Cảnh báo mã độc giả danh "Dự thảo Nghị quyết Đại hội XIV"
Gần đây, các cơ quan an ninh đã phát hiện hình thức tấn công mạng mới rất tinh vi. Kẻ xấu đã lợi dụng tài liệu chính trị để phát tán mã độc nguy hiểm, nhằm đánh cắp thông tin và gây mất an toàn cho hệ thống thông tin của các cơ quan, tổ chức và cá nhân.
Theo Phòng An ninh mạng và phòng chống tội phạm công nghệ cao (Công an thành phố Hà Nội), trong bối cảnh toàn quốc đang tích cực tiếp nhận ý kiến góp phần vào dự thảo Văn kiện trình Đại hội Đại biểu toàn quốc lần thứ XIV của Đảng, một mã độc có tên Valley RAT đã bị kẻ xấu giấu trong tệp có tên "DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe". Khi người dùng mở tệp này, mã độc sẽ âm thầm xâm nhập hệ thống, tự động khởi chạy mỗi lần khởi động máy và kết nối đến máy chủ điều khiển tại địa chỉ 27.124.9.13 (port 5689) do tin tặc kiểm soát.
Sau khi xâm nhập, mã độc có thể thực hiện lấy cắp thông tin nhạy cảm trên máy; chiếm quyền điều khiển máy tính; đánh cắp tài khoản cá nhân và cơ quan; tải xuống tài liệu nội bộ; lan truyền mã độc sang các thiết bị khác trong cùng mạng.
Qua rà quét mở rộng, lực lượng chức năng phát hiện thêm nhiều tệp độc hại với cấu trúc tương tự, có tên giống các văn bản hành chính quen thuộc như: "BÁO CÁO TÀI CHÍNH2.exe", "THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe", "CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe", "HỖ TRỢ KÊ KHAI THUẾ.exe", "CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe", "MẪU GIẤY ỦY QUYỀN.exe", "BIÊN BẢN BÁO CÁO QUÝ III.exe". Cách đặt tên được thiết kế tinh vi theo đặc thù công việc văn phòng, tài chính, Đảng vụ, thuế, làm tăng nguy cơ người dùng tưởng là tài liệu nội bộ và mở ra.
Để bảo vệ an toàn thông tin, Công an thành phố Hà Nội khuyến cáo người dân tuyệt đối không mở hoặc tải các tệp lạ, đặc biệt tệp có đuôi .exe, .dll, .bat, .msi từ email hoặc mạng xã hội, kể cả khi được gửi từ người quen vì tài khoản của họ có thể đã bị chiếm đoạt. Khi phát hiện dấu hiệu bất thường, người dùng cần ngay lập tức ngắt kết nối Internet, dừng sử dụng thiết bị và báo cáo cho cơ quan chức năng hoặc Trung tâm An ninh mạng quốc gia (NCSC).
Quét hệ thống bằng phần mềm bảo mật uy tín như Avast, AVG, Bitdefender, Windows Defender (phiên bản mới nhất). Công an Hà Nội lưu ý rằng phần mềm Kaspersky miễn phí hiện chưa phát hiện được loại mã độc này. Bên cạnh sử dụng phần mềm diệt virus, cần dùng Process Explorer để xem các tiến trình lạ không có chữ ký số; TCPView để kiểm tra kết nối; nếu phát hiện kết nối đến IP 27.124.9.13, cần xử lý ngay.
Quản trị viên hệ thống phải chặn ngay IP độc hại bằng cách thiết lập tường lửa (firewall) để cấm toàn bộ truy cập đến 27.124.9.13, ngăn chặn mã độc kết nối với máy chủ điều khiển. Các đơn vị cần thông báo nội bộ, yêu cầu cán bộ, nhân viên tuyệt đối không mở tài liệu "gửi kèm" nếu không xác minh được nguồn gốc.
Người dân nên tiếp nhận thông tin từ các kênh chính thống: Bộ Công an, Bộ Khoa học và Công nghệ, Công an địa phương; tránh chia sẻ tệp nghi ngờ lên mạng xã hội để không gây lây lan; tăng cường cảnh giác bảo vệ an ninh mạng quốc gia.
