Trước đó, chiều ngày 29/7, website của Vietnam Airlines bị chiếm quyền kiểm soát và bị tấn công thay đổi giao diện, hiện thị hình ảnh nhóm hacker 1937cn, đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng của Vietnam Airlines bị rò rỉ lên mạng.
Cùng chiều ngày 29/7, hệ thống âm thanh và thông báo tại cảng hàng không Tân Sơn Nhất và Nội Bài bị can thiệp, sửa đổi hiển thị hình ảnh và âm thanh xuyên tạc về vấn đề Biển Đông.
Ngay trong đêm 29/7, các chuyên gia Bkav nhận định, để thực hiện được cuộc tấn công này hacker đã xâm nhập được sâu vào hệ thống bằng cách sử dụng phần mềm gián điệp (spyware) theo dõi, kiểm soát máy của quản trị viên.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an toàn mạng Bkav cho biết, việc website bị thay đổi giao diện (deface) và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp. Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong tệp tin văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích.
Trong thông tin mới công bố, liên quan đến sự cố mất an toàn, an ninh mạng tại Vietnam Airlines, Bkav cho biết, theo kết quả phân tích từ Bộ phận nghiên cứu mã độc của Bkav, mã độc sau khi xâm nhập vào máy tính sẽ ẩn mình dưới vỏ bọc giả mạo là một phần mềm diệt virus. Nhờ đó, nó có thể ẩn mình trong thời gian dài mà không bị phát hiện.
Mã độc có kết nối thường xuyên, gửi các dữ liệu về máy chủ điều khiển (C&C Server) thông qua tên miền Name.dcsvn.org (giả mạo tên miền của website Đảng Cộng sản). Trong đó “Name” là tên được sinh ra theo đặc trưng của cơ quan, doanh nghiệp mà mã độc nhắm tới.
Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi file âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Ngoài ra, mã độc còn có thành phần chuyên để thao tác, xử lý với cơ sở dữ liệu SQL.
Sơ đồ tấn công của mã độc đã được cài vào hệ thống của Vietnam Airlines
Ông Ngô Tuấn Anh cho biết thêm, Bkav đã theo dõi mạng lưới phần mềm gián điệp tấn công có chủ đích (APT) vào hệ thống mạng Việt Nam từ giữa năm 2012. Kết quả phân tích cho thấy mã độc tấn công Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp khác bao gồm cả một số cơ quan của Chính phủ, các tập đoàn, ngân hàng, viện nghiên cứu, trường đại học. Vấn đề này đã được Bkav cảnh báo rộng rãi nhiều lần.
Hiện tại công ty Bkav đã phát hành công cụ quét và kiểm tra mã độc miễn phí, người sử dụng có thể tải công cụ kiểm tra tại link: Bkav.com.vn/ScanSpyware. Công cụ này không cần cài đặt mà có thể khởi chạy luôn để quét. Riêng với những người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ được tự động cập nhật mẫu nhận diện mã độc này. Khi phát hiện hệ thống có mã độc, quản trị viên cần báo ngay cho các cơ quan chức năng để được hỗ trợ rà soát toàn bộ hệ thống mạng vì khi mã độc này đã xuất hiện có nghĩa là hệ thống đã bị xâm nhập.
Trong thông cáo báo chí phát ra ngày 01/8/2016, Hiệp hội An toàn thông tin Việt Nam (VNISA) cũng đã nhận định rằng, cuộc tấn công vào hệ thống Vietnam Airlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn biến kéo dài trước khi bùng phát vào ngày 29/7/2016. Có dấu hiệu cho thấy có thể hệ thống đã bị hacker xâm nhập từ giữa năm 2014. Tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7 và đã vượt qua được các công cụ giám sát an toàn thông tin thông thường như các phần mềm chống virus.
Hiện tại công ty Bkav đã phát hành công cụ quét và kiểm tra mã độc miễn phí, người sử dụng có thể tải công cụ kiểm tra tại link: Bkav.com.vn/ScanSpyware. Công cụ này không cần cài đặt mà có thể khởi chạy luôn để quét. Riêng với những người sử dụng Bkav Pro hoặc Bkav Endpoint sẽ được tự động cập nhật mẫu nhận diện mã độc này. Khi phát hiện hệ thống có mã độc, quản trị viên cần báo ngay cho các cơ quan chức năng để được hỗ trợ rà soát toàn bộ hệ thống mạng vì khi mã độc này đã xuất hiện có nghĩa là hệ thống đã bị xâm nhập.
Trong thông cáo báo chí phát ra ngày 01/8/2016, Hiệp hội An toàn thông tin Việt Nam (VNISA) cũng đã nhận định rằng, cuộc tấn công vào hệ thống Vietnam Airlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn biến kéo dài trước khi bùng phát vào ngày 29/7/2016. Có dấu hiệu cho thấy có thể hệ thống đã bị hacker xâm nhập từ giữa năm 2014. Tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7 và đã vượt qua được các công cụ giám sát an toàn thông tin thông thường như các phần mềm chống virus.