Tiến triển phát hiện hacker: Càng ngày càng rối!
Đã gửi: Thứ 5 16 Tháng 7, 2009 4:26 pm
Theo báo Anh Financial Times, việc các chuyên gia bảo mật lỗi lạc của thế giới có nhiều ý kiến khác nhau chỉ chứng tỏ vụ hack các website Mỹ, Hàn quá phức tạp.
Trong hai ngày qua, các báo Anh từ Daily Mail, Guardian, Times, Financial Times, ZD Net UK, Cnet, Telegraph… dồn đập đăng tải thông tin liên quan đến phát hiện của Trung tâm An ninh mạng Bách Khoa (Bkis) về máy chủ điều khiển các vụ tấn công từ chối dịch vụ (DDoS) các website chính phủ Hàn Quốc và Mỹ tuần qua. Sáng thứ Ba, ngày 14/7/09, Bkis công bố trên blog tiếng Anh của mình là phát hiện ra trung tâm điều khiển vụ tấn công website chính phủ Mỹ và Hàn Quốc đặt tại Anh. Bkis nêu rõ máy chủ gốc được dùng để phát tán chỉ dẫn đến các ‘zombie PC’ - các máy tính hình thành mạng botnet có thể dùng để tấn công các trang web với lượng truy cập lớn, làm vô hiệu hóa các website - có địa chỉ IP được Global Digital Broadcast, công ty truyền hình Internet có trụ sở ở Brighton (Anh) sử dụng.
Các nhân viên Cơ quan tình báo quốc gia Hàn Quốc (NIS) giám sát khả năng tấn công ảo ngày 14/7. Ảnh: EPA/ Daily Mail
Ngay sau đó, các nhà chức trách Anh quốc đã làm việc với công ty Global Digital Broadcast. Báo Times trích dẫn người phát ngôn của Cơ quan chống tội phạm nguy hiểm có tổ chức (SOCA) cho biết họ đã làm việc với Global Digital Broadcast nhưng đây không phải là một cuộc điều tra.
Trên thông cáo đăng trên website của mình, công ty này cho biết các kỹ sư của họ đã nhanh chóng loại trừ khả năng vụ tấn công đến từ một website chính phủ Bắc Hàn như đã được tình nghi trước đó. Công ty đã phát hiện nguồn gốc là từ một máy chủ được đặt ở Miami (Mỹ). Máy chủ này thuộc công ty Digital Latin America (DLA), một trong những đối tác của Digital Global Broadcast. DLA cũng đã xác nhận họ bị hack.
Cũng từ phát hiện của Bkis, qua tin đăng tải trên các phương tiện thông tin đại chúng thế giới, có nhiều giả thiết khác nhau về vụ tấn công mạng này.
Theo báo Guardian đưa tin hôm qua, Bkis nghĩ có thể tóm được thủ phạm thực hiện các đợt tấn công các website Mỹ, Hàn tuần qua. Song một quan chức của Ủy ban Truyền thông Hàn Quốc nói với báo Korea Times là “Chúng tôi không biết những kẻ tấn công có thực sự đóng tại Anh không hoặc chủ yếu hack một địa chỉ IP Anh và sử dụng nó để phát tán”.
Bài đăng trên blog công nghệ Financial Times hôm nay, 16/7, viết mặc dù cuộc điều tra tấn công website chính phủ Hàn Quốc, Mỹ đã phát hiện một số máy tính điều khiển bị tình nghi, gồm khả năng máy chủ gốc đặt tại Anh song các nhà nghiên cứu đang hỗ trợ chính phủ Mỹ cho rằng khả năng bắt thủ phạm dưới 20%.
Trong khi đó, Hong Min-Pyo, chủ tịch nhà cung cấp giải pháp bảo mật Hàn Quốc Shiftworks cho hãng tin Pháp AFP biết về kỹ thuật không thể theo dấu kẻ đã khởi xướng các vụ tấn công. Shiftworks cũng đã theo dõi một máy chủ đặt tại New Jersey (Mỹ), máy chủ được tin là đang phát tán cái gọi là mã độc.
Theo Guardian, ngành mã độc hiện nay còn hoạt động dưới dạng cho thuê: đăng quảng cáo cung cấp dịch vụ kèm các điều khoản dịch vụ. Chính vì botnet có sẵn cho thuê nên thủ phạm thực sự của các cuộc tấn công này có thể đơn giản chỉ là kẻ đi thuê.
Ông Vincent Weafer, Phó chủ tịch Symantec Security Response cho báo Mỹ USA Today hay một số máy tính ma đã được chỉ đạo “xóa tất cả những file làm việc liên kết với các ứng dụng phát triển, văn phòng, kinh doanh” và phá hủy “chương trình chương trình khởi động gốc (master boot program) để làm cho lần sau PC không thể hoạt động lại được khi người dùng khởi động lại”. Và mục đích chính của chúng là kiếm tiền.
Mã độc được sử dụng trong vụ tấn công vào website chính phủ Mỹ, Hàn Quốc vừa qua được gọi là MyDoom.HN và chỉ nhiễm các máy tính chạy hệ điều hành Windows. Nó được sử dụng lần đầu tiên vào năm 2004 để tấn công từ chối dịch vụ SCO Group. SCO đã treo giải thưởng 250 nghìn USD cho manh mối để bắt thủ phạm phát triển mã độc này. Microsoft cũng treo thưởng 250 nghìn USD cho thông tin về kẻ tạo ra biến thể Mydoom.B được dùng để tấn công các website của Microsoft. Google cũng bị tấn công sau đó.
Blog của Financial Times viết Cục điều tra liên bang Mỹ (FBI) và Cơ quan ứng cứu máy tính Mỹ (US-CERT) của Bộ An ninh nội địa Mỹ cùng với sự hỗ trợ của các nhà nghiên cứu tư nhân đang kiểm tra log của Digital Latin America để phát hiện liệu họ có thể lần theo dấu vết của thủ phạm khác.
Trong lúc này, các nhà chức trách Hoa Kỳ vẫn đang tiếp tục lần theo các kết nối điện tử tới một vài máy chủ điều khiển đáng khả nghi khác. Theo Financial Times ngày 15/7, một chuyên gia an ninh điều tra vụ tấn công cho biết, mỗi người đều có quan điểm riêng về những kẻ tình nghi. Việc xuất hiện rất nhiều ý kiến trái chiều từ các chuyên gia bảo mật lỗi lạc nhất thế giới cho thấy các vụ tấn công này quá phức tạp so với khả năng của một nhóm nhỏ.
Nhưng Jose Nazario, chuyên gia nghiên cứu thuộc công ty Abor Networks lại có ý kiến khác. Lệnh truy cập từ các máy chủ điều khiển rất giống với mã độc lưu hành không công khai được sử dụng trong cuộc tấn công. Quan điểm của ông tại thời điểm này đó là vụ tấn không thuộc kế hoạch của bất kỳ một chính phủ nào cả mà rất có thể được thực hiện từ Hàn Quốc và số hacker nhiều nhất là 3 người.
Theo ICTNews
Trong hai ngày qua, các báo Anh từ Daily Mail, Guardian, Times, Financial Times, ZD Net UK, Cnet, Telegraph… dồn đập đăng tải thông tin liên quan đến phát hiện của Trung tâm An ninh mạng Bách Khoa (Bkis) về máy chủ điều khiển các vụ tấn công từ chối dịch vụ (DDoS) các website chính phủ Hàn Quốc và Mỹ tuần qua. Sáng thứ Ba, ngày 14/7/09, Bkis công bố trên blog tiếng Anh của mình là phát hiện ra trung tâm điều khiển vụ tấn công website chính phủ Mỹ và Hàn Quốc đặt tại Anh. Bkis nêu rõ máy chủ gốc được dùng để phát tán chỉ dẫn đến các ‘zombie PC’ - các máy tính hình thành mạng botnet có thể dùng để tấn công các trang web với lượng truy cập lớn, làm vô hiệu hóa các website - có địa chỉ IP được Global Digital Broadcast, công ty truyền hình Internet có trụ sở ở Brighton (Anh) sử dụng.
Các nhân viên Cơ quan tình báo quốc gia Hàn Quốc (NIS) giám sát khả năng tấn công ảo ngày 14/7. Ảnh: EPA/ Daily Mail
Ngay sau đó, các nhà chức trách Anh quốc đã làm việc với công ty Global Digital Broadcast. Báo Times trích dẫn người phát ngôn của Cơ quan chống tội phạm nguy hiểm có tổ chức (SOCA) cho biết họ đã làm việc với Global Digital Broadcast nhưng đây không phải là một cuộc điều tra.
Trên thông cáo đăng trên website của mình, công ty này cho biết các kỹ sư của họ đã nhanh chóng loại trừ khả năng vụ tấn công đến từ một website chính phủ Bắc Hàn như đã được tình nghi trước đó. Công ty đã phát hiện nguồn gốc là từ một máy chủ được đặt ở Miami (Mỹ). Máy chủ này thuộc công ty Digital Latin America (DLA), một trong những đối tác của Digital Global Broadcast. DLA cũng đã xác nhận họ bị hack.
Cũng từ phát hiện của Bkis, qua tin đăng tải trên các phương tiện thông tin đại chúng thế giới, có nhiều giả thiết khác nhau về vụ tấn công mạng này.
Theo báo Guardian đưa tin hôm qua, Bkis nghĩ có thể tóm được thủ phạm thực hiện các đợt tấn công các website Mỹ, Hàn tuần qua. Song một quan chức của Ủy ban Truyền thông Hàn Quốc nói với báo Korea Times là “Chúng tôi không biết những kẻ tấn công có thực sự đóng tại Anh không hoặc chủ yếu hack một địa chỉ IP Anh và sử dụng nó để phát tán”.
Bài đăng trên blog công nghệ Financial Times hôm nay, 16/7, viết mặc dù cuộc điều tra tấn công website chính phủ Hàn Quốc, Mỹ đã phát hiện một số máy tính điều khiển bị tình nghi, gồm khả năng máy chủ gốc đặt tại Anh song các nhà nghiên cứu đang hỗ trợ chính phủ Mỹ cho rằng khả năng bắt thủ phạm dưới 20%.
Trong khi đó, Hong Min-Pyo, chủ tịch nhà cung cấp giải pháp bảo mật Hàn Quốc Shiftworks cho hãng tin Pháp AFP biết về kỹ thuật không thể theo dấu kẻ đã khởi xướng các vụ tấn công. Shiftworks cũng đã theo dõi một máy chủ đặt tại New Jersey (Mỹ), máy chủ được tin là đang phát tán cái gọi là mã độc.
Theo Guardian, ngành mã độc hiện nay còn hoạt động dưới dạng cho thuê: đăng quảng cáo cung cấp dịch vụ kèm các điều khoản dịch vụ. Chính vì botnet có sẵn cho thuê nên thủ phạm thực sự của các cuộc tấn công này có thể đơn giản chỉ là kẻ đi thuê.
Ông Vincent Weafer, Phó chủ tịch Symantec Security Response cho báo Mỹ USA Today hay một số máy tính ma đã được chỉ đạo “xóa tất cả những file làm việc liên kết với các ứng dụng phát triển, văn phòng, kinh doanh” và phá hủy “chương trình chương trình khởi động gốc (master boot program) để làm cho lần sau PC không thể hoạt động lại được khi người dùng khởi động lại”. Và mục đích chính của chúng là kiếm tiền.
Mã độc được sử dụng trong vụ tấn công vào website chính phủ Mỹ, Hàn Quốc vừa qua được gọi là MyDoom.HN và chỉ nhiễm các máy tính chạy hệ điều hành Windows. Nó được sử dụng lần đầu tiên vào năm 2004 để tấn công từ chối dịch vụ SCO Group. SCO đã treo giải thưởng 250 nghìn USD cho manh mối để bắt thủ phạm phát triển mã độc này. Microsoft cũng treo thưởng 250 nghìn USD cho thông tin về kẻ tạo ra biến thể Mydoom.B được dùng để tấn công các website của Microsoft. Google cũng bị tấn công sau đó.
Blog của Financial Times viết Cục điều tra liên bang Mỹ (FBI) và Cơ quan ứng cứu máy tính Mỹ (US-CERT) của Bộ An ninh nội địa Mỹ cùng với sự hỗ trợ của các nhà nghiên cứu tư nhân đang kiểm tra log của Digital Latin America để phát hiện liệu họ có thể lần theo dấu vết của thủ phạm khác.
Trong lúc này, các nhà chức trách Hoa Kỳ vẫn đang tiếp tục lần theo các kết nối điện tử tới một vài máy chủ điều khiển đáng khả nghi khác. Theo Financial Times ngày 15/7, một chuyên gia an ninh điều tra vụ tấn công cho biết, mỗi người đều có quan điểm riêng về những kẻ tình nghi. Việc xuất hiện rất nhiều ý kiến trái chiều từ các chuyên gia bảo mật lỗi lạc nhất thế giới cho thấy các vụ tấn công này quá phức tạp so với khả năng của một nhóm nhỏ.
Nhưng Jose Nazario, chuyên gia nghiên cứu thuộc công ty Abor Networks lại có ý kiến khác. Lệnh truy cập từ các máy chủ điều khiển rất giống với mã độc lưu hành không công khai được sử dụng trong cuộc tấn công. Quan điểm của ông tại thời điểm này đó là vụ tấn không thuộc kế hoạch của bất kỳ một chính phủ nào cả mà rất có thể được thực hiện từ Hàn Quốc và số hacker nhiều nhất là 3 người.
Theo ICTNews