Nội dung
Trong năm 2021, cách thức và mức độ nghiêm trọng của các mối đe dọa tấn công có chủ đích (Advanced Persistent Threat – APT) vẫn tiếp tục gia tăng. Bất chấp bản chất thay đổi liên tục của chúng, người dùng có thể nhìn vào các xu hướng APT gần đây để dự đoán những gì có thể xảy ra trong năm 2022. Phần I bài báo dưới đây sẽ điểm lại một số dự đoán của các chuyên gia của Kaspersky trong năm 2021 về tấn công APT.
Các tác nhân đe dọa APT sẽ mua quyền truy cập mạng ban đầu từ tội phạm mạng
Năm 2020, các chuyên gia đã dự đoán xu hướng APT và tội phạm mạng trong năm 2021 sẽ khó bị phát hiện hơn ở cấp độ hoạt động. Các tác nhân APT sẽ tận dụng thị trường web, nơi tin tặc bán quyền truy cập vào các công ty mà chúng đã xâm nhập. Dự đoán này đã trở thành sự thật.
Blackberry đã công bố một báo cáo xoay quanh một đối tượng với tên gọi Zebra 2104 (được hiểu như là người môi giới truy cập ban đầu). Theo nghiên cứu của họ, Zebra 2104 đã cung cấp cho các đối tượng khai thác mã độc tống tiền một vị trí ban đầu đối với một số nạn nhân của họ. Đáng chú ý, nhóm tin tặc StrongPity cũng đã sử dụng dịch vụ của họ. Trên thực tế đây là loại hoạt động sẽ diễn ra trong các giai đoạn chuẩn bị cho một cuộc tấn công, các giai đoạn này thường không thể nhìn thấy, có thể xảy ra nhiều lần mà khó có thể nhận ra được.
Nhiều quốc gia sử dụng pháp luật như một phần của chiến dịch không gian mạng của họ
Vào năm 2020, các chuyên gia dự đoán rằng các chính phủ sẽ áp dụng chiến lược “name and shame” để thu hút sự chú ý đến hoạt động của các nhóm APT thù địch. Xu hướng này đã phát triển nhiều hơn trong năm ngoái. Các chuyên gia cũng dự đoán rằng các quốc gia sẽ bắt đầu sử dụng luật pháp để phá vỡ và trừng phạt các hoạt động của đối thủ và điều này đã được chứng minh là hoàn toàn chính xác.
Vào ngày 15/4/2021, Nhà Trắng chính thức đổ lỗi cho Nga về vụ tấn công chuỗi cung ứng SolarWinds. Thông báo này đi kèm với các biện pháp trừng phạt đối với một số công ty mà Bộ Tài chính Hoa Kỳ cho biết có liên quan đến việc hỗ trợ các hoạt động tấn công.
Vào ngày 1/7/2021, NSA, FBI, CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng), NCSC của Vương quốc Anh đã đưa ra một cảnh báo chung về hàng trăm cuộc tấn công trên khắp thế giới do các nhóm tin tặc APT28 và Fancy Bear. Mục tiêu của nhóm tin tặc này nhắm đến là các cơ quan chính phủ và quân đội, nhà thầu quốc phòng, tổ chức đảng phái chính trị, tổ chức tư vấn, công ty hậu cần, công ty năng lượng, trường đại học, công ty luật và công ty truyền thông.
Ngay sau đó vào ngày 19/7/2021, Hoa Kỳ đã công bố dự thảo quy định “hành vi vô trách nhiệm và gây mất ổn định trong không gian mạng” – được NATO, EU và Anh ủng hộ. Tuyên bố từ Nhà Trắng đặc biệt đề cập đến việc khai thác các lỗ hổng zero-day của Microsoft Exchange trong thời gian gần đây. Bộ Tư pháp Hoa Kỳ cũng đã truy tố bốn thành viên bị cáo buộc của APT40 vì các hoạt động bất hợp pháp.
Lực lượng Phòng vệ Israel (Israeli Defense Forces – IDF) đã thông tin về việc tin tặc sử dụng chiêu trò lừa đảo để dụ binh sĩ Israel cài đặt phần mềm gián điệp. Những kẻ tấn công đã sử dụng sáu hồ sơ mạng xã hội trên Facebook, Instagram và Telegram để thu hút sự chú ý của các mục tiêu nam giới, thiết lập mối quan hệ với họ và cuối cùng dụ họ cài đặt ứng dụng với mục đích cung cấp chức năng trò chuyện riêng tư trên điện thoại của họ.
Vào ngày 24/9/2021, EU đã đưa ra một tuyên bố liên quan đến một chiến dịch thông tin sai lệch có tên “Ghostwriter” diễn ra từ tháng 3/2017, nhằm làm mất uy tín của NATO. Chiến dịch này được cho là liên quan đến việc đột nhập các trang web tin tức hoặc tài khoản mạng xã hội của các quan chức chính phủ để xuất bản các tài liệu giả mạo, tin tức giả mạo và các ý kiến sai lệch nhằm gây ảnh hưởng đến bầu cử, phá vỡ hệ thống chính trị địa phương và tạo ra sự mất lòng tin vào NATO. Bất chấp những lời đe dọa, EU cuối cùng vẫn quyết định không áp đặt các biện pháp trừng phạt.
Nhiều công ty ở Silicon Valley sẽ hành động chống lại các nhà cung cấp phần mềm zero-day
Ngay sau khi các chuyên gia đưa ra dự đoán cho năm 2021, Microsoft, Google, Cisco và Dell đã tham gia cùng Facebook trong cuộc chiến pháp lý chống lại Văn phòng tiêu chuẩn hóa quốc gia (NSO). Mặc dù các hành động pháp lý vẫn đang diễn ra, tuy nhiên tới nay chưa có thêm vụ kiện bổ sung nào để chống lại các nhà cung cấp phần mềm zero-day hoặc phần mềm xâm nhập khác.
Có thể Silicon Valley đang chờ đợi kết quả của phiên tòa đầu tiên trước khi làm việc với các công ty môi giới khác. Tuy nhiên, vào ngày 3/11/2021, Bộ Thương mại Hoa Kỳ đã gửi một tín hiệu rất mạnh mẽ đến thị trường zero-day bằng cách thêm một số công ty (NSO, Positive Technologies, COSEINC, Candiru) vào danh sách, vì các hoạt động trái với an ninh quốc gia của Hoa Kỳ do “lưu lượng truy cập trong các công cụ mạng”. Hiện vẫn chưa rõ tác động của điều này đối với quá trình tố tụng đang diễn ra.
Gia tăng mục tiêu vào các thiết bị mạng
Khi đưa ra dự đoán này, các chuyên gia Kaspersky dựa trên sự gia tăng của các hoạt động độc hại nhắm vào các thiết bị mạng riêng ảo (Virtual Private Network – VPN). Như đã đề cập trong phần đầu tiên của bài viết này, các lỗ hổng của phần mềm dễ thấy nhất đã ảnh hưởng đến các chương trình khác nhau (chẳng hạn như Microsoft Exchange). Tuy nhiên, các chuyên gia đã quan sát thấy một số tác nhân đe dọa, chẳng hạn như APT10 – những kẻ đang khai thác các lỗ hổng này để chiếm quyền điều khiển các phiên VPN.
Nhưng theo một cách khác thì dự đoán này cũng trở thành sự thật. Một chiến dịch do APT31 tổ chức vào năm 2021, tin tặc đã tận dụng mạng lưới các bộ định tuyến SOHO bị nhiễm (cụ thể là các mẫu Pakedge RK1, RE1 và RE2) và sử dụng nó như một mạng ẩn danh và lưu trữ các C