10 mối đe dọa an ninh mạng hàng đầu 2022 năm 2022

Thứ sáu, 14/10/2022 08:42

Một số sân bay ở các thành phố lớn của Mỹ như ở Atlanta, Chicago, New York, Los Angeles... vừa đồng loạt bị tấn công mạng. Vụ việc xảy ra từ rạng sáng ngày 10 đến 11/10, khi tin tặc lợi dụng sơ hở hạ tầng internet đánh sập một loạt trang web của những sân bay nói trên.

Sân bay quốc tế Los Angeles là một trong những nơi bị tin tặc tấn công. Ảnh: EPA

Theo CBS News, sân bay đầu tiên ghi nhận tình trạng này là LaGuardia. Báo cáo ghi nhận vụ tấn công diễn ra vào khoảng 3 giờ sáng 10/10 (giờ địa phương) sau đó lan dần tới nhiều sân bay khác trên khắp nước Mỹ, trong đó có các cảng hàng không lớn như sân bay quốc tế Des Moines, sân bay quốc tế Los Angeles, sân bay O’Hare ở Chicago. Vụ việc đã làm trì hoãn quy trình xử lý hồ sơ và dẫn đến ùn tắc hành khách tại các sân bay. Các đơn vị quản lý ở sân bay cũng thông báo tình hình cho Cục Điều tra liên bang Mỹ (FBI) và Cục Quản lý an ninh vận tải để tiếp nhận điều tra nguyên nhân gây ra vụ việc.

Ngày 11/10, tờ The Washington Post dẫn thông cáo của Cơ quan Cảng vụ New York cho biết: “Hệ thống phòng thủ an ninh mạng của Cảng vụ đã thực hiện nhiệm vụ và nhanh chóng phát hiện sự cố, giải quyết vấn đề trong 15 phút”. Cơ quan này cũng lập tức phát cảnh báo cho các cơ quan liên bang. Cảng vụ New York cũng khẳng định vụ việc không gây ảnh hưởng các cơ sở của Cảng vụ. Tuy nhiên, theo phân tích của ông John Hultquist, Giám đốc công ty về an ninh mạng Mandiant của Mỹ, hàng chục trang mạng của các sân bay bị tấn công bằng thủ thuật hết sức đơn giản: “Tin tặc đã gây nên tình trạng quá tải giả mạo để người dùng không thể truy cập được”.

Theo ông John Hultquist, một nhóm tin tặc có tên Killnet được cho là gây ra vụ tấn công kể trên, do nhóm này đã cảnh báo một danh sách “nạn nhân tiềm năng” bao gồm một số sân bay lớn của Mỹ trên tài khoản ứng dụng Telegram của nhóm. Thủ thuật của tin tặc được gọi là tấn công “từ chối dịch vụ” xảy ra khi chúng cùng lúc thực hiện hàng loạt cuộc truy cập nhằm vào một mục tiêu cho đến khi địa chỉ trang web đó không thể phản hồi hoặc gặp sự cố quá tải.

Mặc dù cuộc tấn công không phức tạp song các chuyên gia cảnh báo những vụ việc như vậy gây ra những “rắc rối công cộng” hơn là một mối đe dọa an ninh nghiêm trọng, vì chúng không nhắm mục tiêu vào các hệ thống nội bộ cốt lõi có thể ảnh hưởng đến hoạt động của sân bay. “Các cuộc tấn công như vậy cho thấy người quản trị không chú ý tới những lớp bảo vệ đầy đủ cho các trang web và để lại nhiều sơ hở”, ông Hultquist cảnh báo.

Trong thời gian qua, hàng loạt vụ tấn công mạng đã được ghi nhận ở Mỹ. Mới chỉ tháng trước, một nhóm tin tặc đã lên tiếng nhận trách nhiệm khi đánh sập các trang web của một số bang. Một hãng viễn thông lớn của nước này cũng trở thành nạn nhân bị tin tặc đánh cắp dữ liệu nội bộ hồi tháng 5. Dù trong hầu hết vụ việc, các kỹ sư và lập trình viên có thể nhanh chóng khắc phục sự cố và không gây ảnh hưởng cơ sở hạ tầng máy tính quan trọng hơn. Song giới chức vẫn có cơ sở khi lo ngại tin tặc nhắm mục tiêu đến các hoạt động quan trọng ở sân bay như kiểm soát không lưu.

Hồi tháng 6, Cơ quan An ninh mạng và cơ sở hạ tầng Mỹ (CISA) đã phát đi thông báo về việc hacker lợi dụng lỗ hổng và lỗi trên các thiết bị mạng có thể truy cập vào các hạ tầng internet. CISA cũng cảnh báo các cơ quan thường bỏ qua những lỗi này, “tạo điều kiện” cho tin tặc khai thác và gây ra các vụ tấn công ở nhiều cấp độ; đồng thời khuyến nghị các cơ quan, tổ chức tăng cường phòng vệ kỹ thuật số, đặc biệt là ở những tổ chức xử lý số lượng lớn thông tin của người dùng.

Các mối đe dọa liên tục thay đổi, đối tượng là các xu hướng sử dụng tiền điện tử, đại dịch… và nhận thức rõ ràng về bối cảnh là điều cần thiết. Dưới đây là một số mối đe dọa mang tính cấp bách nhất trong năm nay.

Linux và cơ sở hạ tầng đám mây sẽ tiếp tục là mục tiêu

Đối với các tác nhân đe dọa thường sử dụng một phép tính đơn giản là phương pháp tấn công gì dễ nhất? Phương pháp nào có nhiều khả năng mang lại lợi nhuận lớn nhất? Và câu trả lời tại thời điểm này là cơ sở hạ tầng đám mây dựa trên Linux, chiếm hơn 80% tổng cơ sở hạ tầng đám mây. Với việc áp dụng đám mây ngày càng tăng cao do đại dịch, điều này có khả năng trở thành một vấn đề lớn.

Chỉ trong vài tháng qua, các băng đảng ransomware như BlackMatter, HelloKitty và REvil đã nhắm mục tiêu vào Linux thông qua các máy chủ ESXi với những mã hóa ELF. Và gần đây có thêm băng nhóm ransomware PYSA tấn công vào Linux. 

Trong khi đó, các chuyên gia đang xác định các họ phần mềm độc hại Linux phức tạp mới đang ngày càng gia tăng, điều này khiến cho danh sách các mối quan tâm vốn đã có sẵn càng trở nên phức tạp. Làm việc để chống lại những mối đe dọa này là việc đầu tiên và cần thiết hơn bao giờ hết

Những kẻ tấn công cấp quốc gia và cộng đồng an ninh

Trong năm ngoái, chúng ta đã bắt đầu thấy những tin tặc cấp quốc gia nhắm mục tiêu vào các nhà nghiên cứu lỗ hổng bảo mật để tấn công các lỗ hổng zero-days. Rất may là những cuộc tấn công này rất may đều không thành công. Các cuộc tấn công này chắc chắn sẽ tiếp tục vào năm 2022. Thông tin, các công cụ và những lỗ hổng thuộc về các công ty bảo mật cho lĩnh vực tư nhân ngày càng được tội phạm mạng quan tâm. Theo đó, các sản phẩm nghiên cứu về tấn công mạng cũng sẽ trở thành mục tiêu lớn hơn cho các tin tặc.

Môi giới truy cập ban đầu và tấn công tiền điện tử sẽ tiếp tục được tận dụng

Thông tin là một mục tiêu quan trọng, nhưng thực tế những cuộc tấn công đám mây hoàn toàn là vì động cơ tài chính. Sang năm 2022, hai phương pháp kiếm tiền chính đối với tội phạm mạng sẽ vẫn tiếp tục là: Tiền điện tử và môi giới truy cập ban đầu (initial access brokerage - IAB).

Mỗi phương pháp đi kèm với những ưu và nhược điểm riêng. Với cryptojacking (kẻ tấn công sẽ cài đặt vào thiết bị của nạn nhân một tập lệnh từ xa) và cryptomining (khai thác tiền điện tử bằng công cụ nhất định), lợi nhuận có thể thu trong thời gian thực nếu kẻ tấn công không bị phát hiện trên môi trường đám mây. 

Về phía IAB, kẻ tấn công có thể mất nhiều thời gian hơn để đạt được lợi nhuận mong muốn. Đồng thời, IAB là một cách tiếp cận ít rủi ro hơn: nó không quan trọng khách hàng của chúng sử dụng môi trường đám mây trong bao lâu. Miễn là tiền mã hóa vẫn còn sinh lợi thì các cuộc tấn công tiền điện tử sẽ vẫn tiếp tục khi các nhà môi giới truy cập ban đầu có khả năng kích hoạt các hoạt động này.

Các mối đe dọa từ nội bộ gia tăng

Năm ngoái đã chứng kiến sự gia tăng mạnh mẽ của các tin tặc nhắm vào từng nhân viên. Thông thường, những tin tặc này sẽ cố gắng "tuyển dụng" những nhân viên này cho những nỗ lực nội gián. 

Với số lượng người từ chức kỷ lục trong lĩnh vực công nghệ vào năm 2021 cho thấy mức độ không hài lòng của nhân rất viên cao nên việc "nội gián" trong nội bộ hiện đang là một nguy cơ ngày càng nghiêm trọng và ngày càng gia tăng.

Tin tặc sẽ tiếp tục nhắm mục tiêu vào chuỗi cung ứng phần mềm

Các cuộc tấn công chuỗi cung ứng tuy không thường xuyên nhưng chúng có khả năng gây ra nhiều tác hại hơn (điển hình là vụ tấn công SolarWinds năm 2020). Lĩnh vực này là một lựa chọn hấp dẫn của tin tặc vì cơ hội xâm nhập "một-đến-nhiều" mà chuỗi cung mục tiêu mang lại. Vì lý do này mà năm 2022 sẽ chứng kiến nhiều cuộc tấn công chuỗi cung ứng phần mềm hơn do cả tội phạm và các tổ chức quốc gia gây ra.

Không ai có thể dự đoán với độ chính xác hoàn hảo về những thảm họa có thể xảy ra trước mắt, nhưng qua các nghiên cứu trong thời gian gần đây chúng ta hãy chuẩn bị cho mình các phương án bảo vệ trước những nguy cơ có thể xảy ra. Cũng như những năm trước, năm 2022, tội phạm mạng sẽ vẫn tăng cao và cần việc triển khai công nghệ tiên tiến và phân tích mối đe dọa tốt nhất hiện có để gắng ngăn chặn chúng.

Riêng tại Việt Nam, trong năm 2022, các chuyên gia Bkav nhận định các cuộc tấn công bằng mã độc vẫn sẽ gia tăng nếu người dùng không hành động sớm, quyết liệt, vấn đề bảo đảm an ninh trên các thiết bị IoT (Internet of Things) cần được quan tâm đúng mức khi triển khai trên diện rộng. Tấn công chuỗi cung ứng cũng tiếp tục là xu hướng và sẽ là mục tiêu "lý tưởng" của hacker trong năm tới./.