Tấn công APT

Chương 1 : Mở đầu

1.1.          Các cụm từ chuyên ngành được sử dụng

1.2.          Định nghĩa APT

1.3.          Đặc điểm

1.4.          Phương thức hoạt động của APT

Chương 2: Các tiến trình của một cuộc tấn công APT

2.1.          Giai đoạn 1: Xâm nhập

2.2.          Giai đoạn 2: Tìm kiếm thông tin

2.3.          Giai đoạn 3: Chiếm giữ

2.4.          Giai đoạn 4: Chuyển dữ liệu

Chương 3: Hậu quả của tấn công APT và một số giải pháp

3.1. Hậu quả của tấn công APT

3.2. Cần làm gì

Chương 4: Phụ lục

Chương 1: Mở đầu

1.1.          Các cụm từ chuyên ngành được sử dụng:

-         APT( Advanced Persistent Threats)

-         Kill-chain

-         Microsoft SQL ® injection

-         “Spray and pray phishing”

-         Zero-day

-         “Smash and grab”

1.2.          Định nghĩa:

Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ kiểu tấn công dai dẳng và có chủ đích vào một thực thể. Kẻ tấn công có thể được hỗ trợ bởi chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ một chính phủ nước khác. Tuy nhiên không loại trừ mục tiêu tấn công có thể chỉ là một tổ chức tư nhân.

1.3.          Đặc điểm:

APT khác các dạng tấn công mục tiêu khác ở những điểm sau:

-         Tùy chỉnh các cuộc tấn công: Ngoài những thiết bị tấn công thông thường, APT thường sử dụng những công cụ tùy biến cao và các công nghệ xâm nhập, được phát triển đặc biệt cho chiến dịch. Những công cụ đó bao gồm  khai thác lỗ hổng zero-day, virus, worm và rootkits. Ngoài ra, APT thường khởi động nhiều mối đe dọa "giết chuỗi" đồng thời vi phạm mục tiêu của họ và đảm bảo quyền truy cập liên tục vào hệ thống nhắm mục tiêu, đôi khi bao gồm cả một mối đe dọa "hy sinh" để lừa các mục tiêu vào suy nghĩ cuộc tấn công đã được đẩy lùi thành công.

-         Kín đáo và chậm rãi: Những cuộc tấn công APT xuất hiện trong thời gian dài khi những kể tấn công thực hiện hành vi rất chậm và kín đáo để tránh sự phát hiện, trái ngược với chiến thuật “

smash and grab” của nhiều dạng tấn công mục tiêu bởi những các cuộc tấn công mạng điển hình hơn, mục đích của APT là duy trì không bị phát hiện bằng hoạt động một cách kín kẽ với sự giám sát và tương tác liên tục cho đến khi những kẻ tấn công đạt được những mục đích của chúng.

-         Tham vọng cao: APT được thiết kế để làm thỏa mãn những yêu cầu của gián điệp quốc tế và hoặc là các chiến dịch, thường liên quan đến các bí mật nhà nước. Mục tiêu của APT bao gồm quân sự, chính trị, hoặc thu thập thông tin tình báo kinh tế, dữ liệu bí mật hoặc mối đe dọa thương mại bí mật, làm gián đoạn hoạt động hay thậm chí phá hủy các thiết bị.

+ Bị đánh cắp tài sản trí tuệ (ví dụ bí mật thương mại hoặc bằng sáng chế…).

+ Thông tin nhạy cảm bị xâm nhập (ví dụ dữ liệu các nhân và nhân viên…).

+ Cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (ví dụ cơ sở dữ liệu, máy chủ quản trị…).

+ Chiếm đoạt toàn bộ tên miền của tổ chức.

Chương 2: Các tiến trình của một cuộc tấn công APT

2.1. Giai đoạn 1: Xâm nhập

Khi lên mục tiêu tấn công, hacker thường xâm nhập bằng các kỹ thuật xã hội, lỗ hổng zero-day, lây nhiễm SQL, malware hoặc các phương thức khác. Những phương thức thường được sử dụng phối hợp trong APT. Sự khác biệt chính là trong khi các cuộc tấn công thông thường có mục tiêu ngắn hạn, sử dụng phương pháp smash and grab, các cuộc xâm nhập của APT được thiết kế để tạo một “đầu cầu” xâm nhập để từ đó bắt đầu hoạt động bí mật trong thời gian dài. Các đặc điểm khác của xâm nhập APT bao gồm:

Do thám – tấn công APT thường sử dụng một số lượng lớn những người nghiên cứu  có thể dành nhiều tháng trời tìm hiểu các mục tiêu của họ và tự làm quen với các hệ thống, quy trình, và con người, kể cả đối tác và nhà cung cấp. Thông tin có thể được thu thập trực tuyến và sử dụng các phương pháp theo dõi thông thường. Trường hợp cuộc tấn công của Stuxnet đối với các tổ chức được cho là đang vận hành các cơ sở hạt nhân của Iran, những kẻ tấn công có hiểu biết chuyên môn trong việc thiết kế của các bộ điều khiển lập trình dùng làm giàu urani.

Kĩ thuật xã hội - biện pháp phi kĩ thuật: Sự xâm nhập thường được thực hiện qua việc sử dụng kĩ thuật xã hội, như là lợi dụng sự tin tưởng của các nhân viên để ấn vào các đường link hay mở file đính kèm cái mà tới từ các đồng nghiệp và đối tác tin cậy. Không giống như kiểu tấn công phishing thông thường, những kĩ thuật như vậy thường được sử dụng bằng cách tìm hiểu kĩ mục tiêu. Trong một vài trường hợp 1 số lượng nhỏ các nhân viên được nhắm đến để cài bẫy bằng các tệp đính kèm tưởng như vô hại.

Lỗ hổng zero-day: zero-day là các lỗ hổng bảo mật mà các nhà phát triển phần mềm không biết đến và do đó có thể được khai thác bởi kẻ tấn công trước khi nhà phát triển có thể cung cấp một bản vá hoặc sửa chữa. Kết quả là, mục tiêu bị tấn công không có bất kì một sự chuẩn bị nào, họ hoàn toàn mất cảnh giác. Bởi phải mất rất nhiều thời gian và nỗ lực để phát hiện zero-day nên chỉ có các tổ chức tấn công tinh vi mới lợi dụng được nó. APT thường sử dụng 1 lỗ hổng zero-

day để phá vỡ mục tiêu, sau đó chuyển qua điểm tấn công thứ 2 và thứ 3. Ở đây là trường hợp của Hydraq. Cuộc tấn công của Stuxnet đã khai thác 4 lỗ hổng zero-day riêng biệt.

Những cuộc tấn công thường tiến hành trên diện rộng để tự động tấn công nhằm tối đa hóa khả năng thành công. “Spray and pray phishing” được spam tự động để nhắm tới hàng nghìn người sử dụng với hi vọng có ai đó sẽ nhấp vào link hoặc file đính kèm và kích hoạt sự xâm nhập. Mặt khác, trong khi APT có thể tiến hành spam, họ thường nhắm đến các hệ thống riêng biệt và quá trình xâm nhập được tập trung 1 cách chặt chẽ- cái mà không phải quá trình tự động được sử dụng trong các cuộc tấn công không phải dạng APT.

2.2. Giai đoạn 2: Tìm kiếm thông tin

Khi xâm nhập được vào bên trong, kẻ tấn công lập sơ đồ hệ thống của tổ chức bị tấn công, quét các dữ liệu bí mật. Sự lục tìm có thể bao gồm cá dữ liệu không được bảo vệ, hệ thống mạng cũng như là các lỗ hổng phần mềm, phần cứng, thông tin tiếp xúc được và đường dẫn các nguồn, hoặc điểm truy cấp. Ở đây, nơi mà phần lớn các cuộc mục tiêu tấn công là chớp cơ hội, các cuộc tấn công APT lại có nhiều phương pháp hơn và tiến hành trong thời gian dài để tránh bị phát hiện.

Đa vetor: cũng như sự xâm nhập, các APT thường sử dụng phối hợp các kĩ thuật lục lọi. Một khi malware có mặt trên hệ thống máy chủ, các công cụ mở rộng có thể được tải xuống để cần cho mục đích tìm kiếm các phần mềm, phần cứng và lỗ hổng mạng.

Bí mật, chui sâu: Bởi mục đích của APT là nằm lại bên trong tổ chức và thu thập thông tin về lâu dài, quá trình lục lọi thông tin được thiết kế để tránh bị phát hiện bằng mọi giá. Hydraq sử dụng 1 số kĩ thuật xáo trộn để ẩn mình bên trong tổ chức nạn nhân. Cụ thể, nó sử dụng mã spaghetti, một kĩ thuật được dùng làm cho việc phân tích và phát hiện các malware trở nên khó khăn hơn.

Nghiên cứu và phân tích: các nỗ lực tìm kiếm được đi kèm với việc nghiên cứu và phân tích trên hệ thống và dữ liệu được tìm thấy, bao gồm mạng, tên người dùng, mật khẩu...

Một khi APT bị phát hiện, câu hỏi đầu tiên là nó đã ở đó bao lâu rồi? Không giống như các cuộc tấn công nhắm mục tiêu điển hình, nếu như số tài khoản đã bị đánh cắp, nó sẽ không khó để định ngày tấn công và đánh giá thiệt hại. Tuy nhiên, với APT, có thể không thể nào xác định được khi mà cuộc tấn công diễn ra. Nạn nhân có thể phải lục lại các nhật kí hoặc thậm chí vứt bỏ thiết bị bởi sự xâm nhập và lục lọi được che dấu quá tốt.

Trong một vài trường hợp, chuỗi APT có thể tìm thấy khá dễ dàng. Nhưng sự xuất hiện đó có thể là để đánh lừa. Kill-chain có thể là cố ý để lộ để khiến nạn nhân sao nhãng trong khi thủ phạm tiến hành không bị phát hiện qua các mục tiêu thực tế của chúng.

2.3. Giai đoạn 3: Chiếm giữ

Trong giai đoạn chiếm giữ, dữ liệu lưu trữ trên hệ thống không được bảo vệ có thể bị truy cập ngay lập tức. Ngoài ra, các rootkit có thể được cài đặt lén trên hệ thống mục tiêu và điểm truy cập mạng để chiếm giữ dữ liệu và khiến chúng chuyển ra khỏi tổ chức. Với trường hợp của Duqu, cái có vẻ là tiền thân của cuộc tấn công giống như Stuxnet, mục đích duy nhất của nó là thu thấp thông tin tình báo, cái có thể được sử dụng để cho kẻ tấn công cái nhìn rõ nét mà chúng cần cho cuộc tấn công tương lai. Trong khi Duqu không được phổ biến, chúng thường nhắm vào các mục tiêu cao, bao gồm các nhà cung cấp của cơ sở công nghiệp.

Thời gian ấn náu lâu dài: APT được thiết kế để chiếm đoạt thông tin trong thời gian dài, Ví dụ: cuộc tấn công gián điệp mạng quy mô lớn được cho là ghostnet, được khám phá vào tháng 3 2009, có khả năng đã xâm nhập hệ thống máy tính của 103 quốc gia, bao gồm các đại sứ quán, bộ ngoại giao và các cơ quan chính phủ khác, trung tâm tị nạn Tây Tạng của đạt lai lạt ma ở ấn độ, new york. Theo báo cáo của tổ chức giám sát thông tin chiến tranh, ghostnet đã bắt đầu chiếm

đoạt thông tin vào ngày 22/5/2007 và tiếp tục ít nhất là tới ngày 12/3/2009. Trung bình, lượng thời gian máy chủ bị lây nhiễm APT là 145 ngày, thời gian lây nhiễm dài nhất là 660 ngày.

Điều khiển: Trong một số trường hợp APT kéo theo sự điều khiển chập lửa hoặc tắt các phần mềm tự động hoặc hệ thống phần cứng. Ngày càng nhiều các thiết bị vật lý được điều khiển bởi bị bộ vi xử lý,khả năng xáo trộn là càng cao hơn.Trên thực tế, Stuxnet đã vượt xa hoạt động đánh cắp thông tin. Mục đích của chúng là để lập trình lại hệ thống kiểm soát công nghiệp, chương tình máy tính được dùng để quản lý nhà máy điện, nhà máy lọc dầu, đường ống dẫn khí đốt. Cụ thể, mục tiêu của chúng là điều khiển các thiết bị vật lí gắn với hệ thống kiểm soát công nghiệp để thiết bị hoạt động theo cách mà kẻ tấn công lập trình, trái với mục đích dự định của nó. Các máy chủ chỉ huy điều khiển có thể bị chiếm quyền điều khiển các hệ thống mục tiêu và thậm chí phá hủy chúng tùy thuộc vào kế hoạch của APT.

2.4 . Giai đoạn 4: Chuyển dữ liệu

Một khi những kẻ xâm nhập nắm quyền kiểm soát hệ thống của mục tiêu, chúng có thể tiến hành trộm cắp tài sản trí tuệ hay các dữ liệu bí mật.

Truyền dữ liệu - sau có tín hiệu điều khiển, các dữ liệu thu hoạch có thể được gửi về cho nhóm tấn công bằng các dữ liệu rõ ràng (bằng thư Web, ví dụ) hoặc bằng các gói dữ liệu được mã hóa,các tập tin nén với mật khẩu bảo vệ. Hydraq sử dụng một số các kỹ thuật mới cho việc gửi các thông tin bị đánh cắp quay lại trang chủ cơ sở. Một trong số đó là sử dụng Port 443 như một kênh chính cho tải lên các dữ liệu bị đánh cắp. Nó cũng thiết lập kết nối giống như SSL một chìa khóa trao đổi đối thoại. Cuối cùng, nó sử dụng thuật toán mật mã riêng để mã hóa nội dung khi bị gửi khỏi tổ chức của nạn nhân.

Phân tích liên tục - trong khi số thẻ tín dụng bị đánh cắp từ một cuộc tấn công nhắm mục tiêu được rao bán một cách nhanh chóng, thông tin bị chiếm giữ bởi APT thường bị mổ xẻ để tìm kiếm các cơ hội chiến lược. Dữ liệu như vậy có thể

được sử dụng để phân tích bởi các chuyên gia lĩnh vực để trích xuất bí mật thương mại, dự đoán chuyển động cạnh tranh, và kế hoạch cơ động truy cập.

Chương 3: Hậu quả của tấn công APT và một số giải pháp

3.1. Hậu quả của tấn công APT:

Một ví dụ điển hình là nhóm APT30 suốt 10 năm qua đã tấn công nhiều cơ quan chính phủ và nhà báo tại các nước Đông Nam Á, trong đó có Việt Nam, bằng cùng một phương thức mà gần đây mới bị phát hiện, theo công bố của công ty bảo mật FireEyE của Mỹ trong một cuộc họp báo hồi tháng 5.

Vụ hãng phim Sony Pictures bị hacker tấn công vào cuối năm 2014 gây thiệt hại hàng tỷ đô la Mỹ, và nhiều nạn nhân trước đó như Home Depot, eBay, JPMorgan báo hiệu các TC/DN đang đối mặt với nguy cơ thiệt hại khó lường nếu phương thức bảo mật không thay đổi.

Mức độ nguy hiểm của tấn công APT được ông Nguyễn Thành Đồng – kỹ sư bảo mật của công ty NPCore chia sẻ tại Ngày ATTT, qua sự cố nhiều ngân hàng và đài truyền hình Hàn Quốc bị tê liệt do hacker tấn công vào năm 2013, tổn thất vô cùng to lớn. Đây đều là những đơn vị có hạ tầng CNTT tốt với hệ thống an ninh thông tin được đầu tư bài bản.

Tại Việt Nam, theo ông Võ Đỗ Thắng – Giám đốc Trung tâm Athena cho biết, dữ liệu nội bộ TC/DN có giá trị đang là đích nhắm tấn công APT. Đối tượng bị tấn công nhiều tập trung vào nhóm các DN tư nhân, FDI có doanh thu lớn, nhất là những đơn vị không có người chuyên trách CNTT. Nhiều doanh nghiệp có sản phẩm độc quyền như điện, nước, xăng, dầu, thực phẩm, cùng các ngân hàng, cơ quan chính phủ cũng là đối tượng của tấn công APT, nhiều đơn vị bị xâm nhập sâu.

“Có doanh nghiệp FDI ở Bình Dương bị cài mã độc trong hệ thống máy tính hơn một năm mà không biết, đã bị mất hàng gigabyte dữ liệu kế toán, bí mật kinh doanh, các bản thiết kế sản phẩm… Giá trị thiệt hại sơ bộ lên đến hàng trăm ngàn đô la Mỹ”, ông Thắng cho biết.

Tấn công phá hoại đáng chú ý tại Việt Nam là vụ VCCorp bị tấn công làm ngưng trệ nhiều ngày một loạt trang web trong nước có lượt truy cập cao mà công ty chịu trách nhiệm quản lý kỹ thuật, gây thiệt hại cho VCCorp hàng chục tỷ đồng.

Tình hình chung là sự vi phạm không còn là “nếu” mà là “khi nào”. Và TC/DN sẽ chịu thiệt hại tàn khốc do mất quá nhiều thời gian để phát hiện malware. Theo thống kê, thời gian trung bình để phát hiện xâm nhập đã giảm xuống còn 205 ngày – vẫn là khoảng thời gian quá lớn.

3.2. Cần làm gì trước các cuộc tấn công APT

Khi đánh giá về tấn công APT, người ta nhận ra một số thực tế sau:

Tất cả các ví dụ minh họa và các thống kê về tấn công APT đều không có mô tả về một kỹ thuật tấn công mới, hay cao siêu nào được áp dụng khi kẻ tấn công tiến hành APT. Từng kỹ thuật được sử dụng đều rất quen thuộc với các chuyên gia an toàn thông tin. Hầu hết các tấn công sau khi đã được phân tích đều thấy rằng, đó là tổng hợp của một số kiểu tấn công đang phổ biến. Kẻ tấn công đã phối hợp các biện pháp với nhau rất khoa học, tỉ mỉ và thông minh.
Đánh giá này sẽ giúp bên phòng thủ nhận thức được rằng: việc áp dụng các công cụ, biện pháp bảo mật tối tân, đắt tiền, chưa chắc tránh được các cuộc tấn công APT đã và sẽ xảy ra. Không phải ngẫu nhiên mà một số tài liệu đã gọi kẻ tấn công là các “Nghệ sĩ” và các “Nghệ sĩ” này thường rất kiên trì để vòng tránh qua các biện pháp bảo mật sẵn có. Có nhiều ví dụ về việc nạn nhân có đủ các biện pháp bảo mật như Firewall, IPS, Antivirus,... nhưng hệ thống vẫn bị thiệt hại bởi tấn công APT.
Kẻ tấn công có thể bỏ hàng tháng để thu thập thông tin cá nhân của nạn nhân nhằm làm tiền đề cho cuộc tấn công, từ cách đặt tên file, mối quan tâm khi mở email, mối quan hệ của nạn nhân trên thế giới ảo. Kẻ tấn công cũng có thể bỏ nhiều tháng để thử đi thử lại một công cụ, một phương thức tấn công sao cho có thể khai thác được một lỗi bảo mật trên hệ thống của “nạn nhân”, sau đó có thể chờ vài tháng để kích hoạt các hành động tấn công. Một chuyên gia đã phát biểu trên Tạp chí SCMagazine vào đầu năm 2013 như sau: “chỉ có 2 loại nạn nhân:

một loại đã và đang bị tấn công, còn lại là những nạn nhân không biết là mình đang bị tấn công”. Một trojan, backdoor, virus nhiễm vào máy tính ngày hôm nay, có thể sẽ là mở đầu của một tấn công APT vào những ngày sau đó. Với sự bùng nổ của Internet, bất kỳ ai cũng có thể tải xuống (hoặc mua) một bộ công cụ để phát triển các cách tấn công cơ bản như: chế ra sâu, trojan, backdoor, virus,... Bên phía phòng thủ sẽ luôn phải “chạy theo sau” sự phát triển không mong muốn này.

Từ những đánh giá trên, chúng ta có thể đưa ra 1 số giải pháp để giảm thiểu nguy cơ bị tấn công APT như sau:

-         Giám sát đường truyền: Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công. Một tường lửa ứng dụng web triển khai tại gateway sẽ giúp bảo về các ứng dụng web khỏi các tấn công như RFI, SQL injection… thường được dùng cho việc tiếp cận mạng của tổ chức từ phía kẻ tấn công.

Tuy nhiên, biện pháp bảo mật này không phải là điều dễ dàng, vì ngay cả những tên miền và ứng dụng đáng tin cậy cũng có thể bị xâm nhập.

Để có được whitelist hiệu quả, phải thực thi chính sách cập nhật một cách nghiêm ngặt để đảm bảo người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào xuất hiện trong danh sách.

+ Những nhân viên bất cẩn bỏ qua các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn

+ Những nhân viên xấu cố ý lạm dụng thông tin người dùng của họ để cấp quyền truy cập vào thủ phạm

+ Người sử dụng bị mất các thông tin mật và các thông tin này được sử dụng bởi các kẻ tấn công

Phát triển chính sách kiểm soát hiệu quả yêu cầu có sự đánh giá toàn diện về mọi nhân viên trong tổ chức – đặc biệt thông tin mà họ truy cập được. Các thông tin quan trọng phải được bảo đảm với xác thực hai yếu tố (2FA). Điều này giúp cho các thông tin quan trọng an toàn hơn.

Một số chuyên gia an toàn thông tin trên thế giới đề xuất áp dụng mô hình “Phomát Thụy sỹ - Swiss Cheese” để chống lại APT. Nguyên tắc của mô hình là: Một miếng phomat có thể có lỗ thủng nhưng nếu ta khéo léo sắp sếp chúng so le với nhau, hệ thống sẽ được bịt kín.

Các biện pháp khuyến cáo khác:

+ Cập nhật bản vá lỗi các phần mềm và hệ điều hành nhanh nhất có thể

+ Mã hóa các kết nối từ xa để tránh việc bị nghe lén đường truyền