Dự đoán về xu hướng tấn công có chủ đích trong năm 2023
SỰ GIA TĂNG CỦA CÁC CUỘC TẤN CÔNG PHÁ HỦY
Với bối cảnh chính trị hiện tại, các chuyên gia bảo mật của Kaspersky dự đoán rằng sẽ có một số lượng lớn các cuộc tấn công mạng gây rối và phá hủy xảy ra vào năm tới, ảnh hưởng đến cả khu vực chính phủ và các ngành công nghiệp mũi nhọn. Có khả năng rằng một phần trong số chúng sẽ không dễ dàng truy vết được từ các sự cố mạng và sẽ trông như các sự cố ngẫu nhiên. Phần còn lại sẽ ở dạng tấn công giả dạng mã độc tống tiền hoặc các hoạt động xâm nhập bất hợp pháp. Ngoài ra, các chuyên gia bảo mật cũng lo ngại rằng tần suất các cuộc tấn công mạng quy mô lớn có thể diễn ra nhiều hơn nhằm vào cơ sở hạ tầng dân sự, chẳng hạn như mạng lưới điện năng lượng hoặc phát sóng công cộng cũng có thể trở thành mục tiêu, cũng như sự an toàn của cáp quang biển - vốn rất khó bảo vệ trước các tác động vật lý.
MÁY CHỦ MAIL TRỞ THÀNH MỤC TIÊU HÀNG ĐẦU
Trong thời gian vừa qua, hai gã khổng lồ dịch vụ mail là Microsoft Exchange và Zimbra đều phải đối mặt với các lỗ hổng nghiêm trọng. Kaspersky dự báo rằng trong năm 2023 máy chủ mail sẽ trở thành các mục tiêu hàng đầu của tin tặc, bởi các máy chủ này chứa các thông tin tình báo quan trọng mà các tin tặc APT quan tâm và sở hữu bề mặt tấn công lớn để chúng khai thác.
Năm 2023 rất có thể sẽ chứng kiến nhiều hơn những lỗ hổng “zero-day” đối với các nền tảng, chương trình email khác nhau. Vì vậy, các chuyên gia khuyến nghị quản trị viên hệ thống của các tổ chức, doanh nghiệp cần triển khai các giải pháp giám sát và phát hiện xâm nhập để chủ động ứng phó trước những mối đe dọa này.
MÃ ĐỘC WANNACRY THẾ HỆ TIẾP THEO
Theo thống kê, những cuộc tấn công mạng lớn nhất và gây ảnh hưởng nhiều nhất sẽ xảy ra sau khoảng từ 6 đến 7 năm. Trong đó có thể nhắc đến cuộc tấn công do WannaCry tiến hành, sử dụng lỗ hổng EternalBlue để tự động phát tán mã độc tống tiền đến máy tính.
Các chuyên gia bảo mật Kaspersky tin rằng khả năng cao một WannaCry thế hệ tiếp theo sẽ xuất hiện trong năm 2023. Lý do có thể giải thích cho sự việc này là các tin tặc chuyên nghiệp trên thế giới có khả năng sở hữu ít nhất một phương thức khai thác phù hợp, cùng với sự căng thẳng trên toàn cầu hiện tại làm gia tăng khả năng tấn công và rò rỉ dữ liệu có thể xảy ra.
HƯỚNG MỤC TIÊU ĐẾN CÁC CÔNG NGHỆ, NHÀ SẢN XUẤT VỆ TINH
Kaspersky từng phát hiện một nhóm tin tặc chiếm quyền điều khiển thông tin liên lạc vệ tinh, đồng thời cũng đã có những bằng chứng cho thấy các nhóm APT có khả năng tấn công vệ tinh, với sự cố tấn công công ty viễn thông Viasat là một ví dụ. Có khả năng tin tặc sẽ ngày càng chú ý đến việc thao túng và can thiệp vào các công nghệ vệ tinh trong tương lai, khiến cho việc bảo mật các công nghệ này trở nên quan trọng hơn bao giờ hết.
CÁC NHÓM TIN TẶC APT SẼ CHUYỂN TỪ COBALT STRIKE SANG CÁC CÔNG CỤ KHÁC
Cobalt Strike được phát hành vào năm 2012, là một công cụ mô phỏng mối đe dọa được thiết kế để giúp các đội đỏ (đội tấn công) hiểu các phương pháp mà các tin tặc có thể sử dụng để xâm nhập mạng. Thật không may, cùng với Metasploit Framework, nó đã trở thành một công cụ được lựa chọn cho các nhóm tội phạm mạng cũng như các tác nhân đe dọa APT trong các chiến dịch tấn công khác nhau. Tuy nhiên, theo đánh giá của các chuyên gia bảo mật của Kaspersky, một số tin tặc có thể sẽ chuyển hướng để sử dụng các giải pháp thay thế khác.
Một trong số đó là Brute Ratel C4, một công cụ giả lập tấn công thương mại đặc biệt nguy hiểm vì nó được thiết kế để tránh bị truy vết bởi các chương trình Antivirus và các lớp bảo vệ của giải pháp Phát hiện và phản hồi điểm cuối (EDR).
Ngoài các sản phẩm có sẵn bị tin tặc lạm dụng, còn có các công cụ có thể bị đưa vào bộ công cụ APT. Ví dụ như Manjusaka, được cho là phát triển từ nền tảng của Cobalt Strike. Cài đặt của công cụ này được viết bằng ngôn ngữ Rust cho Windows và Linux. Phiên bản đầy đủ chức năng điều khiển từ xa của Manjusaka được phát triển bằng Golang với giao diện người dùng bằng tiếng Trung, cho phép tin tặc tạo các payload độc hại với cấu hình tùy chỉnh trong các cuộc tấn công. Một cái tên nổi bật khác là Ninja, một công cụ cung cấp lượng lớn tập các lệnh, cho phép tin tặc kiểm soát các hệ thống từ xa, tránh bị phát hiện và xâm nhập sâu vào bên trong mục tiêu. Điểm chung của các công cụ trên là đều cung cấp các khả năng cùng phương thức tấn công mới và những kỹ thuật lẩn tránh tiên tiến hơn.
MÃ ĐỘC TRUYỀN TÍN HIỆU TÌNH BÁO SIGINT VÀ TẤN CÔNG MAN-ON-THE-SIDE
Các chuyên gia cũng đưa ra dự báo về một dạng mã độc truyền tín hiệu tình báo SIGINT. Một trong những vectơ tấn công mạnh nhất sử dụng các máy chủ ở những vị trí quan trọng của đường trục Internet, cho phép các tin tặc thực hiện các cuộc tấn công Man-on-the-side (MoTS), là một hình thức tấn công chủ động tương tự như tấn công Man-in-the-middile (MiTM).
Với phương thức tấn công này, thay vì kiểm soát hoàn toàn một nút mạng, tin tặc chỉ có quyền truy cập thường xuyên vào kênh liên lạc, cho phép đọc lưu lượng và chèn tin nhắn mới, nhưng không thể sửa đổi hoặc xóa tin nhắn đã gửi bởi những người tham gia khác. Để một cuộc tấn công MoTS thành công, tin tặc cần gửi phản hồi trước khi nạn nhân nhận được phản hồi hợp lệ. Trong đó, gói phản hồi này được sử dụng để cài đặt mã độc trên máy tính của nạn nhân. MoTS có thể được thực hiện trong mạng cục bộ (giả sử một vị trí đặc quyền), nghiên cứu đã chỉ ra rằng nó đã thành công trong các cơ sở hạ tầng quan trọng. Đây là một trong những vectơ tấn công đặc biệt, vì chúng cho phép nạn nhân bị lây nhiễm mà không cần bất kỳ tương tác nào. Vào năm 2022, Kaspersky đã chứng kiến một nhóm tin tặc sao chép kỹ thuật này ở Trung Quốc.
Các chuyên gia dự đoán rằng các cuộc tấn công MoTS có thể trở lại mạnh mẽ hơn vào năm tới. Mặc dù các cuộc tấn công này cực kỳ khó phát hiện (vì nó yêu cầu một vị trí đặc quyền trong mạng, chẳng hạn như đường trục Internet), nhưng Kaspersky tin rằng chúng sẽ trở nên phổ biến hơn và dẫn đến nhiều phát hiện hơn vào năm 2023.
TẤN CÔNG DRONE
Các chuyên gia Kaspersky cũng nhận định trong năm sau, chúng ta có thể thấy các tin tặc thành thạo trong việc kết hợp tấn công mạng và tấn công vật lý sử dụng drone (máy bay không người lái) để tấn công các vùng lân cận. Một trong những kịch bản tấn công có thể xảy ra là gắn drone với công cụ thu thập WPA dùng cho bẻ khóa mật khẩu Wifi ngoại tuyến hoặc sử dụng drone để thả các USB độc hại tại những khu vực bị hạn chế, với hy vọng rằng người qua đường sẽ nhặt chúng và cắm vào máy tính.
Lê Mạnh Phong (Công an tỉnh Hòa Bình)