APT là gì? Tiến trình của một cuộc tấn công APT
APT hay Advanced Persistent Threat là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao, nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn. Bài viết dưới đây từ Bizfly Cloud sẽ giúp bạn đọc có được cái nhìn tổng quan về phương thức tấn công mạng APT cũng như tiến trình của một cuộc tấn công APT.
APT là gì?
APT là tên viết tắt của Advanced Persistent Threat - thuật ngữ rộng dùng để mô tả một chiến dịch tấn công, thường do một nhóm các kẻ tấn công, sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao.
Theo Bizfly Cloud mục tiêu chính của những vụ tấn công này, thường được lựa chọn và nghiên cứu cẩn thận. Chúng thường bao gồm các doanh nghiệp lớn, các tổ chức an ninh và cơ quan chính phủ. Hậu quả của các cuộc tấn công này rất lớn:
- Bị đánh cắp tài sản trí tuệ (ví dụ: bí mật thương mại hoặc bằng sáng chế…)
- Thông tin nhạy cảm bị xâm nhập (ví dụ: dữ liệu các nhân và nhân viên…)
- Cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (ví dụ: cơ sở dữ liệu, máy chủ quản trị…)
- Chiếm đoạt toàn bộ tên miền của tổ chức
Thực hiện tấn công APT đòi hỏi nhiều tài nguyên hơn tấn công ứng dụng web bình thường. Nhưng kẻ phạm tội thường là những nhóm tội phạm mạng có kinh nghiệm và có hỗ trợ tài chính rất lớn. Một số cuộc tấn công APT còn được chính phủ tài trợ và được sử dụng làm vũ khí chiến tranh mạng.
Các kỹ thuật tấn công phổ biến như: RFI, SQL injection, XSS, lừa đảo thường được các kẻ tấn công sử dụng để thiết lập một chỗ đứng trong mạng mục tiêu. Tiếp theo, mã độc thường được sử dụng để mở rộng phạm vi và duy trì sự hiện diện tại mạng mục tiêu.
Hậu quả của APT để lại
Hậu quả mà các cuộc tấn công APT để lại rất nghiệm trọng và nặng nề:
- Tổn thất tài chính: Thông qua việc đánh cắp dữ liệu, đòi tiền chuộc, gián đoạn hoặc động và các chi phí xung quanh việc điều tra khắc phục hậu quả do APT mang đến gây ra tổn thất tài chính nặng cho doanh nghiệp.
- Ảnh hưởng đến thương hiệu: Khi cuộc tấn công APT thực hiện thành công sẽ khiến độ uy tín của doanh nghiệp giảm đi, lòng tin của đối tác, khách hàng cũng sẽ đi xuống.
- Hậu quả về pháp lý: Vi phạm dữ liệu do APT gây ra dẫn đến những rắc rối xung quanh pháp lý, luật bảo vệ dữ liệu. Doanh nghiệp có thể sẽ phải đối mặt với kiện tục, làm xấu đi hình ảnh trong mắt khách hàng, đối tác.
- Gián đoạn hoạt động: Các cuộc tấn công APT có thể làm tê liệt hoạt động của doanh nghiệp dẫn đến thời gian ngừng hoạt động, dự án bị trì hoãn và dịch vụ bị gián đoạn.
- Mất tài sản trí tuệ: Mục tiêu của các cuộc tấn công APT thường là các loại tài sản trí tuệ như bí mật thương mại, bằng sáng chế, dữ liệu nghiên cứu. Doanh nghiệp có thể mất lợi thế cạnh tranh với đối thủ và những khách hàng tiềm năng.
- Rủi ro an ninh: Nếu các cuộc tấn công APT vào các cơ quan chính phủ hay hạ tầng quốc gia, có khả năng ảnh hưởng đến toàn bộ đất nước.
Tiến trình của một cuộc tấn công APT
Một cuộc tấn công APT có thể chia thành ba giai đoạn.
Giai đoạn 1: Xâm nhập
Các doanh nghiệp thường bị xâm nhập thông qua các con đường sau: ứng dụng web, tài nguyên mạng và sự bất cẩn của nhân viên. Bắt đầu kẻ tấn công thường cố gắng tải lên các tệp tin độc hại thông qua các lỗ hổng web, ứng dụng mạng hoặc qua kỹ thuật tấn công lừa đảo, đây cũng là các mối đe dọa mà các tổ chức lớn phải đối mặt. Ngoài ra, kẻ tấn công có thể dồng thời thực hiện một cuốc tấn công DDOS chống lại mục tiêu. Điều này thường được dùng để đánh lạc hướng nhân viên quản trị, làm cho họ mất cảnh giác hơn.
Khi đã thâm nhập được vào mạng của mục tiêu, kẻ tấn công nhanh chóng cài đặt một cửa hậu để có thể truy cập dễ dàng hơn, cũng có thể là một mã độc hoạt động ẩn cho phép truy cập từ xa. Mã độc cũng có thể đến từ các loại Trojan được đánh dấu như những phần mềm hợp pháp.
Giai đoạn 2: Mở rộng phạm vi
Sau khi đứng vững trong mạng mục tiêu, kẻ tấn công chuyển sang mở rộng sự hiện diện của họ trong mạng mục tiêu.
Kẻ tấn công sẽ thực hiện rà quét các hệ thống khác trong mạng, thu thập thông tin của các nhân viên, thực hiện phát tán các mã độc để chiếm quyền truy cập vào các dữ liệu nhạy cảm nhất. Bằng cách này, kẻ tấn công có thể thu thập các thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ liệu nhân viên và hồ sơ tài chính.
Tùy thuộc vào mục tiêu tấn công cuối cùng, dự liệu tích lũy có thể được bán cho một công ty cạnh tranh, sửa đổi và phá hủy một dòng sản phẩm của công ty hoặc được sử dụng để chiếm toàn bộ tổ chức. Nếu động lực là phá hoại, giai đoạn này được sử dụng để kiểm soát các chức năng quan trọng và thao tác chúng theo một trình tự để gây ra thiệt hại tối đa. Chắc hạn như việc kẻ tấn công xóa toàn bộ cơ sở dữ liệu của công ty và làm sập hệ thống mạng để kéo dài thời gian khôi phục dữ liệu.
Giai đoạn 3: Khai thác
Trong khi tấn công APT được tiến hành, thông tin bị đánh cắp thường được lưu trữ ở một vị trí an toàn mạng đang bị tấn công. Khi dữ liệu đã được thu thập đủ, kẻ tấn công phải xuất dữ liệu mà không bị phát hiện.
Thông thường, các chiến thuật gây ra các nhiễu loạn được sử dụng để đánh lừa đội ngũ bảo vệ của các công ty để thông tin có thể chuyển được ra ngoài. Điều này có thể xảy ra dưới dạng tấn công DDOS, các cuộc rà quét website và ứng dụng mạng.
Phát hiện và ngăn chặn tấn công APT
Việc phát hiện và ngăn chặn được tấn công APT cần phải có phương pháp tiếp cận nhiều mặt của các nhà quản trị mạng, các nhà cung cấp bảo mật và người dùng cá nhân.
Giám sát đường truyền
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Một tường lửa ứng dụng web triển khai tại gateway sẽ giúp bảo về các ứng dụng web khỏi các tấn công như RFI, SQL injection… thường được dùng cho việc tiếp cận mạng của tổ chức từ phía kẻ tấn công.
Giám sát lưu lượng nội bộ, như sử dụng một tường lửa sẽ giúp cho quản trị viên xem xét chi tiết cách người dùng tương tác trong mạng của công ty, đồng thời giúp xác định các bất thường về lưu lượng nội bộ.
Whitelist các ứng dụng và tên miền
Whitelist là một các để kiểm soát các tên miền có thể được truy cập từ mạng của công ty, cũng như các ứng dụng có thể được cài đặt bởi nhân viên trong công ty. Đây là một phương pháp hữu ích khác để giảm tỷ lệ thành công của các cuộc tấn công APT bằng cách giảm thiểu bề mặt có thể bị tấn công.
Tuy nhiên, biện pháp bảo mật này không phải là điều dễ dàng, vì ngay cả những tên miền và ứng dụng đáng tin cậy cũng có thể bị xâm nhập.
Để có được whitelist hiệu quả, phải thực thi chính sách cập nhật một cách nghiêm ngặt để đảm bảo người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào xuất hiện trong danh sách.
Kiểm soát truy cập
Đối với kẻ tấn công, các nhân viên thường là điểm yếu nhất và dễ bị tấn công nhất vì:
- Những nhân viên bất cẩn bỏ qua các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn
- Những nhân viên xấu cố ý lạm dụng thông tin người dùng của họ để cấp quyền truy cập vào thủ phạm
- Người dụng bị mất các thông tin mật và các thông tin này được sử dụng bởi các kẻ tấn công
Phát triển chính sách kiểm soát hiệu quả yêu cầu có sự đánh giá toàn diện về mọi nhân viên trong tổ chức – đặc biệt thông tin mà họ truy cập được. Các thông tin quan trọng phải được bảo đảm với xác thực hai yếu tố (2FA). Điều này giúp cho các thông tin quan trọng an toàn hơn.
Các biện pháp khuyến cáo khác
Ngoài các biện pháp trên, đây là những biện pháp thực hành tốt nhất để đảm bảo an toàn mạng của bạn:
- Vá các phần mềm và hệ điều hành nhanh nhất có thể
- Mã hóa các kết nối từ xa để tránh việc bị nghe lén đường truyền
- Có các bộ lọc thư rác và quét virus cho hệ thống mail
- Thực hiện cơ chế ghi nhật ký để giám sát và điều tra.
Các vụ tấn công APT nổi tiếng
GhostNet
GhostNet là một mạng lưới gián điệp mạng quy mô lớn bị phát hiện vào năm 2009, được cho là có nguồn gốc từ Trung Quốc. Nó đã xâm nhập vào hơn 1,200 máy tính trên khắp thế giới, bao gồm cả các văn phòng của Dalai Lama, các đại sứ quán và các tổ chức chính phủ ở nhiều quốc gia.
Vụ tấn công này đã làm dấy lên lo ngại về hoạt động gián điệp mạng và an ninh thông tin toàn cầu. GhostNet sử dụng các kỹ thuật xâm nhập tinh vi để đánh cắp dữ liệu nhạy cảm và theo dõi hoạt động của các mục tiêu. Vụ việc này cho thấy sự phức tạp và tinh vi của các cuộc tấn công mạng và tầm quan trọng của việc bảo vệ thông tin trên không gian mạng.
Moonlight Maze
Moonlight Maze là một cuộc điều tra của chính phủ Hoa Kỳ từ năm 1999 về một vụ rò rỉ thông tin mật lớn, bắt đầu từ năm 19964. Vụ rò rỉ này ảnh hưởng trực tiếp đến NASA, Lầu Năm Góc, các nhà thầu quân sự, học giả dân sự, DOE và nhiều cơ quan chính phủ khác của Hoa Kỳ. Đến cuối năm 1999, lực lượng đặc nhiệm Moonlight Maze được thành lập, bao gồm 40 chuyên gia từ các cơ quan thực thi pháp luật, quân đội và chính phủ.
Các nhà điều tra cho biết nếu tất cả thông tin bị đánh cắp được in ra và xếp chồng lên nhau, nó sẽ cao gấp ba lần Đài tưởng niệm Washington. Chính phủ Nga bị Hoa Kỳ cáo buộc đứng sau các cuộc tấn công, mặc dù ban đầu có rất ít bằng chứng xác thực. Moonlight Maze đại diện cho một trong những chiến dịch gián điệp mạng nổi tiếng đầu tiên trong lịch sử thế giới.
Deep Panda
Deep Panda là một nhóm APT (Advanced Persistent Threat) khét tiếng có liên hệ với chính phủ Trung Quốc. Nhóm này được biết đến với các cuộc tấn công gián điệp mạng nhắm vào các công ty Mỹ trong nhiều ngành công nghiệp, bao gồm quốc phòng, hàng không vũ trụ, năng lượng và tài chính.
Deep Panda sử dụng các kỹ thuật xâm nhập tinh vi để đánh cắp tài sản trí tuệ, bí mật thương mại và thông tin nhạy cảm khác. Các cuộc tấn công của Deep Panda gây ra thiệt hại lớn cho các công ty Mỹ và làm dấy lên lo ngại về gián điệp kinh tế và an ninh quốc gia. Hoạt động của nhóm này cho thấy sự cần thiết của các biện pháp an ninh mạng mạnh mẽ để bảo vệ chống lại các mối đe dọa APT.
Theo Bizfly Cloud chia sẻ
>> Có thể bạn quan tâm: Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware
