Cụ thể, kẻ tấn công đã sử dụng tệp tin Công văn số 1192/BHXH-TT ngày 7/5/2021 của BHXH Việt Nam về việc hướng dẫn truyền thông nhân tháng vận động triển khai BHXH toàn dân để cài thêm mã độc vào tệp tin.
Trung tâm CNTT cùng với Đội ứng cứu sự cố an toàn thông tin ngành BHXH Việt Nam phân tích, phát hiện hành vi mã độc khi người dùng mở tệp tin văn bản này sẽ thực hiện kết nối đến các máy chủ điều khiển và thực thi mã độc. Đây là hành vi tấn công có chủ đích, làm lây lan mã độc để đánh cắp thông tin, phá hoại hoặc chiếm quyền điều khiển...
Tệp tin giả mạo có định dạng .exe được giả mạo như tập tin .pdf (là định dạng tập tin văn bản mà hệ thống quản lý văn bản và điều hành của Ngành đang sử dụng), tập tin này khi mở sẽ hiển thị tập tin định dạng .pdf thật nhằm đánh lừa người dùng nhưng chạy ngầm tiến trình thực thi tập tin mã độc.
Ngay khi phát hiện tấn công, Trung tâm Công nghệ thông tin cùng Đội Ứng cứu sự cố ngành BHXH Việt Nam đã phân tích hành vi của mã độc từ đó ngăn chặn việc thực thi của mã độc trên các máy trạm của cán bộ trong Ngành cùng với việc ngăn chặn các kết nối đến các máy chủ điều khiển.
Cách phát hiện và phòng tránh
Các tệp tin giả mạo là tệp tin .exe nhưng được giả mạo thành định dạng phổ biến như .pdf, .docx, .mp4…, để phát hiện các file giả mạo, cần phải xác định đúng định dạng tệp tin.Cách kiểm tra định dạng tệp tin:
- Cách 1: Bật tính năng hiển thị định dạng tệp tin trên File Explorer, nếu tệp tin có biểu tượng là tệp tin .pdf, .docx, .xlsx, .mp4… nhưng thông tin tại cột Type là Application thì đây là tệp tin giả mạo.
Cách 2: Kiểm tra thuộc tính của tệp tin bằng cách click chuột phải vào tệp tin đó, chọn Properties, tại mục General sẽ hiển thị định danh thật của tệp tin. Ví dụ như hình dưới đây, tệp tin có tên là 1192_BHXH_TT.pdf nhưng hiển thị Type of file: Application (.exe) thì thực chất đây là tệp tin thực thi.
Để tự bảo vệ, xử lý khi bị tấn công giả mạo, Trung tâm CNTT - BHXH Việt Nam khuyến cáo người dùng cần thực hiện các biện pháp:Chỉ tải, chia sẻ các văn bản từ các nguồn bảo đảm, có uy tín; Cài đặt các giải pháp phòng chống mã độc trên các máy trạm, thiết bị thông minh; Kiểm tra kỹ người/nguồn gửi thư điện tử trước khi tải, kiểm tra định dạng tệp tin trước khi mở; Khi phát hiện các dấu hiệu bất thường, nghi ngờ giả mạo, chứa mã độc, thông báo ngay đến các bộ phận hỗ trợ an toàn thông tin như Trung tâm Giám sát an toàn không gian mạng quốc gia (https://khonggianmang.vn).
PV
