Botnet và tấn công DDoS gây mất an toàn thông tin

Vấn đề an toàn thông tin (ATTT) trở nên rất nóng, có hàng loạt sự cố lớn liên quan đến mất ATTT như: công khai sự tồn tại của các mạng lưới phần mềm do thám, phần mềm độc hại được thiết kế chuyên biệt để tấn công vào các mục tiêu cụ thể. Các mạng máy tính ma (botnets) và tấn công DDoS đang trở nên phổ biến và luôn tiềm ẩn nguy cơ gây mất ATTT cho các cơ quan Đảng, Chính phủ. Đó là nhận định của Thứ trưởng Bộ Thông tin và Truyền thông (Bộ TT-TT) Nguyễn Minh Hồng tại Hội thảo Xây dựng cơ chế phối hợp trong nước/ngoài nước trong các hoạt động ứng cứu khẩn cấp máy tính diễn ra cuối tháng 10/2013, tại Hà Nội.

Botnet và tấn công DDoS gây mất an toàn thông tin

Hệ thống CNTT Việt Nam rất… mong manh

Ông Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cho rằng: Tình hình chống lại các mạng máy tính ma (botnet) và tấn công DDoS tại Việt Nam hết sức phức tạp. Các máy tính ở Việt Nam đang phát tán hơn 3,33 tỷ tin nhắn rác/ngày. Ít nhất khoảng 500.000 – 1.000.000 máy tính đang bị lây nhiễm mã độc nằm trong các mạng botnet. Hệ thống công nghệ thông tin (CNTT) các nước nói chung và Việt Nam nói riêng là rất mong manh.

Hiện các mạng lưới gián điệp mạng ứng dụng botnet khá phổ biến và hình thức tấn công ATP (dai dẳng, thường xuyên) được coi là phổ dụng và khá hiệu quả. Tấn công ATP không nhằm mục đích phá hoại hạ tầng CNTT mà lấy trộm thông tin, sử dụng kỹ thuật để tránh bị phát hiện và có khả năng “nằm vùng” lâu dài trong hệ thống mạng nạn nhân.

Chu kỳ sống của 1 mạng botnet gồm 5 giai đoạn: Thụ thai (kiến trúc thiết kế mạng botnet, xác định cách thức xây dựng mạng botnet); tuyển dụng (lây nhiễm và phát tán mã  độc để xây dựng 1 mạng botnet); tương tác (tương tác giữa máy chủ và các máy tính ma trong mạng botnet, các máy chủ phân giải và máy chủ khác để tìm kiếm thông tin); tiếp thị (tìm kiếm khách hàng để bán, lợi ích kinh tế được đặt lên mục tiêu hàng đầu) và tấn công/thực hiện các cuộc tấn công (DDoS, Spam, Phishing, Click Fraund).

Theo ghi nhận của các trung tâm an ninh mạng toàn cầu, tấn công botnet mới nhất được ghi nhận và vẫn đang tiếp diễn đó là botnet bRobot. Khởi phát là tấn công hệ thống tài chính Mỹ rồi lan rộng ra nhiều nước trong đó có Việt Nam với 2.309 website bị tấn công, 6.978 trang bị cài mã độc botnet bRobot. Giữa năm 2013 an ninh mạng Việt Nam ghi nhận mạng botnet razer đã tham gia tấn công một số doanh nghiệp hosting. Razer là mạng cho thuê công khai trên không gian mạng, là “bãi tập” thử nghiệm của tin tặc, chỉ cần đăng ký thông tin và nêu địa chỉ mục tiêu định tấn công sẽ được mạng này triển khai thực hiện tấn công luôn.

Đặc biệt nguy hiểm là những kẻ tấn công chỉ mất 22 USD đã có thể mua được bộ công cụ tấn công mạng; thể thanh toán bằng thẻ tín dụng ăn cắp mà không bị phát hiện và dễ dàng tấn công có chủ đích vào đối tợng hướng đến. Khi đó, hacker chỉ cần nhập 1 vài thông tin như địa chỉ IP, đích tấn công, cách thức quấy rối và… chờ đợi con mồi sập bẫy. Chi tiết, cách thức một cuộc tấn công được mô tả rất chi tiết trên mạng xã hội chia sẻ video Youtube.

Minh họa rõ hơn về nguy cơ mất an toàn thông tin, ông Khánh ví dụ, lượng mã độc toàn cầu trong năm 2012 và năm 2013 đã có sự gia tăng chóng mặt. Nguy hiểm hơn những hệ điều hành nào có số lượng người dùng lớn càng là đích ngắm của mã độc. Mã độc trên Android có tốc độ tăng trưởng 2.577% năm 2012 vì nhiều người dùng Android hơn iOS. Cũng trong báo cáo quý 4 về tấn công DDoS toàn cầu, từ tháng 7 – 10/2013 gia tăng 58% tổng số lượng tấn công DdoS trong đó 48% các tấn công nhằm vào cơ sở hạ tầng (hệ thống giao thông, quản lý đô thị, quản lý xây dựng…).

Trong khi đó, thời gian trung bình một vụ tấn công DDoS là 21,33 giờ… đủ nhanh và dài để hạ gục mọi hệ thống bảo mật sơ sài tại Việt Nam. “Liệu các ISP, các nhà cung cấp nội dung phân tán có chịu trách nhiệm hay không, có chống lại được các cuộc tấn công với dung lượng lớn, liên tục vói tần suất 3Gbps hay không?”, ông Khánh trăn trở.

Ngoài ra, nếu tin tặc không giảm dung lượng tấn công mà chia nhỏ các cuộc tấn công nhằm vào nhiều đích hơn, tấn công đồng thời như các website thương mại điện tử, website của cơ quan Chính phủ, các website của hệ thống tài chính (thuế, hải quan, chứng khoán…) hay ngân hàng thì chúng ta đối phó ra sao. Những kịch bản khi bị tấn công, cách diễn tập đề phòng và xử lý sự cố nếu điều đó xảy ra chưa được chúng ta xây dựng và diễn tập.

Với 76,52% tấn công vào cơ sở hạ tầng trong quý 3/2013, trong đó 23,48% tấn công vào lớp ứng dụng. Đặc biệt 62,26% các vụ tấn công DdoS toàn cầu có nguồn gốc từ Trung Quốc hẳn chúng ta không thể không suy nghĩ. “Việt Nam cần có cơ chế thời gian thực để chống lại tấn công và biện pháp đối phó tức thời thay vì “phơi lưng” chịu đòn và bất lực khi xảy ra sự cố…”, ông Khánh nhấn mạnh.

Tiên liệu và giảm thấp nhất thiệt hại

Theo các chuyên gia an ninh mạng, khi bị tấn công botnet hay DdoS thường để lại hậu quả hết sức nặng nề. Đơn cử tấn công băng thông để chiếm toàn bộ băng thông của trang web; chiếm 1 số gói tin trong giây để làm tràn ứng dụng. Khi đó các router của doanh nghiệp và tổ chức bị tê liệt trước tiên.

Theo ông Dustine Chen, Phó Giám đốc khu vực Châu Á – Thái Bình Dương, Công ty Niksun: Việt Nam cần phòng thủ toàn diện với hệ thống giám sát an toàn thông tin và tiên lượng trước tấn công.

Ví dụ năm 2012, Hàn Quốc bị một cuộc tấn công toàn diện từ Bắc Triều Tiên nhắm vào các ngân hàng và đài truyền hình. Với ngân hàng, tin tặc sử dụng email gửi khách hàng giả là bộ phận tin học của ngân hàng yêu cầu cập nhật file chữ ký để chống virus. Nhưng đây là email giả và khi mở file đính kèm khách hàng sẽ làm cả hệ thống ATM của Hàn Quốc bị sập. Trong khi các đài truyền hình cũng bị gửi mail giả tương tự nhưng là các file giả với tiêu đề các đoạn video, phóng sự cần phát do phóng viên gửi về đài. Ngay lập tức khi kỹ thuật mở file đã khiến toàn bộ hệ thống truyền dẫn và phát sóng bị treo và ngừng hoạt động. Hình thức tấn công rất “đơn giản” nhưng Hàn Quốc phải mất hơn 1 tuần mới khắc phục được sự cố.

Ông Dustine Chen cho rằng, nếu xây dựng hệ thống camera giám sát ở trước hoặc sau tường lửa ghi lại các diễn biến bất thường về lưu lượng trên mạng thì các chuyên gia an ninh sẽ có được biện pháp đối phó sớm khi cuộc tấn công đang trong giai đoạn khởi phát. Dù nhanh hơn tin tặc chỉ cần 1 giây cũng đủ tránh cho toàn bộ hệ thống cơ sở dữ liệu bị sập. Hoặc qua giám sát dung lượng, người dùng cũng có thể kiểm soát được các gói tin, kiểm soát mã độc, mã thực thi để chuyển hướng các máy chủ chủ động lưu vệt và nếu cần có thể tấn công ngược để xem đối phương đến từ đâu và tấn công có mục đích gì.

Trao đổi sâu về tấn công botnet, ông Jatuporn Pungsuar, chuyên gia an toàn thông tin (ATTT) của Hãng Cisco System cho rằng hiểm họa tấn công botnet nguy hiểm thứ 2 trong Top 10 mối đe dọa ATTT năm 2012 là hoàn toàn có cơ sở. Các nước cần có công nghệ mới để chống lại mối đe dọa mới này và xây dựng quy trình bảo vệ mới thay vì ngồi đợi bị tấn công. Dự báo tấn công dữ liệu trên đám mây và ảo hóa cũng là mối đe dọa nổi lên trong vòng 4 năm tới và Việt Nam cần tiên liệu những nguy cơ đến từ không gian mạng sớm tránh bị động.

Nhìn lại lịch sử tấn công botnet, thủ phạm tấn công thường là người viết phần mềm, muốn nổi tiếng. Kế đến là giai đoạn tấn công với mục đích gián điệp công nghiệp (chế tạo vũ khí), gián điệp kinh tế (tấn công tê liệt hệ thống ngân hàng, trung tâm thanh toán hay dự trữ ngoại hối của đối tác thương mại). Hiện nay, các cuộc tấn công ngoài mục đích kinh tế đã nhuốm màu sắc chính trị, tôn giáo và được chỉ đạo bởi chính phủ các nước.

Với tư cách là bộ quản lý trực tiếp, Thứ trưởng Bộ TT- TT Nguyễn Minh Hồng cho rằng: Việt Nam cần tăng cường hoạt động bóc gỡ mã độc, botnet và phòng chống tấn công DDoS và chủ động đối phó trước khi bị tấn công. Hiện Việt Nam mới có khả năng cảnh báo botnet dựa trên các báo cáo từ các tổ chức, nạn nhân bị tấn công chứ chưa có khả năng chủ động phát hiện sớm. Quy trình chống botnet, ngăn chặn tấn công DdoS của các đơn vị, doanh nghiệp còn chưa thống nhất. Giải pháp và kế hoạch triển khai bóc gỡ botnet (hình thành, hạn chế sự lây lan; lên phương án và giải pháp kỹ thuật để theo dõi/phát hiện; nhanh chóng phản ứng với các cuộc tấn công, thu thập thông tin về mạng botnet) cần được thực hiện nghiêm túc.

Hàng năm Bộ TT-TT sẽ có diễn tập mạng lưới (cấp quốc gia, bộ, ngành, tỉnh, thành), trong đó phòng chống botnet, mã độc là một trong những nội dung trọng tâm được triển khai ngay từ năm 2014. Ngoài ra, Bộ TT-TT cũng tăng cường biện pháp điều phối chống malware và botnets, có chế tài mạnh trong thanh kiểm tra, xử lý đối tượng vi phạm.

“Bộ TT-TT cùng Bộ Công an, Bộ Quốc phòng, Ban cơ yếu Chính phủ và các đơn vị liên quan sẽ tích cực thu thập thông tin quốc tế cũng như triển khai giải pháp triển khai bảo vệ ngăn chặn triệt để các hiểm họa và khắc phục hậu quả tấn công mạng tránh tổn thất thấp nhất có thể xảy ra”, ông Hồng nhấn mạnh.

(Bảo Linh)