Mã độc tấn công website của Vietnam Airlines xuất hiện tại nhiều cơ quan, doanh nghiệp khác

Chiều 8-8, Bkav đã công bố kết quả phân tích cho thấy mã độc tấn công website của Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp khác.

Trước đó, chiều 29-7 website của Vietnam Airlines bị deface với hình ảnh nhóm hacker 1937cn, đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng bị rò rỉ lên mạng... Ngay trong đêm 29-7, trong một bài phân tích trên WhiteHat.vn, các chuyên gia Bkav nhận định, để thực hiện được cuộc tấn công này hacker (tin tặc) đã xâm nhập được sâu vào hệ thống bằng cách sử dụng phần mềm gián điệp (spyware) theo dõi, kiểm soát máy của quản trị viên.

Theo kết quả phân tích từ bộ phận nghiên cứu mã độc của Bkav, mã độc sau khi xâm nhập vào máy tính sẽ ẩn mình dưới vỏ bọc giả mạo là một phần mềm diệt virus. Nhờ đó, nó có thể ẩn mình trong thời gian dài mà không bị phát hiện.

Mô hình tấn công của tin tặc được Bkav mô tả. Ảnh: BTC

Mã độc có kết nối thường xuyên gửi các dữ liệu về máy chủ điều khiển (C&C Server) thông qua tên miền Name.dcsvn.org (nhái tên miền của website Đảng Cộng sản). Trong đó Name là tên được sinh ra theo đặc trưng của cơ quan, doanh nghiệp mà mã độc nhắm tới.

Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Ngoài ra, mã độc còn có thành phần chuyên để thao tác, xử lý với cơ sở dữ liệu SQL.

Theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav: “Chúng tôi đã theo dõi mạng lưới phần mềm gián điệp tấn công có chủ đích (APT) vào hệ thống mạng Việt Nam từ giữa năm 2012. Kết quả phân tích cho thấy mã độc tấn công website Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp khác, bao gồm cả các cơ quan Chính phủ, các tập đoàn, ngân hàng, viện nghiên cứu, trường đại học. Vấn đề này đã được chúng tôi nhiều lần cảnh báo rộng rãi”.

Hiện tại, Bkav đã phát hành công cụ quét và kiểm tra mã độc miễn phí, người sử dụng có thể tải công cụ kiểm tra tại link: Bkav.com.vn/ScanSpyware. Công cụ này không cần cài đặt mà có thể khởi chạy luôn để quét.

Trước đó, Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông đã phát đi công văn về việc theo dõi, ngăn chặn kết nối và xóa các tập tin mã độc gửi các đơn vị chuyên trách về CNTT các Bộ, ngành; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam và các tổ chức ngân hàng.

VNCERT đã đưa ra cảnh báo 3 tên miền chứa mã độc đặc biệt nguy hiểm sau khi phân tích một số mẫu mã độc từ công tác ứng cứu sự cố tin tặc vừa qua. Theo đó, 3 tên miền chứa mã độc được cảnh báo gồm: playball.ddns.info; nvedia.ddns.info và air.dcsvn.org. Theo đánh giá của VNCERT, đây là những mã độc đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống.

VNCERT yêu cầu các đơn vị chuyên trách về công nghệ thông tin các bộ, ngành; các Sở Thông tin và Truyền thông; thành viên mạng lưới ứng cứu sự cố internet Việt Nam; các tổ chức tài chính, ngân hàng tổ chức theo dõi, ngăn chặn kết nối và xóa các tập tin chứa mã độc để góp phần hạn chế sự cố mạng tương tự như vừa qua.

VNCERT đề nghị các đơn vị thực hiện khẩn cấp việc theo dõi và ngăn chặn kết nối đến các tên miền: playball.ddns.info; nvedia.ddns.info; air.dcsvn.org; rà quét hệ thống và xóa các thư mục và tập tin mã độc có kích thước tương ứng; hướng dẫn kiểm tra mã MD5, SHA-1 của tập tin và cách thức xóa tập tin chứa mã độc...

Chi tiết các hướng dẫn xử lý mã độc được đăng tải tại website của VNCERT tại địa chỉ www.vncert.gov.vn.

VĂN PHONG