APT Attack là tấn công có định hướng mục tiêu vào hệ thống mạng, ứng dụng hoặc các máy chủ dữ liệu. Khác với tấn công đại trà tập trung vào các máy tính cá nhân được bảo vệ kém nhất, tấn công chủ đích tìm kiếm cơ hội xâm nhập hệ thống lớn bất kể mức độ bảo vệ.
1. APT Attack là gì?
APT là Advanced Persistent Threat, một thuật ngữ dùng để mô tả một cuộc tấn công có chủ đích. Trong đó, kẻ tấn công sẽ thiết lập một sự hiện diện bất hợp pháp và lâu dài trên mạng để nhằm mục đích khai thác những dữ liệu rất nhạy cảm. Tấn công APT thường nhắm tới các công ty, tổ chức kể cả nhà nước với động cơ phá hoại hoặc đánh cắp thông tin. Quy trình tấn công này đòi hỏi trình độ cao từ kẻ tấn công và được thực hiện trong một thời gian dài.
Kẻ tấn công thường có động cơ rất rõ ràng, các tổ chức bị tấn công hầu hết đã được lựa chọn và nghiên cứu rất kỹ lưỡng. Hậu quả của những cuộc xâm nhập như vậy là rất lớn:
- Đánh cắp tài sản sở hữu trí tuệ, điển hình như các bí mật thương mại hay bằng sáng chế.
- Các thông tin nhạy cảm quan trọng, ví dụ như các dữ liệu của khách hàng, nhân viên hoặc người dùng.
- Phá hoại cơ sở hạ tầng quan trọng, ví dụ như máy chủ quản trị hay cơ sở dữ liệu.
- Tấn công chiếm quyền của các hệ thống webapp.
2. Các giai đoạn của một cuộc tấn công APT
2.1 Xâm nhập hệ thống
Các hệ thống thường bị xâm nhập thông qua các con đường như bảo mật hệ thống chưa tốt hoặc do sự bất cẩn của nhân viên. Khi bắt đầu, kẻ tấn công thường sẽ tải lên các tệp tin độc hại thông qua các lỗ hổng bằng kỹ thuật tấn công lừa đảo. Bên cạnh đó, kẻ tấn công có thể thực hiện đồng thời các cuộc tấn công DDOS gây rắc rối cho đội ngũ quản trị viên.
Sau khi chiếm được quyền truy cập, những kẻ tấn công nhanh chóng cài đặt phần mềm độc hại backdoor shell cho phép truy cập mạng và điều khiển tấn công ngầm từ xa. Backdoor cũng có thể xuất hiện dưới dạng Trojans được che dấu như những phần mềm hợp pháp.
2.2 Mở rộng phạm vi tấn công
Sau khi nắm chắc quyền điều khiển trong hệ thống mạng mục tiêu, kẻ tấn công chuyển sang mở rộng quyền kiểm soát của họ trong hệ thống mạng mục tiêu.
Kẻ tấn công sẽ thực hiện rà quét các hệ thống khác trong mạng mục tiêu, thu thập thông tin của các nhân viên, thực hiện phát tán các mã độc để chiếm quyền truy cập vào các dữ liệu nhạy cảm nhất.
Bằng cách này, kẻ tấn công có thể thu thập các thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ liệu nhân viên và hồ sơ tài chính.
2.3 Khai thác thông tin
Trong khi tấn công APT đang diễn ra, thông tin bị đánh cắp thường được lưu trữ ở một vị trí an toàn bên trong hệ thống mạng bị tấn công. Khi đã thu thập đủ dữ liệu, kẻ tấn công sẽ trích xuất chúng mà không để bị phát hiện.
Thông thường, trước khi tấn công APT, kẻ tấn công sẽ thực hiện các chiến thuật khác nhằm gây ra các nhiễu loạn trong hệ thống an ninh mạng để đánh lạc hướng nhóm bảo mật của doanh nghiệp, từ đó nhiều thông tin quan trọng khác sẽ dễ dàng bị lấy cắp ra ngoài. Những tấn công đó có thể là một cuộc tấn công DDOS, làm suy yếu hệ thống phòng thủ trang web, tạo điều kiện khai thác thông tin quan trọng.
2.4 Gây áp lực và đưa ra các yêu sách
Sau khi chiếm được quyền quản trị hệ thống hoặc thu thập được những dữ liệu quan trọng và nhạy cảm, kẻ tấn công sẽ đưa ra các yêu sách cho các đơn vị bị tấn công để đòi hỏi quyền lợi bất hợp pháp. Các áp lực và yêu sách thường được kẻ tấn công đưa ra như:
- Tống tiền người bị tấn công
- Bán các dữ liệu cho đối thủ cạnh tranh
- Sử dụng thông tin đánh cắp để sử dụng vào mục đích bất hợp pháp
3. Các giải pháp phòng chống tấn công APT
Các tổ chức phải thường xuyên nâng cấp bảo mật hệ thống, đối với các tổ chức lớn họ thường treo thưởng cho các chuyên gia phát hiện lỗ hổng bảo mật trên hệ thống của họ.
- Người dùng cần thường xuyên kiểm tra các phần mềm đang cài đặt trên máy, loại bỏ các phần mềm lậu crack, không có bản quyền.
- Nâng cấp phiên bản phần mềm liên tục, vá phần mềm mạng và lỗ hổng hệ điều hành càng nhanh càng tốt.
- Mã hóa các kết nối từ xa nhằm ngăn chặn những kẻ xâm nhập lợi dụng chúng để xâm nhập vào webapp.
- Không bấm vào các liên kết không an toàn, để ngăn chặn các cuộc tấn công spam và lừa đảo nhắm mục tiêu vào mạng của bạn.
- Ghi nhật ký các sự kiện bảo mật để giúp cải thiện danh sách và các chính sách bảo mật khác.
- Nâng cao trình độ công nghệ của nhân viên, tránh trường hợp bị khai thác thông tin.