Tấn công APT là một cuộc tấn công mạng do tội phạm hoặc quốc gia thực hiện với mục đích đánh cắp dữ liệu hoặc giám sát hệ thống trong một khoảng thời gian dài. Kẻ tấn công có mục tiêu và mục đích cụ thể, đã dành thời gian và nguồn lực để xác định những lỗ hổng nào chúng có thể khai thác để truy cập, và thiết kế một cuộc tấn công có khả năng sẽ không bị phát hiện trong một thời gian dài. Cuộc tấn công này thường bao gồm việc sử dụng phần mềm độc hại tùy chỉnh.

Động cơ của APT có thể là lợi ích tài chính hoặc gián điệp chính trị. APT ban đầu chủ yếu liên quan đến các tác nhân quốc gia muốn đánh cắp bí mật chính phủ hoặc bí mật công nghiệp. Tội phạm mạng hiện nay sử dụng APT để đánh cắp dữ liệu hoặc tài sản trí tuệ mà chúng có thể bán hoặc kiếm lời.

Tin tặc APT và phần mềm độc hại đang ngày càng phổ biến và tinh vi hơn bao giờ hết. Đối với một số tin tặc chuyên nghiệp, làm việc cho chính phủ hoặc các ngành công nghiệp liên quan, công việc toàn thời gian của họ là tấn công các công ty và mục tiêu cụ thể. Họ thực hiện các hành động liên quan đến lợi ích của nhà tài trợ, có thể bao gồm truy cập thông tin mật, cài mã độc, hoặc cài đặt các chương trình cửa hậu ẩn cho phép họ tùy ý xâm nhập trở lại mạng hoặc máy tính mục tiêu.

Tin tặc APT rất lành nghề và có lợi thế hoạt động to lớn ở chỗ chúng sẽ không bao giờ bị bắt. Hãy tưởng tượng xem những tên trộm khác sẽ thành công và kiên trì đến mức nào nếu chúng có được sự đảm bảo tương tự.

Tuy nhiên, chúng không muốn các hoạt động của mình bị mục tiêu phát hiện ngay lập tức, vì điều đó sẽ làm phức tạp nhiệm vụ. Một hacker chuyên tấn công dai dẳng, nâng cao thành công sẽ đột nhập vào mạng lưới và máy tính, lấy được thông tin cần thiết và chuồn đi mà không bị phát hiện. Chúng thích "chậm và kín đáo". Chúng không muốn tạo ra nhiều sự kiện kỳ ​​lạ có thể bị kiểm tra, thông báo lỗi, tắc nghẽn giao thông, hoặc gây gián đoạn dịch vụ.

Hầu hết các APT sử dụng code tùy chỉnh để thực hiện hoạt động, nhưng ít nhất là lúc đầu, chúng thích sử dụng các lỗ hổng đã được công khai để thực hiện hành vi đen tối của mình. Bằng cách đó, nếu hoạt động của chúng bị phát hiện, nạn nhân sẽ khó nhận ra đó là APT hơn so với các chương trình tin tặc hoặc phần mềm độc hại thông thường.

Để ngăn chặn hoặc sớm phát hiện bị tấn công APT, bạn hãy kiểm tra 5 dấu hiệu sau - theo trang công nghệ CSO:

​1. Tăng số lượt đăng nhập cao vào đêm khuya

Ảnh minh hoạ: CSO Online

APT nhanh chóng leo thang từ việc xâm nhập một máy tính đơn lẻ đến việc chiếm quyền kiểm soát nhiều máy tính hoặc toàn bộ môi trường chỉ trong vài giờ. Chúng thực hiện điều này bằng cách đọc cơ sở dữ liệu xác thực, đánh cắp thông tin đăng nhập và sử dụng lại chúng. Chúng tìm hiểu tài khoản người dùng (hoặc dịch vụ) nào có đặc quyền và quyền hạn cao hơn, sau đó sử dụng các tài khoản đó để xâm nhập vào các tài sản trong hệ thống. Thông thường, một lượng lớn các cuộc đăng nhập cao hơn xảy ra vào ban đêm vì kẻ tấn công sống ở bên kia bán cầu. Nếu bạn đột nhiên nhận thấy một lượng lớn các cuộc đăng nhập cao hơn trên nhiều máy chủ hoặc các máy tính cá nhân có giá trị cao trong khi nhóm làm việc hợp pháp đang ở nhà, đó là dấu hiệu của APT.

2. Cài Trojan cửa hậu

Tin tặc APT thường cài đặt chương trình Trojan cửa hậu (backdoor) trên các máy tính bị xâm nhập trong hệ thống. Chúng làm vậy để đảm bảo luôn có thể xâm nhập trở lại, ngay cả khi thông tin đăng nhập bị thay đổi khi nạn nhân phát hiện ra. Một đặc điểm liên quan khác - khi bị phát hiện tin tặc APT không biến mất như những kẻ tấn công thông thường. Tại sao chúng phải biến mất? Chúng sở hữu máy tính trong hệ thống của bạn và bạn khó có thể đưa chúng ra tòa án.

Ngày nay, Trojan được triển khai thông qua "kỹ thuật xã hội" (Social engineering) - lợi dụng tâm lý con người để đánh lừa và xâm nhập thay vì sử dụng các phương pháp hack thiên về kỹ thuật. Đây là con đường mà hầu hết các công ty đều bị khai thác. 

3. Luồng thông tin đáng ngờ

Hãy kiểm tra các luồng dữ liệu lớn, bất ngờ từ các điểm xuất phát nội bộ đến các máy tính nội bộ khác hoặc đến các máy tính bên ngoài. Có thể là từ máy chủ đến máy chủ, từ máy chủ đến máy khách hoặc từ mạng đến mạng. Những luồng dữ liệu đó cũng có thể bị giới hạn, nhưng được nhắm mục tiêu, chẳng hạn như ai đó nhận email từ nước ngoài. 

Việc này ngày càng khó thực hiện hơn vì rất nhiều luồng thông tin hiện nay được bảo vệ bởi VPN, thường bao gồm TLS qua HTTP (HTTPS). Mặc dù trước đây điều này rất hiếm, nhưng hiện nay nhiều công ty đã khoá hoặc chặn tất cả lưu lượng HTTPS chưa được xác định và chưa được phê duyệt trước đó bằng cách sử dụng điểm nghẽn thiết bị kiểm tra bảo mật.

Thiết bị này sẽ "mở gói" lưu lượng HTTPS bằng cách thay thế mã hóa kỹ thuật số TLS của chính nó và hoạt động như một proxy giả vờ là phía bên kia của giao dịch truyền thông đến cả mục tiêu nguồn và đích. Nó sẽ mở gói và kiểm tra lưu lượng, sau đó mã hóa lại dữ liệu trước khi gửi đến các mục tiêu truyền thông tin ban đầu. 

Tất nhiên, để phát hiện một APT tiềm ẩn, bạn phải hiểu luồng dữ liệu của mình trông như thế nào trước khi môi trường của bạn bị xâm phạm. Hãy bắt đầu ngay bây giờ và tìm hiểu các thông tin cơ bản.

4. ​Gói dữ liệu lớn

Ảnh minh hoạ: Drizgroup

APT thường tập hợp dữ liệu bị đánh cắp vào các điểm thu thập nội bộ trước khi chuyển ra bên ngoài. Hãy tìm kiếm các khối dữ liệu lớn (gigabyte, không phải megabyte) xuất hiện ở những nơi dữ liệu đó không nên xuất hiện, đặc biệt nếu được nén ở định dạng lưu trữ mà công ty bạn thường không sử dụng.

5. Các chiến dịch lừa đảo qua email (phishing)

Nếu phải nghĩ ra một trong những dấu hiệu rõ ràng nhất, tôi nghĩ đó chính là các chiến dịch email lừa đảo nhắm vào nhân viên công ty bằng cách sử dụng các tệp tài liệu (ví dụ: Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel hoặc Microsoft Office PowerPoint) chứa mã thực thi hoặc liên kết URL độc hại. Đây chính là tác nhân gây ra phần lớn các cuộc tấn công APT.

Dấu hiệu quan trọng nhất là email lừa đảo của kẻ tấn công không được gửi đến tất cả mọi người trong công ty mà thay vào đó là gửi đến một mục tiêu có chọn lọc hơn là những cá nhân có giá trị cao trong công ty (ví dụ: CEO, CFO, CISO, trưởng dự án hoặc trưởng nhóm công nghệ).

Email có thể là giả mạo, nhưng chúng chứa các từ khóa liên quan đến các dự án và chủ đề nội bộ thực sự đang diễn ra. Thay vì một chủ đề lừa đảo chung chung kiểu "Này, đọc cái này đi!" , chúng chứa nội dung rất liên quan đến dự án đang diễn ra của bạn và đến từ một thành viên khác trong nhóm. Nếu bạn đã từng thấy một trong những email lừa đảo rất cụ thể và có mục tiêu này, bạn thường sẽ hơi rùng mình vì tự hỏi liệu mình có thể tránh được hay không. 

Nếu bạn nghe nói về một cuộc tấn công lừa đảo qua email, đặc biệt là khi một vài giám đốc điều hành báo cáo bị lừa nhấp vào tệp đính kèm, hãy bắt đầu tìm kiếm bốn dấu hiệu và triệu chứng còn lại. Đó có thể là dấu hiệu cảnh báo sớm của bạn.

Đăng Khoa