Kẻ tấn công Vietnamnet dần lộ diện

Lại một vụ lớn chưa từng có

Xin ông cho biết qua quy mô cuộc tấn công của tội phạm mạng (hacker) vào VietNamNet ngày 17-1?

Sau khi một máy chủ tham gia điều khiển mạng botnet (mạng lưới máy tính ma) bị cơ quan chức năng phát hiện và cuộc tấn công từ chối dịch vụ (DDOS) VietNamNet ngày 4/1 đã ngừng lại thì rạng sáng 17-1, thủ phạm lại tiếp tục thực hiện một cuộc tấn công DDOS mới với quy mô leo thang lớn hơn trước. Lượng truy cập vào các máy chủ của VietNamNet và các đơn vị ứng cứu vào thời điểm cao nhất đã lên tới hơn một triệu kết nối.

Làm thế nào để hình dung quy mô cuộc tấn công mới nhất này?

Cuộc tấn công đầu năm mới dương lịch, ngày 4-1-2011, bằng thủ đoạn tấn công DDOS là lớn chưa từng có ở Việt Nam. Nhưng trong cuộc tấn công DDOS ngày 17-1, các truy vấn từ mạng lưới botnet nhằm vào tên miền vietnamnet.vn còn lớn gấp đôi cuộc tấn công ngày 4-1.

Nhóm kỹ thuật VietNamNet trực 24/7 để lùng tìm thủ phạm còn giấu mặt

Để chuẩn bị cho một mạng lưới botnet được giới chuyên gia bảo mật đánh giá lên trên 50 ngàn tới xấp xỉ 100 ngàn máy tính bị chiếm quyền điều khiển, kẻ tấn công phải có một trình độ rất cao thủ để đàn botnet hình thành và ẩn mình từ rất lâu mà không bị phát hiện, đồng thời tiếp tục lây lan phát tán.

Nếu là đối tượng hacker mũ đen đánh thuê, đi mua gom từng đám botnet một vài ngàn máy thì cũng không thể đủ khả năng tập hợp chúng lại thành một đàn botnet quy mô lớn như vậy; và cũng khó có thể điều khiển mọi hành động tấn công DOS theo chỉ đạo của kẻ chủ mưu. Quy mô của đàn botnet cho thấy chúng đã được chuẩn bị từ rất lâu cho việc tấn công vào một mục tiêu lớn như báo VietNamNet

Phương thức của bốn cuộc tấn công cuối năm 2010 có vẻ khác hai cuộc tấn công DDOS đầu năm 2011. Phải chăng thù phạm là khác nhau?

Chưa có đủ chứng cứ để khẳng định sáu vụ tấn công chính nhằm vào VietNamNet hơn hai tháng qua là cùng một thủ phạm. Tuy nhiên, có thể chắc chắn rằng thủ phạm rất giống nhau ở những điểm mấu chốt, muốn hạ gục mọi hoạt động của VietNamNet và đều được thực hiện một cách bài bản, tinh vi, có kế hoạch được tính toán kỹ càng.

Bốn cuộc trước, thủ phạm thực hiện các hành vi tấn công một cách rất bài bản, từ xâm nhập xóa sạch dữ liệu, phá hủy hoàn toàn hệ thống máy chủ, đưa thông tin mạo danh vu khống lên báo, cho tới tung tin gây mâu thuẫn trong nội bộ, mạo danh để vu khống và bôi nhọ uy tín lãnh đạo báo. Hai cuộc mới nhất với phương thức khác cho thấy kẻ thủ ác vẫn không từ bỏ mục tiêu truy sát VietNamNet đến cùng.

Thủ phạm, chuyên nghiệp

Thủ phạm liệu có phải là những kẻ nghiệp dư?

Bất cứ ai có chút hiểu biết về an ninh mạng đều không nghĩ thế. Trong hai vụ tấn công đầu tiên với cùng phương thức xâm nhập vào hệ thống gồm hàng chục máy chủ để xóa sạch ổ cứng, thủ phạm phải mất rất nhiều thời gian để thăm dò, tìm hiểu về hệ thống để chiếm được quyền quản trị cao nhất vì hệ thống máy chủ này được xây dựng với quy mô khá phức tạp.

Kết hợp với việc dò tìm các nguồn tin nội bộ của VietNamNet, có thể từ các tài khoản e-mail bị trộm mật khẩu, thủ phạm còn mạo danh cán bộ kỹ thuật để một mặt tung ra các tài liệu vu khống, một mặt thu hút sự chú ý của các nhân viên trong tòa soạn để phát tán virus vào hệ thống e-mail nội bộ.

Tại sao ông cho rằng “kẻ thủ ác truy sát VietNamNet đến cùng”?

Hành động xóa trắng ổ cứng không những nhằm phi tang các bằng chứng, ngăn cản công tác điều tra của cơ quan chức năng, mà còn đánh thẳng vào cơ sở hạ tầng thông tin của một tờ báo điện tử.

Sau khi bị khóa chặt mọi hướng tấn công vào hệ thống máy chủ mới, kẻ tấn công chuyển sang lợi dụng sơ hở từ những máy tính bị nhiễm virus để lấy trộm tài khoản xuất bản nội dung (account CMS). Đây là cơ sở để thủ phạm thực hiện vụ tấn công thứ ba, đưa lên VietNamNet những nội dung mạo danh, bôi nhọ uy tín cá nhân nhằm mục đích chia rẽ giữa VietNamNet và đơn vị đối tác, đồng thời gây bất ổn và mâu thuẫn giữa các nhân sự trong nội bộ của báo.

Sau khi hệ thống quản trị nội dung CMS được thắt chặt tối đa, thủ phạm không thể xâm nhập được thì họ thực hiện cuộc tấn công thứ tư bằng cách trộm mật khẩu email cá nhân trong báo gửi tới các địa chỉ email nội bộ và của các diễn đàn, blog trên mạng. Nội dung email mạo danh tập thể cán bộ đảng viên để vu khống nhằm mục đích bôi nhọ uy tín, danh dự của Tổng Biên tập VietNamNet.

Thủ phạm, không chỉ một

Đến thời điểm này, các ông hình dung thủ phạm ra sao, là cá nhân hay tập thể? Liệu có phải do bất mãn trong nội bộ?

Đây không đơn giản chỉ là sự trả thù của một cá nhân đơn lẻ nào đó. Nếu chỉ xuất phát từ sự hằn thù cá nhân muốn phá VietNamNet thì, sau hai lần tấn công đầu tiên với việc phá sập hàng chục máy chủ mỗi lần, thủ phạm chắc chắn đã hả dạ tới mức chẳng còn ý định tấn công tiếp.

Với trình độ công nghệ và bảo mật đủ để thực hiện những cuộc tấn công như vậy, thủ phạm hoàn toàn có thể có một công việc thu nhập rất cao cho các hãng bảo mật lớn trên thế giới, nên giả định thủ phạm là nhân viên cũ bất mãn với tờ báo xem ra cũng không có sức thuyết phục.

 Cám ơn ông.