Cảnh báo tấn công APT của Trung Quốc vào các tổ chức Liên minh Châu Âu
Các cơ quan an ninh mạng cho biết, hoạt động độc hại được quan sát có thể xuất phát từ một số nhóm tin tặc đã biết của Trung Quốc, bao gồm APT27, APT30, APT31, Ke3chang, Gallium và Mustang Panda.
Những tác nhân đe dọa này hiện đang tạo ra các mối đe dọa nguy hiểm đối với EU. Các hoạt động gần đây của nhóm tin tặc chủ yếu tập trung vào hành vi trộm cắp thông tin, chủ yếu thông qua việc thiết lập vị trí trong cơ sở hạ tầng mạng của các tổ chức có liên quan tới việc xây dựng chiến lược.
Các cơ quan cũng cho biết, việc này sẽ thúc đẩy các tổ chức ở EU cải thiện tình hình bảo mật và tăng cường khả năng phát hiện các cuộc tấn công mạng, cũng như khả năng phục hồi của họ trước các cuộc tấn công đó.
Phát hiện tấn công mạng liên quan đến việc thu thập, xem xét nhật ký, giám sát hoạt động của thiết bị, phát hiện xâm nhập và thông tin tình báo về mối đe dọa được tuyển chọn, săn tìm mối đe dọa thường xuyên.
Các tổ chức cũng nên triển khai các chiến lược để phát hiện và ngăn chặn các cuộc tấn công dựa trên PowerShell cũng như việc lạm dụng các giao thức NTLM và Kerberos, đồng thời nên hướng dẫn người dùng báo cáo ngay lập tức mọi hoạt động đáng ngờ.
Để giảm rủi ro bị xâm phạm, các tổ chức nên tuân theo các phương pháp tốt nhất về bảo mật để củng cố sản phẩm và bảo vệ các tài khoản đặc quyền cao cũng như tài sản chính, đồng thời tuân theo các phương pháp tối ưu nhất để quản lý danh tính và quyền truy cập.
Các tổ chức nên duy trì kho lưu trữ cập nhật của tất cả tài sản, cả vật lý và ảo để chặn hoặc giảm truy cập internet đầu ra cho các hệ thống ít khi được khởi động lại. Điều này giúp ích cho việc sao lưu, triển khai kiểm soát truy cập cho tất cả người dùng cuối và bên thứ ba bên ngoài nhà thầu.
Đồng thời, triển khai phân đoạn mạng, đảm bảo môi trường đám mây được bảo mật đúng cách, triển khai chính sách email linh hoạt để ngăn chặn thư độc hại, phòng ngừa các cuộc tấn công sử dụng kỹ thuật đánh cắp thông tin xác thực, cảnh báo người dùng và nhân viên về lừa đảo và các mối đe dọa khác cũng sẽ giúp các tổ chức cải thiện khả năng phục hồi mạng của họ.
Ngoài ra, các tổ chức nên triển khai kế hoạch ứng phó sự cố liên quan đến việc đánh giá mức độ nghiêm trọng của sự cố dựa trên tác động và đảm bảo thông tin liên lạc rõ ràng với các bên liên quan nội bộ.
Khi ứng phó với sự cố, các tổ chức nên tìm hiểu điều gì đã gây ra sự kiện và tác động tiềm tàng của nó, thu thập bằng chứng từ các hệ thống bị ảnh hưởng, sử dụng tất cả các nguồn đo từ xa có sẵn, khắc phục nguyên nhân gốc rễ của cuộc tấn công và đảm bảo sự cố được ngăn chặn đầy đủ, đồng thời lưu giữ hồ sơ chi tiết của tất cả các hành động được thực hiện.
Nguyễn Chân