Đây là thủ đoạn lợi dụng chính môi trường sinh hoạt chính trị rộng rãi của nhân dân để phát tán mã độc, đánh cắp thông tin và gây nguy cơ mất an toàn hệ thống thông tin của cơ quan, tổ chức và từng cá nhân.
Mã độc Valley RAT giả danh “Dự thảo Nghị quyết Đại hội”
Theo Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an TP Hà Nội), mã độc Valley RAT được ngụy trang trong tệp có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”. Khi người dùng mở tệp, mã độc lập tức âm thầm cài vào hệ thống, tự chạy mỗi khi khởi động máy và kết nối đến máy chủ điều khiển (C2) tại địa chỉ 27.124.9.13 (port 5689) do tin tặc kiểm soát.
Lợi dụng hoạt động lấy ý kiến góp ý dự thảo các văn kiện trình Đại hội đại biểu toàn quốc lần thứ XIV của Đảng, các đối tượng xấu đã cài cắm phần mềm có mã độc nhằm thực hiện các hoạt động phá hoại, đánh cắp dữ liệu thông tin.
Từ đây, mã độc có thể thực hiện các hành vi nguy hiểm: Đánh cắp thông tin nhạy cảm trong máy người dùng; Chiếm quyền điều khiển máy tính; Lấy cắp tài khoản cá nhân, tài khoản cơ quan; Thu thập tài liệu nội bộ; Phát tán tiếp mã độc sang thiết bị khác trong cùng hệ thống.
Yếu tố nguy hiểm là giao diện tệp được ngụy trang giống như một tài liệu hành chính thật, khiến người dùng rất dễ nhầm lẫn, đặc biệt trong bối cảnh nhiều đơn vị đang gửi và nhận tài liệu để góp ý văn kiện.
Thêm nhiều tệp mã độc mới liên quan được phát hiện
Qua mở rộng rà quét, lực lượng chức năng phát hiện thêm nhiều tệp độc hại có cấu trúc tương tự, nhìn bề ngoài giống văn bản hành chính quen thuộc: BÁO CÁO TÀI CHÍNH2.exe hoặc THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe; CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe; HỖ TRỢ KÊ KHAI THUẾ.exe; CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe hoặc MẪU GIẤY ỦY QUYỀN.exe; BIÊN BẢN BÁO CÁO QUÝ III.exe
Các tệp này được đặt tên theo đúng đặc thù công việc văn phòng, tài chính, Đảng vụ, thuế... làm tăng khả năng người dùng tưởng là tài liệu nội bộ và mở ra, tạo điều kiện cho mã độc lây lan.
Qua phân tích kỹ thuật, Công an TP Hà Nội đánh giá Valley RAT đặc biệt nguy hiểm vì sở hữu các đặc điểm khiến nó trở thành mối đe dọa lớn: Ẩn mình trong hệ thống, tự khởi động cùng Windows; Cho phép tin tặc điều khiển thiết bị từ xa; Có khả năng tải thêm mã độc khác; Tự động thu thập dữ liệu nhạy cảm và gửi về máy chủ điều khiển; Có thể ghi lại phím bấm, chụp màn hình, đánh cắp mật khẩu lưu trong trình duyệt; Dễ dàng lây lan trong hệ thống mạng nội bộ...
Nhiều cơ quan, tổ chức sử dụng email nội bộ hoặc Zalo, Facebook Messenger để trao đổi tài liệu, vô tình tạo môi trường thuận lợi cho mã độc phát tán nếu chỉ một máy trong hệ thống bị nhiễm. Để đảm bảo an toàn thông tin, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội đưa ra các khuyến nghị cụ thể:
Không mở, không tải các tệp lạ, tệp .exe từ email hoặc mạng xã hội, đặc biệt cảnh giác với các tệp có đuôi: .exe;.dll; .bat; .msi... Kể cả khi tệp được gửi từ người quen (tài khoản có thể đã bị chiếm đoạt).
Rà soát toàn bộ thiết bị và hệ thống. Khi phát hiện dấu hiệu bất thường, người dùng cần ngay lập tức ngắt kết nối Internet; Không tiếp tục sử dụng thiết bị; Báo cáo cho cơ quan chức năng hoặc Trung tâm An ninh mạng quốc gia (NCSC).
Quét hệ thống bằng phần mềm bảo mật uy tín. Các tổ chức và cá nhân cần chủ động cài đặt các phần mềm diệt virut và phòng chống mã độc như: Avast (free); AVG (free); Bitdefender (free); Windows Defender (bản cập nhật mới nhất). Đáng chú ý, Công an Hà Nội lưu ý về phần mềm diệt virus Kaspersky miễn phí hiện chưa phát hiện được loại mã độc này.
Rà quét thủ công để phát hiện dấu hiệu tấn công. Bên cạnh việc dùng các phần mềm diệt virut và tường lửa, người dân cần dùng Process Explorer để xem tiến trình lạ không có chữ ký số; Dùng TCPView để kiểm tra kết nối; nếu thấy kết nối đến IP 27.124.9.13, cần xử lý ngay.
Quản trị viên hệ thống cần lập tức chặn IP độc hại. Người dùng cần thiết lập cấu hình tường lửa (firewall) block toàn bộ truy cập đến IP 27.124.9.13 để ngăn mã độc kết nối với máy chủ điều khiển.
Tăng cường cảnh báo nội bộ. Các đơn vị cần thông báo ngay cho cán bộ, nhân viên tuyệt đối không mở tài liệu “gửi kèm” liên quan đến việc góp ý văn kiện nếu không xác minh được nguồn gửi.
Người dân cần tiếp nhận thông tin cảnh báo chính thống, theo dõi các khuyến cáo từ: Bộ Công an; Bộ Thông tin và Truyền thông; Công an địa phương; Không chia sẻ các tệp nghi ngờ lên mạng xã hội để tránh gây lây lan; Tăng cường cảnh giác để bảo vệ an ninh mạng quốc gia
Việc mã độc Valley RAT xuất hiện đúng thời điểm diễn ra hoạt động góp ý dự thảo văn kiện Đại hội XIV của Đảng cho thấy các đối tượng tấn công mạng đang khai thác triệt để tâm lý tin tưởng của người dùng đối với tài liệu chính trị, hành chính.
An toàn thông tin không chỉ là trách nhiệm của các cơ quan chuyên môn, mà là nhiệm vụ của từng cá nhân sử dụng thiết bị số. Nhận diện đúng, hành động nhanh, báo cáo kịp thời sẽ góp phần quan trọng vào bảo vệ hệ thống thông tin quốc gia và giữ vững an ninh trên không gian mạng.