NÂNG CAO NĂNG LỰC PHÒNG, CHỐNG PHẦN MỀM ĐỘC HẠI, CẢI THIỆN MỨC ĐỘ TIN CẬY CỦA QUỐC GIA TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ THEO HƯỚNG XÃ HỘI HOÁ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.51 MB, 41 trang )
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
ĐỀ ÁN
NÂNG CAO NĂNG LỰC PHÒNG, CHỐNG PHẦN MỀM ĐỘC
HẠI, CẢI THIỆN MỨC ĐỘ TIN CẬY CỦA QUỐC GIA
TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ
THEO HƯỚNG XÃ HỘI HOÁ
Hà Nội - 2017
1
MỞ ĐẦU ........................................................................................................................................3
CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN ....................................................................................5
1. Thông tin chung về Đề án .........................................................................................................5
2. Các hoạt động chính của Đề án ................................................................................................5
3. Tính cấp thiết của đề án .............................................................................................................6
4. Căn cứ pháp lý để xây dựng đề án ...........................................................................................6
CHƯƠNG 2. THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI................................9
1. Tổng quan về phần mềm độc hại .............................................................................................9
2. Thực trạng lây nhiễm phần mềm độc hại trên thế giới........................................................ 13
3. Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam ........................................................ 16
4. Thực trạng hệ thống kỹ thuật và nền tảng hiện có ............................................................... 22
4.1. Bộ Thông tin và Truyền thông..................................................................................... 22
4.2. Các bộ, ngành, địa phương........................................................................................... 24
4.3. Các doanh nghiệp ISP, doanh nghiệp làm về an toàn thông tin ............................... 24
5. Kinh nghiệm quốc tế............................................................................................................... 25
5.1. Kinh nghiệm Nhật Bản ................................................................................................. 26
5.2. Kinh nghiệm của Hàn Quốc......................................................................................... 28
5.3. Kinh nghiệm một số nước Châu Âu ........................................................................... 31
CHƯƠNG 3. CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN ....................................................... 33
1. Tư tưởng chủ đạo .................................................................................................................... 33
2. Phương pháp tiếp cận ............................................................................................................. 33
3. Mô hình giải pháp ................................................................................................................... 34
4. Tổ chức thực hiện và trách nhiệm các bên ........................................................................... 37
4.1. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các
tỉnh, thành phố trực thuộc Trung ương:.............................................................................. 37
4.2. Bộ Thông tin và Truyền thông có trách nhiệm: ......................................................... 38
4.3. Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh ............................................ 38
4.4. Các Đài phát thanh, truyền hình và các cơ quan thông tấn báo chí Trung ương
và địa phương........................................................................................................................ 39
4.5. Hiệp hội An toàn thông tin Việt Nam (VNISA) có trách nhiệm: ............................ 39
4.6. Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) ....................... 39
4.7. Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm dữ
liệu (data center):................................................................................................................... 39
4.8. Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm: ...... 40
CHƯƠNG 4. KIẾN NGHỊ, ĐỀ XUẤT ................................................................................... 41
2
MỞ ĐẦU
Trong xu hướng cách mạng công nghiệp lần thứ tư (cuộc cách mạng gắn liền với
sự phát triển của không gian mạng, công nghệ sinh học, trí tuệ nhân tạo, nhà cửa, thiết bị
tự động và thông minh), có ngày càng nhiều máy tính, thiết bị, ứng dụng kết nối vào
mạng Internet thì nguy cơ tấn công mạng ngày càng tăng. Khi những máy tính/thiết
bị/ứng dụng này không được bảo đảm an toàn thông tin thì việc bị lây nhiễm mã độc,
tham gia vào các mạng máy tính ma (botnet) và bị đối tượng tấn công kiểm soát là hoàn
toàn dễ dàng và ngày càng phổ biến. Trên thế giới, có nhiều cuộc tấn công mạng quy
mô lớn nhằm vào những hệ thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia
mà nguồn gốc là mã độc, các mạng botnet do đối tượng tấn công kiểm soát như: tấn
công vào nhà máy hạt nhân của Iran, tấn công vào hạ tầng tài chính của Mỹ, Anh, tấn
công vào Spamhaus...... Những cuộc tấn công này không chỉ gây đình trệ hệ thống, tiết
lộ thông tin nhạy cảm, mà còn công khai nhiều tài liệu mật của các quốc gia gây tổn thất
khó lường về chính trị, ngoại giao.
Việt Nam cũng không đứng ngoài xu hướng trên, thậm chí các nguy cơ tấn công
mạng vào Việt Nam cũng như tấn công mạng xuất phát từ Việt Nam còn cao hơn do
tình trạng lây nhiễm phần mềm độc hại của Việt Nam đang ở mức báo động, nhưng
chưa có biện pháp nào thực sự hiệu quả trong việc xử lý mã độc; mà có thể nói nguyên
nhân sâu xa là do: việc sử dụng phần mềm, ứng dụng không bản quyền, phần mềm bẻ
khoá; người dùng chưa có ý thức cao trong việc phòng, chống phần mềm độc hại; nhận
thức, thói quen, cũng như kỹ năng sử dụng thiết bị và kỹ năng khi truy cập Internet; bên
cạnh nữa chúng ta chưa làm chủ được nhiều thiết bị, công nghệ, giải pháp bảo đảm an
toàn thông tin; vẫn sử dụng nhiều thiết bị có nguồn gốc xuất xứ không rõ ràng với giá rẻ
chưa quan tâm đến an toàn thông tin, và lại chưa được các cơ quan chức năng nào của
Việt Nam kiểm tra, kiểm định.
Mỗi năm, có hàng nghìn trang/cổng thông tin điện tử, bị tấn công, chỉnh sửa, chèn
thêm nội dung, cài cắm mã độc, trong đó có hàng trăm tên miền .gov.vn của các cơ
quan Nhà nước. Riêng 6 tháng đầu năm 2017 có tới trên 6.000 trang/cổng thông tin điện
tử bị tấn công, trong đó có 3.647 trang/cổng lưu trữ và phát tán mã độc.
Theo thống kê của Cục An toàn thông tin - Bộ Thông tin và Truyền thông trong 3
tháng có trên 9 triệu (9.223.364) lượt địa chỉ IP Việt Nam nằm trong các mạng botnet
lớn trên thế giới. Nằm sau mỗi địa chỉ IP này có thể là cả một hệ thống thông tin/hệ
3
thống mạng đơn vị/doanh nghiệp với vài chục đến hàng trăm máy tính, thiết bị mạng
mà một vài hoặc có thể nhiều thiết bị trong số đó bị nhiễm mã độc, bị đối tượng tấn
công kiểm soát và tham gia vào các cuộc tấn công mạng trên thế giới
Theo thống kê của các tổ chức quốc tế uy tín (tổ chức cung cấp các sản phẩm, dịch
vụ phổ biến trên thế giới và Việt Nam: Microsoft, Kaspersky, Norton, Symantec....) Việt
Nam luôn nằm trong nhóm những nước có tỉ lệ lây nhiễm phần mềm độc hại cao. Mặc
dù các cơ quan, tổ chức ở Việt Nam đã và đang nỗ lực thực hiện nhiều giải pháp khác
nhau trong việc xử lý mã độc, nhưng tình hình vẫn chưa được cải thiện. Trong khi đó
thực trạng lây nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động. Đặc biệt, cơ
quan chức năng ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không
phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ.
Những thống kê trên của Bộ thông tin và Truyền thông, của các đơn vị, doanh
nghiệp an toàn thông tin trong nước cũng như của các tổ chức nước ngoài có thể chỉ
phản ánh một phần nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc
hại trong không gian mạng Việt Nam, ngoài ra còn nhiều mạng botnet đang âm thầm
hoạt động mà chưa được phát hiện. Nếu chúng ta không hành động sớm, không có một
giải pháp hữu hiệu nào thì những mạng botnet này có thể sẽ gây ảnh hưởng lớn đến nền
kinh tế, chính trị và đời sống xã hội của đất nước.
4
CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN
1. Thông tin chung về Đề án
Tên Đề án: Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức
độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hoá.
Trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan, tổ
chức. Vì vậy trước mắt, để tăng cường bảo đảm an toàn thông tin, đề án đưa ra
giải pháp nhằm phát động, tổ chức các chiến dịch xử lý, bóc gỡ phần mềm độc
hại theo hướng xã hội hóa, với nòng cốt là sự tham gia của các ISP và các doanh
nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam và nước ngoài.
Đề án tận dụng cơ sở hạ tầng, trang thiết bị hiện có để thiết lập hệ thống kỹ thuật
chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời
cảnh báo, yêu cầu xử lý, bóc gỡ. Đề án không làm phát sinh thêm dự án mới mà chủ
yếu là tổ chức khai thác hiệu quả hạ tầng kỹ thuật đã được đầu tư của Cục An toàn
thông tin, Trung tâm VNCERT, các ISPs; đồng thời, huy động sự tham gia của Hiệp hội
an toàn thông tin và các doanh nghiệp hoạt động trong lĩnh vực CNTT và an toàn thông
tin .
Đề án đưa ra giải pháp bổ sung chứ không phải thay thế cho các giải pháp
mà các cơ quan, tổ chức đã và đang triển khai. Hình thức xã hội hóa sẽ không
làm phát sinh hoặc tăng thêm gánh nặng chi phí cho ngân sách nhà nước.
2. Các hoạt động chính của Đề án
Quy định trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan,
tổ chức, cá nhân.
Gắn kết, và tăng cường hiệu quả hoạt động của các hệ thống kỹ thuật, các đề án
đã đầu tư cho các cơ quan đơn vị. Thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét
phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc
gỡ dựa trên cơ sở hạ tầng trang thiết bị hiện có.
Xây dựng và thực hiện các chương trình, chiến dịch xử lý, bóc gỡ mã độc, mạng
máy tính ma theo hướng xã hội hóa, với sự tham gia của các doanh nghiệp cung cấp
dịch vụ viễn thông, Internet (ISPs) và các tổ chức, doanh nghiệp hoạt động trong lĩnh
vực công nghệ thông tin và an toàn thông tin.
Xây dựng, ban hành văn bản hướng dẫn kết nối, trao đổi, chia sẻ thông tin, dữ
5
liệu về mã độc giữa hệ thống kỹ thuật của cơ quan chức năng liên quan với giải pháp
phòng, chống mã độc ở các bộ, ngành, địa phương, tuân thủ theo tiêu chuẩn, quy chuẩn
kỹ thuật.
3. Tính cấp thiết của đề án
Trong xu hướng cuộc cách mạng công nghiệp lần thứ tư, có ngày càng nhiều
thiết bị thông minh kết nối mạng. Những thiết bị này khi bị lây nhiễm các loại phần
mềm độc hại gây mất an toàn thông tin, tiềm ẩn nguy cơ khó lường.
Các cơ quan, tổ chức ở Việt Nam đã và đang thực hiện nhiều giải pháp khác
nhau trong việc xử lý mã độc. Tuy nhiên, hiệu quả đạt được chưa cao. Thực trạng lây
nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động. Đặc biệt, cơ quan chức năng
ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không phản ứng kịp
thời trong việc phát hiện, phân tích và gỡ bỏ.
Trong khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù
hợp thì đối tượng tấn công vẫn tiếp tục lợi dụng phần mềm độc hại, các mạng botnet và
mã độc APT để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng. Điển
hình là cuộc tấn công APT vào Vietnam Airlines và các Cảng hàng không vào tháng
7/2016, hay các cuộc tấn công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam
thời gian vừa qua. Đây chỉ là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy
một phần hậu quả của nó.
Đáng chú ý, những thống kê chúng ta có được có thể chỉ phản ánh một phần
nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc hại trong không gian
mạng Việt Nam, ngoài ra còn nhiều nguy cơ/cuộc tấn công mạng đang âm thầm hoạt
động mà chưa được phát hiện. Nếu chúng ta không hành động ngay, không có một giải
pháp hữu hiệu nào thì những cuộc tấn công này sẽ gây ảnh hưởng lớn đến nền kinh tế,
chính trị và đời sống xã hội của đất nước.
4. Căn cứ pháp lý để xây dựng đề án
Trước tình hình an toàn thông tin mạng và tình trạng lây nhiễm phần mềm độc
hại diễn biễn ngày càng phức tạp tại Việt Nam những năm gần đây, Lãnh đạo Đảng và
Nhà nước đã có sự quan tâm sâu sắc và đã ban hành nhiều văn bản chỉ đạo của Đảng,
văn bản quy phạm pháp luật, văn bản chỉ đạo điều hành của Chính phủ trong lĩnh vực
an toàn thông tin, trong đó có nhiều nội dung liên quan đến công tác phòng chống phần
6
mềm độc hại.
Các Văn bản chỉ đạo của Đảng:
- Nghị quyết số 36-NQ/TW ngày 01/7/2014 của Bộ Chính trị về đẩy mạnh ứng
dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập
quốc tế. Trong đó, bảo đảm an toàn thông tin và phát triển công nghiệp công nghệ thông
tin là những nội dung quan trọng của Nghị quyết và đã được Bộ Chính trị quán triệt các
cấp, các ngành tập trung các nguồn lực để thúc đẩy phát triển;
- Chỉ thị 28-CT/TW ngày 16/9/2013 của Ban Bí thư Trung ương Đảng về tăng
cường công tác bảo đảm an toàn thông tin mạng.
Căn cứ thực tiễn và các Văn bản chỉ đạo của Đảng, Chính phủ đã đề xuất, xây
dựng và trình Quốc hội ban hành Luật An toàn thông tin mạng. Ngày 19/11/2015, Quốc
hội đã thông qua Luật An toàn thông tin mạng (Luật số 86/2015/QH13). Trong Luật An
toàn thông tin mạng đã có các Điều, Khoản nghiêm cấm hành vi phát tán phần mềm
độc hại và các quy định phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại.
Cụ thể, trong Luật An toàn thông tin mạng đã định nghĩa rõ Phần mềm độc hại là phần
mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ
thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong
hệ thống thông tin. Theo đó, Luật An toàn thông tin mạng quy định hành vi phát tán
phần mềm độc hại là một trong các hành vi bị nghiêm cấm. Ngoài ra, Luật An toàn
thông tin mạng cũng quy định cụ thể về việc phòng ngừa, phát hiện, ngăn chặn và xử lý
phần mềm độc hại tại Điều 11 như sau:
- Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn
phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền;
- Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật
nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại;
- Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải
có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ
thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp
luật;
- Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa,
phát hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà
nước có thẩm quyền;
7
- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công
an và bộ, ngành liên quan tổ chức phát hiện, phòng ngừa, ngăn chặn và xử lý phần mềm
độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia.
Ngày 27/5/2016, Phó Thủ tướng Chính phủ Vũ Đức Đam đã ký Quyết định số
898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin
mạng giai đoạn 2016 - 2020 (Quyết định 898). Đối với tình hình lây nhiễm phần mềm
độc hại, Quyết định 898 nêu rõ mục tiêu của giai đoạn 2016 - 2020 “Nâng cao uy tín
giao dịch điện tử của Việt Nam, đưa Việt Nam ra khỏi danh sách 20 quốc gia có tỷ lệ
lây nhiễm phần mềm độc hại và phát tán thư rác cao nhất trên thế giới theo xếp hạng
của các tổ chức quốc tế”.
Cũng theo Quyết định 898 để bảo đảm an toàn thông tin mạng quy mô quốc gia
thì nhiệm vụ “Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin
cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hóa” là 1 trong 6
nhiệm vụ cần phải thực hiện trong giai đoạn 2016 – 2020.
Để triển khai các nội dung của Quyết định 898, Thủ tướng Chính phủ đã giao các
bộ, ngành liên quan phối hợp tổ chức thực hiện, trong đó liên quan tới công tác phòng
chống phần mềm độc hại giao Bộ Thông tin và Truyền thông “chủ trì, phối hợp với các
bộ, ngành và các doanh nghiệp thành lập Tổ phản ứng nhanh phân tích, ứng phó với
phần mềm độc hại”.
8
CHƯƠNG 2. THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI
1. Tổng quan về phần mềm độc hại
a) Phần mềm độc hại là gì?
Theo Luật An toàn thông tin mạng Phần mềm độc hại là phần mềm có khả năng
gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc
thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
Như vậy từ góc độ kỹ thuật có thể hình dung Phần mềm độc hại (sau đây gọi là
mã độc) là chương trình hoặc đoạn mã đưa vào máy tính, các thiết bị mạng hoặc bất kỳ
thiết bị điện tử, phần mềm, ứng dụng trong hệ thống thông tin (có kết nối mạng hoặc
không có kết nối mạng) nhằm thực hiện các hành vi trái phép (như ăn trộm dữ liệu, gửi
thư rác, tham gia tấn công DDOS hay các bất kỳ cuộc tấn công mạng dưới điều khiển
của đối tượng tấn công hoặc tiếp tục phát tán mã độc).
Mã độc bao gồm: vi-rút (vi-rút), sâu máy tính (worm), ngựa gỗ (trojan), mã độc
(malware), gián điệp (Spyware), mạng máy tính ma (botnet), các mối nguy hại APT
v.v…. Trong đó:
Vi-rút là chương trình có thể tự sao chép bằng cách chèn các bản sao của chính
nó vào chương trình lưu trữ hoặc các tập tin dữ liệu. Vi-rút thường được kích hoạt thông
qua tương tác của người dùng như là mở một tập tin hoặc chạy một chương trình. Vi-rút
có thể chia thành hai loại là: vi-rút biên dịch và vi-rút diễn dịch. Vi-rút biên dịch
(Compiled vi-rút) được kích hoạt bởi một hệ điều hành, còn Vi-rút diễn dịch
(Interpreted vi-rút) được khởi động bởi một ứng dụng.
Trojan là chương trình không có khả năng sao chép, xuất hiện dường như là vô
hại nhưng chúng được thiết kế để thực hiện những hành vi độc hại ẩn trên hệ thống
thông tin. Mã độc Trojan có khả năng thay thế tập tin hiện tại bằng các biến thể mã độc
khác hoặc tiếp tục cài cắm thêm các biến thể khác lên hệ thống.
Mạng máy tính ma hay còn gọi là botnet là tập hợp các máy tính, thiết bị nhiễm
mã độc và bị đối tượng tấn công điều khiển từ xa phục vụ cho mục đích độc hại như
phát tán mã độc, gửi thư rác, tấn công DDoS, ăn trộm dữ liệu.... Những mạng botnet đầu
tiên trên thế giới xuất hiện vào năm 1999 sử dụng kiến trúc, kênh truyền, kỹ thuật điều
khiển đơn giản; tiếp sau đó xuất hiện ngay các mạng botnet với những kiến trúc phức
tạp, có khả năng thực hiện những cuộc tấn công mạng với những mục tiêu khác nhau
9
dưới điều khiển của đối tượng tấn công như: mạng botnet chuyên gửi thư rác Rustock,
mạng botnet chuyên ăn trộm thông tin tài khoản Zeus. Mạng botnet chuyên gửi thư rác
Rustock hoạt động mạnh năm 2006 tới 2011 đã lây nhiễm và tấn công vào 2,5 triệu máy
tính Windows, mỗi máy bị nhiễm mã độc có thể gửi 25.000 thư rác trong một giờ.
Trong đó lượng lớn thư rác xuất phát từ McColo - doanh nghiệp cung cấp dịch vụ
Internet của Mỹ, sau khi dừng hoạt động của ISP này thì số lượng thư rác trên toàn cầu
giảm 75% vào cuối năm 2008, tuy nhiên sau đó lại tăng trở lại và Microsoft đã phải xây
dựng chiến dịch B107 để bóc gỡ mạng botnet này). Mạng botnet Zeus được phát hiện
vào năm 2009, ăn trộm thông tin của ít nhất 74.000 tài khoản FPT trên các trang web
của các tổ chức Bank of America, NASA, Monster.com, Oracle, Play.com, Cisco,
Amazon.
Các mối nguy hại APT (Advanced Persistent Threat), về góc độ kỹ thuật không
phải là một loại mã độc cụ thể, nhưng nó là một hình thức tấn công mới mà trong đó sử
dụng những loại mã độc hết sức tinh vi và khó phát hiện, mã độc này có khả năng cài
cắm và ẩn sâu vào trong hệ thống thông tin của các tổ chức. Những cuộc tấn công này
thường nhằm vào các hệ thống thông tin quan trọng của các quốc gia, tổ chức kinh tế,
chính trị lớn và là những cuộc tấn công có chủ đích, có tổ chức đứng sau tài trợ. Ví dụ
như cuộc tấn công vào nhà máy hạt nhân của Iran do mạng botnet Stuxnet thực hiện đã
bị phát hiện vào tháng 6 năm 2010 tuy nhiên theo các chuyên gia an ninh mạng Stuxnet
bắt đầu tấn công vào từ năm 2007 và được phát triển từ 2005.
Có nhiều thuật ngữ kỹ thuật khác nhau để mô tả, phân loại mã độc, nhưng trong
những năm gần đây Botnet và APT là hai thuật ngữ gắn liền với các cuộc tấn công
mạng lớn về quy mô và mức độc tinh vi. Không có một cuộc tấn công mạng nào là
không có sự tham gia của mã độc, hay nói cách khác mã độc chính là công cụ để đối
tượng tấn công thực hiện những hành động độc hại trên Internet (từ việc kiểm soát hệ
thống mục tiêu, ăn trộm dữ liệu, phát tán mã độc, tấn công từ chối dịch vụ…..). Đặc biệt
khi xu hướng IoT phát triển, nhưng vấn đề bảo đảm an toàn thông tin trên các thiết bị
IoT này lại chưa được quan tâm thì nguy cơ cài cắm mã độc vào các thiết bị để xây
dựng lên những mạng botnet lớn càng phổ biến hơn. Và các mạng botnet này trở thành
một công cụ mang lại lợi nhuận khổng lồ cho các nhóm tội phạm, có thể được đối tượng
tấn công sử dụng cho bất kỳ cuộc cuộc tấn công mạng nào. Chính vì vậy sự gia tăng của
các loại hình tội phạm mạng liên quan đến mạng botnet đang trở thành một vấn đề rất
10
nghiêm trọng với tất cả các quốc gia trên thế giới.
b) Các nguồn lây nhiễm phần mềm độc hại
Việc mã độc, phần mềm độc hại lây nhiễm vào các máy tính, thiết bị, hệ thống
thông tin có rất nhiều nguyên nhân, nguồn gốc, nhưng có thể kể đến những nguồn sau:
- Đầu tiên có thể kể đến là các trang web/máy chủ lưu trữ tập tin độc hại/mã khai
thác trên toàn thế giới, các trang web này có thể do đối tượng tấn công chiếm quyền
điều khiển hoặc cố tình dựng lên sau đó sử dụng để phát tán mã độc. Để lây nhiễm mã
độc vào máy tính người dùng, đầu tiên kẻ tấn công sẽ lừa người dùng truy cập vào một
trang web trung gian có chức năng chuyển hướng người dùng tới một máy chủ lưu trữ
mã khai thác lỗ hổng/điểm yếu tự động thông qua lỗ hổng/điểm yếu trên Plugins/Extenstion của trình duyệt hay phần mềm bên thứ 3. Khi người dùng đã được
chuyển hướng tới máy chủ lưu trữ mã khai thác, máy chủ này sẽ tự động tìm mã khai
thác phù hợp với máy tính người dùng. Khi đã khai thác thành công thì mã độc tự động
cài cắm vào máy tính người dùng, và kẻ tấn công bắt đầu kiểm soát được máy tính
người dùng. Hình thức lây nhiễm mã độc vào máy tính người dùng thông qua mã khai
thác khi người dùng truy cập trang web, ngày càng trở nên phổ biến và dễ thực hiện
hơn. Ngoài ra đối tượng tấn công có thể dựng lên các trang web cung cấp các bản vá, bẻ
khoá cho phần mềm không bản quyền qua đó cài cắm mã độc vào máy tính người dùng
theo con đường chính thống.
- Hình thức phổ biến tiếp theo là thông qua thư điện tử. Đối tượng tấn công có
thể lây nhiễm mã độc vào máy tính người dùng không chỉ thông qua tập tin đính kèm
mà cả phần nội dung thư điện tử. Với hình thức thông qua tập tin đính kèm thì đối tượng
tấn công thường đính kèm mã độc trong các tập tin .doc, .pdf nhìn có vẻ là vô hại nhưng
thực tế có mã độc trong đó. Với hình thức lây nhiễm mã độc thông qua nội dung thư,
đối tượng tấn công sẽ sử dụng mã HTML để nhúng tập lệnh/đoạn mã độc hại vào một
phần trong nội dung thư; khi người dùng mở thư với chức năng hiển thị HTML thì tập
lệnh/đoạn mã này sẽ được thực thi và mã độc được cài cắm vào máy tính người dùng;
hay sử dụng các liên kết trong nội dung thư nhìn có vẻ vô hại nhưng thực tế lại chuyển
hướng người dùng đến trang web chứa mã độc hoặc mã khai thác lỗ hổng.
- Tiếp đến là hình thức lây nhiễm mã độc thông qua lỗ hổng phần mềm: khai
thác lỗ hổng phần mềm là mục tiêu tấn công phổ biến trong các cuộc tấn công của đối
tượng tấn công. Lỗ hổng, lỗi phần mềm cho phép đối tượng tấn công truy cập từ xa vào
11
máy tính người dùng, qua đó cài cắm mã độc, lấy trộm dữ liệu.
- Hình thức lây nhiễm qua phương tiện lưu trữ di động, các ổ đĩa USB cũng là
hình thức phổ biến để cài cắm mã độc vào máy tính người dùng.
- Ngoài ra đối tượng tấn công có thể viết ra những phần mềm, ứng dụng miễn
phí. Khi người dùng cài đặt phần mềm, ứng dụng này thì đồng thời cũng cài đặt mã độc
vào máy tính của mình.
Ở mỗi môi trường, khu vực khác nhau thì đối tượng tấn công có thể tận dụng các
hình thức khác nhau. Nhưng thông thường để đạt được mục tiêu lây nhiễm vào tối đa
các máy tính, thiết bị, đối tượng tấn công sẽ kết hợp nhiều hình thức, tận dụng nhiều lỗ
hổng đặc biệt là lỗ hổng trên các phần mềm, ứng dụng phổ biến như: trình duyệt web,
hệ điều hành Android, ứng dụng soạn thảo văn bản. Đây là những ứng dụng có trên hầu
hết các máy tính. Theo thống kê của Kaspersky vào 3 tháng cuối năm 2016 có tới
44,8% mã khai thác trên trình duyệt, 19,3% mã khai thác Android; 15,9% mã khai thác
Microsoft Office; 13,5% mã khai thác phần mềm Adobe Flash Player (phần mềm sử
dụng trên hầu hết các trình duyệt)
Hình 1: Thống kê tỉ lệ mã khai thác sử dụng để lây nhiễm mã độc trên các ứng dụng (Nguồn:
Kaspersky )
Tại Việt Nam do đặc điểm về nhận thức người dùng nên có một số hình thức
được cho là phổ biến bao gồm:
- Thói quen sử dụng phần mềm, ứng dụng không bản quyền (theo thống kê của
12
Hiệp hội An toàn thông tin Việt Nam tỉ lệ này hiện đang chiếm hơn 90% người dùng).
Việc sử dụng phần mềm, ứng dụng không có bản quyền sẽ hạn chế trong việc cập nhật,
nâng cấp, vá lỗi dẫn tới tồn tại điểm yếu/lỗ hổng an toàn thông tin trên hệ thống, giúp
cho kẻ tấn công có thể dễ dàng sử dụng mã độc để tấn công, lây nhiễm vào hệ thống.
Bên cạnh đó, một bộ phận không nhỏ người Việt Nam thường xuyên sử dụng các phần
mềm bẻ khoá, bản thân các phần mềm bẻ khoá này đã được cài đặt sẵn mã độc. Đây là
vấn đề không dễ giải quyết trong thời gian ngắn.
- Ý thức truy cập các trang web không an toàn; thư điện tử; lỗ hổng phần mềm,
ứng dụng; ngoài ra là việc sử dụng thiết bị không có cơ chế bảo mật, cơ chế bảo mật
kém hay sử dụng tài khoản quản trị, mật khẩu mặc định.
2. Thực trạng lây nhiễm phần mềm độc hại trên thế giới
Theo thống kê của Liên minh Viễn thông Quốc tế (ITU), vào năm 2005, thế giới
có khoảng 2,2 tỷ thuê bao điện thoại di động thì đến năm 2015 con số này đã tăng lên
trên 7 tỷ thuê bao, năm 2005 thế giới có 1 tỷ người đăng ký sử dụng internet thì đến năm
2015 là 3,2 tỷ người (chiếm gần 50% dân số thế giới). Mọi hoạt động kinh tế, chính trị,
xã hội, quốc phòng, an ninh ngày nay có những bước đột phá lớn nhờ áp dụng CNTT
và kết nối mạng.
Theo xu hướng Internet kết nối vạn vật (IoT) ngày càng phổ biến trên thế giới
đặc biệt tại các nước phát triển và đang phát triển thì số lượng các thiết bị, ứng dụng kết
nối vào mạng Internet ngày càng nhiều. Bên cạnh đó thì nguy cơ mất an toàn thông tin
ngày càng cao. Theo đánh giá của nhiều tổ chức an toàn thông tin (ATTT) uy tín, thế
giới đang phải đối diện với hàng loạt nguy cơ tấn công mạng mới xuất hiện và ngày
càng nguy hiểm. Số lượng lỗ hổng bảo mật, mã độc, mạng máy tính ma (botnet) được
phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hành những chiến dịch
tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm hơn so với trước đây. Thay vì thực hiện
những cuộc tấn công nhanh, nhiều loại mã độc trong các cuộc tấn công APT có khả
năng nằm vùng, ẩn sâu trong hệ thống mạng để thăm dò, theo dõi và chiếm quyền điều
khiển trong thời gian dài, đến thời điểm nhất định mới tiến hành các cuộc tổng tấn công.
Trên thế giới, đã diễn ra nhiều cuộc tấn công mạng quy mô lớn vào nhiều hệ
thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia. Những cuộc tấn công này
không chỉ gây đình trệ hệ thống, tiết lộ thông tin nhạy cảm, mà còn công khai nhiều tài
liệu mật của các quốc gia gây tổn thất khó lường về chính trị, ngoại giao. Dưới đây là
13
một số cuộc tấn công điển hình trên thế giới do mã độc thực hiện
Tấn công vào nhà máy hạt nhân của Iran:
Cuộc tấn công mạng vào nhà máy hạt nhân tại cơ sở Natanz của Iran năm 2010
cùng với hoạt động của mạng botnet Stuxnet, trong đó Stuxnet lây nhiễm và tấn công
vào trên 200.000 máy tính, 58% thuộc Iran, các nước khác như Indonesia, Ấn Độ,
Azerbaijan, Mỹ, Pakistan cũng bị ảnh hưởng. Mạng botnet Stuxnet nhằm vào các máy
tính điều khiển công nghiệp được cho là phát triển từ năm 2005 và đến năm 2010 mới
được phát hiện, nó đã tấn công và phá hủy 984 máy li tâm tại cơ sở Natanz.
Tấn công vào Spamhaus:
Vụ tấn công từ chối dịch vụ (DDoS)
này nhắm mục tiêu vào hệ thống máy chủ tên
miền (DNS) của Tổ chức chống thư rác
Spamhaus bắt đầu từ ngày 19/3/2013 và diễn
ra liên tiếp trong cả tuần, đỉnh điểm của vụ
tấn công đã được ghi nhận lên đến 300 Gb/s.
Đây là vụ tấn công được xem là lớn nhất
trong lịch sử. Vụ tấn công nghiêm trọng này
đã gây ra ảnh hưởng nhất định đến hệ thống
Internet toàn cầu, do đối tượng tấn công đã sử
Hình 2: Lưu lượng tấn công DDoS
Spamhaus
dụng phương pháp tấn công phản xạ DNS,
lợi dụng các máy chủ phân giải tên miền và tạo các truy vấn giả mạo để tạo ra lượng
băng thông lớn đến các máy chủ của nạn nhân. Với phương pháp tấn công khuếch đại
này, đối tượng tấn công có thể tạo ra một lượng băng thông gấp 100 lần so với lượng
băng thông gửi đi của bot (máy tính/thiết bị bị nhiễm mã độc và tham gia vào mạng
botnet do đối tượng tấn công kiểm soát) . Theo ghi nhận có tới hơn 30.000 hệ thống
máy chủ phân giải DNS bị lợi dụng để tham gia vào cuộc tấn công. Động cơ của cuộc
tấn công chưa được xác định rõ ràng, nhưng theo nhiều thông tin trên các phương tiện
thông tin đại chúng ghi nhận thì cuộc tấn công này không mang mầu sắc chính trị mà nó
là sự phản ứng của các nhóm tội phạm chuyên nghiệp trước các hành động mạnh tay
của Spamhaus khi đưa các hệ thống máy chủ phát tán thư rác của chúng vào danh sách
đen (blacklist) ở đây là danh sách IP của các hệ thống máy chủ hosting của tổ chức
Cyberbunker bị đưa vào danh sách. Hình thức tấn công này đã đưa ra một cảnh báo cho
14
mạng Internet toàn cầu do việc thực hiện tấn công không quá phức tạp, không cần huy
động quá nhiều bot để thực hiện tấn công kiểu này. Với sự "mỏng manh" của hệ thống
tên miền DNS như hiện nay, các nguy cơ xảy ra một cuộc tấn công với quy mô lớn hơn
vào hạ tầng Internet của một quốc gia và làm ngừng hoạt động của nó là hoàn toàn hiện
hữu. Việc chống lại các tấn công kiểu này là vô cùng khó khăn cho các quốc gia có hạ
tầng Internet yếu kém và thiếu sự hợp tác và hỗ trợ của các tổ chức quốc tế.
Tấn công vào Công ty Sony
Cuộc tấn công mạng vào Công ty Sony Pictures Entertainment 24/11/2014 làm
toàn bộ hệ thống máy tính của nhân viên phải ngừng hoạt động và tê liệt bởi nhóm đối
tượng tấn công tự nhận là #GOP. Đối tượng tấn công đã lấy được hơn 100TB dữ liệu
khác nhau từ mật khẩu của nhân viên, thông tin chi tiết thẻ tín dụng tới lịch sử y tế và
thông tin về tiền lương. Đến ngày 7/12 mạng Sony Playstation Network và PlayStation
Store tiếp tục bị một đợt tấn công khác dẫn đến không thể kết nối trong khoảng thời gian
khá lâu. Và đối tượng tấn công cũng đã phát tán một số email của lãnh đạo Sony
Pictures cùng với nhiều bí mật của các ngôi sao lớn tại Hollywood. Cuộc tấn công này
đã gây thiệt hại không nhỏ về tài chính cũng như uy tín của Sony.
Chiến dịch tấn công APT
Chiến dịch tấn công APT có tên Lotus Blossom nhằm vào chính phủ và các tổ
chức quân đội tại Đông Nam Á trong suốt 3 năm (từ 2012 đến 2015) sử dụng nhiều
hình thức, kỹ thuật tấn công sau đó cài đặt Trojan trên các hệ thống mục tiêu. Để điều
khiển mạng botnet trong chiến dịch Lotus Blossom, đối tượng tấn công đã sử dụng 50
mẫu mã độc với 3 biến thể khác nhau, hạ tầng để điều khiển mạng botnet này gồm ít
nhất 36 tên miền và 34 địa chỉ IP.
Chiến dịch tấn công APT 28 được cho là hoạt động từ năm 2007, có sự liên hệ
với Nga và có thể được Chính phủ Nga tài trợ. APT 28 tập trung vào thông tin liên quan
đến chính phủ, quân đội và các tổ chức an ninh. Nhóm này đã phát động tấn công mạng
vào chính phủ ở Georgia, Đông Âu, NATO và Tổ chức An ninh và Hợp tác Châu Âu.
Chiến dịch tấn công APT 30 do một nhóm đối tượng tấn công có trình độ cao,
chiến dịch tấn công này thực hiện tấn công mạng ít nhất từ năm 2005 nhưng đến tháng 4
năm 2015 mới có báo cáo về cuộc tấn công này. Mục tiêu tấn công nhằm vào cơ quan,
tổ chức tại khu vực Đông Nam Á (trong đó có Việt Nam) và Ấn Độ, thu thập thông tin
về kinh tế, chính trị, quân sự và vấn đề tranh chấp lãnh thổ cho tới cuộc thảo luận liên
15
quan đến Đảng cộng Sản Trung Quốc. Chiến dịch tấn công này đã sử dụng ít nhất 200
mẫu mã độc và hạ tầng, kiến trúc điều khiển tinh vi, với nhiều tên miền hoạt động trên 5
năm, nhiều mã độc có khả năng chuyển tiếp lưu lượng từ Internet tới mạng LAN vào có
khả năng ẩn sâu trong hệ thống mục tiêu.
Cuộc tấn công tống tiền của mã độc WanaCry
Gần đây nhất là cuộc tấn công mạng của mã độc mã hóa tư liệu (WannaCry,
Petya) tấn công vào các máy tính, thiết bị trên nền Windows, đã gây ảnh hưởng tới
nhiều quốc gia trên thế giới (theo các trang báo quốc tế uy tín cuộc tấn công của mã độc
WannaCry đã ảnh hưởng tới ít nhất 100.000 tổ chức, trên 200.000 người tại150 quốc
gia trên thế giới). Hậu quả của đợt tấn công này không chỉ là thiệt hại về kinh tế mà còn
ảnh hưởng đến đời sống xã hội. Tại Anh một nhà máy sản xuất xe hơi của Nissan đã
phải ngừng sản xuất sau khi bị WanaCry tấn công. Ngoài ra hàng trăm bệnh viện và
phòng khám của Cơ quan Y tế Quốc gia Anh (NHS) cũng trở thành nạn nhân của mã
độc tống tiền WanaCry , và các nơi này buộc phải chuyển tiếp bệnh nhân sang đơn vị
khác để chữa trị.
Theo thống kê của Kaspersky trong năm 2016 có 31,9% người dùng internet là
mục tiêu của của các cuộc tấn công mã độc trên nền web; trên 700 triệu (758,044,650)
cuộc tấn công mạng từ các nguồn tài nguyên trên nền web khắp thế giới; trên 261 triệu
(261.774.932) URL độc hại trên Internet; trên 69 triệu (69,277,289) mẫu mã độc được
phát hiện; trên 1 triệu (1,445,434) máy tính bị mã độc mã hóa tư liệu tấn công (trong khi
đó năm 2015 là 179,209). (Nguồn: )
3. Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam
Với sự phát triển của Internet, Việt Nam đã đạt số lượng gần 4,8 triệu thuê bao
truy nhập Internet băng rộng cố định; hơn 3,2 triệu hộ gia đình có kết nối Internet; 100%
các Bộ ngành, tỉnh thành phố có cổng thông tin điện tử, cung cấp hơn 100.000 dịch vụ
công trực tuyến phục vụ người dân và doanh nghiệp.Việt Nam đứng thứ 7 trong số 10
nước sử dụng Internet nhiều nhất tại châu Á (Châu Á là khu vực truy cập Internet nhiều
nhất trên thế giới với tỷ lệ 44,8% người dùng trên toàn cầu). Khoảng 1/3 các doanh
nghiệp Việt Nam sử dụng thương mại điện tử, trên 50% doanh nghiệp có website riêng,
82% doanh nghiệp có mạng nội bộ LAN và gần 100% doanh nghiệp sử dụng Internet.
Có nhiều tổ chức quốc tế lớn về an toàn thông tin đưa ra các thống kê liên quan
đến mã độc. Các hãng khác nhau có thống kê khác nhau tuy nhiên, điểm chung Việt
16
Nam luôn đứng trong nhóm những nước có tỉ lệ lây nhiễm mã độc cao trong nhiều năm
và đang ở mức báo động.
Theo thống kê, đánh giá của Microsoft: chỉ số lây nhiễm mã độc (Malware
Infection Index) của các nước trong khu vực Châu Á Thái Bình Dương lên tới 40% và
luôn cao hơn chỉ số chung của thế giới (20,8%). Năm 2015 Việt Nam đứng thứ 5 trong
khu vực, trước đó là Pakistan, Indonesia, Bangladesh, Nepal. Và nửa đầu năm 2016 thì
Việt Nam đứng thứ 2 trong khu vực sau Mongolia, tiếp đó là Pakistan, Indonesia về tỉ lệ
lây nhiễm mã độc;
1. Mongolia
6. Campuchia
11. Malaysia
16. Hàn Quốc
2. Việt Nam
7. Philippines
12. Đài Loan
17. Úc
3. Pakistan
8. Thái Lan
13. Trung Quốc
18. New Zealand
4. Indonesia
9. Ấn Độ
14. Singapore
19. Nhật Bản
5. Nepal & Bangladesh 10. Sri Lanka
15. Hồng Kông
Bảng 1: Thứ tự các nước trong khu vực đối mặt với rủi ro lây nhiễm mã độc ( nguồn
)
Theo đánh giá, thống kê của Kaspersky: Việt Nam đứng thứ 2 thế giới về tỉ lệ
phát tán thư rác (năm 2016); đứng thứ 8 trên thế giới tỉ lệ máy tính người dùng đối mặt
với rủi ro lây nhiễm mã độc cao (đây là thống trên các nước có tỉ lệ sử dụng phần mềm
của Kaspersky >10.000người dùng - số liệu tháng 2 năm 2017);
STT
Quốc gia
Tỉ lệ % người dùng bị tấn công
1
Afghanistan
52.08
2
Uzbekistan
51.15
3
Yemen
50.86
4
Tajikistan
50.66
5
Algeria
47.19
6
Ethiopia
47.12
7
Lào
46.39
8
Việt Nam
45.98
9
Turkmenistan
45.23
10
Mông Cổ
44.88
Bảng 2: Thống kê của Kaspersky về tỷ lệ người dùng đối mặt với rủi ro lây nhiễm mã độc
Trong thống kê về tỉ lệ phát tán thư rác, Việt Nam đứng thứ 3 trên thế giới
(chiếm tỉ lệ 6,13%) trong năm 2015; đứng thứ 2 trên thế giới (chiếm 10, 32 %) trong
17
năm 2016, Quý 1 năm 2017 đứng thứ 2 (7,86%), Quý 2 năm 2017 lên vị trí thứ nhất
(với 12,37 %). Điều này cho thấy các mạng botnet phát tán thư rác tại Việt Nam đang
hoạt động rất mạnh.
Hình 3: Thống kê Kaspersky về nguồn phát tán thư rác trên thế giới
Trong năm 2015, theo số liệu thông kê của Bộ Thông tin và Truyền thông, các
đơn vị chức năng đã ghi nhận hơn 1.451.997 lượt địa chỉ IP cả nước bị nhiễm mã độc và
nằm trong các mạng Botnet (tăng 1,6 lần so với năm 2014). Năm 2015, Việt Nam nằm
trong danh sách các nước có tỉ lệ lây nhiễm mã độc trên máy vi tính cao, ước tính
khoảng 64,36%. Tỉ lệ lây nhiễm này của Việt Nam cao gấp gần 4 lần tỉ lệ lây nhiễm
trung bình trên thế giới.
Theo báo cáo an toàn thông tin năm 2016
TT Tỉ lệ lây nhiễm phần mềm độc hại Năm 2016
Năm 2015
Năm 2014
1
Trên máy vi tính
63,19%
64,36%
66%
2
Trên thiết bị di động
21,61%
24%
23%
3
Qua mạng
36,77%
39%
49%
4
Qua các các thiết bị đa phương tiện
71,85%
77%
77%
Bảng 3: Tỉ lệ lây nhiễm phần mềm độc hại tại Việt Nam qua các năm 2014-2016
Năm 2016, Việt Nam vẫn nằm trong danh sách các quốc gia trên thế giới có tỉ lệ
lây nhiễm mã độc trên máy vi tính cao, ước tính khoảng 63,69%, giảm 0,67% so với
18
năm 2015. Tỉ lệ lây nhiễm này của Việt Nam cao gấp khoảng hơn 3 lần tỉ lệ lây nhiễm
trung bình trên thế giới; Tỉ lệ lây nhiễm mã độc trên thiết bị di động của Việt Nam năm
2016 ước tính vào khoảng 21,61%, cũng là quốc gia nằm trong danh sách các quốc gia
có tỉ lệ lây nhiễm mã độc trên thiết bị di động cao trên thế giới; Tỉ lệ lây nhiễm mã độc
qua mạng là 36,77%; Đối với nguy cơ lây nhiễm mã độc qua các thiết bị đa phương tiện
kết nối với máy tính như: camera, thẻ nhớ, USB, ổ cứng di động, …Việt Nam vẫn nằm
trong danh sách các nước có nguy cơ cao với tỉ lệ khoảng 71,85%.
Trên đây là một số thống kê về tình hình lây nhiễm mã độc tài Việt Nam, trong
khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù hợp thì đối
tượng tấn công vẫn tiếp tục lợi dụng mã độc, các mạng botnet và mã độc APT để thực
hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng. Điển hình là cuộc tấn công
APT vào Vietnam Airlines và các Cảng hàng không vào tháng 7/2016, hay các cuộc tấn
công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam thời gian vừa qua. Đây chỉ
là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy một phần hậu quả của nó. Và
điều này cho thấy Việt Nam còn phải bỏ ra nhiều nỗ lực hơn nữa trong việc phát hiện,
giảm thiểu và bóc gỡ mã độc.
3.1. Một số mạng botnet đang hoạt động và cuộc tấn công mạng lớn tại Việt
Nam
Một số mạng bonet đang hoạt động bao gồm: Mirai, Conficker, Sality, Ramnit,
Dorkbot, Zeroaccess, Palevo, Cutwail, Avalanche , Kelihos, trong đó:
Mạng botnet Conficker
Mạng botnet Conficker còn được biết đến là Downup, Downadup và Kido, được
biết đến lần đầu tiên vào 11/2008, đây là một sâu máy tính với mục tiêu là hệ điều hành
Microsoft Windows, lây lan dựa trên một lỗ hổng/điểm yếu của hệ điều hành Windows
và sử dụng phương pháp tấn công từ điển vào tài khoản quản trị và chúng còn sử dụng
nhiều công nghệ mã độc cao cấp để chống lại việc nhận diện. Conficker ảnh hưởng đến
hàng triệu máy tính bao gồm các chính phủ, doanh nghiệp và các máy tính gia đình ở
trên 200 nước, đây là mạng sâu máy tính lớn nhất thế giới tính từ sau sự cố Welchia
năm 2003.
Việc ước lượng tổng số máy tính bị lây nhiễm gặp nhiều khó khăn do vi-rút
thường xuyên thay đổi việc phát tán và liên tục cập nhập từ phiên bản này sang phiên
bản khác. Tháng 1/2009 theo ước lượng có khoảng từ 9 triệu đến 15 triệu máy tính bị
lây nhiễm. Microsoft báo cáo tổng số máy tính bị lây nhiễm được phát hiện bởi các
19
phần mềm chống mã độc duy trì sự ổn định vào khoảng 1,7 triệu từ giữa năm 2010 đến
giữa năm 2011.
Các sự cố liên quan đến Conficker:
Ngày 15/1/2009, Conficker đã gây ra sự cố tại căn cứ hải quân Pháp, khi đó
mạng máy tính đã bị cách ly làm cho các máy bay không cất cánh được bởi vì không
thể tải về các kế hoạch bay.
Bộ Quốc phòng cũng báo cáo về các hệ thống quan trọng và máy tính cá nhân bị
nhiễm loại sâu này, nhiều hệ thống của tàu chiến, tàu ngầm và bệnh viện của hải quân
Hoàng gia đã bị lây nhiễm với ước tính khoảng 800 máy tính.
Tháng 2/2009, lực lượng không quân của Đức cũng báo cáo về khoảng 100 máy
tính đã bị lây nhiễm.
Conficker là một dòng mã độc botnet có nhiều biến thể nhất và luôn cập nhật các
phiên bản của mình để khai thác các điểm yếu mới nhất của hệ điều hành Windows, các
công nghệ được áp dụng trên Conficker rất phức tạp nên cho đến hiện tại mạng botnet
Conficker vẫn đang là một mối đe dọa hiện hữu trên mạng Internet cho dù 12/2/2009
Tập đoàn Microsoft đã khởi xướng chương trình hợp tác giữa nhiều quốc gia trong bóc
gỡ Conficker với sự tham gia của rất nhiều tổ chức gồm Microsoft, Afilias, ICANN,
Neustar, Verisign, Symantec, F-Secure, tổ chức Shadowserver, Arbor Networks..., cùng
với sự hỗ trợ của các cơ quan điều tra. Mặc dù mạng botnet Conficker phát hiện từ năm
2008, lợi dụng lỗ hổng cũ MS 08-067 từ năm 2008, đã có bản vá. Tuy nhiên tại Việt
Nam vẫn còn rất nhiều những máy tính chưa vá lỗ hổng này và đang tham gia vào hoạt
động của mạng botnet này. Theo thống kê của Bộ Thông tin và Truyền thông trong 3
tháng đã phát hiện trên 4 triệu (4.300.138) lượt địa chỉ IP nằm trong mạng botnet
Conficker và có thể vẫn đang tham gia vào các cuộc tấn công mạng.
Mạng botnet Sality
Mạng botnet Sality-P2P còn có tên gọi khác “W32.Sality” hay KuKu. Mã độc
Win32.Sality là tập hợp của nhiều loại vi-rút, trojan cùng hoạt động. Loại mã độc này
lần đầu tiên bị phát hiện tại thị trấn Salavat ở Nga ngày 4/06/2003. Vào thời điểm đó mã
độc Sality được tìm thấy là một mã độc lây nhiễm vào hệ thống qua các đoạn mã chèn
vào đầu tập tin host để giúp mở cửa hậu và trộm cắp thông tin bàn phím. Mạng lưới
Botnet Sality-P2P được đánh giá ở mức độ nguy hiểm cao đối với an toàn của hệ thống:
W32.Sality lây nhiễm các tập tin thực thi bằng cách sao chép chính nó qua mạng ngang
20
hàng . Máy tính bị nhiễm mã độc sẽ trở thành một điểm trong mạng ngang hàng để tiếp
tục phát tán mã độc sang các máy tính khác. Mã độc này có khả năng vô hiệu hóa các
phần mềm diệt vi-rút. Mạng botnet này chủ yếu để phát tán thư rác, tạo ra các proxy, ăn
cắp thông tin cá nhân, lây nhiễm vào các máy chủ web để biến các máy chủ này thành
máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.
Mặc dù các hãng bảo mật đã có công cụ để loại bỏ mã độc Sality, nhưng tại Việt
Nam, hiện tại vẫn còn nhiều máy tính đang nằm trong mạng botnet này. Theo thống kê
của Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện 915.277 lượt địa chỉ IP
Việt Nam đang nằm trong mạng botnet Sality và có thể vẫn đang tham gia vào các cuộc
tấn công mạng.
Mạng botnet Ramnit
Mạng botnet Ramnit là mạng botnet có mục tiêu tấn công vào ngân hàng và các
tổ chức tài chính, phát hiện lần đầu vào năm 2010. Mã độc của mạng botnet này là một
sâu máy tính tấn công vào người dùng hệ điều hành Windows. Theo ước tính vào tháng
9-12 năm 2011 lây nhiễm vào ít nhất 800.000 máy tính Windows nhưng đến năm 2015
thì lên đến trên 3 triệu máy tính. Mạng botnet này đã được liên minh cảnh sát Châu Âu
(Europol) và Symantec nỗ lực ngăn chặn và bóc gỡ vào năm 2015 nhưng lại hoạt động
trở lại ngay sau đó. Tháng 12 năm 2015 IBM đã phát hiện ra biến thể mới của Ramnit
nhằm vào các ngân hàng ở Canada, Úc, Mỹ và Phần Lan. Năm 2016 tiếp tục nhằm vào
ngân hàng ở Anh, Mỹ và năm 2017 mạng botnet này vẫn tiếp tục hoạt động. Theo
thống kê của Bộ Thông tin và Truyền thông đã phát hiện trên 200 nghìn (226.506) lượt
địa chỉ IP nằm trong mạng botnet Ramnit.
Mạng botnet Mirai
Mạng botnet Mirai được phát hiện từ tháng 8/2016 chuyên thực hiện các cuộc
tấn công từ chối dịch vụ. Mã độc của mạng botnet này được thiết kế nhằm vào các thiết
bị IoT chứa lỗ hổng hoặc bảo mật kém hoặc sử dụng mật khẩu/tài khoản quản trị mặc
định. Có thể nói đây là mạng mã độc lớn trên thế giới hình thành từ các thiết bị IoT,
trong đó có rất nhiều các thiết bị của Việt Nam cũng đã bị lây nhiễm. Qua công tác quản
lý, theo dõi Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện 386.276 lượt IP
các thiết bị IoT đang nằm trong mạng botnet Mirai và sẵn sàng tham gia vào các cuộc
tấn công được phát động.
3.2. Cuộc tấn công APT vào hệ thống thông tin VietnamAirline
Tại Việt Nam mỗi năm có hàng nghìn trang/cổng thông tin điện tử bị tấn công,
21
chiếm quyền điều khiển hoặc gây đình trệ, rối loạn hoạt động; phần nhiều trong số đó bị
cài cắm mã độc từ rất lâu. Điển hình là cuộc tấn công mạng vào hệ thống thông tin của
hãng hàng không VietnamAirline vào tháng 7 năm 2016. Thực chất đây là cuộc tấn
công có chủ đích và có sự chuẩn bị kỹ lưỡng trong một thời gian dài. Đối tượng tấn
công đã sử dụng mã độc có khả năng qua mặt được các phần mềm diệt vi-rút, cách thức
thực hiện tấn công đa dạng như kiểm soát một số máy chủ quan trọng (máy chủ web,
máy chủ cơ sở dữ liệu, máy chủ hiển thị màn hình thông báo tại nhà ga sân bay) tại một
thời điểm nhiều máy tính của hãng đều bị tấn công tại các khu vực khác nhau (Hà Nội,
Thành Phố Hồ Chí Minh). Kết quả là trang web của VietNamAirline bị chiếm quyền
điều khiển, thay đổi giao diện và dữ liệu quan trọng của khách hàng bị lộ. Thiệt hại của
vụ tấn công này không quá lớn, nhưng cho thấy hệ thống thông tin quan trọng này đã bị
đối tượng tấn công tấn công và nằm vùng từ rất lâu.
Trên đây là một trong số ít mạng botnet đang hoạt động và một số cuộc tấn công
mạng lớn tại Việt Nam mà Cục An toàn thông tin-Bộ Thông tin và Truyền thông đang
theo dõi. Ngoài ra còn nhiều mạng botnet khác vẫn đang hoạt động như Dorkbot,
Zeroaccess, Palevo, Cutwail, Avalanche, Kelihos, Zeus, Nitol... cùng với số lượng các
máy tính, thiết bị nằm trong các mạng này cũng không nhỏ. Đáng chú ý, những thống
kê trên của Bộ thông tin và Truyền thông, có thể chỉ phản ánh một phần thực trạng lây
nhiễm mã độc trong không gian mạng Việt Nam, ngoài ra còn nhiều mạng botnet đang
âm thầm hoạt động mà chưa được phát hiện. Nếu chúng ta không hành động sớm,
không có một giải pháp hữu hiệu nào thì những mạng botnet này có thể sẽ gây ảnh
hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước.
4. Thực trạng hệ thống kỹ thuật và nền tảng hiện có
4.1. Bộ Thông tin và Truyền thông
a) Cục An toàn thông tin
Cục An toàn thông tin có Dự án Xử lý tấn công mạng Internet Việt Nam, trong
đó có cấu phần là theo dõi, phân tích, xử lý các mạng Botnet để xử lý tấn công DDoS
hoặc theo dõi, phân tích APT để xử lý các cuộc tấn công mạng. Bên cạnh đó Cục An
toàn thông tin cũng đã phối hợp với CMC và BKAV phát triển được công cụ, hệ thống
kỹ thuật để phục vụ theo dõi mã độc.
22
Hình 4: Hệ thống theo dõi, phát hiện mạng botnet từ xa
Hệ thống theo dõi cập nhật về tình hình mã độc hại đang được xây dựng và triển
khai để hỗ trợ đắc lực trong việc nắm bắt cụ thể và đầy đủ nhất về tình hình lây nhiễm
mã độc trong Việt Nam. Từ đó có thông tin để xây dựng kế hoạch và phương án xử lý
bóc gỡ các mã độc trên diện rộng. Với hệ thống này cho phép nắm bắt được chi tiết các
dòng mã độc, các mạng botnet đang hoạt động trên không gian mạng Việt Nam; nắm
bắt được xu thế lây lan, phát triển của các họ mã độc, từ đó đề ra các phương án ứng phó
kịp thời cho từng thời điểm.
Ngoài ra Cục An toàn thông tin đã và đang triển khai Đề án Tuyên truyền, phổ
biến, nâng cao nhận thức và trách nhiệm về ATTT. Việc tuyên truyền bóc gỡ mã độc có
thể được lồng ghép thực hiện.
Cục ATTT đang dự thảo Đề án Hỗ trợ phát triển một số sản phẩm, dịch vụ an
toàn thông tin trong nước, trong đó, các sản phẩm, dịch vụ liên quan đến mã độc vốn là
điểm sáng của một số doanh nghiệp trong nước thời gian qua. Việc kết hợp triển khai
đồng bộ các đề án sẽ mang lại hiệu quả tích cực.
Bên cạnh đó, Cục ATTT theo dõi, tổng hợp, đánh giá chỉ số lây nhiễm phần
mềm độc hại ở các bộ, ngành, địa phương, coi đây là một trong những tiêu chí đánh giá
mức độ bảo đảm an toàn thông tin của các bộ, ngành, địa phương để các cơ quan, tổ
chức có trách nhiệm tham gia triển khai tích cực.
b) Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có hệ thống Giám sát An toàn
thông tin mạng quốc gia có khả năng nhận biết sớm nguy cơ bị do thám, có hoạt động
23
lạ, mã độc; các quy trình, cơ chế tấn công mới (như APT); khởi đầu các cuộc tấn công
và cường độ tấn công; cảnh báo sớm các hoạt động tấn công ngầm, nguy cơ và dấu hiệu
tấn công; giám sát các đối tượng luồng tin (lưu lượng, nguồn, đích), dịch vụ (cổng dịch
vụ, giao thức), hệ thống (CSDL, email, website, …).
Hệ thống Giám sát An toàn mạng quốc gia hoạt động chủ động, xử lý tự động số
liệu lớn dữ liệu; cấu trúc mở, tích hợp theo chuẩn thông dụng; thu thập thông tin phân
tán, quản lý đa cấp, xử lý tập trung; phối hợp thông tin quốc tế. Khả năng hiện tại của hệ
thống giám sát: Phát hiện nguy cơ APT, xâm nhập của Hacker; Giám sát dịch vụ của hệ
thống; Phát hiện hoạt động của mã độc, botnet; Phát hiện tấn công từ chối dịch vụ
DoS/DdoS; Phát hiện các kỹ thuật sử dụng của đối tượng tấn công; Phát hiện các địa
chỉ tấn công/bị tấn công.
Hệ thống giám sát an toàn mạng quốc gia đã triển khai tại một số bộ ngành, tỉnh
thành và tổ chức.
4.2. Các bộ, ngành, địa phương
Các bộ, ngành, địa phương đều đã được đầu tư các hệ thống thông tin và thiết bị,
giải pháp bảo mật như:
- Văn phòng Chính phủ: có hệ thống giám sát, hệ thống bảo vệ an toàn thông tin
mạng;
- Bộ Công Thương có hệ thống giám sát an ninh, an toàn thông tin, cảnh báo tự
động (Argsight); Tập đoàn Điện lực – Bộ Công Thương có đề án “An toàn an ninh
thông tin cho các hệ thống công nghệ thông tin”;
- Bộ Giao thông Vận tải: Tổng Công ty Hàng không Việt Nam có hệ thống giám
sát an ninh thông tin (Cyber security); Đang xây dựng hệ thống giám sát an toà thông
tin; xây dựng, triển khai đề án “Giải pháp tổng thể bảo đảm an toàn, an ninh thông tin
cho các hệ thống thông tin của Bộ GTVT”
- Bảo hiểm xã hội Việt Nam: có thiết bị bảo mật, an ninh mạng từ cấp huyện, cấp
tỉnh đến Trung ương; có hệ thống giám sát tập trung, hệ thống quản trị tập trung; hệ
thống quản lý an ninh thông tin mạng và các hệ thống phòng chống tấn công.
4.3. Các doanh nghiệp ISP, doanh nghiệp làm về an toàn thông tin
Doanh nghiệp ISP/Đơn vị vận hành hệ thống thông tin có sẵn hạ tầng kỹ thuật
cung cấp dịch vụ cho người dùng và một số đơn vị có hệ thống kỹ thuật liên quan đến
mã độc như: Viettel có Cổng thông tin bảo vệ khách hàng Viettel trước các nguy cơ mất
24
an toàn thông tin (Security Gate)
Hình 5: Thống kê và bản đồ mã độc của Viettel (nguồn: )
Doanh nghiệp cung cấp sản phẩm, dịch vụ, đặc biệt là các doanh nghiệp cung
cấp phần mềm diệt vi-rút trong nước đã có sẵn những sản phẩm đối phó với mã độc như
CMC, BKAV, Viettel có phần mềm diệt Vi-rút.
5. Kinh nghiệm quốc tế
Nhận thức được các nguy cơ, các mối đe doạ từ phần mềm độc hại nói chung và
botnet, mã độc APT nói riêng, các nước trên thế giới đã sớm quan tâm triển khai giải
pháp, dự án phòng chống và bóc gỡ mã độc, các mạng botnet để bảo vệ các lợi ích quốc
gia của chính họ và các nước đồng minh trước những rủi ro an toàn thông tin mạng.
Điển hình có thể kể đến là Nhật Bản với hệ thống Cyber Clean Center; Hàn Quốc với
hệ thống giám sát an toàn mạng do KISA đang vận hành trên toàn bộ các cổng kết nối
Internet. Chính phủ Singapore cũng vận hành hệ thống giám sát an toàn mạng cho cơ
quan Chính phủ (dịch vụ do công ty E-Corp cung cấp). Chính phủ Malaysia đã đưa vào
vận hành hệ thống giám sát các tấn công có tần suất lớn và lây lan mã độc từ cuối 2007;
Các quốc gia Châu Âu cũng đều có những dự án, chiến lược tương tự gồm cả hệ thống
kỹ thuật và quy tắc thỏa thuận với sự tham gia nòng cốt của các tổ chức.
25
