Công văn được gửi tới các đơn vị chuyên trách về CNTT, an toàn thông tin (ATTT) của Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành; các đơn vị thuộc Bộ TT&TT; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam; và các Tổng công ty, Tập đoàn kinh tế; Tổ chức tài chính và ngân hàng; các doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông vận tải.
Công văn cho biết, thực hiện công tác theo dõi các sự cố trên không gian mạng Việt Nam, VNCERT đã phát hiện ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã độc tấn công có chủ đích (APT).
Mã độc loại này rất tinh vi, chúng có khả năng phát hiện các môi trường phân tích mã độc nhằm tránh bị phát hiện, đánh cắp dữ liệu, xâm nhập trái phép, phá hủy hệ thống thông tin thông qua các máy chủ điều khiển mã độc (C&C Server) đặt bên ngoài lãnh thổ Việt Nam.
Công văn yêu cầu lãnh đạo các cơ quan, đơn vị doanh nghiệp chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện khẩn cấp các công việc sau:
- Giám sát nghiêm ngặt, ngăn chặn kết nối đến các máy chủ điều khiển mã độc APT. Theo đó, các thông tin về domain và IP máy chủ liên quan đến mã độc APT gồm có: 17 địa chỉ IP máy chủ điều khiển mã độc; 71 tên miền máy chủ độc hại và 20 mã băm (HashMD5).
- Nếu phát hiện mã độc, cần nhanh chóng cô lập vùng/máy và tiến hành điều tra, xử lý (cài đặt lại hệ điều hành nếu không gỡ bỏ được triệt để).
- Cập nhật các bản vá cho hệ điều hành và phần mềm, nhất là Microsoft Office - nếu sử dụng; đặc biệt, cần cập nhật các lỗ hổng có CVE:CVE-2012-0158, CVE-2017-0199, MS17-010.
- Sau khi thực hiện các công việc, báo cáo tình hình lây nhiễm và kết quả xử lý (nếu có) về Cơ quan điều phối ứng cứu sự cố quốc gia - Trung tâm VNCERT trước ngày 30/9/2017.
Danh sách địa chỉ IP máy chủ điều khiển mã độc tấn công có chủ đích APT.
Danh sách tên miền máy chủ độc hại
Danh sách mã băm (HashMD5)
