Tweet
Bkis phát hiện nguồn gốc vụ tấn công website Mỹ, Hàn
Bkis phát hiện nguồn gốc vụ tấn công website Mỹ, Hàn
Chiều 14-7, ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định, nguồn gốc các vụ tấn công vào các hệ thống website chính phủ của Mỹ và Hàn Quốc thời gian vừa qua xuất phát từ nước Anh. Theo ông Đức, ngay sau khi KrCERT, Trung tâm cứu hộ máy tính khẩn cấp của Hàn Quốc, mời BKIS tham gia vào cuộc điều tra kẻ đứng sau các cuộc tấn công vừa qua, vào sáng thứ bảy (11-7), các chuyên gia của Bkis đã lập tức bắt tay vào phân tích code của virus MyDoom và đã chỉ ra được có 8 server điều khiển các máy tính ma trong loạt tấn công này. Quan trọng hơn, các chuyên gia của Bkis đã tấn công ngược trở lại 2 trong số 8 sever đó để thu thập được nhật ký của các cuộc tấn công.
Mỗi 1 bot ngẫu nhiên kết nối với một trong 8 server điều khiển 3 phút một lần để nhận lệnh sẽ tấn công website nào tiếp theo. Các server điều khiển nhận lệnh từ chỉ huy thông qua server chủ.
Dựa vào phân tích các log đó, các chuyên gia đã tìm ra được một máy tính đặt ở Anh Quốc đã điều khiển 8 máy này (theo sơ đồ trên). Đó chính là máy tính gốc (master server) phát động cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc trong tuần trước. Master Server này chạy trên hệ điều hành Windows.
Ông Đức cho biết "sau 25 giờ đồng hồ, các chuyên gia Bkis đã nắm được toàn bộ hoạt động của hệ thống botnet. Từ đó, đã truy ra được Master Server, nơi phát động cuộc tấn công. Tất cả những thông tin này đã được Bkis cung cấp cho chính phủ Mỹ và Hàn Quốc để họ xúc tiến các công việc tiếp theo ở Anh".
Sẽ tìm ra thủ phạm
Địa chỉ IP cuả Master Server
Ông Nguyễn Minh Đức cho hay: “Khi đã xác định được nguồn tấn công nằm tại Vương quốc Anh, chúng tôi tin rằng việc tìm ra hacker là hoàn toàn có thể thực hiện được.” Địa chỉ IP nghi ngờ là nguồn phát tán là 195.90.118.xxx.
Tuy nhiên điều này còn phụ thuộc vào chính phủ Mỹ và chính phủ Hàn Quốc bởi máy chủ được đặt tại Anh nhưng điều đó không có nghĩa là người Anh tham gia vào vụ tấn công.
Đến nay, theo ông Đức, Bkis là cơ sở an ninh đầu tiên trên thế giới tìm ra được Master Server đó. Đó chính là lý do các hãng thông tấn thế giới như: ComputerWorld, PCWorld, USAToday... đều quan tâm kết quả điều tra này của Việt Nam.
Theo một điều tra cụ thể của BKIS từ hệ thống máy chủ được xem là nguồn gốc của sự tấn công, có tổng cộng 166.908 máy và đặt tại 74 quốc gia trên thế giới đã "mắc bệnh" để tham gia vào cuộc tấn công này.
Dưới đây là top 10 quốc gia có số lượng máy tính bị nhiễm bệnh nhiều nhất:
Vụ tấn công website Mỹ, Hàn: Máy chủ đặt tại Mỹ
Công ty Anh sở hữu máy chủ gốc bị Bkis phát hiện là “tổng chỉ huy” tấn công vào các trang web Hàn Quốc và Mỹ vừa khẳng định máy chủ đó nằm ở Miami (Mỹ) chứ không phải ở Anh.
Dựa theo các kết quả điều tra của Bkis, cảnh sát Hàn Quốc đã phối hợp với Cơ quan điều tra về tội phạm nguy hiểm của Anh (SOCA) để tiến hành điều tra nguồn gốc của Master Server (máy chủ gốc), nơi “tổng chỉ huy” các cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc tuần qua.
Tại Anh, một công ty có tên là Global Digital Broadcast (GDB) chuyên cung cấp dịch vụ IPTV (dịch vụ truyền hình Internet) đã được SOCA xác định là công ty quản lý dải địa chỉ IP server trong đó có địa chỉ 195.90.118.x của Master Server mà Bkis đã chỉ ra. SOCA đã tiến hành các bước điều tra với công ty này.
Global Digital Broadcast khẳng định đúng là họ đang quản lý dải địa chỉ IP server này và hiện họ đã cho một đối tác là Công ty Digital Latin America (DLA), có trụ sở tại Miami, Florida (Mỹ) sử dụng. Công ty DLA chuyên làm công việc mã hóa các chương trình truyền hình tiếng La tinh thu từ vệ tinh và phát trên hệ thống IPTV.
Như vậy, công ty Global Digital Broadcast tại Anh quản lý phần hệ thống của dải địa chỉ IP đang được điều tra và phần vật lý của hệ thống được quản lý bởi công ty DLA ở Miami. Quá trình điều tra theo đó được các cơ quan điều tra mở rộng sang Miami, Florida (Mỹ).
Hiện Master Server đặt tại đây đã được cách ly để phục vụ điều tra. Kết quả điều tra tiếp theo sẽ phụ thuộc vào sự phối hợp giữa các cơ quan điều tra của Anh, Mỹ và Hàn Quốc.
Hàn Quốc: “Kết quả điều tra của Bkis đáng tin cậy”
Ủy ban truyền thông quốc gia Hàn Quốc xác nhận kết quả điều tra của Bkis về máy chủ gốc từ Anh thực hiện cuộc tấn công vào các website Mỹ, Hàn là “đáng tin cậy”.
Qua báo cáo của Bkis, Ủy ban Truyền thông quốc gia Hàn Quốc đã đề nghị cơ quan pháp luật có thẩm quyền phối hợp với chính phủ Anh để xúc tiến tìm thủ phạm thực hiện các cuộc tấn công vào các website chính phủ Mỹ và Hàn trong tuần qua.
Sơ đồ hệ thống botnet tấn công DDoS vào website chính phủ Hàn Quốc và Mỹ
Trước đó, Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc (KrCERT) đã đề nghị Bkis trợ giúp phân tích mã độc được dùng trong đợt DDos này và các chuyên gia an ninh mạng của Việt Nam xác định được 8 server điều khiển hệ thống botnet (mạng máy tính ma) cũng như địa chỉ IP của máy chủ gốc (master server) đặt tại Anh.
Ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định Bkis là cơ quan an ninh đầu tiên tìm ra sự xuất hiện của master server. Tuy nhiên, phát hiện này của Bkis có vài điểm khác biệt với các báo cáo của chính phủ Hàn Quốc về mã độc. Các báo cáo đó cho rằng mã độc tự động hoạt động mà không cần nhận lệnh từ các server điều khiển.
“Chúng tôi không chắc những kẻ tấn công có thực sự ở Anh hay không. Rất có thể chúng đã hack một máy tính của Anh và sử dụng nó để điều khiển các cuộc tấn công”, một thành viên của Ủy ban Truyền thông quốc gia Hàn Quốc cho biết.
Chiều 14-7, ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định, nguồn gốc các vụ tấn công vào các hệ thống website chính phủ của Mỹ và Hàn Quốc thời gian vừa qua xuất phát từ nước Anh. Theo ông Đức, ngay sau khi KrCERT, Trung tâm cứu hộ máy tính khẩn cấp của Hàn Quốc, mời BKIS tham gia vào cuộc điều tra kẻ đứng sau các cuộc tấn công vừa qua, vào sáng thứ bảy (11-7), các chuyên gia của Bkis đã lập tức bắt tay vào phân tích code của virus MyDoom và đã chỉ ra được có 8 server điều khiển các máy tính ma trong loạt tấn công này. Quan trọng hơn, các chuyên gia của Bkis đã tấn công ngược trở lại 2 trong số 8 sever đó để thu thập được nhật ký của các cuộc tấn công.
Mỗi 1 bot ngẫu nhiên kết nối với một trong 8 server điều khiển 3 phút một lần để nhận lệnh sẽ tấn công website nào tiếp theo. Các server điều khiển nhận lệnh từ chỉ huy thông qua server chủ.
Dựa vào phân tích các log đó, các chuyên gia đã tìm ra được một máy tính đặt ở Anh Quốc đã điều khiển 8 máy này (theo sơ đồ trên). Đó chính là máy tính gốc (master server) phát động cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc trong tuần trước. Master Server này chạy trên hệ điều hành Windows.
Ông Đức cho biết "sau 25 giờ đồng hồ, các chuyên gia Bkis đã nắm được toàn bộ hoạt động của hệ thống botnet. Từ đó, đã truy ra được Master Server, nơi phát động cuộc tấn công. Tất cả những thông tin này đã được Bkis cung cấp cho chính phủ Mỹ và Hàn Quốc để họ xúc tiến các công việc tiếp theo ở Anh".
Sẽ tìm ra thủ phạm
Địa chỉ IP cuả Master Server
Ông Nguyễn Minh Đức cho hay: “Khi đã xác định được nguồn tấn công nằm tại Vương quốc Anh, chúng tôi tin rằng việc tìm ra hacker là hoàn toàn có thể thực hiện được.” Địa chỉ IP nghi ngờ là nguồn phát tán là 195.90.118.xxx.
Tuy nhiên điều này còn phụ thuộc vào chính phủ Mỹ và chính phủ Hàn Quốc bởi máy chủ được đặt tại Anh nhưng điều đó không có nghĩa là người Anh tham gia vào vụ tấn công.
Đến nay, theo ông Đức, Bkis là cơ sở an ninh đầu tiên trên thế giới tìm ra được Master Server đó. Đó chính là lý do các hãng thông tấn thế giới như: ComputerWorld, PCWorld, USAToday... đều quan tâm kết quả điều tra này của Việt Nam.
Theo một điều tra cụ thể của BKIS từ hệ thống máy chủ được xem là nguồn gốc của sự tấn công, có tổng cộng 166.908 máy và đặt tại 74 quốc gia trên thế giới đã "mắc bệnh" để tham gia vào cuộc tấn công này.
Dưới đây là top 10 quốc gia có số lượng máy tính bị nhiễm bệnh nhiều nhất:
Thứ tự Quốc gia
1 Hàn Quốc
2 Hoa Kỳ
3 Trung Quốc
4 Nhật Bản
5 Canada
6 Úc
7 Philippines
8 New Zealand
9 Anh
10 Việt Nam
M.PHI - QUỐC TRUNG
----------------
1 Hàn Quốc
2 Hoa Kỳ
3 Trung Quốc
4 Nhật Bản
5 Canada
6 Úc
7 Philippines
8 New Zealand
9 Anh
10 Việt Nam
M.PHI - QUỐC TRUNG
----------------
Công ty Anh sở hữu máy chủ gốc bị Bkis phát hiện là “tổng chỉ huy” tấn công vào các trang web Hàn Quốc và Mỹ vừa khẳng định máy chủ đó nằm ở Miami (Mỹ) chứ không phải ở Anh.
Dựa theo các kết quả điều tra của Bkis, cảnh sát Hàn Quốc đã phối hợp với Cơ quan điều tra về tội phạm nguy hiểm của Anh (SOCA) để tiến hành điều tra nguồn gốc của Master Server (máy chủ gốc), nơi “tổng chỉ huy” các cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc tuần qua.
Tại Anh, một công ty có tên là Global Digital Broadcast (GDB) chuyên cung cấp dịch vụ IPTV (dịch vụ truyền hình Internet) đã được SOCA xác định là công ty quản lý dải địa chỉ IP server trong đó có địa chỉ 195.90.118.x của Master Server mà Bkis đã chỉ ra. SOCA đã tiến hành các bước điều tra với công ty này.
Global Digital Broadcast khẳng định đúng là họ đang quản lý dải địa chỉ IP server này và hiện họ đã cho một đối tác là Công ty Digital Latin America (DLA), có trụ sở tại Miami, Florida (Mỹ) sử dụng. Công ty DLA chuyên làm công việc mã hóa các chương trình truyền hình tiếng La tinh thu từ vệ tinh và phát trên hệ thống IPTV.
Như vậy, công ty Global Digital Broadcast tại Anh quản lý phần hệ thống của dải địa chỉ IP đang được điều tra và phần vật lý của hệ thống được quản lý bởi công ty DLA ở Miami. Quá trình điều tra theo đó được các cơ quan điều tra mở rộng sang Miami, Florida (Mỹ).
Hiện Master Server đặt tại đây đã được cách ly để phục vụ điều tra. Kết quả điều tra tiếp theo sẽ phụ thuộc vào sự phối hợp giữa các cơ quan điều tra của Anh, Mỹ và Hàn Quốc.
Hàn Quốc: “Kết quả điều tra của Bkis đáng tin cậy”
Ủy ban truyền thông quốc gia Hàn Quốc xác nhận kết quả điều tra của Bkis về máy chủ gốc từ Anh thực hiện cuộc tấn công vào các website Mỹ, Hàn là “đáng tin cậy”.
Qua báo cáo của Bkis, Ủy ban Truyền thông quốc gia Hàn Quốc đã đề nghị cơ quan pháp luật có thẩm quyền phối hợp với chính phủ Anh để xúc tiến tìm thủ phạm thực hiện các cuộc tấn công vào các website chính phủ Mỹ và Hàn trong tuần qua.
Sơ đồ hệ thống botnet tấn công DDoS vào website chính phủ Hàn Quốc và Mỹ
Trước đó, Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc (KrCERT) đã đề nghị Bkis trợ giúp phân tích mã độc được dùng trong đợt DDos này và các chuyên gia an ninh mạng của Việt Nam xác định được 8 server điều khiển hệ thống botnet (mạng máy tính ma) cũng như địa chỉ IP của máy chủ gốc (master server) đặt tại Anh.
Ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định Bkis là cơ quan an ninh đầu tiên tìm ra sự xuất hiện của master server. Tuy nhiên, phát hiện này của Bkis có vài điểm khác biệt với các báo cáo của chính phủ Hàn Quốc về mã độc. Các báo cáo đó cho rằng mã độc tự động hoạt động mà không cần nhận lệnh từ các server điều khiển.
“Chúng tôi không chắc những kẻ tấn công có thực sự ở Anh hay không. Rất có thể chúng đã hack một máy tính của Anh và sử dụng nó để điều khiển các cuộc tấn công”, một thành viên của Ủy ban Truyền thông quốc gia Hàn Quốc cho biết.
M.PHI (Theo Korea Times)
