Mã độc đe doạ các quốc gia đang phát triển

Symantec vừa công bố Báo cáo hiện trạng các mối đe dọa bảo mật mạng (ISTR) thứ 15, trong đó nhấn mạnh tới những xu hướng chính của hoạt động tội phạm mạng trong năm qua. Việt Nam cũng là một trong những tâm điểm của báo cáo này với tỉ lệ phát tán mã độc đứng vào hàng top đầu của thế giới.

Việt Nam – một điểm nóng của mã độc

Các hoạt động mã độc lây lan tại những quốc gia đang phát triển: Bản báo cáo đã chỉ ra các dấu hiệu rõ ràng rằng hoạt động mã độc đang lan tràn tại những quốc gia có hạ tầng băng thông rộng đang phát triển, ví dụ như Brazil, Ấn Độ, Ba Lan, Việt Nam và Nga. Năm 2009, các quốc gia này đã tăng về thứ bậc khi xét về khía cạnh nguồn gốc cũng như mục tiêu hoạt động tấn công mã độc của bọn tội phạm. Những phát hiện trong bản báo cáo cho thấy sự mạnh tay của chính phủ tại các quốc gia phát triển đã khiến cho tội phạm mạng hướng tấn công của chúng tới những quốc gia đang phát triển, nơi mà chúng có vẻ ít bị luật pháp chạm tới hơn.

Trong năm qua, tốc độ lan tràn mã độc đã mạnh hơn bao giờ hết. Số lượng mã độc được nhận dạng đạt hơn 240 triệu chương trình mã độc mới khác biệt, tăng 100% so với năm 2008. Những mối đe dọa nguy hiểm nhất như Virus Sality.AE, Trojan Brisy và sâu SillyFDC được coi là mối đe dọa thường xuyên.

Ngoài ra, sâu Downadup (Conflicker) vẫn rất phổ biến. Người ta dự tính sâu Downadup vẫn còn tồn tại trên khoảng 6,5 triệu máy tính trên toàn cầu vào cuối năm 2009. Mặc dù vậy, những máy tính bị lây nhiễm sâu Downadup/Conflicker vẫn chưa được sử dụng cho bất kỳ hoạt động tội phạm mạng nào đáng kể, nhưng mối đe dọa liên quan đến loại sâu này vẫn đáng lo ngại.

Thông tin định danh bị lấy cắp ngày càng nhiều hơn: 65% tất cả các vụ rò rỉ dữ liệu mà để lộ thông tin định danh là do bị hack. Và vấn đề này cũng xảy ra đối với một vài doanh nghiệp lớn, bởi trong bản Báo cáo về hiện trạng bảo mật trong các doanh nghiệp năm 2010 của Symantec (Symantec State of Enterprise Security Report 2010) đã cho thấy khoảng 75% số doanh nghiệp được khảo sát đã từng phải hứng chịu một vài cuộc tấn công mạng trong năm 2009.

Trong năm 2009, số lượng thư rác bị phát hiện chiếm tới 88% tổng lượng email – với thời điểm cao nhất là 90% trong tháng 5 và thời điểm thấp nhất là 73,7% vào tháng 2 năm 2009. Trong tổng số trung bình 107 tỷ thư rác được phát tán trên toàn cầu mỗi ngày, 85% số thư rác được phát tán đi từ các mạng ma botnet. 10 mạng botnet chính lớn nhất bao gồm các mạng Cutwail, Rustock và Mega-D, hiện nay kiểm soát ít nhất 5 triệu máy tính bị lây nhiễm.

Trong khi đó, việc cập nhật những bản vá lỗi bảo mật vẫn còn khó khăn với nhiều người dùng. Bản báo cáo ISTR 15 cũng chỉ ra rằng việc duy trì một hệ thống bảo mật, luôn được vá lỗi hoàn chỉnh có lẽ ngày càng trở nên khó khăn hơn trong năm 2009. Hơn nữa, nhiều người dùng cũng thất bại trong việc vá lỗi bảo mật của họ đối với cả những lỗi đã tồn tại quá lâu. Ví dụ, lỗ hổng bảo mật đối với tệp tin cài đặt đối tượng ADODB.Stream trong Microsoft Internet Explorer đã được công bố vào ngày 23/8/2003 và bản vá bảo mật cho lỗi này đã được đưa ra vào ngày 2/7/2004. Tuy nhiên, đây lại chính là lỗ hổng bảo mật bị khai thác tấn công nhiều thứ hai trong năm 2009.

Tấn công dễ dàng và lừa đảo quy mô hơn

Trong năm 2009, cuộc tấn công của sâu Conflicker (đầu năm) và sâu Hydraq (cuối năm) là hai “ấn tượng” nổi bật nhất về tấn công mạng. Stephen Trilling, Phó chủ tịch cao cấp phụ trách Bộ phận Phản ứng và Công nghệ bảo mật tại Symantec, nhận định rằng những kẻ tấn công đã và đang thay đổi kiểu tấn công từ những vụ lừa đảo đơn giản thành những chiến dịch do thám có tính phức tạp cao.

Đối tượng của những vụ lừa đảo quy mô trên thường là các cơ quan chính phủ cũng như các tổ chức lớn nhất trên thế giới.

Số lượng những vụ tấn công nhằm vào cũng doanh nghiệp tăng đáng kể. Khả năng kiếm lời từ các tài sản sở hữu trí tuệ của công ty khiến cho tội phạm mạng chuyển hướng sang đối tượng doanh nghiệp. Bản báo cáo đã chỉ ra rằng những kẻ tấn công giờ đây đang lợi dụng sự phong phú của lượng thông tin cá nhân có sẵn trên các trang web mạng xã hội để gây ra những cuộc tấn công được thiết kế cho mạng xã hội, nhắm tới những cá nhân quan trọng của các doanh nghiệp mục tiêu. Cuộc tấn công của sâu Hydraq đã gây ra một vụ lớn vào đầu năm 2010, nhưng nó chỉ là cuộc tấn công mới nhất trong chuỗi các cuộc tấn công có chủ đích, bao gồm cuộc tấn công Shadow Network năm 2009 và Ghostnet năm 2008.

Những công cụ tấn công mới khiến cho hoạt động tội phạm trở nên dễ dàng hơn bao giờ hết. Một trong những công cụ như vậy là Zeus (Zbot), có thể được mua trên mạng với giá chỉ 700 đô-la Mỹ, cho phép tự động hóa quy trình tạo ra những phần mềm độc hại tùy ý, có khả năng ăn cắp thông tin cá nhân. Sử dụng các công cụ như Zeus, kẻ tấn công có thể tạo ra hàng triệu biến thể mã độc hại nhằm tránh việc bị các phần mềm bảo mật phát hiện.

Những kẻ tấn công ngày nay lợi dụng những kỹ thuật trên các mạng xã hội để lừa phỉnh người dùng cả tin truy nhập vào những trang web độc hại. Những website này sau đó sẽ tấn công vào trình duyệt web của nạn nhân cũng như những lỗ hổng trên các mô đun bổ sung (plug-ins) mà thường được sử dụng để xem video hoặc các tệp tin tài liệu. Cụ thể, trong năm 2009 đã có một loạt các cuộc tấn công nhắm tới người dùng xem tài liệu PDF, số lượng các cuộc tấn công này chiếm tới 49% tổng số các cuộc tấn công trên Web. Đây là con số tăng chóng mặt so với mức 11% trong năm 2008.