Cảnh báo các hệ thống lớn sau vụ tin tặc tấn công Vietnam Airlines
Cuộc tấn công mạng vào sân bay Nội Bài, Tân Sơn Nhất là có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng và phát động tấn công đồng loạt
Cuộc tấn công mạng vào công tác phục vụ bay của các sân bay quốc tế Nội Bài, Tân Sơn Nhất chiều 29/7 là có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng và phát động tấn công đồng loạt.
Thông tin trên Hiệp hội An toàn thông tin Việt Nam (VNISA) cho biết trong thông cáo phát đi chiều tối 1/8.
Theo VNISA, cuộc tấn công vào hệ thống thông tin ngành hàng không được chuẩn bị công phu (sử dụng mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị.
Hiệp hội này cũng cho rằng, đến thời điểm hiện tại, có thể khẳng định cuộc tấn công vào hệ thống Vietnam Airlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29/7/2016.
“Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014. Tuy nhiên, mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus)”, thông cáo của VNISA cho biết.
Tuy nhiên, theo VNISA, những dấu vết để lại hiện trường chưa đủ cơ sở để kết luận chính xác đối tượng tấn công là ai. Tuy nhiên có thể khẳng định đối tượng am hiểu hệ thống công nghệ thông tin của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống.
VNISA cho biết, cùng với các cơ quan chức năng, các thành viên VNISA cùng với đội ngũ chuyên gia an ninh mạng của nhiều đơn vị, tổ chức ở Việt Nam vào cuộc đã bước đầu xác định được tác nhân chính (mã độc) phá hoại hệ thống, xác định cửa hậu backdoor đã bị khai thác từ khá lâu trước thời điểm phát động tấn công.
Ngoài ra, đội ngũ chuyên gia cũng đưa ra các phương án xử lý mã độc, khôi phục hoạt động hệ thống và từng bước đánh giá đề xuất các giải pháp ngăn chặn sự cố tương tự có thể xảy ra trong tương lai, tìm hiểu rà soát tổng thể hệ thống.
Hiệp hội An toàn thông tin Việt Nam cảnh báo, các hệ thống thông tin tương tự Vietnam Airlines như hệ thống đảm bảo hạ tầng điện nước; hệ thống quản lý nhà nước có ứng dụng công nghệ như hải quan, thuế, tài chính ngân hàng, dịch vụ công điện tử; giao thông vận tải và cấp thoát nước; các hệ thống viễn thông… cần được rà soát qua nhằm tăng cường khả năng phát hiện sớm mã độc đang âm thầm hoạt động thông qua các hành vi bất thường.
Hiệp hội này lưu ý các đơn vị, tổ chức, doanh nghiệp trong trường hợp phát hiện hệ thống công nghệ thông tin có dấu hiệu bị tấn công thì cần thực hiện một số bước cơ bản như sau:
- Ghi nhận và cung cấp các hiện tượng, dấu hiệu ban đầu cho đơn vị chuyên trách xử lý sự cố an ninh thông tin. Ví dụ: chụp màn hình thể hiện hệ thống bị nhiễm mã độc, thu thập log và gửi cho đội ngũ chuyên gia.
- Nhanh chóng cách ly hệ thống có dấu hiệu bị tấn công, đồng thời giữ nguyên hiện trường hệ thống đang bị nhiễm, tạm thời sử dụng hệ thống máy chủ dự phòng cho các hệ thống chính.
- Tiến hành thay đổi mật khẩu toàn hệ thống, đặc biệt là các hệ thống quan trọng như domain, cơ sở dữ liệu, ứng dụng core… . Backup dữ liệu mới nhất sang các bộ lưu trữ ngoài.
- Liên lạc ngay với đơn vị chuyên trách xử lý sự cố an toàn thông tin như Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Hiệp hội VNISA, Cục An ninh mạng (Bộ Công an)...