Sử dụng RMS và Teamviewer tấn công vào lĩnh vực công nghiệp
Trước đó, Kaspersky ICS Cerrt cũng đã cung cấp một báo cáo như vậy vào năm 2018 mô tả việc tin tặc sử dụng Teamviewer và các hệ thống điều khiển từ xa trong các cuộc tấn công này. Rõ ràng, những kẻ tấn công hiện đang sử dụng các kỹ thuật mới và nhắm tới nhiều các doanh nghiệp hơn.
Một số tấn công điển hình có thể kể đến như:
- Từ năm 2018 đến cuối năm 2020, tin tặc đã sử dụng hình thức gửi nhiều thư điện tử lừa đảo (phishing email) có chứa mã độc tới người dùng.
- Tin tặc sử dụng các kỹ thuật social engineering đánh lừa người dùng; các tài liệu hợp lệ như tài liệu cài đặt thiết bị máy móc hoặc thông tin xử lý, những tài liệu này bị đánh cắp từ các cuộc tấn công mạng.
- Các cuộc tấn công thường vẫn sử dụng là các công cụ quản trị từ xa. Giao diện người dùng của các công cụ này bị ẩn đi bởi mã độc, cho phép tin tặc điều khiển hệ thống của nạn nhân mà người dùng không hề hay biết.
- Trong phiên bản mới của mã độc, tin tặc đã thay đổi kênh kiểm soát sau khi một hệ thống mới bị chiếm quyền. Thay vì sử dụng các máy chủ điều khiển mã độc, tin tặc sử dụng giao diện web trên nền tảng đám mây của các công cụ quản trị từ xa.
- Trong quá trình tấn công, tin tặc sử dụng spyware (phần mềm gián điệp) và Mimikatz (phần mềm mã nguồn mở khai thác các lỗ hổng để xem các thông tin bảo mật của Windows như mật khẩu, mã PIN…) để đánh cắp các thông tin tài khoản và sau đó sử dụng để xâm nhập các hệ thống khác của nạn nhân.
- Trong các chiến dịch mới nhất, tin tặc nhắm tới các hệ thống hạ tầng công nghiệp ở Liên Bang Nga trong khắp các lĩnh vực, trọng tâm là ngành năng lượng. Ngoài ra, tin tặc cũng nhắm tới khối sản xuất, dầu mỏ, gas, công nghiệp kim loại, xây dựng, khai thác và logistic.
- Một vài nhóm chuyên thực hiện các cuộc tấn công APT gần đây đã phát động các chiến dịch tấn công mạng nhắm vào các hệ thống công nghiệp như: Tháng 10/2020, nhóm MontysThree APT đã phát động chiến dịch gián điệp nhằm vào một công ty quốc tế về kiến trúc và sản xuất video bằng kỹ thuật giấu tin (steganography) và khai thác ứng MAXScript của bên thứ 3 (PhysXPlyginMfx); tháng 8/2020, các tin tặc cũng bị phát hiện sử dụng các mã thực thi độc hại giả danh một plugin của Autodesk 3ds Max.
Các chuyên gia đưa ra khuyến nghị đối với người dùng:
- Cần nâng cao cảnh giác trong việc sử dụng Email, đặc biệt cần được đào tạo cách nhận diện được các Email lừa đảo.
- Hạn chế khả năng của các chương trình có được đặc quyền (nếu có thể).
- Cài đặt phần mềm diệt virus có hỗ trợ quản trị tập trung các chính sách bảo mật trong toàn hệ thống, liên tục cập nhật cơ sở dữ liệu mã độc và các môđun được cập nhật.
- Chỉ sử dụng tài khoản với quyền quản trị domain khi cần thiết. Sau mỗi lần sử dụng tài khoản này, hãy khởi động lại hệ thống nơi tài khoản này được dùng.
- Triển khai chính sách mật khẩu mạnh và yêu cầu thường xuyên thay đổi.
- Nếu có nghi ngờ một vài thành phần của hệ thống bị lây nhiễm: hãy xóa bỏ tất cả các công cụ quản trị từ xa của bên thứ ba, dò quét các hệ thống này với phần mềm diệt virus và thực hiện bắt buộc thay đổi mật khẩu đối với tất cả các tài khoản đã đăng nhập vào hệ thống bị lây nhiễm.
- Giám sát các kết nối mạng để tìm các dấu vết của phần mềm điều khiển từ xa được cài đặt bất hợp pháp, nhấn mạnh với Teamviewer.
- Không sử dụng các phiên bản cũ của Teamviewer (từ phiên bản 6.0 trở về trước).
- Sử dụng trình giám sát, thống kê các ứng dụng và phiên bản của chúng đang hoạt động trên máy tính của người dùng. Điều này giúp chủ động giám sát các ứng dụng đang xuất hiện trong hệ thống. Trình giám sát này có thể là một tính năng của các phần mềm diệt virus.
Lưu ý rằng, vì tấn công này sử dụng các phần mềm điều khiển từ xa hợp pháp, phần mềm điều khiển có thể tồn tại trên máy tính của nạn nhân và vẫn tiếp tục hoạt động dù trình tải mã độc đã bị xóa.
Trọng Huấn