|
| Các màn hình chỉ dẫn thông tin tại các quầy làm thủ tục chuyến bay (check-in) của các hãng hàng không ở sân bay Nội Bài đều bị tắt |
Theo ông Ngô Việt Khôi, chuyên gia an ninh mạng nhận định vụ việc xảy ra tại sân bay Nội Bài và Tân Sơn Nhất chiều qua (29/7) là hai cuộc tấn công riêng. Theo ông Khôi, vụ tấn công này là điển hình của tấn công có chủ đích và nhắm vào hai hệ thống khác nhau.
"Mạng ở Cảng vụ hàng không miền Bắc đã bị xâm nhập và chiếm quyền điều khiển. Khi hacker làm được điều này là họ đã có thể cài mã độc kết nối với server điều khiển bên ngoài (C&C server), sửa đổi trang web, phát file âm thanh... cái đáng ngại hơn thế là sự rò rỉ, mất thông tin đã âm thầm diễn ra trong thời gian trước đó. Hoặc từ Server/máy tính bị tấn công, mã độc có thể lan truyền sang các sever khác có kết nối với máy đó (trong và ngoài hệ thống VNA) và tạo ra các nạn nhân mới. Điều này mới thật sự đáng ngại. việc thể hiện nội dung phản đối lên màn hình vẫn còn là cấp độ đơn giản nhất", ông Khôi giải thích.
Cũng trao đổi về cuộc tấn công của nhóm hacker có tên China 1937 vào hệ thống thông tin màn hình ở khu vực làm thủ tục hành khách tại Cảng hàng không quốc tế Tân Sơn Nhất và Nội Bài, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Bkav nhận định đây là cuộc tấn công có chủ đích (APT).
“Việc website bị tấn công vào hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware),” ông Tuấn Anh nói.
Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong file văn bản để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích.
Theo chuyên gia bảo mật của Bkav, một kịch bản tấn công đơn giản thường được những kẻ đứng đằng sau mạng lưới ngầm này sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản với nội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thì đúng là có nội dung có thật nhưng đồng thời lại bị nhiễm virus do trong file có chứa sẵn phần mềm gián điệp.
Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update, Adobe Flash, Bộ gõ Unikey, Từ điển… Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển chúng nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại khác.
"Cụ thể trong vụ việc này, thông qua các máy tính đã bị mã độc kiểm soát, hacker có thể cấu hình thay đổi tên miền của website để trỏ về trang web giả mạo, cấu hình thay đổi thông tin hiển thị trên màn hình và nội dung trên hệ thống loa phát thanh thông báo…", ông Ngô Tuấn Anh chia sẻ thêm.
Nhóm tin tặc 1937cn là ai?
Theo thông tin từ SecureDaily, website 1937cn.net - trang web chính thức của nhóm 1937cN, một trang mạng Hacker của Trung Quốc được lập ra với mục đích kích động các Hacker Trung Quốc tấn công các website của nước ngoài. Đây là nhóm hacker nổi tiếng và mạnh nhất Trung Quốc. Theo thống kê từ website hack-cn.com - trang web thống kê và xếp hạng các nhóm hacker Trung Quốc, nhóm 1937cN xếp số 1 với 36.820 cuộc tấn công đã thực hiện. Cũng trên website này đã thống kê 32.484 cuộc tấn công tới các nước láng giềng của Trung Quốc và Việt Nam.
Theo đó, 1937cN cũng chính là nhóm đã thực hiện vụ tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com trong tháng 8/2013, khi thực chuyển 2 tên miền thegioididong.com và facebook.com.vn tới trang website của hacker cùng những tuyên bố đầy khiêu khích.
Ngoài ra, theo thu thập của SecurityDaily thì nhóm 1937cN cũng đã từng tấn công nhiều website của các tổ chức chính phủ Việt Nam (tên miền .gov.vn).
Đặc biệt, trên website chính thức của nhóm hacker này (website: 1937cn.net ) cũng đưa các thông tin liên quan đến các vấn đề nhạy cảm giữa Việt Nam và Trung Quốc.
Theo một chuyên gia bảo mật tại TP HCM, có thể còn nhiều trang tương tự bị xâm nhập. "Họ dùng công cụ để dò lỗi hàng loạt website có tên miền edu, org, gov,... và tự động tấn công khai thác qua những lỗ hổng đó, chứ không chủ động tấn công theo từng trang riêng lẻ. Do đó, quản lý website của những tên miền này cần gia cố lại các lớp bảo mật và cập nhật bản vá hệ thống để chống ảnh hưởng từ các cuộc tấn công quy mô lớn", chuyên gia này nói với Zing.vn.
Trong sáng 30/7, đến lượt trang web của Đại học Kinh tế Quốc dân trở thành nạn nhân mới từ nhóm hacker tự xưng là "1937CN Team". Tin tặc đã xâm nhập vào hệ thống và để lại lời cảnh báo. Tuy nhiên, giao diện của trang này không bị thay đổi và hoạt động bình thường.
Một số thư mục trong của trang bị hacker để lại thông điệp "đã cảnh báo" và một số nội dung xuyên tạc, hăm doạ của nhóm hacker tự xưng là 1937CN Team. Dấu hiệu để lại chỉ đơn thuần là những dòng chữ cơ bản, không giống với những hình ảnh có trên website của VietnamAirlines
