Ngành tài chính toàn cầu đang đối mặt với một làn sóng tấn công từ chối dịch vụ phân tán (DDoS) phức tạp và dai dẳng, vượt xa các hình thức tấn công lũ lụt truyền thống. Các cuộc tấn công này, theo nghiên cứu chung của FS-ISAC và Akamai, đã chuyển mình thành các chiến dịch đa chiều, mô phỏng hành vi người dùng hợp pháp, gây khó khăn đáng kể cho việc phát hiện và giảm thiểu. Trọng tâm của các cuộc tấn công hiện nay chủ yếu nhắm vào các API và website tương tác với khách hàng của các tổ chức tài chính, dẫn đến sự gián đoạn dịch vụ kéo dài nhiều ngày, gây ra những tác động nghiêm trọng đến hoạt động và uy tín.
Sự chuyển dịch trong chiến thuật tấn công DDoS đánh dấu một giai đoạn mới của các mối đe dọa mạng. Thay vì chỉ đơn thuần gây quá tải bằng lưu lượng truy cập lớn (volumetric floods), các tác nhân đe dọa giờ đây sử dụng các chiến thuật tinh vi hơn. Chúng thực hiện các cuộc tấn công mục tiêu chính xác, sao chép các hành vi tương tác điển hình của người dùng thực, khiến các hệ thống phòng thủ truyền thống gặp khó khăn trong việc phân biệt giữa lưu lượng hợp pháp và lưu lượng độc hại. Điều này làm tăng cường độ phức tạp của các chiến dịch DDoS, biến chúng thành những thách thức đòi hỏi các giải pháp phòng thủ tiên tiến và linh hoạt hơn.
Chi tiết kỹ thuật về các chiến dịch tấn công DDoS
Tác nhân đe dọa và chiến dịch
Các tác nhân đe dọa hiện nay đang áp dụng các chiến thuật trinh sát nâng cao, được điều chỉnh cụ thể cho từng mô hình kinh doanh trong lĩnh vực tài chính. Điều này cho phép chúng tùy chỉnh các cuộc tấn công để đạt hiệu quả tối đa. Các cuộc tấn công được ghi nhận là đa chiều và dai dẳng, được thiết kế để vượt qua các lớp phòng thủ truyền thống. Một chiến dịch DDoS phối hợp vào năm 2024 đã gây ra tình trạng gián đoạn kéo dài nhiều ngày cho nhiều ngân hàng, cho thấy khả năng tổ chức và thực hiện các cuộc tấn công quy mô lớn của các nhóm này.
Nền tảng và mục tiêu khai thác
Các mục tiêu chính của các cuộc tấn công DDoS bao gồm các thành phần trọng yếu trong hạ tầng số của ngành tài chính:
- Application Programming Interfaces (APIs) của các tổ chức tài chính: Đây là cổng kết nối quan trọng cho nhiều dịch vụ số, và việc làm tê liệt API có thể ảnh hưởng rộng khắp đến toàn bộ hệ thống.
- Các website tương tác với khách hàng.
- Nền tảng ngân hàng trực tuyến.
- Các hệ thống xử lý thanh toán.
Việc nhắm mục tiêu vào các API đặc biệt đáng chú ý, vì chúng là xương sống của nhiều ứng dụng và dịch vụ tài chính hiện đại. Một cuộc tấn công thành công vào API có thể gây ra hiệu ứng domino, làm gián đoạn hàng loạt dịch vụ phụ thuộc và tác động trực tiếp đến khả năng giao dịch của khách hàng.
Đặc điểm và chiến thuật tấn công (TTPs)
Xu hướng tấn công DDoS đã chuyển dịch đáng kể từ các kiểu tấn công volumetric flooding truyền thống sang các phương pháp phức tạp hơn:
- Các cuộc tấn công được nhắm mục tiêu chính xác, mô phỏng hành vi người dùng hợp pháp, làm cho việc phát hiện và chặn đứng trở nên khó khăn hơn đáng kể.
- Các chiến dịch đa vector kết hợp giữa volumetric floods và tấn công lớp ứng dụng, chẳng hạn như DNS Query Floods.
Đặc biệt, việc sử dụng các cuộc tấn công Web floods với Requests Per Second (RPS) cao đã gia tăng mạnh mẽ; hơn một phần tư các cuộc tấn công Web DDoS đã vượt quá 100.000 RPS. Điều này cho thấy khả năng tạo ra lưu lượng truy cập rất lớn trong thời gian ngắn để làm quá tải máy chủ web và ứng dụng.
Tấn công DNS Query Floods đã tăng vọt trên toàn cầu hơn 272%. Đây là một biến thể của tấn công từ chối dịch vụ lớp 7, trong đó kẻ tấn công gửi một lượng lớn các yêu cầu DNS độc hại đến máy chủ DNS, làm quá tải máy chủ và cản trở khả năng phân giải tên miền hợp pháp, từ đó làm gián đoạn quyền truy cập vào các dịch vụ trực tuyến của tổ chức tài chính.
Chỉ số tác động
Chỉ riêng tại Bắc Mỹ, khối lượng tấn công DDoS trung bình trên mỗi tổ chức tài chính đã tăng 17% so với năm trước. Một số tổ chức đã phải đối mặt với hơn 300.000 sự kiện tấn công hàng năm, với khối lượng tấn công cao điểm lên tới 1.125 Tbps. Khối lượng tấn công 1.125 Tbps là một con số khổng lồ, cho thấy quy mô và sức mạnh của cơ sở hạ tầng botnet mà các tác nhân đe dọa đang kiểm soát.
Xu hướng và thống kê được báo cáo
Các số liệu thống kê dưới đây cung cấp cái nhìn sâu sắc về mức độ leo thang của các cuộc tấn công nhằm vào lĩnh vực tài chính:
- Mức tăng trưởng hàng năm trong các cuộc tấn công mạng nhằm vào các công ty tài chính: +27% (2024 so với năm trước).
- Số lượng cuộc tấn công DDoS trung bình hàng năm trên mỗi tổ chức: khoảng 13.000.
- Mức tăng trong các cuộc tấn công nhắm mục tiêu lớp ứng dụng: +23% từ 2023–24.
- Mức tăng trong các cuộc tấn công DDoS nhắm mục tiêu API: +58% từ 2023–24.
Những số liệu này nhấn mạnh sự gia tăng đáng kể về tần suất và sự tinh vi của các cuộc tấn công, đặc biệt là các cuộc tấn công nhắm vào lớp ứng dụng và API, vốn là những điểm yếu quan trọng có thể gây ra gián đoạn dịch vụ nghiêm trọng.
Kỹ thuật MITRE ATT&CK được đề cập hoặc ngụ ý
Mặc dù bài viết không trực tiếp cung cấp các ID kỹ thuật MITRE ATT&CK cụ thể, các TTP được mô tả phù hợp chặt chẽ với các kỹ thuật sau:
- T1499 – Endpoint Denial of Service: Lũ lụt lưu lượng (volumetric flooding) nhằm mục đích làm quá tải tài nguyên mạng hoặc dịch vụ như API/website. Đây là kỹ thuật cơ bản của DDoS, nhắm vào việc làm cạn kiệt tài nguyên của hệ thống mục tiêu.
- T1071 – Application Layer Protocol: Sử dụng các yêu cầu HTTP/S mô phỏng lưu lượng truy cập hợp pháp cho tấn công DoS/DDoS lớp ứng dụng. Kỹ thuật này tập trung vào việc tiêu thụ tài nguyên ở lớp ứng dụng, làm cho việc phát hiện trở nên khó khăn hơn nhiều so với các cuộc tấn công ở lớp mạng thấp hơn.
Việc ánh xạ các TTPs vào khuôn khổ MITRE ATT&CK giúp các chuyên gia bảo mật có một ngôn ngữ chung để mô tả và phân tích các cuộc tấn công, đồng thời hỗ trợ trong việc phát triển các chiến lược phòng thủ hiệu quả hơn.
Chỉ số thỏa hiệp (IOCs)
Không có hash tệp, URL được sử dụng cho hạ tầng chỉ huy và kiểm soát (command-and-control) hoặc phân phối payload mã độc nào được đề cập rõ ràng trong nội dung nguồn. Bài viết tập trung chủ yếu vào việc mô tả bản chất và quy mô của các chiến dịch DDoS, thay vì các IOC cụ thể như địa chỉ IP hoặc tên miền liên quan. Điều này là do các cuộc tấn công DDoS thường sử dụng một mạng lưới lớn các địa chỉ IP động và cơ sở hạ tầng phân tán, khiến việc cung cấp các IOC tĩnh trở nên kém hiệu quả cho mục đích tình báo dài hạn.
Ví dụ dòng lệnh / Tệp cấu hình
Không có ví dụ về dòng lệnh hoặc tệp cấu hình nào được cung cấp trong tài liệu nguồn.
Chi tiết hạ tầng
Không có thông tin chi tiết về hạ tầng cụ thể như tên botnet hoặc máy chủ C2 nào được tiết lộ. Tuy nhiên, rõ ràng là những kẻ tấn công đang tận dụng các hạ tầng số phức tạp có khả năng tạo ra khối lượng lưu lượng truy cập cực kỳ cao, vượt quá 1 Tbps. Khả năng này đòi hỏi một mạng lưới lớn các thiết bị bị xâm nhập hoặc máy chủ đám mây được thuê, cho thấy một sự đầu tư đáng kể về tài nguyên và kỹ thuật từ phía các tác nhân đe dọa.
Thông tin cốt lõi cho SOC và Nền tảng Tình báo Đe dọa
Để đối phó hiệu quả với các mối đe dọa DDoS ngày càng tinh vi, các nhóm vận hành trung tâm an ninh (SOC) và các nền tảng tình báo đe dọa (TIP) cần nắm bắt các thông tin cốt lõi sau để nâng cao nhận thức tình hình và chuẩn bị phòng thủ:
Tổng quan chiến dịch: Tấn công DDoS phức tạp kéo dài nhiều ngày nhắm vào lĩnh vực tài chính toàn cầu (2024–2025)
Mục tiêu:
- Các API của ngành tài chính.
- Các website ngân hàng tương tác với khách hàng.
- Các hệ thống xử lý giao dịch/thanh toán trực tuyến.
Đặc điểm tấn công:
- Các cuộc tấn công đa vector, kết hợp giữa volumetric floods và tấn công lớp ứng dụng.
- Mô phỏng hành vi người dùng hợp pháp, làm phức tạp quá trình phát hiện.
- Các cuộc tấn công web với RPS cao (trên 100.000 RPS).
- Sự gia tăng đột biến của các cuộc tấn công DNS Query Flood Layer 7 DoS (tăng 272%).
- Băng thông cao điểm được quan sát lên tới khoảng 1.125 Tbps.
Xu hướng và thống kê:
- Tăng 27% số cuộc tấn công mạng nhằm vào ngành tài chính so với năm trước.
- Trung bình khoảng 13.000 cuộc tấn công DDoS mỗi năm trên mỗi tổ chức.
- Tấn công nhắm mục tiêu API tăng: +58%.
- Tấn công nhắm mục tiêu lớp ứng dụng tăng: +23%.
Kỹ thuật MITRE ATT&CK được ánh xạ:
- T1499 – Endpoint Denial Of Service.
- T1071 – Application Layer Protocol.
Quan trọng là cần lưu ý rằng không có CVE trực tiếp nào được báo cáo liên quan cụ thể đến các sự cố này, và không có IOC cụ thể như địa chỉ IP/tên miền/hashes nào được công bố rộng rãi tại thời điểm hiện tại. Điều này nhấn mạnh rằng các biện pháp phòng thủ cần tập trung vào việc tăng cường khả năng phát hiện hành vi, phân tích lưu lượng theo thời gian thực và triển khai các giải pháp chống DDoS tiên tiến, thay vì chỉ dựa vào các danh sách đen tĩnh hoặc lỗ hổng cụ thể.
Thông tin này có thể được tích hợp vào các bảng điều khiển SOC, nền tảng TIP để nâng cao nhận thức tình hình về các mối đe dọa từ chối dịch vụ đang phát triển chống lại hạ tầng tài chính quan trọng.
