Với mục tiêu chiếm đoạt dữ liệu cá nhân và tài liệu nội bộ.
Qua công tác nắm tình hình, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội phát hiện các đối tượng xấu đã phát tán mã độc mang tên Valley RAT bằng cách ngụy trang trong tệp tin có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”. Các đối tượng lợi dụng bằng cách lừa người dùng cài đặt, mở tệp tin rồi thực hiện các hành vi nguy hiểm như đánh cắp thông tin nhạy cảm, chiếm đoạt tài khoản cá nhân, đánh cắp tài liệu, phát tán mã độc sang các máy tính khác. Đây là thủ đoạn lợi dụng chính môi trường sinh hoạt chính trị rộng rãi của nhân dân để phát tán mã độc, đánh cắp thông tin gây nguy cơ mất an toàn hệ thống thông tin của cơ quan, tổ chức và từng cá nhân. Kết quả phân tích cho thấy, mã độc sau khi được cài vào máy tính người dùng sẽ tự động thực thi mỗi khi khởi động máy, kết nối đến máy chủ điều khiển từ xa do tin tặc chiếm giữ, từ đó tiếp tục thực hiện các hành vi nguy hiểm nói trên.
Theo các chuyên gia của Công ty An ninh mạng BKAV (BKAV Cyber Security), mã độc Valley RAT thuộc nhóm tấn công có chủ đích (APT) với khả năng ẩn mình, tránh phần mềm bảo mật và lây lan nhanh trong hệ thống mạng nội bộ. Các hành vi bao gồm chiếm quyền điều khiển máy, thu thập dữ liệu, theo dõi bàn phím, chụp màn hình và khai thác thông tin cá nhân lưu trong trình duyệt. Việc mã độc xuất hiện ngay vào thời điểm thực hiện góp ý dự thảo văn kiện Đại hội cho thấy các đối tượng xấu đang khai thác tâm lý tin tưởng vào tài liệu hành chính và hoạt động chính trị đông đảo để thực hiện tấn công mạng. Vì vậy, việc nâng cao cảnh giác và tuân thủ quy trình bảo mật không chỉ là nhiệm vụ của cơ quan chuyên trách mà còn của từng cá nhân.
Ngoài tệp giả danh nghị quyết Đại hội, các tệp mã độc khác được phát hiện có tên tương tự các văn bản hành chính gồm “BÁO CÁO TÀI CHÍNH2.exe”, “CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe”, “HỖ TRỢ KÊ KHAI THUẾ.exe”, “CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe” hoặc “BIÊN BẢN BÁO CÁO QUÝ III.exe”. Các tệp này được đặt tên theo đúng đặc thù công việc văn phòng, tài chính, thuế làm người dùng tưởng là tài liệu nội bộ mở ra, tạo điều kiện cho mã độc lây lan.
Để chủ động phòng ngừa, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội khuyến cáo người dân và cán bộ, công chức không mở hoặc tải những tập tin thực thi (.exe, .dll, .bat, .msi) từ nguồn không rõ, đặc biệt khi được gửi dưới hình thức tài liệu hành chính liên quan đến hoạt động đóng góp ý kiến tại các sự kiện chính trị quan trọng.
Bên cạnh đó, các biện pháp phòng ngừa được đưa ra gồm rà soát hệ thống thông tin của đơn vị để phát hiện tập tin đáng ngờ, cách ly thiết bị bị nhiễm, ngắt kết nối internet và báo cáo ngay cho cơ quan chức năng; sử dụng phần mềm bảo mật cập nhật như Avast, AVG, Bitdefender hoặc Windows Defender, kiểm tra thủ công bằng Process Explorer và TCPView để phát hiện kết nối đến địa chỉ IP độc hại.
