ANM 15/6: NATO thông qua Chính sách Phòng thủ Mạng mới , quyết tâm ngăn chặn toàn bộ các mối đe dọa
Ngày 14/6, trong Hội nghị Thượng đỉnh được tổ chức tại Brussels, các quốc gia thuộc Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) đã thông qua Chính sách Phòng thủ Mạng mới, quyết tâm sử dụng đầy đủ các khả năng vào mọi thời điểm để chủ động ngăn chặn, phòng thủ và đối phó toàn bộ các mối đe dọa mạng, bao gồm các hoạt động được tiến hành như một phần của chiến dịch hỗn hợp.
Theo chiến lược mới, một cuộc tấn công mạng cũng có thể kích hoạt điều khoản phòng thủ chung của liên minh. NATO khẳng định, các đồng minh công nhận tác động của các hoạt động tấn công mạng, trong một số trường hợp nhất định, có thể được coi là tương đương với một cuộc tấn công vũ trang. Các quốc gia thành viên NATO cũng nhất trí sử dụng NATO như một nền tảng chia sẻ thông tin về các lo ngại an ninh mạng quốc tế, và tiếp tục cải thiện khả năng phòng thủ mạng của tổ chức này.
Cùng ngày, Lindy Cameron, Giám đốc Điều hành Trung tâm An ninh mạng Quốc gia Anh (NCSC) nhận định mã độc tống tiền là một trong những mối đe dọa an ninh mạng chính mà Anh phải đối mặt, và khẳng định các nhóm tội phạm đứng sau các mã độc này đang trở nên nguy hiểm hơn.
Bà Cameron cho biết NCSC cam kết giải quyết mối đe dọa mã độc tống tiền và sẽ hỗ trợ các nạn nhân của loại mã độc này, đồng thời khẳng định cần có phản ứng phối hợp để giải quyết mối đe dọa ngày càng tăng này. Bà cho rằng, tội phạm mạng sử dụng mã độc tống tiền được tạo điều kiện bởi các quốc gia không có động thái trừng phạt các hành vi này. Bà khẳng định, có thể chống lại mã độc tống tiền bằng cách kết hợp các nỗ lực của chuyên gia an ninh mạng, chính phủ và hợp tác quốc tế rộng rãi hơn.
Trong một diễn biến khác, Microsoft ngày 14/6 tuyên bố đã làm gián đoạn một chiến dịch lừa đảo qua email doanh nghiệp (BEC) lớn, trong đó những kẻ tấn công sử dụng các quy tắc chuyển tiếp để truy cập vào các thư liên quan đến giao dịch tài chính. Chiến dịch này liên quan đến việc sử dụng email lừa đảo chứa một tập tin đính kèm HTML với mã JavaScript được thiết kế để giả mạo trang đăng nhập của Microsoft, nhằm đánh cắp thông tin đăng nhập của nạn nhân. Sau khi có quyền truy cập vào hộp thư, kẻ tấn công thêm các quy tắc chuyển tiếp email để gửi các thư có chứa thông tin liên quan đến giao dịch tài chính đến địa chỉ email do họ kiểm soát. Các email được chuyển tiếp sẽ được xóa khỏi hộp thư đi để tránh bị phát hiện. Kẻ tấn công sử dụng cơ sở hạ tầng lớn dựa trên đám mây để tự động hóa các hoạt động trên quy mô lớn. Microsoft đã báo cáo phát hiện của họ cho các nhà cung cấp dịch vụ đám mây mà kẻ tấn công sử dụng. Các công ty này đã ngưng tài khoản của kẻ tấn công, dẫn đến gỡ bỏ cơ sở hạ tầng.
Microsoft đồng thời cũng cho biết đã phát hiện những kẻ đứng sau mã độc SolarMarker sử dụng các tài liệu PDF chứa đầy các từ khóa tối ưu hóa công cụ tìm kiếm (SEO) để tăng khả năng hiển thị của chúng trên các công cụ tìm kiếm nhằm đưa nạn nhân đến một trang web độc giả mạo là Google Drive để lây nhiễm mã độc SolarMaker. SolarMaker là mã độc có khả năng đánh cắp dữ liệu và thông tin đăng nhập từ trình duyệt, chủ yếu nhắm mục tiêu vào người dùng tại Bắc Mỹ. Trong các cuộc tấn công mà Microsoft phát hiện, tin tặc đã chèn vào các tập tin PDF hơn 10 trang từ khóa thuộc nhiều chủ đề, như mẫu đơn bảo hiểm, chấp nhận hợp đồng, đáp án toàn học… Khi được mở, các tập tin PDF này sẽ nhắc nhở người dùng tải một tập tin .doc hoặc phiên bản .pdf của thông tin mà họ muốn. Người dùng nhấp vào liên kết sẽ được chuyển hướng đến 5-7 trang, sau đó đến một trang giả mạo Google Drive do kẻ tấn công kiểm soát, yêu cầu người dùng tải tập tin – dẫn đến lây nhiễm SolarMarker.
Cùng ngày, Apple đã phát hành bản cập nhật iOS 12.5.4 cho các điện thoại iPhone và iPad cũ để khắc phục ba lỗ hổng có thể khiến các thiết bị này bị ảnh hưởng bởi các cuộc tấn công thực thi mã tùy ý. Hai lỗ hổng trong số này nằm trong công cụ kết xuất WebKit, là lỗi bộ nhớ và use-after-free, có thể bị khai thác qua nội dung web nguy hiểm để thực thi mã trên các thiết bị chạy iOS 12. Lỗ hổng còn lại là lỗi bộ nhớ trong ASN.1, khiến các điện thoại iPhone cũ có thể bị tấn công thực thi mã.
Thời điểm này, các nhà nghiên cứu tại AT&T Alien Labs cho biết, Moobot, biến thể của mã độc Mirai, đã gia tăng hoạt động trong thời gian gần đây và được host trên Cyberium, một miền lưu trữ mã độc mới trong thế giới ngầm. Cụ thể, các nhà nghiên cứu đã quan sát thấy Moobot tăng cường hoạt động quét lỗ hổng trong các bộ định tuyến Tenda. Đây là lỗ hổng đã được biết đến nhưng không phổ biến. Điểm chung của tất cả các hoạt động là mã độc được gửi đến thiết bị của nạn nhân từ cùng một trang lưu trữ mã độc – dns.cyberium[.]cc. Khi điều tra về tên miền này, các nhà nghiên cứu đã xác định được một số chiến dịch, bắt đầu từ tháng 5/2020. Mỗi chiến dịch có một tên miền phụ riêng dưới trang Cyberium cấp cao nhất, và sau khi chiến dịch hoàn thành, tên miền phụ này sẽ không phân giải được.
Trần Anh