Tấn công APT – Advanced Persistent Threats

Tấn công APT (Advanced Persistent Threat)

Thuật ngữ APT (Advanced Persistent Threat) được sử dụng để mô tả kiểu tấn công dai dẳng và có chủ đích vào một thực thể được nhắm đến. Thông thường tấn công APT có sự chuẩn bị kỹ càng và được thực hiện, hỗ trợ bởi 1 tổ chức hoặc cao cấp hơn là chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo từ cá nhân, doanh nghiệp, chính phủ nước khác.

Phân tích các thuật ngữ trong APT

Advanced: thuật ngữ này trong cụm từ APT chỉ các kiểu tấn công cao cấp hơn các thể loại thông thường. Trong APT, tin tặc sử dụng các malware và các biến thể khác nhau để tiến hành qua mặt và xâm nhập vào hệ thống. Không giống các virus hay chương trình độc hại máy tính khác, các malware này phần lớn có thể qua mặt được các phương pháp bảo vệ truyền thống khác như Firewall, IPS, và phần mềm diệt virus.

Persistent: kiểu tấn công APT thực sự bao giờ cũng có chủ đích nhất định và thuật ngữ Persistent mang ý nghĩa việc tấn công luôn theo sát để đạt được mục đích của nó. Mục tiêu tấn công sẽ không bị tấn công ngay tức thì mà các mã độc sẽ đi theo nhiều đường khác nhau cho đến khi xâm nhập vào hệ thống, sau đó chờ thời cơ. Chúng chỉ thực sự kích hoạt tấn công khi phát hiện đúng mục tiêu.

Threat: chỉ các mối nguy hại liên quan đến an ninh, an toàn thông tin.
Theo thống kế của FireEye, tấn công APT nằm trong nhóm hiểm họa an toàn thông tin bắt đầu xuất hiện từ giai đoạn 2010-2011 cho đến nay. Đây là phương thức tấn công đa dạng, nhanh chóng tạo ra các biến thể để qua mặt các giải pháp an ninh và gây thiệt hại to lớn so với các rủi ro an ninh khác như virus, spyware.

fireeye_new_status_quo

Cho đến nay, tấn công APT thường được dùng với mục đích:
• Thu thập thông tin tình báo có tính chất thù địch.
• Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.
• Làm mất uy tín của cơ quan tổ chức.
• Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực….

Tấn công APT diễn ra như thế nào

Một cuộc tấn công APT thông thường diễn ra theo nhiều giai đoạn khác nhau tùy theo cách phân loại, về căn bản bao gồm 3 giai đoạn sau:

1. Chuẩn bị

Tấn công APT như được miêu tả bao giờ cũng có chủ đích và đây là giai đoạn xác định mục tiêu tấn công, mục đích tấn công. Từ đó nghiên cứu các cách thức tiếp cận với mục tiêu, tiến hành khảo sát, do thám hệ thống mạng, hạ tầng, con người, … có liên quan đến mục đích, mục tiêu tấn công. Đây cũng là giai đoạn chuẩn bị các công cụ để tiến hành xâm nhập, chủ yếu là phát triển mã độc, đính kèm email, các C&C (Command and control) server để bắt đầu cuộc tấn công ở giai đoạn 2.

2. Khởi động tấn công

Tin tặc thực hiện tấn công vào mục tiêu theo nhiều phương thức khác nhau, qua các tiếp cận thông thường như lướt web, gởi nhận email, khai thác lỗi các ứng dụng bị lỗi. Phương pháp tấn công thông thường nhất trong APT là gởi mã độc, liên kết mã độc đính kèm trong email và thu hút người dùng click vào các link, mở các file có chứa mã độc ẩn sâu trong đó. Đây cũng là phương thức hiệu quả nhất hiện nay để xâm nhập vào hệ thống, khi ứng dụng email là cực kỳ phổ biến đối với bất kỳ doanh nghiệp, tổ chức, chính phủ nào.
Mã độc khi xâm nhập vào hệ thống thường tiến hành thiếp lập các kết nối về hệ thống máy chủ điều khiển (C&C server) và trở thành 1 backdoor, cho phép tin tặc toàn quyền điều khiển máy tính người dùng.

3. Đánh cắp dữ liệu, phá hoại

Khi đã xâm nhập được vào hệ thống, các mã độc trong tấn công APT nằm ẩn mình và tìm cách mở rộng vào hệ thống thông tin cho đến khi tiếp cận được các mục tiêu thích hợp. Sau đó các đặt lệnh từ hệ thống máy chủ điều khiển (C&C server) sẽ tiến hành tấn công theo phương thức phá hoại hoặc đánh cắp dữ liệu của mục tiêu. Khi hoàn thành, chúng sẽ thực hiện xóa dấu vết để che giấu các hành vi đã thực hiện trong hệ thống.

Phòng chống tấn công APT

Một hệ thống có nhiều điểm yếu thì càng dễ bị khai thác không chỉ tấn công APT mà các kiểu tấn công truyền thống thông thường cũng có thể xâm nhập thành công. Vì vậy hệ thống về cơ bản cần phải bảo đảm các điều kiện sau:
– Bảo mật thông tin hệ thống: hạn chế các thông tin liên quan đến mục tiêu khiến tin tặc sẽ khó khăn hơn trong quá trình thu thập dữ liệu. Các hệ thống máy chủ, cơ sở dữ liệu, hệ thống thông tin cần phải được che dấu thông tin để tránh việc khai thác, dò quét của tin tặc.
– Hạn chế các lỗi ứng dụng và HĐH: thường xuyên nâng cấp, cập nhật phiên bản của ứng dụng và hệ điều hành để ngăn chặn kịp thời các khai thác của tin tặc.
– Sử dụng các phương pháp bảo mật truyền thống: hệ thống cần phải bảo đảm các an ninh truyền thống như firewall, IPS, phần mềm antivirus cho hệ thống máy chủ và máy tính người dùng.

Ngoài ra, để ngăn chặn và phòng tránh tấn công APT, hệ thống phải xây dựng các giải pháp bổ sung sẽ là chốt chặn dành riêng cho các thể loại tấn công APT cao cấp:

– Hệ thống giả lập các môi trường ảo để phân tích hành vi của mã độc. Hệ thống này thường được gọi là SandBox trong các giải pháp an ninh. Đối với giải pháp của FireEye được gọi là MVF engine. Các hệ thống giả lập này mô phỏng các môi trường người dùng để tương tác với các tập tin vào – ra hệ thống, từ đó phân tích hành vi của các tập tin đến hệ thống để đưa ra cảnh báo / quyết định về việc mã độc hay không.
– Hệ thống ngăn chặn kết nối với các C&C server. Việc là mục tiêu của tấn công APT đối với doanh nghiệp, chính phủ là không thể tránh khỏi, vì vậy khi hệ thống bị nhiễm mã độc cần tiến hành cách ly kết nối với các máy chủ điều khiển đối với toàn bộ hệ thống. Các hệ thống giám sát dữ liệu (SIEM) và phân tích hành vi là công cụ hỗ trợ cho việc phát hiện các kết nối trái phép đến các máy chủ điều khiển.

Tấn công APT là kiểu tấn công được thiết kế riêng cho mỗi mục tiêu, mục đích xác định, vì vậy cần kết hợp các phương pháp phòng thủ, an ninh cho hệ thống với nhau từ thiết bị, công cụ, quy trình cho đến con người để nhanh chóng phát hiện, xử lý và khắc phục đối với thể loại tấn công này.

P.S: bài viết có tham khảo và tổng hợp từ các tài liệu APT khác nhau, trong đó chủ yếu từ FireEye và 1 bài viết về APT của Securitydaily.net.

Bình luận