Tin tặc tấn công sân bay: Hệ thống đã bị xâm nhập từ giữa năm 2014

ANTĐ - Thông tin trên được Hiệp hội An toàn thông tin Việt Nam (VNISA) cho biết ngày 2-8. Theo VNISA, có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014.

Tin tặc tấn công sân bay: Hệ thống đã bị xâm nhập từ giữa năm 2014 ảnh 1

Tin tặc đã xâm nhập hệ thống CNTT của sân bay từ năm 2014

Hacker am hiểu về hệ thống CNTT của các cụm cảng hàng không

Theo VNISA, cuộc tấn công mạng chiều 29-7vào công tác phục vụ bay của các sân bay Nội Bài và Tân Sơn Nhất… là cuộc tấn công mạng có chuẩn bị công phu (kẻ tấn công đã sử dụng mã độc không bị nhận diện bởi các các phần mềm chống virus); xâm nhập cả chiều sâu (kiểm soát cả một số máy chủ quan trọng như cổng thông tin, cơ sở dữ liệu khách hàng) và chiều rộng (nhiều máy tính ở các bộ phận chức năng khác nhau, vùng miền khác nhau đều bị nhiễm); phát động tấn công đồng loạt và có liên quan tới các sự kiện kinh tế, chính trị.

“Đến thời điểm này có thể khẳng định cuộc tấn này là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29-7. Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/07 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus. Hiện tại, những dấu vết để lại hiện trường chưa đủ cơ sở để kết luận chính xác đối tượng tấn công là ai. Tuy nhiên có thể khẳng định đối tượng am hiểu hệ thống CNTT của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống”- VNISA cho biết.

Ngay sau khi sự việc xảy ra, VNISA đã cùng các đơn vị khác tham gia giải quyết vụ việc. Đội ngũ chuyên gia đã đưa ra các phương án xử lý mã độc, khôi phục hoạt động hệ thống và từng bước đánh giá đề xuất các giải pháp ngăn chặn sự cố tương tự có thể xảy ra trong tương lai, tìm hiểu rà soát tổng thể hệ thống.

Theo đại diện của VNISA, từ vụ việc vừa xảy ra cho thấy, việc xử lý sự cố cần được hoàn thiện từ dưới lên, từ cấp doanh nghiệp tới quốc gia, các kỹ năng quan trọng như xử lý sự cố, phân tích mã độc và điều tra số cần được chú trọng đào tạo nâng cao, đảm bảo có được lực lượng ứng cứu hiện diện ở nhiều nơi cùng các kỹ năng quan trọng để xử lý sự cố.

Ngoài ra các tổ chức, doanh nghiệp – đặc biệt là các tổ chức có hệ thống mạng lớn, trải dài ở mức quốc gia – cần đưa việc giám sát an toàn thông tin lên ưu tiên hàng đầu bởi các cuộc tấn công chưa có dấu hiệu dừng lại, chưa xác định hết quy mô mà tin tặc muốn xâm nhập và phá hoại.

Làm gì để tăng cường an ninh mạng?

Khuyến cáo đến các tổ chức, doanh nghiệp, VNISA cho biết, để tăng cường an ninh mạng, các đơn vị cần có nhân viên hoặc bộ phận chuyên trách (thuê ngoài) dịch vụ giám sát an ninh thông tin cho tổ chức. Các sự kiện hệ thống cần được lưu trữ tập trung ra một hệ thống độc lập nhằm thuận tiện cho việc theo dõi, đồng thời lưu trữ thông tin cần thiết hỗ trợ cho việc truy vết sự cố, hạn chế việc tin tặc xâm nhập hệ thống sau đó cố tình xóa dấu vết. Ngoài ra, cần thực hiện sao lưu các dữ liệu hệ thống đầy đủ, định kỳ và bản lưu trữ phải ở vị trí an toàn về mặt vật lý nhằm đảm bảo khả năng phục hồi dữ liệu trong tình huống xấu nhất khi hệ thống dữ liệu chính bị phá hủy hoàn toàn. Đối với các hệ thống quan trọng cần thay đổi thường kỳ mật khẩu đăng nhập của các tài khoản đặc quyền – các tài khoản hệ thống có quyền hạn cao, tránh sử dụng chung các định danh truy cập hệ thống.

Về lâu dài, cần có quy trình định kỳ thường xuyên rà soát các rủi ro có khả năng gây mất ANTT trên hệ thống và có phương án xử lý kịp thời. Thường xuyên tiến hành các diễn tập, đào tạo ANTT để nâng cao tính sẵn sàng và tinh nhuệ của đội ngũ quản trị hệ thống CNTT. Đầu tư các phương án tăng cường, gia cố về ANTT.

Trong trường hợp phát hiện hệ thống CNTT có dấu hiệu bị tấn công, cần cung cấp thông tin sớm nhất cho các đơn vị chuyên trách xử lý sự cố an ninh mạng để được hỗ trợ. Hệ thống bị tấn công cũng cần được cách ly, tiến hành thay đổi mật khẩu, backup dữ liệu mới nhất sang các bộ lưu trữ bên ngoài để giảm tổn thất.