Tăng cường an toàn thông tin trong hoạt động của Kiểm toán nhà nước
(sav.gov.vn) - Trước tình hình an ninh mạng diễn biến ngày càng phức tạp với nhiều hình thức tấn công tinh vi, đặt ra những rủi ro nghiêm trọng về mất mát dữ liệu, lộ lọt thông tin và gián đoạn hoạt động của cơ quan, tổ chức. Cục Công nghệ thông tin (CNTT) khuyến cáo cán bộ, công chức, viên chức, người lao động Kiểm toán nhà nước (KTNN) thực hiện nhiều giải pháp nhằm tăng cường an toàn thông tin trong mọi hoạt động.
Tình hình hoạt động tấn công mạng, gián điệp mạng
Các tin tặc tấn công với mục đích thu thập thông tin tình báo, đánh cắp dữ liệu của cơ quan, tổ chức trên không gian mạng. Trước nguy cơ tấn công mạng, gián điệp mạng, nhận thức và ý thức của một bộ phận cán bộ, công chức, viên chức, người lao động về an ninh mạng chưa đầy đủ, các nhóm tin tặc đã lợi dụng để tổ chức các chiến dịch tấn công gián điệp mạng.
Ngoài các cách thức tấn công thông dụng, các nhóm tin tặc sử dụng mã độc nguy hiểm được thiết kế riêng cho từng mục tiêu, ứng dụng trí tuệ nhân tạo (AI) để tấn công, chiếm quyền điều khiển hệ thống thông tin để tấn công leo thang các hệ thống thông tin trọng yếu.
Một số mã độc đã được tin tặc sử dụng bao gồm:
Mã độc Stealer: tin tặc tổ chức phát tán, lây nhiễm nghiêm trọng, trên diện rộng dòng mã độc đánh cắp thông tin, dữ liệu người dùng (Stealer), từ đó, tin tặc kiểm soát và thu thập nhiều tài liệu nội bộ, quan trọng của cơ quan, tổ chức.
Tấn công phá hoại, tống tiền: Mục đích gây ngưng trệ hoạt động điều hành, quản lý của các cơ quan, tổ chức, doanh nghiệp. Một số nhóm tin tặc quốc tế đã tổ chức chiến dịch tấn công mã hóa dữ liệu, đòi tiền chuộc quy mô lớn nhằm vào các cơ quan, tổ chức, doanh nghiệp, gây thiệt hại lớn, nhiều vụ việc đã được đưa lên báo chí, và gây thiệt hại rất lớn về uy tín cũng như tài chính cho đơn vị bị tấn công.
Mua bán thông tin, dữ liệu cá nhân: Năm 2024, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm diễn biến phức tạp, công khai trên các diễn đàn, hội nhóm
(BreachedForums, Telegram, Facebook). Các đối tượng tổ chức thành đường dây quy mô lớn, chuyên nghiệp. Một số trường hợp lợi dụng các diễn đàn để chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc. Ngoài việc tấn công mạng, khai thác lỗ hổng bảo mật, một số đối tượng nội bộ có quyền truy cập vào nhiều nguồn dữ liệu trực tiếp thu thập, mua bán với bên ngoài.
Thông tin thống kê tấn công an ninh mạng tại Việt Nam
Trong bối cảnh chuyển đổi số mạnh mẽ, Việt Nam đã trở thành mục tiêu hàng đầu của các cuộc tấn công an ninh mạng, với số lượng và mức độ tinh vi tăng đáng kể qua các năm. Theo báo cáo của Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các hệ thống tại Việt Nam, tăng 9,5% so với năm 2022, trung bình 1.160 vụ/tháng. Đặc biệt, 3 tháng cuối năm 2023, con số này tăng lên 1.614 vụ/tháng, cao gấp rưỡi mức trung bình cả năm.
Sang năm 2024, Hiệp hội An ninh mạng Quốc gia Việt Nam ước tính 659.000 vụ tấn công mạng nhằm vào các cơ quan, doanh nghiệp, với 46,15% tổ chức báo cáo bị tấn công ít nhất một lần. Các hình thức tấn công phổ biến bao gồm mã độc tống tiền (ransomware), lừa đảo qua email (phishing), và khai thác lỗ hổng bảo mật, gây thiệt hại kinh tế nghiêm trọng, ước tính 18.900 tỷ đồng từ các vụ lừa đảo trực tuyến trong năm 2024.
Dự báo cho năm 2025, các cuộc tấn công được dự đoán sẽ tiếp tục gia tăng, với sự hỗ trợ của trí tuệ nhân tạo (AI) và các công nghệ mới như deepfake, nhằm vào cả hạ tầng trọng yếu và người dùng cuối.
Một số thông tin về tấn công mạng như sau:
Tấn công nhằm vào người dùng cuối
Người dùng cuối tại Việt Nam, bao gồm cá nhân thuộc các tổ chức, doanh nghiệp, là mục tiêu chính của các cuộc tấn công mạng do nhận thức an ninh mạng còn hạn chế và sự phụ thuộc lớn vào thiết bị di động cũng như giao dịch trực tuyến.
Theo thống kê năm 2023, khoảng 32,6% tổng số vụ tấn công khai thác yếu tố con người, chủ yếu thông qua các email lừa đảo chứa mã độc hoặc liên kết giả mạo. Đặc biệt, trong năm 2023, khoảng 745.000 máy tính tại Việt Nam bị nhiễm mã độc đánh cắp thông tin (infostealer), tăng 40% so với năm 2022, nhằm vào tài khoản mạng xã hội, thông tin thanh toán, và dữ liệu nhạy cảm. Các mã độc này thường được phát tán qua email giả mạo hoặc ứng dụng không chính thống, sau đó được bán trên dark web.
Năm 2024, các vụ lừa đảo trực tuyến, như giả mạo ngân hàng, sàn thương mại điện tử, hoặc thông báo trúng thưởng, đã gây thiệt hại 18.900 tỷ đồng, với 35% các vụ tấn công là phishing, theo báo cáo của Cục An ninh mạng và Phòng chống tội phạm công nghệ cao (A05).
Năm 2025, các cuộc tấn công phishing được dự đoán sẽ sử dụng công nghệ AI để tạo ra email hoặc tin nhắn cá nhân hóa với độ chính xác cao, khiến người dùng khó phát hiện. Ngoài ra, deepfake cũng đang trở thành mối đe dọa lớn, với các video hoặc âm thanh giả mạo được sử dụng để lừa đảo tài chính hoặc làm tổn hại danh tiếng cá nhân/tổ chức/doanh nghiệp.
Tấn công vào Thiết bị Di động và IoT
Thiết bị di động và Internet vạn vật (IoT) là mục tiêu ngày càng hấp dẫn đối với tin tặc tại Việt Nam. Năm 2023, các mã độc khai thác lỗ hổng trên thiết bị di động, cả Android và iOS, đã gia tăng, với 300.000 người dùng Android trên toàn cầu tải xuống các ứng dụng chứa Trojan ngân hàng từ các kho ứng dụng, theo Threat Fabric.
Tại Việt Nam, tình trạng này đặc biệt nghiêm trọng do người dùng thường tải ứng dụng từ nguồn không chính thức. Theo báo cáo của hãng bảo mật SonicWall, các cuộc tấn công vào thiết bị IoT tăng 107% trong năm 2024, nhằm vào các thiết bị như camera an ninh, loa thông minh, và Tivi thông minh, vốn thường không được bảo mật mạnh mẽ. Một nghiên cứu của Purplesec cho thấy, một ngôi nhà thông minh trung bình có thể đối mặt với hơn 12.000 cuộc tấn công hacker trong một tuần, và Việt Nam, với sự phổ biến của thiết bị IoT giá rẻ, đang nằm trong nhóm nguy cơ cao.
Dự báo năm 2025, các cuộc tấn công vào thiết bị IoT sẽ tiếp tục gia tăng, đặc biệt nhằm vào các thiết bị y tế thông minh và hệ thống nhà thông minh. Theo Forbes, 646 triệu thiết bị IoT y tế đã được sử dụng trên toàn cầu vào năm 2020, và con số này dự kiến tăng mạnh vào 2025, tạo ra bề mặt tấn công mới cho tin tặc. Tại Việt Nam, các thiết bị IoT không được cập nhật firmware hoặc sử dụng mật khẩu mặc định sẽ là điểm yếu chính, cho phép tin tặc chiếm quyền điều khiển hoặc sử dụng chúng để thực hiện các cuộc tấn công DDoS.
Các cuộc tấn công vào Kiểm toán nhà nước
KTNN tổ chức thực hiện giám sát an toàn thông tin theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016, trong 06 tháng đầu năm 2025, KTNN ghi nhận 987.022 cuộc tấn công liên quan đến scan port và fuzzing, 9.875 cảnh báo bất thường và các cuộc tấn công khác trên hệ thống. Tất cả các cuộc tấn công đều đã được ngăn chặn bởi hệ thống ATTT của KTNN nên không gây ra thiệt hại.
Người dùng của KTNN cũng là mục tiêu tấn công của tin tặc, trong Công văn số 250/CNTT-HTATTT ngày 17/6/2024 của Cục CNTT về việc thực hiện đảm bảo an toàn thông tin của KTNN, Cục CNTT đã cung cấp danh sách 74 người dùng bị rò rỉ thông tin tài khoản và đưa thông tin lên Darkweb, danh sách 32 người dùng bị tấn công chiếm quyền và tự động gửi Email SPAM.
Phương thức, thủ đoạn tấn công mạng, gián điệp mạng
Các nhóm tin tặc, gián điệp mạng nước ngoài sử dụng nhiều phương thức, thủ đoạn mới, tinh vi, nguy hiểm để tấn công có chủ đích vào các hệ thống trọng yếu:
Tấn công phi kỹ thuật (Phishing): Dụ dỗ người dùng mở đường dẫn hoặc tập tin độc hại qua email (Zimbra, Roundcube) hoặc tin nhắn mạo danh tài liệu hội nghị, đề nghị cộng tác, tuyển dụng... để phát tán mã độc hoặc đánh cắp thông tin nhạy cảm.
Thiết kế mã độc mới, dùng riêng (tấn công chủ động):
Thiết kế mã độc mới, dùng riêng cho các cơ quan, tổ chức được nhằm đến.
Sử dụng ứng dụng thông thường để kích hoạt, giải mã và thực thi các tệp tin chứa mã độc hại.
Sử dụng cơ chế tái lây nhiễm mỗi khi hệ thống khởi động lại, khiến phần mềm diệt virus và giải pháp bảo vệ thông thường không phát hiện được. Các mã độc này chỉ được phát hiện qua biện pháp kỹ thuật chuyên biệt và phân tích kỹ phương thức hoạt động của các chuyên gia về an ninh bảo mật.
Khai thác lỗ hổng bảo mật Zero-day: Khai thác lỗ hổng Zero-day (những lỗ hổng chưa được biết đến và khắc phục) trên các ứng dụng, phần mềm phổ biến (Microsoft Office, PDF reader) để đính kèm mã độc vào tập tin văn bản, lây nhiễm vào máy tính khi người dùng mở tập tin.
Tấn công vào các dịch vụ/ứng dụng công cộng: Lợi dụng dịch vụ lưu trữ đám mây (Google Drive, OneDrive), kho lưu trữ phần mềm (PyPI), nền tảng quản lý mã nguồn (Github, Bitbucket) hoặc giả mạo phần mềm hợp pháp (bản cập nhật Java, 7-zip) để lây nhiễm mã độc vào hệ thống mạng của mục tiêu.
Sử dụng nhiều dòng mã độc đồng thời: Sử dụng nhiều dòng mã độc khác nhau để tấn công, xâm nhập, khống chế hệ thống mạng. Các dòng mã độc gián điệp này có cơ chế thông minh, ứng dụng AI để khai thác lỗ hổng hệ thống, xâm nhập sâu, lan rộng, ẩn mình qua các máy chủ phòng chống virus và kết hợp nhiều kịch bản tấn công. Nếu không được phát hiện, bóc gỡ triệt để, chúng sẽ tái kiểm soát toàn bộ mạng.
Mã độc tống tiền (Ransomware): Nhằm vào các mục tiêu tấn công để mã hóa toàn bộ dữ liệu trên máy tính, máy chủ nhằm mục đích tống tiền. Người dùng bị tấn công mã độc Ransomware không chỉ bị tống tiền mà còn bị đánh cắp toàn bộ thông tin trên máy tính, nguy cơ cao bị giao bán dữ liệu cá nhân.
Tấn công khai thác lỗ hổng trên máy chủ quản trị: Khai thác lỗ hổng bảo mật trên các máy chủ có quyền quản trị (máy chủ quản trị miền, máy chủ phòng chống mã độc tập trung) và lợi dụng chính các thiết bị bảo mật này để triển khai các kịch bản tấn công xuống máy trạm, nhằm hạn chế dấu vết và duy trì kiểm soát.
Sử dụng nhiều điểm trung chuyển: Sử dụng nhiều máy chủ, máy trạm trong hệ thống làm các điểm trung chuyển tài liệu và kho mã độc trung gian, kết nối đến mạng lưới máy chủ điều khiển rộng lớn với nhiều máy chủ dự phòng để duy trì tình trạng kiểm soát hệ thống.
Nguyên nhân dẫn đến tình trạng mất an ninh mạng, an toàn thông tin
Chưa tuân thủ quy định về an toàn thông tin: Thực hiện chỉ đạo của Tổng KTNN, KTNN đã có các công văn hướng dẫn yêu cầu cài đặt phần mềm antivirus quản trị tập trung (theo Công văn số 260/CNTT-HTATTT ngày 19/6/2024 của Cục CNTT về việc hướng dẫn cài đặt phần mềm diệt virus Trend Micro Apex One, Công văn nhắc nhở số 333/CNTT-HTATTT ngày 31/7/2024 của Cục CNTT và Công văn số 1216/KTNN-VP ngày 25/9/2024 của KTNN về việc cài đặt phần mềm diệt virus do KTNN trang bị), tuy nhiên hiện nay nhiều đơn vị vẫn chưa cài đặt đầy đủ theo hướng dẫn, một số đơn vị tỷ lệ cài đặt rất thấp.
Nhận thức và ý thức chủ quan: Một bộ phận cán bộ, công chức, viên chức, người lao động còn chủ quan, mất cảnh giác, chưa chấp hành đúng các quy định về an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân.
Sử dụng máy tính sai mục đích: vẫn còn tình trạng cán bộ, công chức, viên chức, người lao động sử dụng máy tính không đúng mục đích; sử dụng máy tính kết nối Internet để soạn thảo, lưu trữ tài liệu BMNN; sử dụng mạng xã hội, các dịch vụ nhắn tin trên Internet để gửi/nhận văn bản, tài liệu mang nội dung nhạy cảm của cơ quan, tổ chức; sử dụng email công cộng trong việc gửi/nhận thông tin liên quan đến công việc; sử dụng tài khoản công vụ với mật khẩu mặc định, mật khẩu yếu, đăng nhập tài khoản tại máy tính công cộng, máy tính lạ,...
Những nội dung cần thực hiện
Để tăng cường an toàn thông tin cho KTNN đặc biệt trong bối cảnh các cuộc tấn công vào người dùng cuối với mức độ, cường độ ngày càng tăng, Cục CNTT đề nghị Thủ trưởng các đơn vị trực thuộc quán triệt tới cán bộ, công chức, viên chức, người lao động thực hiện một số nội dung như sau:
Quán triệt và thực hiện nghiêm các quy định của Đảng, Nhà nước, thông báo, hướng dẫn của Bộ Công an về công tác bảo đảm an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân (ví dụ: Luật An ninh mạng, Luật Bảo vệ bí mật nhà nước, Nghị định số 13/2023/NĐ-CP, Chỉ thị số 01/CT-TTg,…).
Tổ chức rà soát, yêu cầu các cán bộ, công chức, viên chức, người lao động cài đặt đầy đủ phần mềm diệt virus tập trung do KTNN trang bị và thực hiện các nội dung khuyến cáo trong Công văn số 250/CNTT-HTATTT ngày 17/6/2024 về việc thực hiện đảm bảo an toàn thông tin của KTNN.
Nâng cao nhận thức của người dùng, cán bộ, công chức và người lao động về an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân, đảm bảo an toàn trong quá trình quản lý, sử dụng máy tính, tài khoản công vụ.
Phát hiện và xử lý kịp thời các tập thể, cá nhân vi phạm các quy định, quy chế để xảy ra tình trạng mất an ninh mạng, an toàn thông tin, lộ, mất dữ liệu nội bộ, tài liệu BMNN trên môi trường mạng.
Cục CNTT trân trọng đề nghị Thủ trưởng các đơn vị trực thuộc phổ biến, quán triệt tới các công chức, viên chức và người lao động để đảm bảo an toàn, bảo mật thông tin cho người dùng và an toàn thông tin trong hoạt động của KTNN.
Hà Linh
Các tin tặc tấn công với mục đích thu thập thông tin tình báo, đánh cắp dữ liệu của cơ quan, tổ chức trên không gian mạng. Trước nguy cơ tấn công mạng, gián điệp mạng, nhận thức và ý thức của một bộ phận cán bộ, công chức, viên chức, người lao động về an ninh mạng chưa đầy đủ, các nhóm tin tặc đã lợi dụng để tổ chức các chiến dịch tấn công gián điệp mạng.
Ngoài các cách thức tấn công thông dụng, các nhóm tin tặc sử dụng mã độc nguy hiểm được thiết kế riêng cho từng mục tiêu, ứng dụng trí tuệ nhân tạo (AI) để tấn công, chiếm quyền điều khiển hệ thống thông tin để tấn công leo thang các hệ thống thông tin trọng yếu.
Một số mã độc đã được tin tặc sử dụng bao gồm:
Mã độc Stealer: tin tặc tổ chức phát tán, lây nhiễm nghiêm trọng, trên diện rộng dòng mã độc đánh cắp thông tin, dữ liệu người dùng (Stealer), từ đó, tin tặc kiểm soát và thu thập nhiều tài liệu nội bộ, quan trọng của cơ quan, tổ chức.
Tấn công phá hoại, tống tiền: Mục đích gây ngưng trệ hoạt động điều hành, quản lý của các cơ quan, tổ chức, doanh nghiệp. Một số nhóm tin tặc quốc tế đã tổ chức chiến dịch tấn công mã hóa dữ liệu, đòi tiền chuộc quy mô lớn nhằm vào các cơ quan, tổ chức, doanh nghiệp, gây thiệt hại lớn, nhiều vụ việc đã được đưa lên báo chí, và gây thiệt hại rất lớn về uy tín cũng như tài chính cho đơn vị bị tấn công.
Mua bán thông tin, dữ liệu cá nhân: Năm 2024, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm diễn biến phức tạp, công khai trên các diễn đàn, hội nhóm
(BreachedForums, Telegram, Facebook). Các đối tượng tổ chức thành đường dây quy mô lớn, chuyên nghiệp. Một số trường hợp lợi dụng các diễn đàn để chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc. Ngoài việc tấn công mạng, khai thác lỗ hổng bảo mật, một số đối tượng nội bộ có quyền truy cập vào nhiều nguồn dữ liệu trực tiếp thu thập, mua bán với bên ngoài.
Thông tin thống kê tấn công an ninh mạng tại Việt Nam
Trong bối cảnh chuyển đổi số mạnh mẽ, Việt Nam đã trở thành mục tiêu hàng đầu của các cuộc tấn công an ninh mạng, với số lượng và mức độ tinh vi tăng đáng kể qua các năm. Theo báo cáo của Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), năm 2023 ghi nhận 13.900 vụ tấn công mạng vào các hệ thống tại Việt Nam, tăng 9,5% so với năm 2022, trung bình 1.160 vụ/tháng. Đặc biệt, 3 tháng cuối năm 2023, con số này tăng lên 1.614 vụ/tháng, cao gấp rưỡi mức trung bình cả năm.
Sang năm 2024, Hiệp hội An ninh mạng Quốc gia Việt Nam ước tính 659.000 vụ tấn công mạng nhằm vào các cơ quan, doanh nghiệp, với 46,15% tổ chức báo cáo bị tấn công ít nhất một lần. Các hình thức tấn công phổ biến bao gồm mã độc tống tiền (ransomware), lừa đảo qua email (phishing), và khai thác lỗ hổng bảo mật, gây thiệt hại kinh tế nghiêm trọng, ước tính 18.900 tỷ đồng từ các vụ lừa đảo trực tuyến trong năm 2024.
Dự báo cho năm 2025, các cuộc tấn công được dự đoán sẽ tiếp tục gia tăng, với sự hỗ trợ của trí tuệ nhân tạo (AI) và các công nghệ mới như deepfake, nhằm vào cả hạ tầng trọng yếu và người dùng cuối.
Một số thông tin về tấn công mạng như sau:
Tấn công nhằm vào người dùng cuối
Người dùng cuối tại Việt Nam, bao gồm cá nhân thuộc các tổ chức, doanh nghiệp, là mục tiêu chính của các cuộc tấn công mạng do nhận thức an ninh mạng còn hạn chế và sự phụ thuộc lớn vào thiết bị di động cũng như giao dịch trực tuyến.
Theo thống kê năm 2023, khoảng 32,6% tổng số vụ tấn công khai thác yếu tố con người, chủ yếu thông qua các email lừa đảo chứa mã độc hoặc liên kết giả mạo. Đặc biệt, trong năm 2023, khoảng 745.000 máy tính tại Việt Nam bị nhiễm mã độc đánh cắp thông tin (infostealer), tăng 40% so với năm 2022, nhằm vào tài khoản mạng xã hội, thông tin thanh toán, và dữ liệu nhạy cảm. Các mã độc này thường được phát tán qua email giả mạo hoặc ứng dụng không chính thống, sau đó được bán trên dark web.
Năm 2024, các vụ lừa đảo trực tuyến, như giả mạo ngân hàng, sàn thương mại điện tử, hoặc thông báo trúng thưởng, đã gây thiệt hại 18.900 tỷ đồng, với 35% các vụ tấn công là phishing, theo báo cáo của Cục An ninh mạng và Phòng chống tội phạm công nghệ cao (A05).
Năm 2025, các cuộc tấn công phishing được dự đoán sẽ sử dụng công nghệ AI để tạo ra email hoặc tin nhắn cá nhân hóa với độ chính xác cao, khiến người dùng khó phát hiện. Ngoài ra, deepfake cũng đang trở thành mối đe dọa lớn, với các video hoặc âm thanh giả mạo được sử dụng để lừa đảo tài chính hoặc làm tổn hại danh tiếng cá nhân/tổ chức/doanh nghiệp.
Tấn công vào Thiết bị Di động và IoT
Thiết bị di động và Internet vạn vật (IoT) là mục tiêu ngày càng hấp dẫn đối với tin tặc tại Việt Nam. Năm 2023, các mã độc khai thác lỗ hổng trên thiết bị di động, cả Android và iOS, đã gia tăng, với 300.000 người dùng Android trên toàn cầu tải xuống các ứng dụng chứa Trojan ngân hàng từ các kho ứng dụng, theo Threat Fabric.
Tại Việt Nam, tình trạng này đặc biệt nghiêm trọng do người dùng thường tải ứng dụng từ nguồn không chính thức. Theo báo cáo của hãng bảo mật SonicWall, các cuộc tấn công vào thiết bị IoT tăng 107% trong năm 2024, nhằm vào các thiết bị như camera an ninh, loa thông minh, và Tivi thông minh, vốn thường không được bảo mật mạnh mẽ. Một nghiên cứu của Purplesec cho thấy, một ngôi nhà thông minh trung bình có thể đối mặt với hơn 12.000 cuộc tấn công hacker trong một tuần, và Việt Nam, với sự phổ biến của thiết bị IoT giá rẻ, đang nằm trong nhóm nguy cơ cao.
Dự báo năm 2025, các cuộc tấn công vào thiết bị IoT sẽ tiếp tục gia tăng, đặc biệt nhằm vào các thiết bị y tế thông minh và hệ thống nhà thông minh. Theo Forbes, 646 triệu thiết bị IoT y tế đã được sử dụng trên toàn cầu vào năm 2020, và con số này dự kiến tăng mạnh vào 2025, tạo ra bề mặt tấn công mới cho tin tặc. Tại Việt Nam, các thiết bị IoT không được cập nhật firmware hoặc sử dụng mật khẩu mặc định sẽ là điểm yếu chính, cho phép tin tặc chiếm quyền điều khiển hoặc sử dụng chúng để thực hiện các cuộc tấn công DDoS.
Các cuộc tấn công vào Kiểm toán nhà nước
KTNN tổ chức thực hiện giám sát an toàn thông tin theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016, trong 06 tháng đầu năm 2025, KTNN ghi nhận 987.022 cuộc tấn công liên quan đến scan port và fuzzing, 9.875 cảnh báo bất thường và các cuộc tấn công khác trên hệ thống. Tất cả các cuộc tấn công đều đã được ngăn chặn bởi hệ thống ATTT của KTNN nên không gây ra thiệt hại.
Người dùng của KTNN cũng là mục tiêu tấn công của tin tặc, trong Công văn số 250/CNTT-HTATTT ngày 17/6/2024 của Cục CNTT về việc thực hiện đảm bảo an toàn thông tin của KTNN, Cục CNTT đã cung cấp danh sách 74 người dùng bị rò rỉ thông tin tài khoản và đưa thông tin lên Darkweb, danh sách 32 người dùng bị tấn công chiếm quyền và tự động gửi Email SPAM.
Phương thức, thủ đoạn tấn công mạng, gián điệp mạng
Các nhóm tin tặc, gián điệp mạng nước ngoài sử dụng nhiều phương thức, thủ đoạn mới, tinh vi, nguy hiểm để tấn công có chủ đích vào các hệ thống trọng yếu:
Tấn công phi kỹ thuật (Phishing): Dụ dỗ người dùng mở đường dẫn hoặc tập tin độc hại qua email (Zimbra, Roundcube) hoặc tin nhắn mạo danh tài liệu hội nghị, đề nghị cộng tác, tuyển dụng... để phát tán mã độc hoặc đánh cắp thông tin nhạy cảm.
Thiết kế mã độc mới, dùng riêng (tấn công chủ động):
Thiết kế mã độc mới, dùng riêng cho các cơ quan, tổ chức được nhằm đến.
Sử dụng ứng dụng thông thường để kích hoạt, giải mã và thực thi các tệp tin chứa mã độc hại.
Sử dụng cơ chế tái lây nhiễm mỗi khi hệ thống khởi động lại, khiến phần mềm diệt virus và giải pháp bảo vệ thông thường không phát hiện được. Các mã độc này chỉ được phát hiện qua biện pháp kỹ thuật chuyên biệt và phân tích kỹ phương thức hoạt động của các chuyên gia về an ninh bảo mật.
Khai thác lỗ hổng bảo mật Zero-day: Khai thác lỗ hổng Zero-day (những lỗ hổng chưa được biết đến và khắc phục) trên các ứng dụng, phần mềm phổ biến (Microsoft Office, PDF reader) để đính kèm mã độc vào tập tin văn bản, lây nhiễm vào máy tính khi người dùng mở tập tin.
Tấn công vào các dịch vụ/ứng dụng công cộng: Lợi dụng dịch vụ lưu trữ đám mây (Google Drive, OneDrive), kho lưu trữ phần mềm (PyPI), nền tảng quản lý mã nguồn (Github, Bitbucket) hoặc giả mạo phần mềm hợp pháp (bản cập nhật Java, 7-zip) để lây nhiễm mã độc vào hệ thống mạng của mục tiêu.
Sử dụng nhiều dòng mã độc đồng thời: Sử dụng nhiều dòng mã độc khác nhau để tấn công, xâm nhập, khống chế hệ thống mạng. Các dòng mã độc gián điệp này có cơ chế thông minh, ứng dụng AI để khai thác lỗ hổng hệ thống, xâm nhập sâu, lan rộng, ẩn mình qua các máy chủ phòng chống virus và kết hợp nhiều kịch bản tấn công. Nếu không được phát hiện, bóc gỡ triệt để, chúng sẽ tái kiểm soát toàn bộ mạng.
Mã độc tống tiền (Ransomware): Nhằm vào các mục tiêu tấn công để mã hóa toàn bộ dữ liệu trên máy tính, máy chủ nhằm mục đích tống tiền. Người dùng bị tấn công mã độc Ransomware không chỉ bị tống tiền mà còn bị đánh cắp toàn bộ thông tin trên máy tính, nguy cơ cao bị giao bán dữ liệu cá nhân.
Tấn công khai thác lỗ hổng trên máy chủ quản trị: Khai thác lỗ hổng bảo mật trên các máy chủ có quyền quản trị (máy chủ quản trị miền, máy chủ phòng chống mã độc tập trung) và lợi dụng chính các thiết bị bảo mật này để triển khai các kịch bản tấn công xuống máy trạm, nhằm hạn chế dấu vết và duy trì kiểm soát.
Sử dụng nhiều điểm trung chuyển: Sử dụng nhiều máy chủ, máy trạm trong hệ thống làm các điểm trung chuyển tài liệu và kho mã độc trung gian, kết nối đến mạng lưới máy chủ điều khiển rộng lớn với nhiều máy chủ dự phòng để duy trì tình trạng kiểm soát hệ thống.
Nguyên nhân dẫn đến tình trạng mất an ninh mạng, an toàn thông tin
Chưa tuân thủ quy định về an toàn thông tin: Thực hiện chỉ đạo của Tổng KTNN, KTNN đã có các công văn hướng dẫn yêu cầu cài đặt phần mềm antivirus quản trị tập trung (theo Công văn số 260/CNTT-HTATTT ngày 19/6/2024 của Cục CNTT về việc hướng dẫn cài đặt phần mềm diệt virus Trend Micro Apex One, Công văn nhắc nhở số 333/CNTT-HTATTT ngày 31/7/2024 của Cục CNTT và Công văn số 1216/KTNN-VP ngày 25/9/2024 của KTNN về việc cài đặt phần mềm diệt virus do KTNN trang bị), tuy nhiên hiện nay nhiều đơn vị vẫn chưa cài đặt đầy đủ theo hướng dẫn, một số đơn vị tỷ lệ cài đặt rất thấp.
Nhận thức và ý thức chủ quan: Một bộ phận cán bộ, công chức, viên chức, người lao động còn chủ quan, mất cảnh giác, chưa chấp hành đúng các quy định về an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân.
Sử dụng máy tính sai mục đích: vẫn còn tình trạng cán bộ, công chức, viên chức, người lao động sử dụng máy tính không đúng mục đích; sử dụng máy tính kết nối Internet để soạn thảo, lưu trữ tài liệu BMNN; sử dụng mạng xã hội, các dịch vụ nhắn tin trên Internet để gửi/nhận văn bản, tài liệu mang nội dung nhạy cảm của cơ quan, tổ chức; sử dụng email công cộng trong việc gửi/nhận thông tin liên quan đến công việc; sử dụng tài khoản công vụ với mật khẩu mặc định, mật khẩu yếu, đăng nhập tài khoản tại máy tính công cộng, máy tính lạ,...
Những nội dung cần thực hiện
Để tăng cường an toàn thông tin cho KTNN đặc biệt trong bối cảnh các cuộc tấn công vào người dùng cuối với mức độ, cường độ ngày càng tăng, Cục CNTT đề nghị Thủ trưởng các đơn vị trực thuộc quán triệt tới cán bộ, công chức, viên chức, người lao động thực hiện một số nội dung như sau:
Quán triệt và thực hiện nghiêm các quy định của Đảng, Nhà nước, thông báo, hướng dẫn của Bộ Công an về công tác bảo đảm an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân (ví dụ: Luật An ninh mạng, Luật Bảo vệ bí mật nhà nước, Nghị định số 13/2023/NĐ-CP, Chỉ thị số 01/CT-TTg,…).
Tổ chức rà soát, yêu cầu các cán bộ, công chức, viên chức, người lao động cài đặt đầy đủ phần mềm diệt virus tập trung do KTNN trang bị và thực hiện các nội dung khuyến cáo trong Công văn số 250/CNTT-HTATTT ngày 17/6/2024 về việc thực hiện đảm bảo an toàn thông tin của KTNN.
Nâng cao nhận thức của người dùng, cán bộ, công chức và người lao động về an ninh mạng, bảo vệ BMNN, bảo vệ dữ liệu cá nhân, đảm bảo an toàn trong quá trình quản lý, sử dụng máy tính, tài khoản công vụ.
Phát hiện và xử lý kịp thời các tập thể, cá nhân vi phạm các quy định, quy chế để xảy ra tình trạng mất an ninh mạng, an toàn thông tin, lộ, mất dữ liệu nội bộ, tài liệu BMNN trên môi trường mạng.
Cục CNTT trân trọng đề nghị Thủ trưởng các đơn vị trực thuộc phổ biến, quán triệt tới các công chức, viên chức và người lao động để đảm bảo an toàn, bảo mật thông tin cho người dùng và an toàn thông tin trong hoạt động của KTNN.
Hà Linh
