Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết hiện đang xuất hiện mã độc phát tán có chủ đích (APT) nhằm tấn công các hệ thống thông tin quan trọng tại Việt Nam trong thời gian giáp Tết nguyên đán Kỷ Hợi.
Theo đó, qua công tác theo dõi và giám sát trên không gian mạng Việt Nam, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã ghi nhận chiến dịch tấn công có chủ đích (APT) của tin tặc nhằm vào các hệ thống thông tin của ngân hàng và tổ chức chủ quản hệ thống thống tin hạ tầng quan trọng quốc gia tại Việt Nam.
Ngay trong chiều tối ngày 31/1, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông đã phát lệnh điều phối hỏa tốc yêu cầu gần 200 đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tấn công có chủ đích vào các tổ chức hạ tầng quan trọng quốc gia.
Theo phân tích của VNCERT, với hình thức tấn công có chủ đích này, tin tặc đã tìm hiểu kỹ về đối tượng tấn công và thực hiện các thủ thuật lừa đảo, kết hợp với các biện pháp kỹ thuật cao để qua mặt hệ thống bảo vệ an toàn thông tin của các hệ thống thông tin của ngân hàng và tổ chức chủ quản hệ thống thống tin hạ tầng quan trọng quốc gia nhằm chiếm quyền điều khiển máy tính của người dùng thông qua đó tấn công các hệ thống máy tính nội bộ chứa thông tin quan trọng khác.
Mục đích chính của tin tặc là đánh cắp các thông tin quan trọng của hệ thống thông tin của ngân hàng và tổ chức chủ quản hệ thống thống tin hạ tầng quan trọng quốc gia.
Với việc sử dụng các kỹ thuật cao để tấn công thì các hệ thống bảo vệ an toàn thông tin của hệ thống thông tin của ngân hàng và tổ chức chủ quản hệ thống thống tin hạ tầng quan trọng quốc gia sẽ khó phát hiện kịp thời và đồng thời giúp tin tặc duy trì quyền kiểm soát hệ thống thông tin.
Trung tâm VNCERT đã yêu cầu các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia thực hiện gấp các biện pháp theo dõi, rà soát hệ thống và xóa các thư mục, tập tin mã độc, ngăn chặn kết nối đến máy chủ điều khiển mã độc để kịp thời phát hiện và ngăn chặn cuộc tấn công có chủ đích.
Cụ thể, các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia được VNCERT đề nghị theo dõi và ngăn chặn kết nối đến các máy chủ điều khiển mã độc C&C có các tên miền và địa chỉ IP gồm: 192.227.248.189; usfinance.club; ukfinance.online; 107.174.39.144; 184.164.139.212; shengu.tech; kalya.website; smtp3.info; urlmon.online; 107.175.94.16; zivet37.services…
Cụ thể, các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia được VNCERT đề nghị theo dõi và ngăn chặn kết nối đến các máy chủ điều khiển mã độc C&C có các tên miền và địa chỉ IP gồm: 192.227.248.189; usfinance.club; ukfinance.online; 107.174.39.144; 184.164.139.212; shengu.tech; kalya.website; smtp3.info; urlmon.online; 107.175.94.16; zivet37.services…
Cùng với đó, Trung tâm VNCERT cũng đề nghị các đơn vị thành viên Mạng lưới ứng cứu sự cố quốc gia tiến hành rà quét hệ thống và xoá các thư mục và tập tin mã độc có kích thước tương ứng như:
- MD5: 25376ea6ea0903084c45bf9c57bd6e4f - MD5: 1e2795f69e07e430d9e5641d3c07f41e - MD5: 3be75036010f1f2102b6ce09a9299bca - HSMBalance.exe MD5: 34404a3fb9804977c6ab86cb991fb130 - HSMBalance.exe SHA-1:b345e6fae155bfaf79c67b38cf488bb17d5be56d - ICAS.ps1 MD5: b12325a1e6379b213d35def383da2986 - ICAS.ps1 SHA-1: c48ff39e5efc6ca60c31200344c47b5de3b3605d - MD5: 7c651d115109fd8f35fđfc44fd24518 - MD5: 8a41520c89dce75a345ab20ee352fef0 - MD5: b88d4d72fdabfc040ac7fb768bf72dcd - hs.exe MD5: df934e2d23507a7f413580eae11bb7dc - hs.exe SHA-1:5ce51e3882c40961caf2317a3209831ed77c9c40 - MD5: fee0b31cc956f083221cb6e80735fcc5 - MD5: 4c400910031ee3f12d9958d749fa54d5 - MD5: 2e0d13266b45024153396f002e882f15 - MD5: 26f09267d0ec0d339e70561a610fb1fd - MD5: 09e4f724e73fccc1f659b8a46bfa7184 - MD5: 18c2adfc214c5b20baf483d09c1e1824 - MD5: 2cd8e5d871f5d6c1a8d88b1fb7372eb0 - MD5: e9130a2551dd030e3c0d7bb48544aaea - MD5: 9888d1109d6d52e971a3a3177773efaa - MD5: be021d903653aa4b2d4b99f3dbc986f0 - MD5: 2036a9e008d16e8ac35614946034b1a5 - MD5: ef5741c4b96ef9498357dc4d33498163 - MD5: 5B7244C47104F169B0840440CDEDE788 - MD5: 53F7BE945D5755BB628EECB71CDCBF2 - MD5: E00499E21F9DC990400B8B3C2B5 - MD5: 9c35e9aa9255a2214d704668b039ef6 - MD5: cc29adb5b78300b0f17e566ad461b2c7 - MD5: C6774C1417BE2E8B7D14BAD1391|1DO4B
Sau khi thực hiện theo dõi, ngăn chặn kết nối và xoá các tập tin mã độc tấn công có chủ đích vào các tổ chức hạ tầng quan trọng quốc gia, các đơn vị được yêu cầu báo cáo tình hình về Trung tâm VNCERT theo email ir@vncert.gov.vn; điện thoại 0869.100.319 trước 12 giờ ngày 12/2./.
Theo Vietnam+