Tin Tức Mới Nhất

Hacker Trung Quốc dồn dập tấn công mạng VN

Hacker Trung Quốc dồn dập tấn công mạng VN - Ảnh: chụp từ trang chủ của nhóm hacker 1937cn

 

Như Thanh Niên hôm qua đã thông tin, website 1937cn.net cho biết trong 2 ngày 30 và 31.5.2015 đã có hơn 1.200 website của VN và Philippines bị tấn công, trong đó có khoảng 1.000 website của VN.   

Theo ông Trần Quang Chiến, Giám đốc Công ty CP VNIST (VNIST Corp), phụ trách website an ninh mạng securitydaily.net, thì 1937cn.net là trang web chính thức của nhóm hacker 1937cn nổi tiếng và mạnh nhất Trung Quốc (TQ). Đây là trang mạng được lập ra với mục đích kích động hacker TQ tấn công các website của VN và các quốc gia ở khu vực Biển Đông.

“Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của VN trong năm 2014”, ông Chiến nói.

Theo dõi sát các cuộc tấn công

Trao đổi với Thanh Niên chiều qua, ông Nguyễn Huy Dũng, Cục phó Cục An toàn thông tin (ATTT), Bộ Thông tin - Truyền thông (TT-TT), cho biết các đơn vị chức năng của Cục vẫn đang theo dõi sát các cuộc tấn công này. Con số chính thức các cuộc tấn công hiện nay, mỗi nơi thống kê một khác do cách tính toán.

Tuy nhiên, theo ông Dũng, có thể không đến 1.000 website, nhưng điều đó vào lúc này không quá quan trọng, bởi những lỗ hổng và thiệt hại của vụ việc mới là điều đáng quan tâm.

Đánh giá riêng về các vụ tấn công của 1937cn, ông Dũng cho biết mục tiêu của nhóm này đã được xác định nhằm vào website chứa nhiều thông tin quan trọng, đặc biệt các tên miền .gov.vn.

Trong hệ thống tên miền này bao gồm: Một là của các bộ, ngành và UBND các tỉnh cung cấp thông tin, dịch vụ công tới người dân và doanh nghiệp. Thời gian qua mức độ bảo mật, an toàn thông tin của hệ thống webstie này được quan tâm ở mức độ nhất định nên không đáng ngại lắm. Nhưng đối với nhóm website thứ hai, vẫn mang tên miền .gov.vn của các tổ chức chính trị - xã hội, theo ông Dũng có nhiều rủi ro, đáng ngại hơn.

“Phần lớn hệ thống bị tấn công vừa qua của nhóm 1973cn rơi vào các đối tượng này. Bản thân các tổ chức, đơn vị này không chuyên về công nghệ thông tin (CNTT) nên công tác bảo mật gặp nhiều khó khăn”, ông Dũng nói.

Lật lại hồ sơ, theo ông Dũng, các cuộc tấn công của hacker TQ thường diễn ra vào các đợt cao điểm sự kiện chính trị lớn, đặc biệt là khi tình hình căng thẳng trên Biển Đông. Hồi đầu tháng 5.2014, thời điểm TQ hạ đặt trái phép giàn khoan HD-981 vào vùng biển VN, nhóm hacker 1937cn đã tấn công hàng trăm website của VN. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của VN trong đợt nghỉ lễ Quốc khánh 2.9.2014.

Nên hạn chế các giao dịch nhạy cảm qua mạng

Trước khi hacker TQ tấn công ồ ạt vào website VN, một lỗ hổng an ninh nghiêm trọng vừa được phát hiện liên quan đến thuật toán tạo khóa chia sẻ an toàn, khiến người dùng khi truy cập các trang HTTPS, thường là các dịch vụ quan trọng như giao dịch ngân hàng, chứng khoán, mua sắm trực tuyến có thể bị tấn công, nghe lén.

Lỗ hổng Logjam tồn tại trong thuật toán trao đổi khóa sử dụng mã hóa Diffie-Hellman dùng để tạo khóa chia sẻ an toàn trong các giao thức bảo mật HTTPS, SSH, IPsec, SMTPS và các giao thức dựa trên TLS khác. Hacker có thể lợi dụng lỗ hổng để hạ cấp mã hóa kết nối từ 1024-bit xuống 512-bit, từ đó tấn công nghe lén Man-in-the-Middle.

Ước tính có khoảng 8,4% trong số 1 triệu tên miền HTTPS phổ biến chịu ảnh hưởng từ lỗ hổng. Các trình duyệt Safari, Firefox và Google Chrome - không bao gồm Internet Explorer - hiện chưa nhận được bản vá cho lỗ hổng. Ông Nguyễn Hồng Sơn, chuyên gia phụ trách mảng an ninh hệ thống của Bkav, cảnh báo: “Cho đến khi các nhà cung cấp đưa ra bản vá, người dùng nên hạn chế các giao dịch nhạy cảm qua mạng. Quản trị server cũng cần hủy tính năng hỗ trợ mã hóa DHE_EXPORT, cho phép hạ cấp mã hóa Diffie-Hellman”.

Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Trần Quang Chiến cho biết FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt internet và được sử dụng rất rộng rãi. Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thực mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên website nhằm chiếm quyền điều khiển website.

Theo ông Nguyễn Huy Dũng, trước mắt hacker chỉ tập trung vào các lỗ hổng cơ bản, do đó Cục ATTT khuyến cáo các tổ chức, cá nhân cần phải thường xuyên cập nhật phần mềm máy chủ, ứng dụng web, các bản vá của các hãng bảo mật uy tín. Bởi nếu để lỗ hổng cũ, hacker sẽ rất dễ dàng xâm nhập. Về mặt lâu dài, Bộ TT-TT đang xây dựng dự thảo luật ATTT và một số thông tư hướng dẫn phân định cấp độ ATTT.

Một số vụ tấn công điển hình

- Ngày 5.3.2013: Đại tá Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), bị hacker TQ tấn công thông qua email, nhằm âm thầm đánh cắp dữ liệu. Cuộc tấn công bị phát hiện và ngăn chặn kịp thời.

 -  Từ  30.4 - 1.5.2014: Có khoảng gần 150 website của VN bị tấn công, nhiều trang không thể truy cập được. Một số website còn nguyên các dòng chữ do hacker TQ để lại ngay trên trang chủ.

- Ngày 2.9.2014: Trang tin về bảo mật securitydaily.net (thuộc công ty chuyên về bảo mật, an ninh mạng MVS) cho biết trong dịp nghỉ lễ 2.9 đã có tổng cộng 745 website bao gồm cả tên miền phụ (subdomain) của VN bị hacker TQ tấn công.

 - Ngày 20.5.2015: Hãng bảo mật Kaspersky phát hiện một nhóm người TQ tham gia hoạt động gián điệp mạng với mục tiêu là VN và nhiều nước quanh Biển Đông. Kaspersky vừa lập biểu đồ 5 năm hoạt động của một nhóm gián điệp mạng có tên Naikon. Nhóm này được Kaspersky phát hiện là người TQ, hoạt động gián điệp mạng nhắm đến các quốc gia xung quanh Biển Đông.

 -  Ngày 25.5.2015, Fire Eye - công ty bảo mật hàng đầu chuyên ngăn chặn các cuộc tấn công trình độ cao trên không gian mạng của Mỹ - công bố nhóm tin tặc APT 30 có trụ sở đặt tại TQ tấn công mạng VN suốt 10 năm.

Anh Vũ - Quang Thuần

Liên Quan :

>> Hai ngày, hacker Trung Quốc tấn công 1.000 website của Việt Nam
>> 'Đại pháo', vũ khí tấn công mạng mới của Trung Quốc 
>> Gần 20.000 sự cố tấn công trên hệ thống mạng internet VN
>> Trang FAM bị tấn công: Hacker 'bên thứ ba' ra tay để gây rối?
>> Hơn 700 website Việt Nam bị tin tặc Trung Quốc tấn công
>> Không loại trừ hacker Trung Quốc tấn công mạng Bộ Tài nguyên - Môi trường

Phân tích vụ việc 1000 website của Việt Nam bị Trung Quốc tấn công

1937cn_2

Như nhiều báo chí đã đưa tin, nhằm phản hồi lại chiến dịch tấn công các website của Trung Quốc có tên “OpChina” của một số  hacker đến từ Việt Nam và Philipines. Các nhóm hacker Việt nam và Philipines đã tấn công defacement, chiếm quyền điều khiển, DDOS và đe dọa nhiều website của Trung Quốc, chính phủ Trung Quốc. Nhóm hacker 1937cn đã trả đũa bằng cách tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1000 website Việt Nam. Trong số đó có nhiều website .gov.vn (các website của cơ chính phủ Việt Nam) và các website .edu.vn (Các website của các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.

Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách, sử dụng bản đã cũ của plugin FCKEditor. Đây là những lỗ hổng mà chính nhóm hacker đã từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.

Với các lỗ hổng này có thể tin tặc đã sử dụng các công cụ tấn công tự động, nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.

Lỗ hổng trong FCKEditor

FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.

Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thưc mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.

Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau

  1. Xóa các thưc mục upload test trên website.
  2. Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
  3. Hoặc có thể cập nhật phiên bản mới của FCKEditor tại đây: http://ckeditor.com/
  4. Bạn cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = “/”’.

FCKEditor

Mã nguồn có lỗ hổng

FCKEditor2

Mã nguồn An toàn

Nhóm hacker ch mưu tấn công?

1937cn.net – trang web chính thức của nhóm 1937cN, một trang mạng Hacker của Trung Quốc được lập ra với mục đích kích động các Hacker Trung Quốc tấn công các website của Việt Nam và khu vực biển đông. 1937cN là nhóm hacker nổi tiếng và mạnh nhất Trung Quốc.

1937cN đã tng tn công rt nhiu website ca Vit Nam

1937cN là nhóm đã từng tấn công nhiều hệ thống, website quan trọng của Việt Nam, website chính phủ, các tổ chức lớn của Việt Nam. Nhóm này cũng thường tổ chức các đợt tấn công qui mô lớn vào Việt Nam khi có các sự kiện lớn liên quan tới chính trị giữa Việt Nam và Trung Quốc.

  1. Tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com trong tháng 8/2013, khi thực chuyển 2 tên miền thegioididong.com và facebook.com.vn tới trang website của hacker.
  2. Tấn công hàng trăm website của Việt Nam trong dịp hồi đầu tháng 5/2014 trong việc Trung Quốc đặt dàn khoan HD981 vào vùng lãnh hải của Việt nam.
  3. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của Việt Nam trong đợt nghỉ lễ 02/09 năm 2014.
  4. Ngoài ra, trong quá trình đánh giá, làm việc chúng tôi cũng phát hiện rất nhiều website của chính phủ, cơ quan nhà nước Việt nam cũng từng là nạn nhân của 1937CN.

Trên website chính thức của nhóm hacker này (website: 1937cn.net ) cũng đưa nhiều thông tin liên quan đến các vấn đề chính trị, nhạy cảm giữa Việt Nam và Trung Quốc, vấn đề Biển Đông, các chiến tích đạt được trong việc tấn công các website của các nước khác trong đó có Việt Nam.

Các Tin Tức Gần Đây