. Công an Nhân dân - An ninh thế giới - An ninh thế giới cuối tháng - Văn nghệ công an
中文 - English
Cảnh sát công nghệ cao và cuộc khắc phục sự cố hacker tấn công lớn nhất trong năm 2016:

Nguy cơ đến từ tin tặc

Thứ Năm, 26/01/2017, 14:20
Theo cảnh báo của các chuyên gia công nghệ thông tin, tội phạm mạng đang trở thành một ngành công nghiệp có lợi nhuận lớn, giá trị hàng tỷ đô la Mỹ. Các cuộc tấn công của hacker chuyên nghiệp, có tổ chức, phần lớn là tấn công có chủ đích nhằm kiếm tiền hoặc phá hoại theo đơn đặt hàng.

Cuộc tấn công website vào hệ thống thông tin sân bay tại Việt Nam xảy ra vào cuối tháng 7-2016 được đánh giá là lớn nhất từ trước đến nay vào hệ thống thông tin hàng không của Việt Nam. Mặc dù sự cố đã nhanh chóng được khắc phục nhưng đây là lời cảnh tỉnh về nhận thức của tất cả mọi người, của các tổ chức, cơ quan, doanh nghiệp... về vấn đề an toàn, an ninh mạng tại Việt Nam.

"Vá lỗi", "tẩy mã độc"

Cuộc tấn công các sân bay tại Việt Nam năm 2016 bắt đầu vào lúc 13h46’ ngày 29-7-2016 tại Cảng hàng không quốc tế Tân Sơn Nhất và 16h7 phút tại Cảng hàng không quốc tế Nội Bài. Theo đó, hệ thống máy tính làm thủ tục hàng không của hãng hàng không Vietjet Air, Vietnam Airlines (bao gồm VASCO) tại nhà ga quốc nội cảng hàng không quốc tế Tân Sơn Nhất; hệ thống thiết bị thông tin chuyên ngành hàng không (như màn hình thông tin chuyến bay, màn hình máy tính phục vụ check-in tại quầy thủ tục của Vietnam Airlines, hệ thống phát thanh) tại nhà ga hành khách T1 Cảng hàng không quốc tế Nội Bài bị tấn công xâm nhập mạng phải dừng hoạt động.

Cảnh sát công nghệ cao Hà Nội sử dụng các thiết bị phục hồi chứng cứ dữ liệu điện tử.

Tại các sân bay Phú Quốc, Đà Nẵng, Nội Bài, Tân Sơn Nhất, hành khách phải check-in bằng tay do Internet bị cắt để ngăn chặn hacker. Tại sân bay Nội Bài, tất cả các màn hình và loa phát thanh tạm ngưng hoạt động để ngăn chặn hacker phát tán thông tin giả mạo. Các hãng hàng không phải sử dụng loa tay để thông báo cho khách.

Sự cố trên hoàn toàn  không ảnh hưởng đến hệ thống điều hành bay, khai thác tàu bay, không uy hiếp đến an toàn bay, nhưng đã ảnh hưởng nghiêm trọng đến quy trình phục vụ hành khách của ngành hàng không. Hơn 100 chuyến bay bị ảnh hưởng, trong đó có hàng chục chuyến bay bị chậm giờ từ 15 phút đến hơn 1 tiếng. Ngoài ra, tin tặc còn công khai các dữ liệu của hơn 400.000 thành viên Golden Lotus.

Sau khi xảy ra sự cố, được sự chỉ đạo của Ban giám đốc Công an TP Hà Nội, tổ công tác Đội Phục hồi chứng cứ dữ liệu điện tử (Đội 5) Phòng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (PC50) đã nhanh chóng có mặt tại sân bay Nội Bài, phối hợp đội ngũ  chuyên gia an ninh mạng của các tổ chức, đơn vị thuộc Bộ Công an và Bộ Thông tin truyền thông khẩn trương khắc phục sự cố và tiến hành điều tra, xử lý vụ việc.

Đồng chí Nguyễn Ngọc Anh, Đội trưởng Đội 5, PC50, Công an TP Hà Nội kể lại, khi tổ công tác tới nơi, lúc này hệ thống liên quan đến sự cố  đã được cách ly khỏi Internet. Màn hình ngừng hoạt động, nhân viên làm việc tại các quầy làm thủ tục đang phải làm việc thủ công check-in cho hành khách. Máy chủ web tại sân bay đã bị thay đổi giao diện, trên màn hình hiển thị hình ảnh tự nhận của nhóm hacker 1937CN (nhóm tin tặc khá nổi tiếng và thuộc hàng mạnh nhất của Trung Quốc, gây ra hàng chục nghìn cuộc tấn công ghi nhận được). Máy chủ cơ sở dữ liệu cũng không hoạt động.

Để đảm bảo sự phục vụ liền mạch đối với hành khách,  tổ công tác PC50 đã đề xuất giải pháp với phía Tổng công ty Hàng không Việt Nam sử dụng hệ thống dự phòng của sân bay để đưa hệ thống sớm trở lại hoạt động, vận hành bình thường; sau đó  tổ chức copy toàn bộ dữ liệu từ tất cả các máy chủ nghi vấn bị lây nhiễm mã độc.

Việc copy này không đơn thuần chỉ là lưu trữ dữ liệu mà copy để  mang về dựng lại toàn bộ hệ thống lỗi nhằm phát hiện xem sơ hở từ đâu. Từ đó giải đáp các vấn đề cần điều tra như tìm tệp tin nào đã bị nhiễm mã độc? mã độc đó hoạt động như thế nào? và khả năng đi vào hệ thống từ đâu?...

Để copy cả hệ thống chuyên dụng trên, phải mất thời gian khoảng 4-5 tiếng. Cả đêm 29-7 đến rạng sáng 30-7, tổ công tác PC50 đã thức trắng để hoàn thành việc copy, sau đó  khẩn trương trong thời gian sớm nhất dựng lại mô phỏng hoạt động của các server. Từ đó phát hiện những tiến trình lạ, những kết nối lạ nghi vấn, bất thường đến máy chủ đó.

Qua phân tích, Cảnh sát phòng chống tội phạm sử dụng công nghệ cao và các chuyên gia an ninh mạng  đã phát hiện tổng số  7 tệp tin thực thi bị nhiễm mã độc, trong đó có những file bị nhiễm mã độc từ thời điểm cuối năm 2015.

Đặc biệt, Đội phục hồi chứng cứ dữ liệu điện tử đã tìm ra một mã độc  mới có tên VNA (là mã độc chưa được công bố và chưa bị kích hoạt) bị nhiễm từ 7h41PM ngày 21-4-2016. Giải thích một cách dễ hiểu thì mã độc này giống như một loại virus đang trong thời gian "ủ bệnh", chờ thời cơ thuận lợi để phá hoại. Khi tiếp nhận với kết nối bên ngoài thì mã độc này có nhiệm vụ gì sẽ do kẻ tấn công làm chủ điều khiển, không thể biết trước được.

Tìm hiểu nguyên nhân những mã độc này có thể vào được hệ thống, Cảnh sát công nghệ cao Hà Nội đã phát hiện một số nguyên nhân sau:

Thứ nhất, hệ thống sử dụng hệ điều hành đã lỗi thời, có thể được hiểu như nhà cung cấp hệ điều hành đó không cung cấp bản cập nhật vá lỗi.

Thứ hai là việc sử dụng những phần mềm ứng dụng miễn phí được download  miễn phí trên mạng không rõ nguồn gốc. Thông qua các phần mềm giả mạo (giống tên), người dùng bị nhầm và tải về khiến máy tính bị lây nhiễm phần mềm gián điệp và lan rộng ra.

Thứ ba là sử dụng các phần mềm đã được crack (bẻ khóa) miễn phí trên mạng, nghĩa là các phần mềm này đã được hacker dùng kỹ thuật chuyên sâu bẻ khóa để hoạt động bình thường nhưng thực tế hacker có cài các phần mềm gián điệp vào hay không thì chưa có đơn vị nào kiểm soát được.

Đây là các lỗi chủ quan đã được PC50 Công an Hà Nội  kiến nghị  với Tổng công ty Hàng không Việt Nam để khắc phục kịp thời, đồng thời "tẩy" các mã độc ra khỏi hệ thống.

An toàn thông tin tại Việt Nam và những nguy cơ

Theo Cảnh sát phòng chống tội phạm sử dụng công nghệ cao, sau sự cố tại các sân bay ở Việt Nam nêu trên, nhóm hacker 1937CN đã lên tiếng phủ nhận không phải là đối tượng tấn công. Tuy nhiên, cuộc tấn công vào hệ thống của hàng không Việt Nam là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29-7-2016.

Tấn công APT là hình thức mà hacker, hay một nhóm hacker có tổ chức, tấn công bền bỉ có chủ đích nhằm vào tổ chức, doanh nghiệp cụ thể nhằm đạt cho được mục tiêu, như đánh cắp dữ liệu quan trọng bằng mọi cách. Việc truy tìm hacker không hề dễ, chưa kể tội phạm tấn công mạng và nạn nhân thường không cùng một quốc gia nên càng gây khó khăn cho các cơ quan thực thi pháp luật.

Đại tá Lê Hồng Sơn, Trưởng phòng PC50 Công an TP Hà Nội đánh giá,  tội phạm mạng đang trở thành một ngành công nghiệp có lợi nhuận lớn trên thế giới, giá trị hàng tỷ đô la Mỹ. Các cuộc tấn công của hacker chuyên nghiệp, có tổ chức, phần lớn là có chủ đích kiếm tiền hoặc phá hoại theo đơn đặt hàng. 

Nghiên cứu từ CSIS/McAfee cho thấy, tội phạm mạng gây thiệt hại cho nền kinh tế toàn cầu khoảng 445 tỷ USD mỗi năm. Riêng tại Việt Nam, đã xảy ra rất nhiều vụ tấn công mạng nghiêm trọng trong các năm gần đây. Các cuộc tấn công mạng vào Việt Nam ngày càng gia tăng dưới nhiều hình thức, sử dụng mã độc tấn công chiếm quyền điều khiển website, lấy cắp dữ liệu cá nhân, doanh nghiệp.

Sân bay Nội Bài đã phải làm thủ tục check-in bằng tay cho hành khách khi sự cố tin tặc tấn công hệ thống xảy ra vào chiều 29-7-2016.

Các cuộc tấn công này chủ yếu bằng 3 phương pháp: Truy cập bất hợp pháp, chiếm quyền điều khiển (tấn công có chủ đích); Tấn công deface - truy cập bất hợp pháp vào cơ sở dữ liệu nhằm phá hoại, sửa đổi dữ liệu, thay đổi giao diện; Tấn công từ chối dịch vụ DdoS - tấn công làm tắc nghẽn đường truyền bằng cách cài mã điều khiển các máy tính "ma" trong mạng botnet truy cập liên tục và lặp đi lặp lại vào một địa chỉ trang web đã định trước.

Các chuyên gia công nghệ thông tin cho rằng, tại Việt Nam, dữ liệu nội bộ của các tổ chức, doanh nghiệp có giá trị đang là đích nhắm tấn công APT. Đối tượng bị tấn công tập trung nhiều vào nhóm các doanh nghiệp tư nhân, FDI có doanh thu lớn, nhất là những đơn vị không có người chuyên trách công nghệ thông tin.

Nhiều doanh nghiệp có sản phẩm độc quyền như điện, nước, xăng dầu, thực phẩm, hoặc các cơ quan ngân hàng, cơ quan chính phủ cũng là đối tượng của tấn công APT. Trước đó, tấn công phá hoại đáng chú ý tại Việt Nam là vụ VCCorp bị tấn công làm ngưng trệ nhiều ngày một loạt trang web trong nước có lượt truy cập cao mà công ty này chịu trách nhiệm quản lý kỹ thuật, gây thiệt hại cho VCCorp hàng chục tỷ đồng.

Cảnh báo của Cảnh sát phòng chống tội phạm công nghệ cao, vụ tin tặc tấn công website và hệ thống thông tin tại các sân bay tại Việt Nam là hồi chuông báo động trước thực trạng mất an toàn thông tin, trong đó có an ninh mạng tại Việt Nam. Đa phần các cơ quan, tổ chức, doanh nghiệp còn chưa nhận thức đầy đủ mối nguy hiểm của các lỗ hổng bảo mật, thiếu nhân viên chuyên trách về an toàn thông tin, nhân lực trình độ thấp nên không hiểu vá lỗ hổng sao cho đúng, chưa hiểu phải bảo vệ gì và bảo vệ như thế nào?...

Trong khi đó, nguy cơ mất an toàn thông tin từ sơ hở, chủ quan của người sử dụng là rất cao. Khi truy cập mạng, chỉ cần nhìn thấy những ứng dụng phục vụ cho công việc của mình là người sử dụng download mà không để ý xem những phần mềm ứng dụng đó có nguồn gốc từ đâu, đã bị nhiễm độc chưa? Với hiện trạng như vậy, nếu không có sự quan tâm đúng mức về đảm bảo an toàn, an ninh thông tin thì sẽ còn sự cố tương tự xảy ra. 

Hương Vũ
Facebook Twitter Bản in Email Theo dõi trên News
Các tin khác
Ý kiến bạn đọc
.
.
©2024. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.