Thông tin về chiến dịch tấn công mới nhắm vào các thiết bị mạng Cisco vừa được Cục An toàn thông tin (Bộ TT&TT) cảnh báo tới đơn vị chuyên trách CNTT, an toàn thông tin của các bộ, ngành và địa phương; Các tập đoàn, tổng công ty nhà nước; Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet, nền tảng số và các tổ chức tài chính, ngân hàng thương mại.

Cụ thể, Cục An toàn thông tin cho hay, qua công tác giám sát an toàn không gian mạng quốc gia, Trung tâm Giám sát an toàn không gian mạng quốc gia - NCSC trực thuộc Cục đã ghi nhận chiến dịch tấn công mạng ArcaneDoor ảnh hưởng đến các thiết bị mạng Cisco. Khi truy cập được vào các thiết bị mạng Cisco, đối tượng tấn công có thể điều hướng hoặc điều chỉnh lưu lượng mạng, theo dõi liên lạc trong mạng và thực hiện hành động trái phép khác.

Một cuộc điều tra phân tích của các chuyên gia bảo mật quốc tế vào đầu năm nay đã phát hiện nhóm tấn công mới được theo dõi dưới tên UAT4356. Nhóm UAT4356 đã triển khai 2 backdoor (phần mềm có chức năng xâm nhập cũng như truy cập vào thiết bị mà không cần phải thông qua định danh bảo mật – PV) có tên ‘Line Runner’ và ‘Line Dance’, đều được sử dụng để thực hiện các hành vi độc hại lên thiết bị bị ảnh hưởng, bao gồm việc điều chỉnh cấu hình, do thám, theo dõi, trích xuất lưu lượng mạng và leo thang đặc quyền.

Quá trình điều tra phân tích, các chuyên gia nhận thấy rằng, nhóm tấn công thường triển khai mã độc, thực thi mã từ xa trên thiết bị bị ảnh hưởng. Hai lỗ hổng bị khai thác gồm có CVE-2024-20353 và CVE-2024-20359 đều tồn tại trên ‘Cisco Adaptive Security Appliance Software’ và ‘Cisco Firepower Threat Defense Software’. Trong đó, lỗ hổng CVE-2024-20353 cho phép đối tượng tấn công thực hiện tấn công từ chối dịch vụ, còn CVE-2024-20359 cho phép đối tượng tấn công thực thi mã tùy ý với đặc quyền root.

Để đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin khuyến nghị các cơ quan, tổ chức và doanh nghiệp tiến hành kiểm tra, rà soát hệ thống thông tin đang sử dụng có khả năng bị ảnh hưởng bởi chiến dịch tấn công mạng mới nhắm vào các thiết bị mạng Cisco. Đồng thời, chủ động theo dõi các thông tin liên quan đến chiến dịch tấn công mạng này, sẵn sàng các biện pháp bảo mật để tránh nguy cơ bị tấn công.

W-giam-sat-an-toan-thong-tin-mang-1-0-1.jpg
Cục An toàn thông tin đề nghị các cơ quan, tổ chức, doanh nghiệp tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng. Ảnh minh họa: Khánh Linh

Các cơ quan, tổ chức, doanh nghiệp cũng được yêu cầu phải tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; Thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Trong báo cáo về tình hình an toàn thông tin mạng tuần cuối tháng 4/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia cũng đã cảnh báo về chiến dịch tấn công có chủ đích APT do nhóm ToddyCat thực hiện, sử dụng các công cụ nâng cao để đánh cắp dữ liệu. Nhóm tấn công ToddyCat được phát hiện lần đầu vào tháng 6/2022 khi họ tiến hành hàng loạt cuộc tấn công vào các tổ chức chính phủ và quân đội ở châu Âu và châu Á.

Với chiến dịch tấn công mới nhất, nhóm ToddyCat đã mở rộng danh mục công cụ bằng cách thêm vào phần mềm thu thập dữ liệu thông qua các kênh tunnel. Chuyên gia bảo mật khuyến nghị rằng các quản trị viên nên sử dụng tường lửa để chặn tài nguyên và địa chỉ IP của các dịch vụ Cloud có khả năng tạo tunnel lưu lượng. Ngoài ra, người dùng cũng nên tránh lưu mật khẩu trên trình duyệt web để tăng cường an ninh cho hạ tầng của tổ chức.

Đáng chú ý, trong cảnh báo mới phát ra, Cục An toàn thông tin (Bộ TT&TT) cũng lưu ý, khoảng thời gian vừa qua đã cho thấy sự gia tăng các chiến dịch tấn công mạng nhằm vào thiết bị mạng trong lĩnh vực cung cấp dịch vụ viễn thông và tổ chức năng lượng.

Tại Việt Nam, vào đầu tháng 4, qua theo dõi, giám sát hoạt động tấn công mạng, các chuyên gia NCSC nhận thấy sự xuất hiện các chiến dịch tấn công mã hóa dữ liệu tống tiền - ransomware nhằm vào các cơ quan, tổ chức, doanh nghiệp tại Việt Nam, đặc biệt là các tổ chức hoạt động trong lĩnh vực quan trọng như tài chính, ngân hàng, năng lượng, viễn thông…

Theo báo cáo của cơ quan thường trực Ủy ban Quốc gia về chuyển đổi số, trong quý đầu tiên của năm nay, đã có 4 cuộc tấn công ransomware vào các doanh nghiệp Việt Nam như VNDIRECT, PVOIL, Wintel, và Itel. Các sự cố tấn công ransomware đã gây gián đoạn hoạt động và thiệt hại về vật chất, hình ảnh của các cơ quan, tổ chức, doanh nghiệp cũng như hoạt động bảo đảm an toàn không gian mạng quốc gia.

Với yêu cầu đảm bảo an toàn cho các hệ thống thông tin ở mức cao nhất, Thủ tướng Chính phủ đã yêu cầu các bộ, ngành, địa phương tập trung triển khai một số nhiệm vụ cấp thiết, trong đó có việc rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng với các hệ thống thông tin thuộc phạm vi quản lý; Thực hiện nghiêm thời hạn hoàn thành phê duyệt hồ sơ đề xuất cấp độ an toàn cho 100% hệ thống thuộc phạm vi quản lý và triển khai đầy đủ phương án bảo đảm an toàn theo hồ sơ đề xuất cấp độ được phê duyệt...

Hướng dẫn xử lý 2.323 sự cố tấn công mạng vào các hệ thống tại Việt Nam

Trong quý I/2024, Bộ TT&TT đã tiếp tục đẩy mạnh, phối hợp Bộ Công an thực hiện các giải pháp bảo đảm an toàn thông tin mạng. Hiện nay, tổng số hệ thống thông tin của cả nước là 3.418 hệ thống, trong đó số hệ thống thông tin được phê duyệt cấp độ an toàn là 2.365 hệ thống, đạt tỷ lệ 68,2%, tăng 9% so với cùng kỳ năm 2023. Song song đó, công tác giám sát, cảnh báo an toàn thông tin cũng được chú trọng. Theo thống kê, 3 tháng đầu năm nay, Bộ TT&TT đã ghi nhận, cảnh báo và hướng dẫn các cơ quan, tổ chức và doanh nghiệp xử lý 2.323 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, giảm 32,6% so với cùng kỳ năm ngoái.