Theo BKAV, những dữ liệu bị đánh cắp trong chiến dịch APT nhằm vào các máy tính không có kết nối Internet tại Việt Nam mới được phát hiện mới đây bao gồm các file .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf.
Theo đó, khi được thực thi trên máy không có kết nối Internet, mã độc APT sẽ thực hiện việc đánh cắp dữ liệu bằng cách sao chép tất cả dữ liệu vào 1 thư mục giả mạo thùng rác của hệ thống trong USB. Để lây lan sang máy khác, mã độc tạo 1 shortcut giả mạo kèm mã thực thi để đánh lừa người dùng nhấn vào. Bằng cách này, khi người dùng cắm USB vào máy không có Internet và nhấn vào shortcut, mã độc sẽ được thực thi và đánh cắp tất cả dữ liệu, giấu vào USB.
Sau đó, khi USB được thực thi trên máy có kết nối Internet khác, mã độc sẽ gửi toàn bộ dữ liệu đánh cắp được về Server. Ngoài ra mã độc cũng có chức năng nhận lệnh và thực thi các lệnh nhận được từ Server và đánh cắp các thông tin khác liên quan tới máy của nạn nhân như tên máy, cấu hình máy…
Thực tế hiện nay, nhiều người dùng vẫn cho rằng, máy tính không kết nối Internet sẽ không bị tấn công. Tuy nhiên, điều này là hoàn toàn sai lầm. Thông qua những "cầu nối" như USB và các thiết bị phần cứng sao chép dữ liệu khác, các loại mã độc vẫn có thể xâm nhập vào các máy tính nội bộ và thực hiện tấn công, đánh cắp dữ liệu như thông thường.
Theo BKAV, để tránh bị tấn công đánh cắp dữ liệu bởi mã độc này, người dùng là các cơ quan, tổ chức, cá nhân cần nâng cao cảnh giác khi sử dụng các thiết bị ngoại vi để sao chép dữ liệu giữa các máy tính, có thể đưa ra chính sách không sử dụng USB nếu cần thiết; Luôn bật chế độ hiện file ẩn và kiểm tra shortcut trong USB trước khi nhấn vào, phương pháp giả mạo shortcut trong USB này cũng được rất nhiều dòng mã độc khác sử dụng; Sử dụng các giải pháp, phần mềm an ninh mạng để bảo vệ máy tính và hệ thống máy tính khỏi những mối nguy hại mà người dùng khó phát hiện thấy.
APT là tên viết tắt của Advanced Persistent Threat - thuật ngữ rộng dùng để mô tả một chiến dịch tấn công, thường do một nhóm các kẻ tấn công, sử dụng những kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao.
Mục tiêu chính của những vụ tấn công này, thường được lựa chọn và nghiên cứu cẩn thận. Chúng thường bao gồm các doanh nghiệp lớn, các tổ chức an ninh và cơ quan chính phủ. Hậu quả của các cuộc tấn công này rất lớn bao gồm: Bị đánh cắp tài sản trí tuệ (ví dụ: bí mật thương mại hoặc bằng sáng chế…); Thông tin nhạy cảm bị xâm nhập (ví dụ: dữ liệu các nhân và nhân viên…); Cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (ví dụ: cơ sở dữ liệu, máy chủ quản trị…); Chiếm đoạt toàn bộ tên miền của tổ chức...
Nguyên Đỗ
