi được các nhà nghiên
cứu Trend Micro thông báo, nhưng tin tặc tiếp tục đăng tải chúng lên lại. Facebook
Messenger cũng nỗ lực ngăn chặn các liên kết độc hại và khóa những tài khoản bị ảnh
hưởng.
Nhưng việc ngăn chặn vấn nạn spam Facebook chỉ có thể hiệu quả trong trường hợp

người dùng nâng cao cảnh giác khi thấy những đường dẫn đáng nghi ngờ.
Cục An toàn thông tin khuyến nghị: cảnh giác và không mở các tập tin hay đường dẫn lạ
được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác (ví dụ:
Viber, Zalo, thư điện tử, …).
Đối với người dùng đã bị lây nhiễm cần cài đặt và cập nhật các phần mềm phòng, chống
mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc.
Nếu nhận được các thông tin (tập tin hoặc đường dẫn) lạ, có thể thông báo hoặc gửi thông
tin về Cục An toàn thông tin để tổng hợp và phân tích, cảnh báo khi có những dấu hiệu,
nguy cơ tấn công mạng mới.
2.5. Vụ vi phạm dữ liệu của Yahoo xảy ra vào tháng 8/2013 (đe dọa đối với cơ sở dữ
liệu)
Năm 2015, Yahoo công bố tổng doanh thu đạt 4,9 tỷ USD, lỗ tới 4,4 tỷ USD. Còn trong
quý gần đây nhất thì gã khổng lồ này cho biết tiếp tục lỗ 440 triệu USD. Đỉnh điểm, vụ
tấn công mạng lịch sử nhằm vào Yahoo đã gây tổn thất rất lớn, vụ tấn công đã làm lộ
thông tin của 3 tỷ người dùng. Các vụ vi phạm dữ liệu đã ảnh hưởng đến thương vụ 4,48
tỷ USD của Verizon mua lại Yahoo, dẫn Yahoo phải giảm giá đàm phán mua lại lên đến
350 triệu USD, còn ở mức còn 4,48 tỷ USD[9].
- Nguyên nhân:
Có thể nói, nguyên nhân chủ yếu dẫn tới cuộc tấn công lịch sử là do hệ thống bảo mật của
Yahoo được mã hóa dễ dàng. Ngoài ra, các câu hỏi bảo mật và các tài khoản email sao
lưu đã làm cho nó dễ bị tấn công mạng.
19


Yahoo đã sử dụng công nghệ mã hóa kém hiệu quả là MD5, các hacker và chuyên gia bảo
mật đều đã biết đến sự yếu kém của MD5 suốt hơn một thập niên trước đó. MD5 có thể
bị bẻ gãy dễ dàng hơn nhiều so với các thuật toán mã hóa "hashing" khác (những thuật
toán biến các dữ liệu thành những chuỗi ký tự trông có vẻ ngẫu nhiên). Thông tin dữ liệu
của khoảng 204 triệu người dùng Yahoo thường xuyên là một con mồi lớn cho các
hacker.

Dù thừa nhận vẫn đang sử dụng MD5 vào thời điểm bị tấn công năm 2013, nhưng Yahoo
bác bỏ quan điểm cho rằng hãng quá "tiết kiệm" về mặt bảo mật. Tuy nhiên, các cựu nhân
viên bảo mật của Yahoo tố cáo, đội ngũ bảo mật của công ty nhiều lần bị ban lãnh đạo từ
chối khi yêu cầu các công cụ và tính năng mới nhằm tăng cường hiệu quả mã hóa, với lý
do các yêu cầu này quá tốn kém, quá phức tạp hay đơn giản không phải là ưu tiên hàng
đầu vào thời điểm đó.
- Cách thức tấn công:
Dựa vào điểm yếu của hệ thống bảo mật, hacker gửi đường link độc hại giả mạo 1 trang
web hợp pháp cho người dùng.khi họ nhập thông tin vào trang web đó thì họ sẽ bị đánh
cắp thông tin.
- Diễn biến:
“Vào mùa hè năm 2013, Yahoo giới thiệu một dự án nhằm giúp đảm bảo an toàn hơn cho
mật khẩu người dùng bằng việc loại bỏ công nghệ mã hóa dữ liệu MD5 vốn đã bị nhiều
chỉ trích vì khả năng bảo mật kém. Vào tháng 8 cùng năm, hacker đã nắm được hơn 1 tỷ
tài khoản người dùng của công ty, đánh cắp mật khẩu và các thông tin khác. Đây được
đánh giá là vụ hack lớn nhất trong lịch sử. Một giả thiết được đặt ra là nếu hãng từ bỏ
MD5 sớm hơn, vụ tấn công ăn cắp dữ liệu có thể đã không xảy ra. Yahoo đã tỏ ra chậm
chân khi mà hacker và các chuyên gia bảo mật đã thuộc "nằm lòng" điểm yếu của MD5
cả hàng thập kỷ. Năm 2008, tức 5 năm trước khi dự án tăng cường bảo mật của Yahoo ra
mắt, Viện Kỹ sư phần mềm của trường Carnegie Mellon đã cho phát đi một khuyến cáo
rằng "MD5 nên được xem là công nghệ mã hóa đã hết thời và không còn phù hợp để sử
20


dụng". Sự chậm chạp của Yahoo trong việc loại bỏ kịp thời MD5 là một ví dụ cho thấy
Yahoo gặp phải nhiều vấn đề về hoạt động bảo mật ở vào thời điểm hãng đang phải vật
lộn với hàng loạt khó khăn trong kinh doanh. Đây là nhận định của 5 cựu nhân viên công
ty và một số chuyên gia bảo mật bên thứ ba[10]. Công nghệ bảo mật bằng mã hash mạnh
mẽ hơn đáng ra phải được Yahoo áp dụng sớm, bởi nó có thể ngăn chặn được các vụ tấn
công; hoặc trong trường hợp bị hacker tấn công, thiệt hại cũng sẽ không phải là quá lớn.

“"Ở trước cả thời điểm năm 2013 một thời gian dài, MD5 được xem là đã 'chết'. Hầu hết
các doanh nghiệp trước đó đã chuyển qua dùng thuật toán băm an toàn hơn" - David
Kennedy, CEO của hãng bảo mật TrustedSec LLC cho biết. Dựa vào điểm yếu của hệ
thống bảo mật,hacker gửi đường link độc hại giả mạo 1 trang web hợp pháp cho người
dùng.khi họ nhập thông tin vào trang web đó thì họ sẽ bị đánh cắp thông tin[9]
- Hậu quả:
Sau vụ tấn công lịch sử, hơn 3 tỷ thông tin tài khoản người dùng bị đánh cắp từ các tài
khoản Yahoo bị ảnh hưởng bao gồm tên, địa chỉ email, số điện thoại, ngày sinh, mật khẩu
và cả câu hỏi, câu trả lời bảo mật được mã hóa và không được mã hóa. Các thông tin mật
khẩu "sạch," tài khoản ngân hàng và thông tin thẻ tín dụng / thẻ ghi nợ không được cho là
bị truy cập trong cuộc tấn công.
Cùng với vụ tấn công vào năm 2013, Yahoo còn gặp phải một sự vi phạm dữ liệu khác
trong năm 2014, gây tổn hại đến 500 triệu tài khoản và các vi phạm lớn thứ ba trong năm
2015 và 2016. Yahoo đã bị Ủy ban Chứng khoán và Hối đoái Mỹ (SEC) điều tra vì không
tiết lộ thông tin vi phạm dữ liệu sớm hơn và những nạn nhân bị ảnh hưởng được quyền
kiện công ty này. Sau đó, “Yahoo đã phải đối mặt với hơn 40 vụ kiện tiêu chuẩn hành
động của người tiêu dùng tại các tòa án Hoa Kỳ có liên quan đến vi phạm đó”[11].Các vụ
vi phạm dữ liệu đã ảnh hưởng đến thương vụ 4,48 tỷ USD của Verizon mua lại Yahoo,
dẫn Yahoo phải giảm giá đàm phán mua lại lên đến 350 triệu USD, còn ở mức còn 4,48
tỷ USD.

21


CHƯƠNG 3: PHƯƠNG PHÁP ĐÁNH GIÁ VÀ 1 SỐ GIẢI PHÁP ĐỐI PHÓ
3.1. Đánh giá WannaCry theo mô hình DREAD
Damage potential (thiệt hại tiềm ẩn):
WannaCry là một dạng chương trình chứa mã độc tống tiền (ransomware) mà khi máy
tính bị nhiễm virus này nó sẽ mã hoá toàn bộ các tệp dữ liệu (file trong máy tính) như văn
bản, âm thanh, hình ảnh, và nhiều loại file tài liệu khác thông dụng… sau đó hiện lên

thông báo đòi tiền chuộc[12].
WannaCry sử dụng một chìa mã hóa riêng để mã hóa các dữ liệu mà chỉ những kẻ tấn
công mới biết. Nếu tiền chuộc không được thanh toán, dữ liệu sẽ bị mất mãi mãi.
Khi chiếm được một máy tính, kẻ tấn công thường tìm mọi cách để người dùng tiếp cận
được yêu cầu của chúng. WannaCry sẽ thay thế hình nền, tự mở cửa sổ hướng dẫn cụ thể
cách thức trả tiền để khôi phục các tập tin. Thậm chí, hướng dẫn này còn được dịch đầy
đủ sang ngôn ngữ của hầu hết các nước. Số tiền thường được đòi là từ 300 đến 500 USD.
Giá có thể tăng lên gấp đôi nếu tiền chuộc không được thanh toán sau 3 ngày. Trong
trường hợp của WannaCry, kẻ gian đòi tiền chuộc bằng bitcoin, một loại tiền ảo nên rất
khó để các cơ quan pháp luật nắm bắt.
Điều đáng nói là không có gì đảm bảo rằng sau khi bạn gửi tiền chuộc theo hướng dẫn
của virus thì sẽ nhận được mã giải khóa và không tái nhiễm về sau.
Reproducibility (Lặp lại):
Mức độ lặp lại tấn công rất dễ dàng, người dùng chỉ cần vô tình hoặc cố ý click vào 1
đường link không rõ nguồn gốc, hoặc mở 1 email lạ.
Chạy các chương trình, phần mềm không rõ nguồn gốc chứa mã virus WannaCry.
Đặc biệt, virus tự quét (scan địa chỉ IP) các máy tính trong cùng mạng nội bộ (tiếng Anh
gọi là LAN) trong đó bao gồm máy tính của bạn để phát hiện lỗ hổng bảo mật và lây
nhiễm vào máy tính của bạn ngay cả khi bạn không thực hiện các hành động ở trên, miễn
là máy tính của bạn đang bật và có kết nối mạng nội bộ với máy tính đã nhiễm virus này.
22


Exploitability (khai thác lỗ hổng):
Cơ chế của ransomware Wanna Crypt (Wanna Cry) khá đơn giản nó khai thác những lỗ
hổng bảo mật trên hệ điều hành windows được các cơ quan NSA ( An ninh của Mỹ ) nắm
giữ và sử dụng NSA như một công cụ để lây lan mã độc[3].
Nguy hiểm ở virus Wanna Cry chính là có khả năng lây lan trên những máy tính ngang
hàng nhau. Tức là khi một máy tính bị lây nhiễm Wanna Cry, nó sẽ quét toàn bộ những
máy tính cùng mạng với chiếc máy bị nhiễm virus xem chiếc máy nào chứa lỗ hổng

EternalBlue của dịch vụ SMB. Ngay sau khi tìm được nạn nhân tiếp theo con virus này sẽ
tự động lây lan vào máy có lỗ hổng đó mà không cần người dùng thao tác.
WannaCry có 2 cách thức lây lan chính[5]:
Cách 1: Phát tán qua phương thức thông thường là đính kèm vào các bản “bẻ khóa” của
phần mềm rồi chia sẻ lên các trang web có nhiều người truy cập. Mục đích là để người
dùng tải về và kích hoạt hoặc truy cập vào các trang web độc hại để lây nhiễm mã độc.
Về mặt kỹ thuật, WannaCry phát tán qua các mạng lưới phát tán mã độc và bộ khai thác
Exploit Kit.
Cách 2: Lây lan qua mạng LAN bằng cách khai thác các lỗ hổng EternalBlue của dịch vụ
SMB mà NSA phát triển bí mật, nhưng sau đó đã bị nhóm tin tặc ShadowBroker đánh
cắp và phát hành công khai. Cách này đã làm cho WannaCry lây lan một cách nhanh
chóng trên toàn thế giới.
Affected users (người bị ảnh hưởng):
Theo TheHackerNew thì đến hết ngày 13/5 nhóm hacker này đã làm chủ 200.000 hệ
thống máy tính và thu về 30.000 USD tiền chuộc.
Các cơ sở y tế ở Anh chịu thiệt hại lớn nhất bởi cuộc tấn công này. Hầu hết các bệnh viện
lớn thuộc Sở y tế quốc gia Anh cho tới những bệnh viện hàng đầu tại London đều điêu
đứng hay ngừng hoạt động như St Bartholomew, The Royal London, tập đoàn Barts.
Theo thống kê ngày 14/5 đã có ít nhất tới 48/248(chiếm gần 20%) cơ sở y tế, bệnh viện
23


lớn tại Anh phải chịu hậu quả của cuộc tấn công này. Toàn bộ hệ thống máy tính, điện
thoại, thiết bị phẫu thuật đều ngừng hoạt động, tất cả hoạt động thăm khám, chữa trị đều
phải tạm dừng, bệnh nhân phải chuyển sang bệnh viện khác[5].
Bộ nội vụ Nga cũng phải chịu thiệt hại không hề nhỏ. Theo thông tin chính xác của báo
Vnexpress thì có khoảng 1.000 máy tính bị phá hủy. Công ty Viễn thông Nga MegaFon
cũng là nạn nhân của bọn hacker Shadow Brokers, công ty đã phải tắt mạng nội bộ công
ty để ngăn chặn cuộc tấn công[13].
Trung Quốc là nước thứ 3 chịu ảnh hưởng nặng nề từ cuộc tấn công mạng này. Theo kết

quả điều tra của báo điện tử VTC News thì toàn bộ hệ thống ATM của các ngân hàng đã
bị tê liệt cùng dòng thông báo khoản tiền chuộc là bao nhiêu từ nhóm hacker.
Hệ thống máy tính ở các công ty lớn nhỏ của Trung Quốc cũng không ngoại lệ, nhiều
trạm xăng dầu tại Trùng Khánh, Thượng Hải, Bắc Kinh, Thành Đô tê liệt hoàn toàn. Đặc
biệt Trung Quốc là quốc gia đầu tiên có Iphone 6 bị mã độc WannaCry tấn công[13].
Như vậy cuộc tấn công của Virus WannaCry ở Trung Quốc là toàn diện và tập trung nhất
vào các hệ thống ít được mọi người sử dụng như các hoạt động thanh toán và tiện ích.
Các nước Châu Á cũng đang phải đối mặt với cuộc tấn công này, đặc biệt là các trường
Đại học bị ảnh hưởng lớn vì hệ thống máy tính thư viện hay các lớp học không hoạt động
được. Theo Kaspersky thì Việt Nam là một trong 20 nước có thiệt hại nặng nề nhất do
cuộc tấn công của loại virus độc hại này.
Theo Europol, đây là vụ tấn công với quy mô lớn chưa từng có. Ransomware đã tấn công
vào nhiều bệnh viện thuộc hệ thống chăm sức sức khỏe ở Anh và Scotland (NHS), có tới
70.000 thiết bị từ máy tính, máy quét MRI, tủ chứa máy dự trữ và các công cụ đã bị lây
nhiễm. Các báo cáo cho rằng trên toàn cầu có hơn 250.000 máy tính nói chung bị nhiễm
mã độc. Ngày 12/5, nhiều dịch vụ của NHS đã phải tắt đi các thiết bị không quan
trọng[14].

24


Nhiều công ty ở Châu Âu và Mỹ cũng bị ảnh hưởng, trong đó có nhiều cái tên lớn như
FedEx, Deutsche Bahn, LATAM Airlines. Nhà máy sản xuất của Nissan tại Anh đã phải
dừng sản xuất sau khi WannaCry lây vào một số hệ thống của công ty. Renault cũng phải
đưa ra động thái tương tự. Có khoảng 99 quốc gia bị đánh và vẫn còn đang tiếp tục lây
lan nhanh. Tình hình có thể đã tệ hơn nếu kill switch trong WannaCry đời đầu không bị
vô tình phát hiện. Tại Việt Nam, một số công ty và máy tính cá nhân cũng đã bị
WannaCry lây nhiễm vào[14].
Discoverability (khả năng phát hiện):
Sẽ không một ai biết được máy tính của mình đã nhiễm virus Wanna Cry cho đến khi nó

gửi cho bạn một thông báo rằng máy tính đã bị vô hiệu hóa và không thế truy cập được.
Nếu bạn muốn hoàn toàn bình an vô sự đối với những dữ liệu trong máy tính, bắt buộc
bạn phải trả cho hacker khoảng 300 USD thông qua bitcoin ( tiền ảo )

Rating
High (3)
D

(Damage potential)
R
(Reproducibility)
E
(Exploitability)
A

Affected users
D
Discoverability

Medium (2)

Low (1)






3.2. Các giải pháp đối phó
Đối với cá nhân:

- Thực hiện cập nhật hệ điều hành Windows đang sử dụng. Riêng đối với các máy tính sử
dụng Windows XP, sử dụng bản cập nhật mới nhất dành riêng cho phiên bản này, hoặc
tìm kiếm theo từ khóa bản cập nhật KB4012598 trên trang chủ của Microsoft.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×