Thời báo VTV đưa tin, Công an TP Hà Nội cho biết, lợi dụng hoạt động lấy ý kiến góp ý dự thảo các văn kiện trình Đại hội đại biểu toàn quốc lần thứ XIV của Đảng, các đối tượng xấu đã cài cắm phần mềm có mã độc nhằm thực hiện các hoạt động phá hoại, đánh cắp dữ liệu thông tin.
Qua công tác nắm tình hình, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội phát hiện mã độc Valley RAT liên kết đến địa chỉ máy chủ điều khiển (C2): 27.124.9.13, port 5689, được ẩn giấu trong tệp có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”.
Các đối tượng lợi dụng hoạt động lấy ý kiến dự thảo các văn kiện trình Đại hội để lừa người dùng cài đặt, thực hiện các hành vi nguy hiểm như đánh cắp thông tin nhạy cảm, chiếm đoạt tài khoản cá nhân, đánh cắp tài liệu, phát tán mã độc sang các máy tính khác.
Kết quả phân tích cho thấy mã độc sau khi được cài vào máy tính người dùng sẽ tự động thực thi mỗi khi khởi động máy, kết nối đến máy chủ điều khiển từ xa do tin tặc chiếm giữ, từ đó tiếp tục thực hiện các hành vi nguy hiểm nói trên. Lực lượng chức năng mở rộng rà soát, phát hiện các tập tin mã độc khác có kết nối đến máy chủ C2 mà tin tặc đã phát tán trong thời gian gần đây:
(1) BÁO CÁO TÀI CHÍNH2.exe hoặc THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe
(2) CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe
(3) HỖ TRỢ KÊ KHAI THUẾ.exe
(4) CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe hoặc MẪU GIẤY ỦY QUYỀN.exe
(5) BIÊN BẢN BÁO CÁO QUÝ III.exe
Một mã độc ẩn danh dưới tập tin “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.rar” được phát tán trên môi trường mạng. Ảnh: Công an Nhân dân
Theo Báo Tin tức và Dân tộc, qua phân tích kỹ thuật, Công an TP Hà Nội đánh giá Valley RAT đặc biệt nguy hiểm vì sở hữu các đặc điểm khiến nó trở thành mối đe dọa lớn: Ẩn mình trong hệ thống, tự khởi động cùng Windows; Cho phép tin tặc điều khiển thiết bị từ xa; Có khả năng tải thêm mã độc khác; Tự động thu thập dữ liệu nhạy cảm và gửi về máy chủ điều khiển; Có thể ghi lại phím bấm, chụp màn hình, đánh cắp mật khẩu lưu trong trình duyệt; Dễ dàng lây lan trong hệ thống mạng nội bộ...
Nhiều cơ quan, tổ chức sử dụng email nội bộ hoặc Zalo, Facebook Messenger để trao đổi tài liệu, vô tình tạo môi trường thuận lợi cho mã độc phát tán nếu chỉ một máy trong hệ thống bị nhiễm.
Để đảm bảo an toàn thông tin, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội đưa ra các khuyến nghị cụ thể:
- Không mở, không tải các tệp lạ, tệp .exe từ email hoặc mạng xã hội, đặc biệt cảnh giác với các tệp có đuôi: .exe;.dll; .bat; .msi... Kể cả khi tệp được gửi từ người quen (tài khoản có thể đã bị chiếm đoạt).
- Rà soát toàn bộ thiết bị và hệ thống. Khi phát hiện dấu hiệu bất thường, người dùng cần ngay lập tức ngắt kết nối Internet; Không tiếp tục sử dụng thiết bị; Báo cáo cho cơ quan chức năng hoặc Trung tâm An ninh mạng quốc gia (NCSC).
- Quét hệ thống bằng phần mềm bảo mật uy tín. Các tổ chức và cá nhân cần chủ động cài đặt các phần mềm diệt virut và phòng chống mã độc như: Avast (free); AVG (free); Bitdefender (free); Windows Defender (bản cập nhật mới nhất). Đáng chú ý, Công an Hà Nội lưu ý về phần mềm diệt virus Kaspersky miễn phí hiện chưa phát hiện được loại mã độc này.
- Rà quét thủ công để phát hiện dấu hiệu tấn công. Bên cạnh việc dùng các phần mềm diệt virut và tường lửa, người dân cần dùng Process Explorer để xem tiến trình lạ không có chữ ký số; Dùng TCPView để kiểm tra kết nối; nếu thấy kết nối đến IP 27.124.9.13, cần xử lý ngay.
- Quản trị viên hệ thống cần lập tức chặn IP độc hại. Người dùng cần thiết lập cấu hình tường lửa (firewall) block toàn bộ truy cập đến IP 27.124.9.13 để ngăn mã độc kết nối với máy chủ điều khiển.
- Tăng cường cảnh báo nội bộ. Các đơn vị cần thông báo ngay cho cán bộ, nhân viên tuyệt đối không mở tài liệu “gửi kèm” liên quan đến việc góp ý văn kiện nếu không xác minh được nguồn gửi.
- Người dân cần tiếp nhận thông tin cảnh báo chính thống, theo dõi các khuyến cáo từ: Bộ Công an; Bộ Thông tin và Truyền thông; Công an địa phương; Không chia sẻ các tệp nghi ngờ lên mạng xã hội để tránh gây lây lan; Tăng cường cảnh giác để bảo vệ an ninh mạng quốc gia.
