[Advisory] Ukraine - Russia crisis
Căng thẳng chính trị giữa Nga và Ukraine đã dẫn đến nhiều hoạt động tấn công mạng và được dự báo sẽ tiếp tục gia tăng. Nhiều hoạt động tấn công đã được ghi nhận:
- Một số phần mềm độc hại (malware) mới được ghi nhận như HermeticWiper, IsaacWiper,… có khả năng làm hỏng các phân vùng và xoá dữ liệu trên máy tính.
- Các chiến dịch tấn công lừa đảo nhằm phát tán các nội dung độc hại.
- Các cuộc tấn công mạng vào hệ thống như DDoS, Bruteforce, Deface…
Các chiến dịch tấn công này không chỉ đánh cắp dữ liệu mà còn nhằm mục đích phá hoại. Tất cả các tổ chức đều có nguy cơ là nạn nhân hoặc bị ảnh hưởng. Blue Team đã tăng cường giám sát cho các hoạt động tấn công từ các chiến dịch trên. Phòng ISO khuyến cáo đến các anh chị những vấn đề cần lưu ý để đảm bảo an toàn an ninh thông tin.
Đối với toàn bộ Starter:
- Bật và kiểm tra cập nhật các phần mềm bảo vệ như Windows Security được cài đặt mặc định trên hệ điều hành Windows hay Cylance Protection (liên hệ IT để cài nếu có nhu cầu) để được bảo vệ trước các nguy cơ về phần mềm độc hại.
- Sao lưu các dữ liệu quan trọng đề phòng trường hợp không may khi bị ảnh hưởng.
- Luôn cảnh giác với những email lạ cũng như những thông tin trên Internet, đặc biệt là các liên kết (đường link) bất thường hay tệp đính kèm để giảm thiểu rủi ro là nạn nhân của các cuộc tấn công lừa đảo, phá hoại.
Đối với System Admin:
- Giới hạn truy cập các dịch vụ không cần thiết (đóng port, ACL, limit request,…).
- Cập nhật phiên bản của các service đang chạy nếu có thể nhằm vá các lỗ hổng đã được phát hiện, CVE.
- Kiểm tra backup để khôi phục hệ thống nhanh nhất khi có sự cố.
- (Đối với IT: kiểm tra các lỗ hổng liên quan đến hệ thống Office, Active Directory do có báo cáo về việc malware HermeticWiper được phát tán qua GPO (chưa rõ đường xâm nhập)
System admin lưu ý 13 CVE sau đây được ghi nhận sử dụng để khai thác lỗ hổng hệ thống trong chiến dịch này:
- CVE-2018-13379 FortiGate VPNs
- CVE-2019-1653 Cisco router
- CVE-2019-2725 Oracle WebLogic Server
- CVE-2019-7609 Kibana
- CVE-2019-9670 Zimbra software
- CVE-2019-10149 Exim Simple Mail Transfer Protocol
- CVE-2019-11510 Pulse Secure
- CVE-2019-19781 Citrix
- CVE-2020-0688 Microsoft Exchange
- CVE-2020-4006 VMWare (note: this was a zero-day at time.)
- CVE-2020-5902 F5 Big-IP
- CVE-2020-14882 Oracle WebLogic
- CVE-2021-26855 Microsoft Exchange
Nguồn tham khảo:
https://socradar.io/what-you-need-to-know-about-russian-cyber-escalation-in-ukraine/