Sự nguy hiểm của APT – Tiến trình tấn công (APT attack )

apt attack
Thuật ngữ APT (Advanced Persistent Threat) được dùng để chỉ một tập hợp các quá trình tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc một nhóm người nhắm vào một thực thể cá biệt. Tấn công APT (apt attack) thường nhắm tới các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị.

Kết quả hình ảnh cho apt attack Sự nguy hiểm của APT – Tiến trình tấn công (APT attack )

Tiến trình của một cuộc tấn công APT

Một cuộc tấn công APT được chia làm 3 giai đoạn chính và gồm nhiều bước:

– Giai đoạn 1: Giai đoạn 1 còn được gọi là giai đoạn chuẩn bị xác định mục đích tấn công và tìm kiếm mục tiêu phù hợp. Sau khi đã xác định được mục tiêu phù hợp kẻ tấn công sẽ bắt đầu nghiên cứu về mục tiêu như về con người , cơ sở hạ tầng công nghệ thông tin của mục tiêu. Rà soát kiểm thử các phương pháp tấn công mục tiêu. Chế tạo công cụ tấn công, sử dụng các phương pháp kĩ thuật tấn công mục tiêu.

Kết quả hình ảnh cho apt attack target Sự nguy hiểm của APT – Tiến trình tấn công (APT attack )

– Giai đoạn 2: Đây là giai đoạn khởi động của cuộc tấn công sau khi đã thực hiện nghiên cứu về mục tiêu và xây dựng kịch bản tấn công. Tiếp đến sẽ là việc khởi tạo xâm nhập, cài cắm các phần mềm độc hại virus, backdoor vào hệ thống tạo các kết nối ẩn từ bên ngoài thông qua các backdoor.

Kết quả hình ảnh cho apt attack target Sự nguy hiểm của APT – Tiến trình tấn công (APT attack )

– Giai đoạn 3: Giai đoạn thực hiện đánh cắp dữ liệu, phá hoại thông qua các kết nối đã được cài cắm kẻ tấn công sẽ thực hiện mở rộng ảnh hưởng vào hệ thống thông tin của nạn nhân để thực hiện hành vi đánh cắp dữ liệu. Sau đó kẻ tấn công sẽ thực hiện hành vi xóa dấu vết nhằm che đậy các hành vi đã thực hiện.

 

Xem thêm :PHÒNG CHỐNG SỰ CỐ MÃ ĐỘC VÀ XỬ LÝ SỰ CỐ CHO PC, LAPTOP 

Một ví dụ điển hình cho một tiến trình của cuộc tấn công APT:

Tháng 3/2013, một cán bộ ngành Công an có nhận được một thư điện tử gửi đích danh từ địa chỉ email mang tên của một cán bộ thuộc Bộ Khoa học và Công nghệ. Email có chữ ký với đầy đủ thông tin, số điện thoại di động của người gửi, kèm theo một tập văn bản đính kèm là công văn mang tên “CV xin xác nhận LLKH-  CN.doc”. Nhận thấy email này có một số điểm nghi vấn, đồng chí này đã liên lạc với người gửi thì được biết hộp thư email này thực ra đã bị đánh cắp password từ lâu và hiện chủ sở hữu đã mất quyền sử dụng. Người gửi email cũng không hề quen biết cán bộ công an này.

Bằng các biện pháp nghiệp vụ, cơ quan chuyên môn đã xác định được email này được gửi lên máy chủ của Yahoo từ một máy tính nối mạng có địa chỉ IP 118.145.2.250 tại nước ngoài, thông qua một công ty cung cấp dịch vụ internet của nước này. Cơ quan cảnh sát cũng khẳng định đây là một virus backdoor có chức năng gửi truy vấn tới một máy chủ có địa chỉ IP là 182.242.233.53 tại nước ngoài thông qua nhà cung cấp dịch vụ ở đây. Nếu như không bị phát hiện và ngăn chặn, virus này sẽ bắt đầu quá trình hack âm thầm đánh cắp dữ liệu mà nạn nhân không hề biết.

Qua ví dụ trên có thể thấy, rõ ràng kẻ tấn công đã nghiên cứu kỹ về nạn nhân mà chúng định nhằm tới, từ chức danh đến nội dung công việc đang thực hiện. Với cách tiếp cận này, khi làm việc trên không gian mạng mà không cảnh giác thì sẽ dễ dàng bị “mắc bẫy”.

Kẻ tấn công có thể tổ chức hack từ bên ngoài biên giới và hoàn toàn là “ảo”. Điều này làm cho việc truy xét, tìm ra thủ phạm để ngăn chặn và truy cứu trách nhiệm là hết sức khó khăn.

Kỹ thuật tấn công này hoàn toàn không có gì đặc biệt: kẻ tấn công đánh cắp mật khẩu của người trung gian, giả mạo thư điện tử, cài đặt backdoor,…. Đây là các kỹ thuật này hầu như đã xuất hiện từ lâu hoặc đang tồn tại khá phổ biến.

BÌNH LUẬN

Please enter your comment!
Please enter your name here