TẠP CHÍ ĐIỆN TỬ
“Rất khó tìm ra thủ phạm tấn công VietNamNet”
Công ty Cổ phần An ninh An toàn thông tin CMC cho biết đã phát hiện một máy chủ điều khiển tấn công báo VietNamNet ngày 7/1
Công ty Cổ phần An ninh An toàn thông tin CMC (CMC InfoSec) cho biết đã phát hiện ra một máy chủ điều khiển tấn công báo điện tử VietNamNet ngày 7/1.
VietNamNet cho biết, mạng Botnet đang được sử dụng để tấn công báo này có quy mô lớn chưa từng có tại Việt Nam, với số lượng trên 50.000 máy tính bị nhiễm virus.
Trong chiều 7/1, cường độ tấn công đo được từ cả hai đơn vị ứng cứu băng thông cho VietNamNet đã lên tới mức đỉnh điểm, cao gấp 30 lần lượng truy cập vào VietNamNet thường đáp ứng trước khi bị tấn công.
Nếu như tại thời điểm báo bắt đầu bị tấn công (ngày 4/1), đơn vị này đã tiến hành chặn các dải IP tấn công nhiều nhất nên độc giả đã có thể vào được trang chủ VietNamNet dù tốc độ truy cập còn rất chậm và chập chờn. Tuy nhiên, trong những ngày sau đó, do số lượng máy tính tham gia tấn công quá nhiều với số lượng IP rải rác nên giải pháp này đã không thể thực hiện được nữa.
Hôm 14/1, sau khi nhận được thông báo khẩn của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), CMC InfoSec đã tham gia điều tra nguồn tấn công. Sau khi phân tích, CMC InfoSec phát hiện, mã độc này có tên Trojan.Oxdex.vnn đặt trong file GoogleCrashHandler.exe, được thiết kế với mục đích chính dùng cho việc tấn công VietNamNet.
“Sau khi cài đặt, trojan gửi yêu cầu tới domain oxdex.com, lấy file logo.jpg để nhận và giải mã thông tin điều khiển”, phân tích từ báo cáo kỹ thuật của CMC InfoSec. Khi máy tính của người dùng bị nhiễm mã độc này, nó sẽ nhận lệnh tấn công từ máy chủ có tên miền oxdex.com.
“Qua phân tích trên mẫu có được, có thể thấy trojan này phục vụ cho mạng máy tính ma đặt tại tên miền oxdex.com. Trojan có tính năng nhận lệnh tấn công từ chối dịch vụ qua HTTP và giả dạng các loại trình duyệt”, CMC Infosec cho biết.
Ngoài ra, báo cáo của CMC InfoSec cũng cho biết, lần theo dấu vết, đơn vị này đã tìm ra Oxdex.com là tên miền của máy chủ điều khiển mạng máy tính ma, hiện đã không phân giải được địa chỉ.
Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt - một công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.
CMC InfoSec đã cập nhật khả năng diệt mã độc Trojan.Oxdex.vnn trên phần mềm diệt virus CMC Internet Security và CMC Antivirus. Để không trở thành một “máy tính ma” tham gia tấn công VietnamNet, người dùng có thể dùng phần mềm trên để loại bỏ malware này.
Trang tin Vietnam+ dẫn lời ông Bùi Bình Minh, trợ lý Tổng biên tập VietNamNet cho hay, hiện tại website này hoạt động trong tình trạng bình thường, nhưng hacker vẫn tiếp tục tấn công từ chối dịch vụ vào hệ thống máy chủ, lưu lượng giảm còn khoảng 50% so với trước.
Khi được hỏi, liệu VietNamNet có nhờ phía an ninh mạng của Đức can thiệp, tìm ra thủ phạm, ông Minh cho hay, trước lúc phát hiện ra, máy chủ này đã không còn hoạt động. Ngoài ra, dải địa chỉ tấn công VietNamNet tương đối phức tạp, có thể ở Đức, Mỹ… và rất khó để tìm ra thủ phạm.
VietNamNet cho biết, mạng Botnet đang được sử dụng để tấn công báo này có quy mô lớn chưa từng có tại Việt Nam, với số lượng trên 50.000 máy tính bị nhiễm virus.
Trong chiều 7/1, cường độ tấn công đo được từ cả hai đơn vị ứng cứu băng thông cho VietNamNet đã lên tới mức đỉnh điểm, cao gấp 30 lần lượng truy cập vào VietNamNet thường đáp ứng trước khi bị tấn công.
Nếu như tại thời điểm báo bắt đầu bị tấn công (ngày 4/1), đơn vị này đã tiến hành chặn các dải IP tấn công nhiều nhất nên độc giả đã có thể vào được trang chủ VietNamNet dù tốc độ truy cập còn rất chậm và chập chờn. Tuy nhiên, trong những ngày sau đó, do số lượng máy tính tham gia tấn công quá nhiều với số lượng IP rải rác nên giải pháp này đã không thể thực hiện được nữa.
Hôm 14/1, sau khi nhận được thông báo khẩn của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), CMC InfoSec đã tham gia điều tra nguồn tấn công. Sau khi phân tích, CMC InfoSec phát hiện, mã độc này có tên Trojan.Oxdex.vnn đặt trong file GoogleCrashHandler.exe, được thiết kế với mục đích chính dùng cho việc tấn công VietNamNet.
“Sau khi cài đặt, trojan gửi yêu cầu tới domain oxdex.com, lấy file logo.jpg để nhận và giải mã thông tin điều khiển”, phân tích từ báo cáo kỹ thuật của CMC InfoSec. Khi máy tính của người dùng bị nhiễm mã độc này, nó sẽ nhận lệnh tấn công từ máy chủ có tên miền oxdex.com.
“Qua phân tích trên mẫu có được, có thể thấy trojan này phục vụ cho mạng máy tính ma đặt tại tên miền oxdex.com. Trojan có tính năng nhận lệnh tấn công từ chối dịch vụ qua HTTP và giả dạng các loại trình duyệt”, CMC Infosec cho biết.
Ngoài ra, báo cáo của CMC InfoSec cũng cho biết, lần theo dấu vết, đơn vị này đã tìm ra Oxdex.com là tên miền của máy chủ điều khiển mạng máy tính ma, hiện đã không phân giải được địa chỉ.
Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt - một công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.
CMC InfoSec đã cập nhật khả năng diệt mã độc Trojan.Oxdex.vnn trên phần mềm diệt virus CMC Internet Security và CMC Antivirus. Để không trở thành một “máy tính ma” tham gia tấn công VietnamNet, người dùng có thể dùng phần mềm trên để loại bỏ malware này.
Trang tin Vietnam+ dẫn lời ông Bùi Bình Minh, trợ lý Tổng biên tập VietNamNet cho hay, hiện tại website này hoạt động trong tình trạng bình thường, nhưng hacker vẫn tiếp tục tấn công từ chối dịch vụ vào hệ thống máy chủ, lưu lượng giảm còn khoảng 50% so với trước.
Khi được hỏi, liệu VietNamNet có nhờ phía an ninh mạng của Đức can thiệp, tìm ra thủ phạm, ông Minh cho hay, trước lúc phát hiện ra, máy chủ này đã không còn hoạt động. Ngoài ra, dải địa chỉ tấn công VietNamNet tương đối phức tạp, có thể ở Đức, Mỹ… và rất khó để tìm ra thủ phạm.
