Theo báo cáo, gần 2/3 nhà khai thác viễn thông đã từng hứng chịu ít nhất một cuộc tấn công “living off the land” (tức là tin tặc lợi dụng công cụ hợp pháp sẵn có trong hệ thống để ẩn mình) trong năm qua, và 32% trong số đó phải đối mặt với bốn vụ tấn công trở lên.

Ảnh minh họa

Nokia phát hiện rằng các cuộc tấn công DDoS ở quy mô terabit đang xảy ra thường xuyên gấp năm lần so với trước đây, với mức đỉnh lưu lượng cao hơn bao giờ hết, trong khi 4% kết nối Internet gia đình trên toàn cầu vẫn đang bị xâm nhập.

Đáng chú ý, 37% các cuộc tấn công DDoS hiện kết thúc trong vòng hai phút, cho thấy tốc độ và cường độ của các đợt tấn công này đang gia tăng nhanh chóng.

Trước tình hình đó, Nokia cho biết hơn 70% lãnh đạo an ninh mạng trong ngành viễn thông đang ưu tiên phân tích mối đe dọa dựa trên trí tuệ nhân tạo (AI) và học máy (machine learning), và hơn một nửa có kế hoạch triển khai các công nghệ phát hiện dựa trên AI trong vòng 18 tháng tới.

Dữ liệu từ Báo cáo Tình báo Mối đe dọa thường niên lần thứ 11 của Nokia cho thấy tin tặc đã tăng cường xâm nhập vào mạng lưới viễn thông, trong một số trường hợp đã tiếp cận được các hệ thống nhạy cảm như dữ liệu thuê bao và nền tảng nghe lén hợp pháp (lawful interception) - tương tự vụ tấn công Salt Typhoon từng gây chấn động.

Chúng thường ẩn náu bằng cách lợi dụng các công cụ đáng tin cậy, thiết bị chưa vá lỗi hoặc cấu hình sai trong mạng.

Ông Kal De, Phó Chủ tịch cấp cao phụ trách sản phẩm và kỹ thuật tại Nokia Cloud and Network Services, cho biết: “Kết nối là nền tảng cho mọi thứ – từ an toàn công cộng và giao dịch tài chính đến danh tính số. Các cuộc tấn công gần đây đã nhắm tới hệ thống nghe lén hợp pháp, làm rò rỉ dữ liệu thuê bao nhạy cảm và làm gián đoạn dịch vụ khẩn cấp. Ngành viễn thông phải phản công bằng cách chia sẻ thông tin mối đe dọa, phát hiện và phản ứng dựa trên AI, cũng như nâng cao khả năng linh hoạt về mã hóa - biến mạng lưới kết nối từ điểm yếu thành nguồn sức mạnh.”

Ông Jeff Smith, Phó Chủ tịch kiêm Tổng Giám đốc Nokia Deepfield, cũng cảnh báo: “Trước sự gia tăng của các công cụ tấn công công nghiệp hóa, hàng triệu thiết bị IoT kém bảo mật và các mạng botnet có sử dụng proxy dân dụng, các nhà khai thác mạng cần hành động ngay để bảo vệ tài sản và khách hàng khỏi các cuộc tấn công DDoS quy mô khổng lồ, phức tạp và biến thiên trong phạm vi hơn 10 terabit.

An ninh mạng không nên là yếu tố được nghĩ đến sau cùng; bảo vệ DDoS phải được tích hợp trực tiếp trong cấu trúc mạng, đảm bảo các chức năng trọng yếu luôn hoạt động liên tục.”

Báo cáo dài 63 trang của Nokia cho thấy phần mềm độc hại nhắm mục tiêu đang gia tăng, trong khi thời gian khắc phục sự cố vẫn chậm. Theo báo cáo, 55% nhà mạng cho biết họ đã đối mặt với các mối đe dọa được tùy chỉnh để tấn công trực tiếp vào hạ tầng viễn thông, và 45,1% đã từng bị các bộ công cụ tấn công được thiết kế riêng nhắm đến.

Báo cáo cũng chỉ ra rằng thời gian phục hồi sau sự cố an ninh mạng thường kéo dài - 63% các sự cố nghiêm trọng mất hơn một tuần mới được khôi phục hoàn toàn, đủ lâu để ảnh hưởng đến thời gian hoạt động, doanh thu và niềm tin của khách hàng.

Các lỗ hổng trong công tác bảo mật cơ bản (security hygiene) vẫn là nguyên nhân phổ biến khiến hệ thống bị xâm nhập. 76% lỗ hổng bảo mật xuất phát từ việc chưa cài đặt bản vá. Ngoài ra, các vấn đề ở tầng ứng dụng như kiểm soát truy cập kém và lỗi phần mềm có thể khai thác vẫn xuất hiện rộng rãi trong bối cảnh dịch vụ số phát triển nhanh.

Báo cáo của Nokia cũng nhận định rằng tin tặc đã thay đổi chiến thuật, chuyển từ các đợt tấn công ngẫu nhiên sang các chiến dịch kéo dài nhiều năm nhắm vào hạ tầng viễn thông.

Những vụ tấn công này thường bao gồm việc khai thác liên tục các lỗ hổng, sử dụng thông tin đăng nhập bị đánh cắp, triển khai mã độc tống tiền (ransomware) và web shell, gây ra gián đoạn hoạt động và rò rỉ dữ liệu quy mô lớn.

Nghiên cứu cũng lưu ý rằng các cuộc xâm nhập âm thầm, kéo dài như vậy đã buộc các nhà mạng phải chi nhiều tiền để khắc phục, đồng thời phơi bày họ trước rủi ro nghiêm trọng về kinh doanh và uy tín do việc truy cập trái phép kéo dài trong hệ thống.

Các cuộc tấn công DDoS đạt mức kỷ lục mới, trong khi chiến dịch Salt Typhoon tiếp tục gây lo ngại toàn cầu. Theo báo cáo của Nokia, các cuộc tấn công DDoS đã đạt đến quy mô chưa từng có. Mạng botnet sử dụng proxy dân dụng hiện bao gồm hơn 100 triệu thiết bị bị xâm nhập, cho phép tin tặc phát động các đợt tấn công với lưu lượng ở mức terabit.

Báo cáo cũng ghi nhận rằng 52% chiến dịch DDoS hiện nhắm vào nhiều máy chủ cùng lúc, 58% sử dụng nhiều phương thức tấn công kết hợp, và 78% hoàn tất trong vòng 5 phút - trong đó 37% diễn ra chỉ trong 2 phút. Những con số này cho thấy tốc độ và mức độ phức tạp của các cuộc tấn công đang tăng nhanh chóng.

Một Giám đốc An ninh Thông tin (CISO) của một nhà cung cấp dịch vụ viễn thông hàng đầu Bắc Mỹ chia sẻ: “Salt Typhoon là sự cố an ninh mạng nghiêm trọng nhất mà chúng tôi phải đối mặt trong 12 tháng qua… Một số điểm xâm nhập đã được thiết lập từ nhiều năm trước, chỉ chờ thời điểm thích hợp để kích hoạt.”

Báo cáo của Nokia cho biết hoạt động của Salt Typhoon bắt đầu được công khai từ tháng 9 năm 2024, nhưng có khả năng đã âm thầm hoạt động ít nhất từ năm 2019.

Các mục tiêu bị xác nhận bao gồm các nhà cung cấp dịch vụ viễn thông và đơn vị vận hành hạ tầng trọng yếu tại hơn 80 quốc gia.

Nhóm tấn công này được cho là đang tìm cách truy cập dữ liệu chi tiết cuộc gọi (call detail records) và thông tin nghe lén hợp pháp (lawful-interception data) liên quan đến những mục tiêu có giá trị cao.

Nguyễn Yến (theo Industrial Cyber)