Ảnh minh họa. Internet

Công cụ phần mềm giả mạo chứa mã độc “cửa sau”

Theo báo cáo điều tra công bố gần đây, một nhân viên kỹ thuật của bang Nevada đã tải và cài đặt một công cụ quản trị từ một trang web trông giống trang chính thức nhưng thực chất là website giả mạo được dựng để lừa người dùng. Công cụ này được quảng cáo thông qua kết quả tìm kiếm và quảng cáo trả phí, khiến nhân viên khó nhận diện rủi ro.

Phần mềm chứa mã độc “cửa sau” (backdoor), cho phép kẻ tấn công duy trì truy cập vào hệ thống mà không bị chú ý. Dù phần mềm diệt virus đã phát hiện tệp và đưa vào vùng cách ly sau đó, tác nhân tấn công đã kịp lấy được thông tin đăng nhập và âm thầm mở rộng quyền kiểm soát bên trong hạ tầng công nghệ thông tin của bang.

Trong gần ba tháng, nhóm tin tặc bí mật di chuyển giữa các máy chủ nội bộ thông qua giao thức Remote Desktop Protocol (RDP), tiếp cận hệ thống quản lý mật khẩu và bản sao lưu dữ liệu. Toàn bộ quá trình diễn ra mà không kích hoạt cảnh báo an ninh đáng chú ý.

Mã hóa hệ thống và yêu cầu chuộc dữ liệu

Đến ngày 24/8, kẻ tấn công bắt đầu giai đoạn cuối: xóa một phần bản sao lưu và triển khai mã độc tống tiền trên hệ thống máy chủ, khiến nhiều dịch vụ công trực tuyến và quy trình xử lý hành chính gặp gián đoạn.

Theo báo cáo, hơn 26.000 tệp đã bị truy cập và trên 3.200 tệp có khả năng bị lộ thông tin. Kẻ tấn công để lại ghi chú hướng dẫn “cách khôi phục hệ thống và dữ liệu” với mục đích tống tiền. Timothy Galluzzi, Giám đốc Công nghệ của Văn phòng Thống đốc bang Nevada, cho biết:

“Nhóm tấn công triển khai cuộc tấn công nhằm đưa hệ thống của bang vào trạng thái ngoại tuyến và để lại một thông điệp hướng dẫn cách khôi phục dữ liệu được mã hóa, với mục đích tống tiền bang.”

Tuy nhiên, chính quyền Nevada tuyên bố không đàm phán và không trả tiền chuộc. Thay vào đó, bang tiến hành khôi phục hệ thống từ các bản sao lưu an toàn và thuê đơn vị an ninh mạng độc lập hỗ trợ điều tra, phục hồi và đánh giá thiệt hại.

Ước tính chi phí khắc phục, không bao gồm thiệt hại gián đoạn hoạt động, dao động trong khoảng 1,3 đến 1,5 triệu USD. Phần lớn hoạt động then chốt được khôi phục trong vòng 28 ngày sau đó.

Cảnh báo nghiêm khắc về nhận thức và quy trình bảo mật

Vụ việc một lần nữa cho thấy điểm yếu trong bảo mật hệ thống công không chỉ nằm ở công nghệ mà còn ở thao tác vận hành của người dùng. Một hành động tải nhầm công cụ tưởng như phổ thông đã mở ra lỗ hổng cho cuộc tấn công kéo dài nhiều tháng.

Các chuyên gia an ninh mạng nhấn mạnh, những đơn vị vận hành và khai thác hạ tầng CNTT hành chính công cần đặc biệt chú trọng:

Kiểm soát chặt chẽ quyền cài đặt và sử dụng phần mềm trong nội bộ.

Giám sát truy cập bất thường và chuyển động ngang trong mạng.

Bảo đảm hệ thống sao lưu được bảo vệ độc lập, tránh bị xóa hoặc mã hóa cùng lúc với hệ thống chính.

Đào tạo nhận thức an ninh cho cán bộ, nhân viên, nhất là những người vận hành trực tiếp hệ thống công nghệ.

Vụ tấn công tại Nevada là một cảnh báo nghiêm khắc về những rủi rõ nghiêm trọng nghiêm trọng cho toàn bộ hệ thống công khi cán bộ, nhân viên các cơ quan hành chính công công không cảnh giác và ý thức cao trong công tác bảo mật. Một sơ xuất nhỏ có thế dẫn đến thiệt hại nghiêm trọng cho mọi tổ chức.

An Lâm (Theo Cyber Security Dive)