Phát hiện tấn công có chủ đích nhắm vào BHXH Việt Nam bằng phương thức giả mạo văn bản

19/06/2023 01:51 PM


Vừa qua, Trung tâm CNTT đã phát hiện trên không gian mạng có tệp tin giả mạo văn bản của BHXH Việt Nam có đính kèm mã độc để phát tán. Cụ thể, kẻ tấn công đã sử dụng tệp tin Công văn số 1192/BHXH-TT ngày 07/05/2021 của BHXH Việt Nam về việc hướng dẫn truyền thông nhân tháng vận động triển khai BHXH toàn dân để cài thêm mã độc vào tệp tin.

Tấn công chủ đích (APT) là một chiến dịch tấn công, do tin tặc sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao. Khác với tấn công đại trà, tấn công chủ đích thường được xây dựng kịch bản kỹ lưỡng sau khi đã tìm hiểu về mục tiêu. Đồng thời, loại hình tấn công này cũng nguy hiểm do thường sử dụng mã độc tự phát triển hoặc chưa từng được công bố hoặc kết hợp nhiều loại tấn công khác nhau để xâm nhập hệ thống.

Tấn công có chủ đích nhắm vào BHXH Việt Nam. Ảnh: Internet

Qua công tác giám sát, Trung tâm CNTT đã phát hiện trên không gian mạng có tệp tin giả mạo văn bản của BHXH Việt Nam có đính kèm mã độc để phát tán. Cụ thể, kẻ tấn công đã sử dụng tệp tin Công văn số 1192/BHXH-TT ngày 07/05/2021 của BHXH Việt Nam về việc hướng dẫn truyền thông nhân tháng vận động triển khai BHXH toàn dân để cài thêm mã độc vào tệp tin.

Trung tâm CNTT cùng với Đội ứng cứu sự cố an toàn thông tin ngành BHXH Việt Nam phân tích, phát hiện hành vi mã độc khi người dùng mở tệp tin văn bản này sẽ thực hiện kết nối đến các máy chủ điều khiển và thực thi mã độc. Đây là hành vi tấn công có chủ đích, làm lây lan mã độc để đánh cắp thông tin, phá hoại hoặc chiếm quyền điều khiển...

Tệp tin giả mạo có định dạng .exe được giả mạo như tập tin .pdf (là định dạng tập tin văn bản mà hệ thống quản lý văn bản và điều hành của Ngành đang sử dụng), tập tin này khi mở sẽ hiển thị tập tin định dạng .pdf thật nhằm đánh lừa người dùng nhưng chạy ngầm tiến trình thực thi tập tin mã độc.

Hành vi của mã độc giả mạo trong tấn công có chủ đích vào BHXH Việt Nam. Ảnh: Internet

Ngay khi phát hiện tấn công, Trung tâm Công nghệ thông tin cùng Đội Ứng cứu sự cố ngành BHXH Việt Nam đã phân tích hành vi của mã độc từ đó ngăn chặn việc thực thi của mã độc trên các máy trạm của cán bộ trong Ngành cùng với việc ngăn chặn các kết nối đến các máy chủ điều khiển.

Cách phát hiện và phòng tránh

Các tệp tin giả mạo là tệp tin .exe nhưng được giả mạo thành định dạng phổ biến như .pdf, .docx, .mp4…, để phát hiện các file giả mạo, cần phải xác định đúng định dạng tệp tin.

Cách kiểm tra định dạng tệp tin:

- Cách 1: Bật tính năng hiển thị định dạng tệp tin trên File Explorer, nếu tệp tin có biểu tượng là tệp tin .pdf, .docx, .xlsx, .mp4… nhưng thông tin tại cột Type là Application thì đây là tệp tin giả mạo.

Bật tính năng kiểm tra định dạng tệp tin để phát hiện file giả mạo. Ảnh: Internet

- Cách 2: Kiểm tra thuộc tính của tệp tin bằng cách click chuột phải vào tệp tin đó, chọn Properties, tại mục General sẽ hiển thị định danh thật của tệp tin. Ví dụ như hình dưới đây, tệp tin có tên là 1192_BHXH_TT.pdf nhưng hiển thị Type of file: Application (.exe) thì thực chất đây là tệp tin thực thi.

Kiểm tra thuộc tính của tệp tin để xác định định dạng thực sự của file. Ảnh: Internet

Cách tự bảo vệ, xử lý khi bị tấn công giả mạo

Để phát hiện, tự bảo vệ trước các loại tấn công giả mạo, người dùng cần thực hiện các cách sau:

- Chỉ tải, chia sẻ các văn bản từ các nguồn bảo đảm, có uy tín.

- Cài đặt các giải pháp phòng chống mã độc trên các máy trạm, thiết bị thông minh.

- Kiểm tra kỹ người/nguồn gửi thư điện tử trước khi tải, kiểm tra định dạng tệp tin trước khi mở.

- Khi phát hiện các dấu hiệu bất thường, nghi ngờ giả mạo, chứa mã độc, thông báo ngay đến các bộ phận hỗ trợ an toàn thông tin như Trung tâm Giám sát an toàn không gian mạng quốc gia (https://khonggianmang.vn).

 

Trung tâm CNTT