Hoạt động khai thác lỗ hổng zero-day đang có xu hướng gia tăng trên toàn cầu trong nhiều tháng trở lại đây. Thống kê chỉ ra rằng tin tặc đến từ Trung Quốc đứng sau hầu hết các hoạt động khai thác zero-day trong các cuộc tấn độc hại ghi nhận vào năm ngoái.
Lỗ hổng zero-day về là điểm yếu bảo mật chưa được xác định trong các sản phẩm phần mềm, hoặc chưa được khắc phục tại thời điểm phát hiện. Thậm chí, ngay cả khi lỗ hổng đã được ghi nhận, hacker vẫn có thể tiếp tục khai thác zero-day để đánh cắp thông tin hoặc triển khai các hành vi độc hại khác.
Những cuộc tấn công nhắm vào lỗ hổng zero-day được gọi chung là zero-day exploit hoặc zero-day attack. Đa số chúng được coi là mối đe dọa nghiêm trọng, bởi vì lỗ hổng chưa được phát hiện nên hoàn toàn chưa có bản vá hay phần mềm nào chống lại hành vi khai thác độc hại. Đây cũng là đặc điểm khiến zero-day được tin tặc đặc biệt quan tâm. Các lỗ hổng dạng này sẽ mở ra “cửa sổ khai thác” rộng hơn cho hacker, ít nhất là cho đến khi các nhà cung cấp giải quyết các lỗ hổng và khách hàng bắt đầu áp dụng bản cập nhật.
Thông thường, khoảng thời gian “cơ hội” này kéo dài ít nhất vài ngày, và vì không phải tất cả quản trị viên đều áp dụng các bản cập nhật bảo mật ngay lập tức, số lượng mục tiêu dễ bị tấn công vẫn sẽ ở mức cao trong một thời gian.
Trên thực tế, lỗ hổng Zero-day còn được coi như là 1 thứ hàng hóa cực kỳ giá trị không chỉ đối với giới khai thác, các công ty phát triển phần mềm mà còn đối với các cơ quan báo cáo cấp quốc gia.
Xu hướng tấn công zero-day trong năm 2021
Theo một phân tích từ công ty an ninh mạng Mandiant, đã 80 trường hợp khai thác zero-day lớn được ghi nhận trong năm 2021, nhiều hơn 18 trường hợp so với năm 2020 và 2019 cộng lại. Đây rõ ràng là xu hướng gia tăng đáng báo động.
Hầu hết các trường hợp này đều được xác nhận bắt nguồn từ hoạt động gián điệp mạng của những tổ chức hacker được tài trợ, hậu thuẫn bởi chính phủ hoặc tổ chức chính trị - an ninh nào đó.
Đáng chú ý, kết quả thống kê cho thấy cứ trong ba trường hợp khai thác lỗ hổng zero-day thì lại có một bắt nguồn từ động cơ tài chính, tiếp tục xu hướng ngày càng tăng so với những năm trước.
Xét về các tác nhân đe dọa, Trung Quốc đứng đầu danh sách với 8 lỗ hổng zero-day được sử dụng trong các cuộc tấn công mạng vào năm 2021. Tiếp theo là Nga với 2 và Triều Tiên là 1.
Trong đó, trường hợp đáng chú ý nhất là của Hafnium, một nhóm tin tặc được tài trợ đến từ Trung Quốc đã lạm dụng tới 4 lỗ hổng zero-day trên máy chủ Microsoft Exchange để truy cập email liên lạc của các tổ chức chính trị khác nhau.
Thống kê của Mandiant cũng ghi nhận sự gia tăng trong các hoạt động ransomware khai thác lỗ hổng zero-day để xâm nhập mạng và triển khai mã độc mã hóa tệp. Một ví dụ nổi bật của hình thức tấn công này là trường hợp của ransomware HelloKitty, với việc khai thác thành công các lỗ hổng zero-day trong hàng loạt thiết bị SonicWall SMA 100 VPN.
Các nhà cung cấp bị nhắm mục tiêu tấn công zero-day nhiều nhất trong năm 2021 là Microsoft, Apple và Google, chiếm hơn 75% số lương các cuộc tấn công.
Bất cứ hệ thống phần mềm hay phần cứng nào cũng đều ẩn chứa những lỗ hổng, cả zero-day và lỗ hổng thông thường. Do vậy, việc chủ động loại bỏ hoàn toàn zero-day là bất khả thi, mà chỉ có thể phát hiện, khắc phục nó một cách nhanh nhất.
Các doanh nghiệp phát triển hệ thống phần mềm, phần cứng, nhà cung cấp dịch vụ cần nâng cao quy trình kiểm duyệt sản phẩm để phát hiện ra lỗ hổng, lỗi một cách hiệu quả nhất. Về phần người dùng, người dùng, cần thường xuyên cập nhật phiên bản mới cho hệ điều hành cũng như các ứng dụng của mình.