Một máy chủ điều khiển tấn công VietnamNet đặt tại Đức | LAODONG

LAODONG:

Thứ Bảy, 15.1.2011 | 10:55 (GMT + 7)

(LĐ) - Hôm qua (14.1), lưu lượng tấn công từ chối dịch vụ (DDOS) nhằm vào VietnamNet đã giảm đáng kể, ước tính giảm khoảng trên 50% - tin từ VietnamNet tối 14.1. Cũng theo nguồn tin này, Công ty CP an ninh an toàn thông tin CMC (CMC Infosec) đã phát hiện và diệt được một mã độc mang tên Trojan.Oxdex.vnn, một tác nhân tham gia tấn công DDOS vào VietnamNet.

Sau khi nhận được đề nghị tham gia ứng cứu vụ tấn công nhằm vào Báo điện tử VietnamNet từ Trung tâm Ứng cứu khẩn cấp máy tính quốc gia (VnCert), ngày 14.1, CMC Infosec đã bắt tay điều tra và phân tích nguồn tấn công. Theo phân tích của CMC Infosec, mã độc mang tên Trojan.Oxdex.vnn được đặt trong file GoogleCrashHandler.exe, được thiết kế với mục đích chính dùng cho việc tấn công VietnamNet. “Sau khi cài đặt, trojan (mã độc - PV) gửi yêu cầu tới domain (tên miền – PV) oxdex.com để lấy file logo.jpg để nhận và giải mã thông tin điều khiển” – phân tích từ báo cáo kỹ thuật của CMC Infosec. Khi máy tính của người dùng bị nhiễm mã độc này, nó sẽ nhận lệnh tấn công từ máy chủ có tên miền oxdex.com. “Qua phân tích trên mẫu có được, có thể thấy trojan này phục vụ cho mạng máy tính ma đặt tại tên miền oxdex.com. Trojan có tính năng nhận lệnh tấn công từ chối dịch vụ qua HTTP (giao thức web) và giả dạng các loại trình duyệt” – CMC Infosec
cho biết.

Tiến hành lần theo dấu vết tấn công, CMC Infosec kết luận: “Oxdex.com là tên miền của máy chủ điều khiển mạng máy tính ma, hiện tại đã không phân giải được địa chỉ. Tuy nhiên, dựa theo lịch sử DNS (giải nghĩa tên miền – PV), Oxdex.com có mạng IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Cty Đức”. Cũng theo thông tin từ CMC Infosec, AS28753 và Netdirekt từ lâu đã mang rất nhiều tai tiếng về hosting (dịch vụ đặt chỗ máy chủ - PV) có rất nhiều mã độc, các trang lừa đảo và spam. Theo thống kê của Google, trong vòng 3 tháng gần đây nhất, có tới 2.3519 trang web chứa nội dung độc hại được đặt tại đây.

Hiện tại, máy chủ có tên miền Oxdex.com đã ngừng hoạt động nên không thể lấy được nội dung của file logo.jpg phục vụ việc điều tra truy tìm thủ phạm. Tuy nhiên, CMC Infosec đã nhanh chóng cập nhật khả năng diệt mã độc Trojan.Oxdex.vnn của phần mềm diệt virus CMC Internet Security và CMC Antivirus. Để không trở thành một “máy tính ma” tham gia tấn công Báo điện tử VietnamNet, người dùng có thể cập nhật phần mềm diệt virus của CMC Infosec để diệt mã độc này.

Đỗ Trọng


VietnamNet bị tấn công kéo dài

Bất lực trước “quái thú” DDOS?

Thứ Tư, 12.1.2011 | 14:43 (GMT + 7)

(LĐ) - Giới an ninh mạng gọi hình thái tấn công từ chối dịch vụ (DDOS) là “quái thú” bởi những thuộc tính tàn độc của phương thức tấn công này. Kiểu đánh DDOS làm nạn nhân lâm vào tình trạng để bị đánh cũng “chết”, mà đầu tư lớn mua thêm “áo giáp” để chống đỡ cũng... “chết” tiền. VietnamNet đã may hơn khi đang có sự hỗ trợ từ hai đại gia về hạ tầng mạng là VNG và VTC.

VietnamNet bị tấn công kéo dài

Màn khởi động

Thông thường, khi bắt đầu tấn công DDOS vào một mục tiêu nào đó, tin tặc phải đánh thức mạng botnet mà hắn đã gây dựng trước đó, bởi mã độc mà tin tặc đã cài vào máy tính của người dùng từ trước, dù cố ngủ yên trong thời gian dài, nhưng vẫn có thể bị phần mềm diệt virus loại bỏ. Do vậy, việc đánh thức đội quân “thây ma” này (zombies) thường đi kèm với một liều thuốc thử: Tấn công thử một trang web nào đó trước khi mở chiến dịch thật. Một sự kiện ít được chú ý là ngày 3.1 - trước khi VietnamNet bị tấn công hơn 1 ngày - trang thongtincongnghe.com đã bị DDOS trong gần 48 giờ và bị tê liệt hoàn toàn bởi khoảng 50 nghìn kết nối từ các zombies.

Đến khi VietnamNet bị DDOS từ ngày 4.1 thì cũng là lúc trangthongtincongnghe.com được sống lại, không còn là mục tiêu của tin tặc nữa. Dù chưa thể khẳng định mối liên quan của hai cuộc tấn công này, nhưng nhìn về quy mô và thời điểm thì có thể không loại trừ khả năng một tác giả cho cả hai vụ DDOS này.

“Truy sát”
Quy mô lớn, liên tục, kéo dài, số lượng “thây ma” ổn định, liên tục chuyển hướng tấn công theo phản ứng chống đỡ của nạn nhân là những đặc tính chủ yếu về chiến dịch DDOS nhằm vào VietnamNet. Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại.

“Chúng tôi chưa có thống kê cụ thể, nhưng tỉ lệ thay mới các dải IP tấn công vào VietnamNet là khoảng 20 – 30%” – ông Bùi Bình Minh - trợ lý Tổng Biên tập VietnamNet cho biết. Mức độ ổn định của các luồng tấn công gây rất nhiều khó khăn cho đội kỹ thuật của báo điện tử này. “Số lượng zombies có suy giảm vào ban đêm (thời điểm người dùng tắt máy – PV), nhưng lại tăng cao vào ban ngày. Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV).

Kịch bản tấn công

Hiện thủ phạm vẫn biệt tích và trong khi chờ đợi cơ quan điều tra làm rõ, có quá nhiều giả thuyết được đưa ra. Một luồng ý kiến cho rằng, kẻ tấn công áp dụng từng cung bậc tấn công, mua chuộc một nhân viên nào đó ở VietnamNet hoặc đánh cắp các thông tin nội bộ của báo điện tử này rồi dựa vào đó chi tiền thuê tin tặc nước ngoài tấn công. “Để xây dựng hoặc tự mua một botnet cỡ vài ngàn zombies thì rất dễ; nhưng để tạo ra một mạng botnet quy mô như đang đánh VietnamNet thì tin tặc phải ở trình độ rất cao, mà nhiều khả năng là tin tặc nước ngoài” – chuyên gia tham gia ứng cứu VietnamNet cho biết. Cũng theo chuyên gia này, “giá trị” của mạng botnet cỡ này nếu đem bán có thể kiếm được ít nhất 1 tỉ đồng. Tham khảo một số dịch vụ mua botnet của thế giới ngầm - tùy vào vùng lãnh thổ và chất lượng - giá cho mỗi mã độc được cài vào 1.000 máy người dùng (chưa phải là
zombie) dao động từ 9 – 250USD.

Một chuyên gia bảo mật khác - hiện đang giữ hệ thống của một ngân hàng lớn ở Việt Nam (xin không nêu tên) - cho rằng: “Thường thì tin tặc dùng DDOS để mở màn, làm cho đối phương mệt mỏi chống đỡ và để lộ sơ hở, từ đó chuyển hình thái tấn công khác. Với VietnamNet, DDOS đang là biện pháp cuối cùng, cho thấy phương án này có vẻ nằm ngoài kế hoạch và tin tặc có quyết tâm cao đánh VietnamNet đến cùng”. Cũng theo chuyên gia này, DDOS là hình thái tấn công rất khó đỡ. Hoặc nạn nhân phải gia tăng đầu tư cho hạ tầng, hoặc xây dựng các giải pháp lọc để chặn các truy vấn ma. “Không ai dám khẳng định có thể xây dựng một giải pháp triệt để để lọc hết truy vấn ma. Mình phải tùy biến theo tin tặc thôi. Mình đứng ngoài sáng, kẻ tấn công ở trong bóng tối. Mình bị động, kẻ tấn công luôn chủ động. Do vậy, chống đỡ là hết sức khó khăn” – chuyên gia này cho biết.

Câu chuyện “VietnamNet bị hack” vẫn chưa có hồi kết. Các luồng tấn công đang tiếp tục được duy trì. VietnamNet may mắn có được sự tương trợ của các đối tác, bởi nếu sự hỗ trợ hiện nay được quy thành dịch vụ tính tiền thì thiệt hại về kinh tế của VietnamNet là cực lớn. Sẽ là quá sớm để đưa ra một kết luận nào, nhưng câu chuyện VietnamNet đáng được các báo điện tử nói riêng và các trang cung cấp dịch vụ trực tuyến nói chung xem xét để chuẩn bị cho mình khả năng ứng phó. Lao Động sẽ trở lại vụ việc này khi có diễn biến mới.

Đỗ Trọng

VietnamNet bị tấn công kéo dài

Thứ Ba, 11.1.2011 | 09:14 (GMT + 7)

(LĐ) - Đến hôm qua (10.1), báo điện tử VietnamNet đã hứng chịu ít nhất 5 đợt tấn công lớn kéo dài trong hơn 2 tháng. Đợt tấn công lớn cuối cùng kéo từ sáng 4.1.2011 và đến thời điểm bài viết này lên khuôn vẫn chưa có dấu hiệu suy giảm.

Đây có lẽ là những đợt tấn công quy mô, bài bản, chuyên nghiệp bậc nhất nhằm vào một website Việt Nam. Điều đáng nói là kẻ thủ ác vẫn đang bình tĩnh, ngồi an toàn ở đâu đó, “giội bom” vào một trong những tờ báo điện tử lớn nhất Việt Nam bất chấp luật pháp.

Bài 1: Tấn công bài bản, chuyên nghiệp

Dù chưa thể khẳng định tất cả các đợt tấn công nhằm vào VietnamNet, bắt đầu từ đêm 6.11.2010, đều do một hay một nhóm thủ phạm thực hiện. Nhưng điểm lại các cuộc tấn công liên tiếp vào VietnamNet thì đây là một khả năng lớn. Các cuộc tấn công đều là những đòn chí mạng với nhiều cung bậc khác nhau, toàn diện và hết sức tinh vi.

Từ đánh phủ đầu và tâm lý chiến

Rạng sáng 7.11.2010, cả tòa soạn VietnamNet và người dùng đều bất ngờ khi “VietnamNet bị sập”. Thông tin từ VietnamNet, toàn bộ dữ liệu trên máy chủ đã bị tin tặc xoá sạch. “Chúng tôi không biết tin tặc truy cập vào máy chủ bằng đường nào, vào lúc nào và đã hẹn giờ xoá toàn bộ dữ liệu” - ông Bùi Bình Minh - trợ lý Tổng Biên tập VietnamNet nói về cuộc tấn công đầu tiên. Dẫu vậy, đội kỹ thuật hơn 20 người của VietnamNet đã nhanh chóng khôi phục lại dữ liệu đã mất, rà soát và vá các lỗ hổng bảo mật để báo điện tử này có thể vận hành trở lại vào khoảng 8 giờ ngày 7.11.2010.

Đến 3 giờ sáng ngày 22.11.2010, VietnamNet một lần nữa lại bị dính “đo ván” của tin tặc, trang chủ của VietnamNet bị tin tặc thay đổi, dữ liệu lại bị xoá. Đội kỹ thuật của VietnamNet phải vất vả gần một ngày để 16 giờ ngày hôm sau, VietnamNet mới có thể hoạt động trở lại. “Chúng tôi vẫn chưa thể tìm ra thủ phạm các đợt tấn công này” - ông Minh cho biết.

Các kỹ thuật viên của VietnamNet phải vất vả “chiến đấu” với tin tặc suốt hai tháng qua. Ảnh: B.M
Các kỹ thuật viên của VietnamNet phải vất vả “chiến đấu” với tin tặc suốt hai tháng qua. Ảnh: B.M

Cần nói thêm rằng, VietnamNet vốn là đơn vị chuyên về công nghệ thông tin (CNTT) với hạ tầng kỹ thuật mạnh trong làng báo điện tử và đội ngũ quản trị có khả năng và giàu kinh nghiệm, do vậy, với những sự cố kiểu như hai đợt tấn công đầu tiên dù sao vẫn ở trong khả năng ứng phó. Với không ít báo điện tử có sức đề kháng yếu hơn và thiếu các phương án sao lưu và bảo vệ dữ liệu thì có thể nói với hai đợt tấn công này, khả năng mất trắng là hoàn toàn có thể xảy ra.

Ngày 6.12.2010, cộng đồng mạng lại một lần nữa xôn xao vì “VietnamNet lại bị hack”. Trang chủ của báo điện tử bị thay đổi giao diện, các thông tin mang tính chất bôi nhọ, gây chia rẽ nội bộ được đặt chình ình ở vị trí nổi bật. “Tin tặc đã đánh cắp quyền quản trị của hệ thống xuất bản và phao tin nhằm chia rẽ nội bộ VietnamNet” – đại diện của VietnamNet nói. Chưa hết, cuối tháng 12.2010, tin tặc lại nhằm vào hệ thống e-mail nội bộ của VietnamNet để phao tin, tung ra bên ngoài cái gọi là “Đơn kiến nghị của tập thể đảng viên VietnamNet”, nhằm bôi nhọ danh dự Tổng Biên tập Nguyễn Anh Tuấn.

Đến “giội bom” DDOS

Từ 4.1 đến chiều qua (10.1), VietnamNet liên tục bị tấn công từ chối dịch vụ (DDOS). Trong 3 ngày đầu tiên, trước khi có sự hỗ trợ hạ tầng kỹ thuật từ Cty VNG và Cty VTC, VietnamNet đã ở trong trạng thái “chập chờn” bởi hàng chục ngàn kết nối cùng một thời điểm từ các máy tính cá nhân bị nhiễm mã độc do tin tặc điều khiển. “Trong hơn 10 năm làm bảo mật, tôi chưa bao giờ thấy một cuộc tấn công có tổ chức, chuyên nghiệp và quy mô như vậy” – một chuyên gia an ninh mạng tham gia cùng ứng cứu sự cố (xin không nêu tên) cho biết.

Theo giải thích của chuyên gia này, đợt DDOS hiện nay nhằm vào VietnamNet có quy mô lớn chưa từng thấy với ít nhất gần 70 nghìn kết nối ở cùng một thời điểm và xuất phát từ hàng trăm nghìn địa chỉ mạng (IP) tại Việt Nam. “Tin tặc đã chuẩn bị rất kỹ lưỡng cho cuộc tấn công, thả mã độc vào hàng trăm nghìn máy tính cá nhân ở Việt Nam và điều khiển các máy tính này (mạng botnet) tấn công VietnamNet.

Phòng đặt máy chủ của VietnamNet.     Ảnh: B.M
Phòng đặt máy chủ của VietnamNet. Ảnh: B.M

Cách này làm các nhà cung cấp dịch vụ Internet Việt Nam (ISP) rất khó hỗ trợ vì khó có thể cắt kết nối Internet của một danh sách hàng trăm nghìn địa chỉ của người dùng” - chuyên gia này cho biết thêm. Theo thông tin từ VietnamNet, kẻ tấn công luôn theo sát diễn biến phòng thủ của đội ngũ kỹ thuật của báo điện tử này: “Mỗi khi chúng tôi thay đổi cấu hình để tránh bị DDOS giội bom, chỉ khoảng một giờ sau, tin tặc cũng chuyển luồng tấn công đến địa chỉ mới”.

Đợt “giội bom” DDOS này vẫn đang tiếp diễn và thậm chí còn có dấu hiệu gia tăng. “Chúng tôi không biết là tin tặc đã sử dụng hết năng lực của mạng botnet hay chưa. Về mặt lý thuyết, dân chuyên nghiệp không tung hết ngay năng lực tấn công mà sẽ nâng từ từ theo sự ứng phó của nạn nhân” – chuyên gia tham gia ứng cứu VietnamNet cho biết.

Theo một nguồn tin riêng của Lao Động, khả năng các cơ quan chức năng đã lấy được mẫu mã độc dùng để tấn công VietnamNet. Tuy vậy, theo các chuyên gia về bảo mật khả năng tìm ra được thủ phạm là rất khó.

Bài 2: Bất lực trước “quái thú” DDOS?

Đỗ Trọng

-
-

Không có nhận xét nào:

Đăng nhận xét