Mã độc tấn công Vietnam Airlines... nhan nhản ở các cơ quan, doanh nghiệp

VietTimes -- Theo kết quả phân tích của BKAV, mã độc tấn công Vietnam Airlines vào chiều ngày 29/7 cũng xuất hiện tại nhiều cơ quan, doanh nghiệp, gồm cả các cơ quan Chính phủ, các tập đoàn, ngân hàng, viện nghiên cứu, trường đại học.

Sơ đồ tấn công của mã độc đã được cài vào hệ thống của Vietnam Airlines (Ảnh Bkav cung cấp)

Sơ đồ tấn công của mã độc đã được cài vào hệ thống của Vietnam Airlines (Ảnh Bkav cung cấp)

Theo phân tích từ Bkav, mã độc được sử dụng để tấn công hệ thống Vietnam Airlines hôm 29/7 sau khi xâm nhập vào máy tính sẽ ẩn mình dưới vỏ bọc là phần mềm diệt virus. Nhờ đó, nó có thể nằm yên trong thời gian dài mà không bị phát hiện.

Mã độc này kết nối thường xuyên, gửi các dữ liệu về máy chủ điều khiển thông qua tên miền Name.dcsvn.org, trong đó Name là tên được sinh ra theo đặc trưng của cơ quan, doanh nghiệp mà mã độc nhắm tới.

Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Ngoài ra, nó còn có thành phần chuyên để thao tác, xử lý với cơ sở dữ liệu SQL.

Ông Ngô Tuấn Anh, Phó chủ tịch Bkav, cho biết: "Bkav đã theo dõi mạng lưới phần mềm gián điệp tấn công có chủ đích (APT) vào hệ thống mạng Việt Nam từ giữa năm 2012. Kết quả phân tích cho thấy mã độc tấn công Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp khác bao gồm cả các cơ quan chính phủ, tập đoàn, ngân hàng, viện nghiên cứu, trường đại học. Vấn đề này đã được Bkav nhiều lần cảnh báo rộng rãi".

Trước đó, ngày 3/8/2016, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT đã phát công văn khẩn cấp yêu cầu các đơn vị chuyên trách về CNTT các Bộ, ngành; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam và các tổ chức ngân hàng thực hiện việc theo dõi, ngăn chặn kết nối và xóa các tập tin mã độc. Cụ thể, VNCERT cho biết, sau khi phân tích một số mẫu mã độc nhận được từ một số thành viên cho công tác ứng cứu sự cố, Trung tâm đã phát hiện một số dấu hiệu tấn công nguy hiểm. Với vai trò là đầu mối điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam, VNCERT đã yêu cầu lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm quản lý thực hiện khẩn cấp một số nội dung công việc.

Chiều 29/7, website của Vietnam Airlines bị thay đổi giao diện bằng hình ảnh nhóm hacker 1937cn, đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng bị rò rỉ lên mạng. Hệ thống âm thanh tại cảng hàng không Tân Sơn Nhất và Nội Bài cũng bị can thiệp, đưa ra thông tin xuyên tạc liên quan đến vấn đề Biển Đông.

Cho đến nay, Vietnam Airlines thông báo hệ thống công nghệ thông tin chính của họ đã hoàn tất quá trình kiểm tra và trở lại hoạt động. Hãng bay đã phối hợp với Tổng công ty Cảng hàng không Việt Nam khôi phục các máy tính tại quầy làm thủ tục ở Nội Bài, Tân Sơn Nhất. Đối với khách hàng chương trình Bông Sen Vàng, Vietnam Airlines thông báo sẽ tạm ngừng các chức năng trực tuyến, tuy nhiên vẫn đảm bảo đầy đủ quyền lợi của hội viên.